Vous êtes sur la page 1sur 198

Table des matières

1. PREPARATION DE L'ADMINISTRATION D'UN SERVEUR

1.1. PREPARATION DE L'ADMINISTRATION D'UN SERVEUR


1.1.1. Utilisation des appartenances de groupe pour administrer un serveur
1.1.2. Qu'est-ce que la commande Exécuter en tant que ?
1.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?
1.1.4. Rôle de la console MMC dans le cadre d'une administration à distance
1.1.5. Comment créer une MMC pour gérer un serveur ?
1.2. CONFIGURATION DE LA FONCTION BUREAU A DISTANCE POUR ADMINISTRER UN SERVEUR
1.2.1. Qu'est-ce que l'outil Bureau à distance pour administration ?
1.2.2. Que sont les préférences des ordinateurs clients dans le cadre d'une connexion Bureau à
distance ?
1.2.3. Bureaux à distance
1.3. GESTION DES CONNEXIONS AU BUREAU A DISTANCE
1.3.1. Que sont les paramètres de délai des connexions de Bureau à distance ?
1.3.2. Qu'est-ce que le Gestionnaire des services Terminal Server ?

2. INTRODUCTION A L’ADMINISTRATION DES COMPTES ET DES RESSOURCES

2.1. L’ENVIRONNEMENT DE WINDOWS 2003 SERVER


2.1.1. Rôles des serveurs
2.1.2. La Famille Serveur Windows 2003
2.1.3. Présentation du service d’annuaire (Active Directory)
2.1.4. Structure d’Active Directory
2.2. INSTALLATION ET CONFIGURATION DES OUTILS D’ADMINISTRATION
2.2.1. Installation des outils d’administration
2.2.2. Présentation et configuration d’une MMC
2.2.3. Résolution des problèmes lors de l’installation des outils d’administration
2.3. PRESENTATION ET CONFIGURATION DES UNITES D’ORGANISATIONS
2.3.1. Présentation des unités d’organisations
2.3.2. Modèle hiérarchique des unités d’organisation
2.3.3. Dénomination des unités d’organisation
2.3.4. Création d’une unité d’organisation
2.4. DEPLACEMENT DES OBJETS DU DOMAINE

3. GESTION DES COMPTES D’UTILISATEUR ET D’ORDINATEUR

3.1. CREATION DES COMPTES UTILISATEUR


3.1.1. Présentation des comptes d’utilisateurs
3.1.2. Convention de nom des comptes utilisateurs
3.1.3. Nomenclature de création de compte utilisateur
3.1.4. Mot de passe utilisateur
3.1.5. Création de compte d’utilisateur
3.2. CREATION DE COMPTES D’ORDINATEUR
3.2.1. Présentation des comptes d’ordinateurs
3.2.2. Création de compte d’ordinateur
3.3. MODIFICATION DES PROPRIETES DES COMPTES D’UTILISATEUR ET D’ORDINATEUR
3.4. CREATION DE MODELES DE COMPTES UTILISATEUR
3.4.1. Présentation d’un modèle de compte utilisateur

B.salim 1
3.4.2. Propriétés maintenues lors de la copie du modèle de compte
3.5. ACTIVATION ET DESACTIVATION D’UN COMPTE UTILISATEUR
3.6. RECHERCHE DANS ACTIVE DIRECTORY
3.6.1. Recherche standard
3.6.2. Recherche personnalisée
3.6.3. Sauvegarde des requêtes

4. GESTION DES GROUPES

4.1. PRESENTATION DES GROUPES


4.1.1. Groupes sur un ordinateur local
4.1.2. Groupes sur un contrôleur de domaine
4.2. CONVENTION DE NOMMAGE DES GROUPES
4.3. GESTION DES GROUPES
4.3.1. Stratégie d’utilisation des groupes dans un domaine unique
4.3.2. Stratégie d’utilisation des groupes dans un environnement à domaines multiples
4.3.3. Modification de l’étendue d’un groupe
4.4. GROUPES PAR DEFAUT
4.4.1. Groupes par défaut sur un serveur membre
4.4.2. Groupes par défaut dans Active Directory
4.5. GROUPES SYSTEME

5. GESTION D’ACCES AUX RESSOURCES

5.1. CONTROLE D’ACCES


5.1.1. Les entités de sécurité
5.1.2. Le SID
5.1.3. DACL - Discretionary Access Control List
5.2. AUTORISATIONS
5.2.1. Autorisations standard
5.2.2. Autorisations spéciales
5.3. ADMINISTRATION DES ACCES AUX DOSSIERS PARTAGES
5.3.1. Description des dossiers partagés
5.3.2. Partages administratifs
5.3.3. Création de dossiers partagés
5.3.4. Publication des dossiers partagés
5.3.5. Autorisations sur les dossiers partagés
5.3.6. Connexion à un dossier partagé
5.4. ADMINISTRATION DES ACCES AUX FICHIERS ET DOSSIERS NTFS
5.4.1. Présentation de NTFS
5.4.2. Autorisations sur les fichiers et dossiers NTFS
5.4.3. Impact de la copie et du déplacement sur les autorisations NTFS
5.4.4. Présentation de l’héritage NTFS
5.4.5. Identification des autorisations effectives
5.4.6. Cumul des autorisations NTFS et des autorisations de partage
5.5. MISE EN PLACE DES FICHIERS HORS CONNEXION
5.5.1. Présentation des fichiers hors connexion

6. IMPLEMENTATION DE L’IMPRESSION

6.1. PRESENTATION DE L’IMPRESSION DANS LA FAMILLE WINDOWS SERVER 2003


6.1.1. Terminologie de l’impression
6.1.2. Types de clients d’impression supportés par Windows 2003
6.1.3. Fonctionnement de l’impression
6.2. INSTALLATION ET PARTAGE D’IMPRIMANTES
6.2.1. Imprimantes locales et imprimantes réseau

B.salim 2
6.2.2. Installation et partage d’une imprimante
6.3. AUTORISATIONS D’IMPRIMANTES PARTAGEES
6.4. GESTION DES PILOTES D’IMPRIMANTES

7. ADMINISTRATION DE L’IMPRESSION

6.1. CHANGEMENT DE L’EMPLACEMENT DU SPOULEUR D’IMPRESSION


6.2. DEFINITION DES PRIORITES D’IMPRIMANTES
6.3. PLANIFICATION DE LA DISPONIBILITE DES L’IMPRIMANTES
6.4. CONFIGURATION D’UN POOL D’IMPRESSION

8. IMPLEMENTATION DES MODELES D’ADMINISTRATION ET DES STRATEGIES D’AUDIT

8.1. VUE D’ENSEMBLE DE LA SECURITE DANS WINDOWS 2003


8.2. UTILISATION DE MODELES DE SECURITE POUR PROTEGER LES ORDINATEURS
8.2.1. Présentation des stratégies de sécurité
8.2.2. Description des modèles de sécurité
8.2.3. Description des paramètres de modèles de stratégies
8.2.4. Outils de création et d’importation des modèles de sécurité personnalisés
8.3. CONFIGURATION DE L’AUDIT
8.3.1. Présentation de l’audit
8.3.2. Description d’une stratégie d’audit
8.4. GESTION DES JOURNAUX DE SECURITE

9. GESTION DE LA RECUPERATION EN CAS D'URGENCE


9.1. SAUVEGARDE DES DONNEES
9.1.1. Vue d'ensemble de la sauvegarde des données
9.1.2. Qui peut sauvegarder les données ?
9.1.3. Qu'est-ce que les données sur l'état du système ?
9.1.4. Types de sauvegardes
9.1.5. Qu'est-ce que ntbackup ?
9.1.6. Qu'est-ce qu'un jeu de récupération automatique du système ?
9.2. PLANIFICATION DES OPERATIONS DE SAUVEGARDE
9.2.1. Qu'est-ce qu'une opération de sauvegarde planifiée ?
9.2.2. Comment planifier une opération de sauvegarde ?
9.3. RESTAURATION DES DONNEES
9.3.1. Qu'est-ce que la restauration des données ?
9.4. CONFIGURATION DES CLICHES INSTANTANES
9.4.1. Qu'est-ce que les clichés instantanés ?
9.4.2. Comment configurer des clichés instantanés sur le serveur ?
9.4.3. Logiciel client pour les versions précédentes des clichés instantanés
9.5. RECUPERATION SUITE A UNE DEFAILLANCE DU SERVEUR
9.5.1. Contrôle des paramètres système au cours du processus d’amorçage
9.5.2. Modification du comportement au démarrage à l’aide du fichier Boot.ini
9.5.3. Utilisation des options d’amorçage avancées pour résoudre les problèmes de démarrage
9.5.4. Utilisation de la console de récupération pour démarrer l’ordinateur
9.6. CHOIX D'UNE METHODE DE RECUPERATION EN CAS D'URGENCE
9.6.1. Quels sont les outils de récupération en cas d'urgence ?

B.salim 3
Module 1. Préparation de l'administration
d'un serveur

1.1. Préparation de l'administration d'un serveur


1.1.1. Utilisation des appartenances de groupe pour administrer
un serveur
Nous pouvons distinguer 5 groupes locaux de domaines intégrés sous Windows 2003, ces
groupes vont permettre de définir automatiquement des droits administratifs aux utilisateurs qui
vont en devenirs membres.

Possède tous les droits nécessaires pour exécuter


Administrateurs
l’ensemble des taches administratives.
Possède tous les droits nécéssaires pour effectuer des
Opérateurs de sauvegarde
sauvegardes et restauration sur le serveur.
Possède tous les droits nécessaires pour créer,
modifier, supprimer les comptes utilisateurs ou les
Opérateurs de comptes
groupes, à l’exception des groupes Administrateurs et
Opérateurs de sauvegarde.
Possède tous les droits nécessaires pour assurer la
Opérateurs de serveur
sauvegarde et la restauration des fichiers.
Possède les permissions requises pour gérer et
Opérateurs d’impression
configurer les imprimantes réseau.

1.1.2. Qu'est-ce que la commande Exécuter en tant que ?


Cette commande permet de lancer un programme en utilisant un autre compte utilisateur que
celui utilisé pour la session en cours. Par exemple, si l’administrateur veut effectuer une tâche
administrative sur un serveur Windows 2003, et qu’une session Invité est déjà ouverte sur ce
serveur, il n’a pas besoin de fermer la session en cours pour le faire. Pour effectuer cette tâche il
peut utiliser la commande Exécuter en tant que disponible en faisant un clic droit avec la touche
« Shift » appuyée sur l’exécutable que l’on veut lancer et de sélectionner l’option Exécuter en
tant que…

On peut également utiliser la commande runas en ligne de commande :


runas /user:nom_domaine\nom_utilisateur nom_programme

Il est également possible de créer des raccourcis qui utilisent directement la commande runas.

B.salim 4
Il sera peut être nécessaire d’utiliser la touche MAJ+Click droit pour accéder à
l’option exécuter en tant que dans le menu contextuel.

1.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?


Il s’agit d’un ensemble d’outil permettant l’administration d’un ordinateur local ou distant.
Cette console MMC est disponible via le Panneau de configuration, dans les Outils
d’administrations ou en faisant un clic droit sur le Poste de travail et en choisissant l’option
Gérer.

Voila ci-dessous un descriptif des outils disponible :

Catégorie Outil Description


Outils système

Permet de visualiser le contenu des journaux


Observateur Applications, Sécurités et Systèmes. Ces
d’événements journaux sont d’une grande aide pour identifier
une erreur sur le système.

Permet de visualiser l’ensemble des partages


Dossiers partagés en cours sur le serveur, les sessions ouverte
(utilisateurs authentifié sur la machine) ainsi
que les fichiers ouverts sur le serveur.

Utilisateurs et Permet de créer et gérer les utilisateurs et les


groupes locaux groupes de la base de compte local (base
SAM).

B.salim 5
Journaux et alertes Permet d’analyser et de collecter les données
de performances relatives aux performances de l'ordinateur.

Gestionnaire de Permet de gérer les périphériques et les pilotes


périphériques installés sur le serveur.

Stockage

Permet de gérer les supports de stockage


amovibles.
Permet de défragmenter le contenu d’un
Stockage amovible
disque afin d’en augmenter les performances
Défragmenteur de
d’accès aux données.
disque
Permet de gérer les disques durs en créant des
Gestion des disques
partitions ou volume, leurs affectant des lettres
dans le poste de travail et en les formatant si
necessaires.

Services et applications

Services Permet de définir les options de démarrage des


services du serveur.

Contrôles WMI Permet de configurer et gérer le service de


gestion
Windows.

Service d’indexation Permet de gérer, créer et configurer


l'indexation des
catalogues supplémentaires pour stocker les
informations d'index.

Pour administrer un serveur à distance, il suffit de lancer la console Gestion de


l’ordinateur sur un ordinateur quelconque, faire un click droit sur Gestion de l’ordinateur
(local), et de cliquer sur « Se connecter à ». Ensuite il suffit d’entrer le nom ou l’adresse IP
de l’ordinateur que l’on veut administrer à distance.

1.1.4. Rôle de la console MMC dans le cadre d'une


administration à distance
Vous pouvez utiliser Microsoft Management Console (MMC) pour créer, enregistrer et ouvrir des
outils d'administration (appelés consoles MMC) qui gèrent les composants matériels, logiciels et
réseau de votre système Windows.

MMC n'exécute pas de fonctions administratives alors que les outils hôtes les exécutent. Les
outils que vous pouvez ajouter à une console sont principalement des composants logiciels
enfichables. Vous pouvez également ajouter des contrôles ActiveX, des liens vers des pages
Web, des dossiers, des affichages de listes des tâches et des tâches.

B.salim 6
Il existe deux façons générales d'utiliser MMC : en mode utilisateur, en utilisant des consoles
MMC existantes pour administrer un système, ou en mode auteur, en créant des consoles ou en
modifiant des consoles MMC existantes.
1.1.5. Comment créer une MMC pour gérer un serveur ?

Il suffit pour cela d’ouvrir une nouvelle console MMC (Démarrer \ Executer puis taper mmc).
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis
cliquez sur Ajouter.
Dans la liste des composants logiciels enfichables, cliquez sur un composant logiciel enfichable,
puis sur Ajouter.
À l'invite, sélectionnez l'ordinateur local ou distant que vous souhaitez gérer à l'aide de ce
composant logiciel enfichable, puis cliquez sur Terminer.
Cliquez sur Fermer, puis sur OK.

1.2. Configuration de la fonction Bureau à


distance pour administrer un serveur
1.2.1. Qu'est-ce que l'outil Bureau à distance pour
administration ?
Le bureau à distance permet à l’utilisateur de se connecter à distance à un ordinateur et de
contrôler ce dernier à distance. L’utilisateur se retrouve donc dans l’environnement de la machine
à laquelle il se connecte (fond d’écran, apparences, fichiers locaux, etc...).

L'outil Bureau à distance pour administration fournit un accès au serveur à partir d'un ordinateur
situé sur un autre site, à l'aide du protocole RDP (Remote Desktop Protocol). Ce protocole
transmet l'interface utilisateur à la session cliente. De même, il transmet les manipulations sur le
clavier et la souris du client vers le serveur.

Vous pouvez créer jusqu'à deux connexions distantes simultanées. Chaque session que vous
ouvrez est indépendante des autres sessions clientes et de celle de la console du serveur.

Lorsque vous utilisez l'outil Bureau à distance pour administrer un serveur distant, la connexion
est établie comme s'il s'agissait de l'ouverture d'une session sur le serveur local.

Les paramètres relatifs à l’utilisation du bureau à distance sont configurables via les propriétés du
Poste de travail, dans l’onglet Utilisations à distance.
La connexion à distance peut s’effectuer grâce à l’outil mstsc.exe présent dans
%SystemRoot%\System32\.

Le compte utilisé pour ouvrir une session en utilisant le bureau à distance doit
obligatoirement avoir un mot de passe, et être également membre du groupe Utilisateurs
du Bureau à distance. Vous devez également vous assurer que l’option bureau à distance
est activée, ce qui n’est pas le cas par défaut sous Windows 2003.

B.salim 7
1.2.2. Que sont les préférences des ordinateurs clients dans le
cadre d'une connexion Bureau à distance ?
Il est possible de créer des profils de connexions Bureau à distance qui lanceront chaque
connexion avec des paramètres bien précis. Par exemple, Il est possible de créer et sauvegarder
une connexion Bureau à distance qui lancera automatiquement une application à l’ouverture de
sessions, et changera la résolution.
Pour définir ce genre de comportement à l’ouverture d’une session bureau à distance, il faut
cliquer sur le bouton Option >>

B.salim 8
1.2.3. Bureaux à distance
Il existe également un composant logiciel enfichable MMC qui permet de gérer plusieurs sessions
Bureau à distance simultanément. Il s’agit du composant Bureau à distance.

1.3. Gestion des connexions au Bureau à distance


1.3.1. Que sont les paramètres de délai des connexions de
Bureau à distance ?
Il faut savoir que chaque session Bureau à distance ouverte sur un Serveur Windows 2003
consomme des ressources. Afin de limiter cette consommation, l’administrateur à la possibilité de
définir des délais au bout desquelles les sessions seront automatiquement fermées.

Il est possible de définir un délai suivant 3 cas de figures :

 Fin de session déconnecté : Délai au bout duquel une session déconnectée sera fermée.
 Limite de session active : Durée maximale d’une session.
 Limite de session inactive : Durée maximale d’une session inactive, c'est-à-dire que
l’utilisateur n’utilise ni la souris, ni le clavier ou tout autre périphérique d’entrée.

Ces paramètres peuvent être définit via les outils d’administration dans la console Configuration
des services terminal serveur.

B.salim 9
Une session déconnectée est une session Bureau à distance qui n’a pas été fermée. Cela
signifie que l’utilisateur a lancé la session, puis a fermé la fenêtre Bureau à distance
directement. Dans ce cas de figure les processus lancés dans cette session tournent
toujours jusqu'à fermeture de la session.
L’utilisateur pourra récupérer cette session si il se reconnecte.

1.3.2. Qu'est-ce que le Gestionnaire des services Terminal


Server ?
Ce gestionnaire permet de surveiller les sessions en cours via un listing complet des processus
s’exécutant sur chaque session. L’administrateur aura ainsi la possibilité de terminer un
processus tournant sur une session inactive consommant trop de ressources par exemple.
Il aura également la possibilité de fermer la session d’un utilisateur.

B.salim 10
Module 2. Introduction à l’administration des
comptes et des ressources

2.1. L’environnement de Windows 2003 Server


2.1.1. Rôles des serveurs
De plus en plus d’entreprises implémentent de multiples technologies afin d'améliorer
l'environnement de travail de leurs employés.
Ainsi il n'est pas rare de voir une seule machine configurée avec Active Directory, le serveur
DNS, le serveur DHCP, le partage de connexion Internet, un serveur VPN et exécutant aussi les
services de partages de fichiers et d’impression.

On distingue ainsi un certain nombre de rôles :

 Les contrôleurs de domaines : Ce sont des serveurs sur lesquels on a installé Active
Directory et qui s’occupent de l’authentification des utilisateurs dans un domaine.
 Les serveurs de fichiers : Ce sont des serveurs qui permettent de créer un espace de
stockage partagé sur le réseau. Ils mettent ainsi une partie de leur espace disque
disponible sur le réseau.
 Les serveurs d’impression : Ils permettent de partager une imprimante sur un réseau
et de gérer la file d’attente d’impression de celle-ci.
 Les serveurs d’applications : Ils permettent à une application d’utiliser le système
d’exploitation comme support afin d’en utiliser les composants de gestion (ex : serveur de
messagerie, de base de données, …).

L’ensemble de ces rôles peuvent être gérés à l’aide de l’outil Assistant Configurer votre
serveur sous Windows 2003 Server.

2.1.2. La Famille Serveur Windows 2003


Parmi les produits de la famille Windows 2003, il existe quatre systèmes d’exploitation : Windows
2003 Web, Windows 2003 Standard, Windows 2003 Enterprise et Windows 2003 Datacenter. Mis
à part pour l’édition Web, peu de choses les différencient.

Le tableau suivant indique la configuration minimale requise pour l’installation de chacun de ces
quatre systèmes.

B.salim 11
Windows Windows Windows
Windows
2003 2003 2003
2003 Web
Standard Enterprise Datacenter
Edition
Edition Edition Edition

133 MHz ou 400 MHz ou


plus plus
133 MHz ou 133 MHz ou (supporte 8 (supporte 64
Processeurs plus (supporte plus (supporte processeurs processeurs
2 processeurs 4 processeurs au plus) 733 au plus) 733
au plus) au plus) MHz ou plus MHz ou plus
pour les pour les
processeurs processeurs
de type de type
Itanium Itanium

128Mo 512Mo
minimum minimum 1Go
256Mo recommandés
128Mo 128Mo recommandés 32Go
minimum minimum 32Go maximum pour
Mémoire vive 256Mo 256Mo maximum pour les X86 et
recommandés recommandés les X86 et 512Go pour
2Go maximum 4Go maximum 64Go pour les les
processeurs processeurs
de type de type
Itanium Itanium

Disque avec Disque avec


Disque avec Disque avec 1,5Go 1,5Go
1,5Go 1,5Go d'espace libre d'espace libre
d'espace libre d'espace libre pour pour
Disque dur pour pour l’installation et l’installation et
l’installation l’installation 2Go pour les 2Go pour les
Itanium Itanium

2.1.3. Présentation du service d’annuaire (Active Directory)


Le service Active Directory (Active Directory) permet une gestion centralisée. Cela vous donne la
possibilité d’ajouter, de retirer et de localiser les ressources facilement.

Ainsi, nous avons :

B.salim 12
 Une administration simplifiée : Active Directory offre une administration de toutes les
ressources du réseau d’un point unique. Un administrateur peut se connecter sur
n’importe quel ordinateur pour gérer les ressources de tout ordinateur du réseau.
 Une mise à l’échelle : Active Directory permet de gérer des millions d’objets répartis sur
plusieurs sites si cela est nécessaire.
 Un support standard ouvert : Active Directory utilise DNS pour nommer et localiser des
ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de domaine
DNS.

Active Directory fonctionne avec des services de clients différents tels que NDS de Novell. Cela
signifie qu’il peut chercher les ressources au travers d’une fenêtre d’un navigateur web. De plus,
le support de Kerberos 5 apporte la compatibilité avec les autres produits qui utilisent le même
mécanisme d’authentification.

2.1.4. Structure d’Active Directory


La structure d’Active Directory est hiérarchique, elle se décompose comme suit :

 Objet : représente une ressource du réseau qui peut-être par exemple un ordinateur ou
un compte utilisateur.
 Classe : description structurelle d’objets tels les comptes d’utilisateurs, ordinateurs,
domaines, ou unités organisationnelles.
 Unité organisationnelle (OU) : conteneur utilisé pour organiser les objets d’un domaine
à l’intérieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les
comptes d’utilisateurs, les fichiers partagés, les applications et même d’autres unités
organisationnelles.

 Domaine : chacun des objets d’un réseau existe dans un domaine et chaque domaine
contient les informations des objets qu’il contient. Un domaine est sécurisé, c’est à dire
que l’accès aux objets est limité par des ACL (Access Control List). Les ACL contiennent
les permissions, associées aux objets, qui déterminent quels utilisateurs ou quels types
d’utilisateurs peuvent y accéder. Dans Windows 2003, toutes les stratégies de sécurité et
les configurations (telles les droits administratifs) ne se transmettent pas d’un domaine à
l’autre. L’administrateur de domaine peut déterminer les stratégies uniquement à
l’intérieur de son propre domaine.

 Arbre : c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs domaines


Windows 2003 qui partagent des espaces de noms contigus (par exemple :
administration.supinfo.com, comptabilité.supinfo.com, et training.supinfo.com). Tous les
domaines d’un même arbre partagent le même schéma commun (la définition formelle de
tous les objets qui peuvent être enregistrés dans une architecture d’Active Directory) et
partagent un catalogue commun.

B.salim 13
 Forêt : c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs arbres qui
ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com). Tous les
arbres d’une forêt partagent le même schéma commun et le même catalogue, mais ont
des structures de noms différentes. Les domaines d’une forêt fonctionnent
indépendamment les uns des autres, mais les forêts permettent la communication d’un
domaine à l’autre.

 Sites : combinaison d’une ou plusieurs IP de sous-réseaux connectés par des liens à


hauts débits. Ils ne font pas partie d’un espace de nommage d’Active Directory, et ils
contiennent seulement les ordinateurs, les objets et les connexions nécessaires pour
configurer la réplication entre sites. Ils permettent d’intégrer la topologie physique du
réseau dans Active Directory.

2.2. Installation et configuration des outils


d’administration
2.2.1. Installation des outils d’administration
Les outils d’administration permettent la gestion des serveurs à distance. Ils peuvent être
installés sur n’importe quelle machine sous Windows 2003 par l’intermédiaire de adminpak.msi
qui se trouve dans le dossier i386 du CD ROM d’installation du système.
Les outils d’administration sont installés par défaut sur le contrôleur de domaine.
Il peut être utile, pour des raisons de sécurité, d’utiliser les outils d’administration en ayant ouvert
une session avec votre compte de domaine basique et en utilisant la commande Exécuter en
tant que pour lancer les outils d’administration.

2.2.2. Présentation et configuration d’une MMC


Windows 2003 (toutes versions) intègre un modèle d'outils d'administration nommé MMC
(Microsoft .Managment Console) qui donne la possibilité aux administrateurs de créer eux-
mêmes leur propre console d'administration.

B.salim 14
Il suffit pour cela d'intégrer les composants logiciels enfichables (snap-in) couramment utilisés.
Cela permet aussi de mettre à disposition des administrateurs subalternes des outils
d'administration personnalisés. Ainsi un administrateur ayant pour unique fonction la
maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par
erreur puisque l'option de suppression n'apparaîtra pas dans sa console.

Afin de pouvoir créer une MMC personnalisée, il vous suffit de suivre la procédure suivante :
Allez dans le menu Démarrer / Exécuter.
Tapez MMC, puis Entrer.
Dans le menu console, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.

Cliquez ensuite sur Ajouter et sélectionnez le composant que vous souhaitez ajouter à votre
console (Notez que l’interface de cette fenêtre est trompeuse: si vous double-cliquez sur un
composant ou si vous cliquez sur Ajouter, le composant est ajouté à la liste sans aucune
confirmation).

2.2.3. Résolution des problèmes lors de l’installation des outils


d’administration

Si des problèmes surviennent lors de l’installation des outils d’administration, deux raisons
principales peuvent en être la cause :

 Permissions insuffisantes : Seul les utilisateurs membres du groupe Administrateurs


ont les privilèges suffisants pour pouvoir installer les outils d’administration.
 Système d’exploitation non supporté : Seul Windows XP et Windows 2003 supportent
l’installation des outils d’administration.

Si des problèmes de liens morts dans l’aide surgissent :


Lors de l’installation des outils d’administration sur Windows XP, l’aide peut faire référence aux
fichiers d’aide de Windows 2003 Server et ainsi générer des erreurs. Pour résoudre ce problème,
il suffit de copier le fichier d’aide de Windows 2003 Server sur la station Windows XP.

2.3. Présentation et configuration des unités


d’organisations
2.3.1. Présentation des unités d’organisations
Une unité d’organisation est un objet conteneur utilisé pour organiser les objets au sein du
domaine. Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes, des
ordinateurs, des imprimantes ainsi que d’autres unités d’organisation.
Les unités d’organisation permettent d’organiser de façon logique les objets de l’annuaire (ex :
représentation physique des objets ou représentation logique).
Les unités d’organisation permettent aussi de faciliter la délégation de pouvoir selon
l’organisation des objets.

B.salim 15
2.3.2. Modèle hiérarchique des unités d’organisation
Afin de pouvoir utiliser les propriétés de gestion associées aux unités d’organisation, il est
nécessaire de construire un modèle hiérarchique d’imbrication des unités d’organisation.

2.3.3. Dénomination des unités d’organisation


Plusieurs méthodes de dénomination permettent de pointer sur une unité d’organisation :
 Les noms uniques : le nom unique identifie le domaine dans lequel est situé l’objet,
ainsi que son chemin d’accès complet (ex : OU=Recherche, DC=labo-microsoft, DC=lan)
 Les noms uniques relatifs : partie du nom unique qui permet d’identifier l’objet dans
son conteneur (ex : Recherche).
 Le nom canonique : apportant autant d’informations que les noms uniques, il est utilisé
dans certains outils d’administration (ex : labo-microsoft.lan/Recherche).

2.3.4. Création d’une unité d’organisation


Deux possibilités s’offrent à vous pour créer une unité d’organisation :
 Interface graphique : dans l’outil d’administration Utilisateurs et ordinateurs Active
Directory.
 Ligne de commande : avec l’outil dsadd ou OrganizationalUnitDomainName [-desc
Description] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco |
-uci}]

2.4. Déplacement des objets du domaine


Dans certaines conditions, il est utile de modifier l’emplacement d’un objet (utilisateur, ordinateur,
…) d’une unité d’organisation à une autre dans le cadre d’un changement de poste par exemple.
Cette manipulation se fait dans l’outil d’administration Utilisateurs et ordinateurs Active
Directory.

B.salim 16
Module 3. Gestion des comptes d’utilisateur
et d’ordinateur

3.1. Création des comptes utilisateur


3.1.1. Présentation des comptes d’utilisateurs
Les Comptes d’utilisateurs permettent aux utilisateurs d’accéder aux ressources du réseau. Ils
sont associés à un mot de passe et fonctionnent dans un environnement défini (machine locale
ou domaine).

Un utilisateur disposant d’un compte de domaine pourra s’authentifier sur toutes les machines du
domaine (sauf restriction explicite de l’administrateur).

Un utilisateur disposant d’un compte local ne pourra s’authentifier que sur la machine où est
déclaré le compte.

Compte local : Les informations de Comptes d’utilisateurs sont stockées localement sur les
machines hébergeant les ressources réseau. Si une modification doit être apportée à un compte,
celle-ci devra être répercutée manuellement sur toutes les machines où le compte existe.

Compte de domaine : Les informations de comptes sont centralisées sur un serveur, dans
l’annuaire des objets du réseau. Si une modification doit être apportée à un compte, elle doit être
effectuée uniquement sur le serveur qui la diffusera à l’ensemble du domaine.

3.1.2. Convention de nom des comptes utilisateurs

On distingue quatre méthodes pour nommer un compte utilisateur :


 Le nom d’ouverture de session (login) : thoboi_l
 Le nom d’ouverture de session pré-windows : ESI\thoboi_l
 Le nom d’utilisateur principal : thoboi_l@esi-supinfo.lan
 Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan
Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut pas contenir de
caractères spéciaux comme : " / \ [ ] : ; | = , + * ? < >.

B.salim 17
3.1.3. Nomenclature de création de compte utilisateur
Un login doit obligatoirement être unique dans son domaine. Ainsi il est nécessaire dans une
grosse entreprise de créer une nomenclature de création de login prenant en compte des
particularités de noms comme les membres d’une même famille travaillant dans l’entreprise par
exemple.
Il peut être intéressant aussi d’identifier rapidement le login des employés temporaires (ex :
T_thoboi_l).
Une fois le compte créé, il suffit de le placer dans l’unité d’organisation correspondant au
département de l’utilisateur.

3.1.4. Mot de passe utilisateur

A la création d’un utilisateur, il est possible de spécifier un certain nombre de propriétés


concernant la gestion des mots de passe :

 L’utilisateur doit changer de mot de passe à la prochaine ouverture de session :


cette option permet de définir un mot de passe temporaire lors de la création d’un compte
ou de la réinitialisation du mot de passe et d’obliger ensuite l’utilisateur à le modifier.
 L’utilisateur ne peut pas changer de mot de passe : cette option permet de bloquer la
fonctionnalité de modification de mot de passe.
 Le mot de passe n’expire jamais : particulièrement utile pour les comptes de service,
cette option permet de s’assurer que le compte en question ne soit pas assujetti aux
règles de stratégie de compte.
 Le compte est désactivé : Permet de désactiver un compte sans le supprimer.

3.1.5. Création de compte d’utilisateur


La création d’un utilisateur se fait via l’outil graphique d’administration Utilisateurs et rdinateurs
Active Directory ou à l’aide de l’outil en ligne de commande dsadd user
(dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn FirstName] [-ln LastName] [-
display DisplayName] [-pwd {Password|*}).

3.2. Création de comptes d’ordinateur


3.2.1. Présentation des comptes d’ordinateurs
Un compte d’ordinateur n’existe que dans un environnement de domaine, il permet d’identifier
chaque ordinateur qui a accès à la base de comptes Active Directory notamment pour
l’authentification des utilisateurs.

Les comptes d’ordinateur sont particulièrement utiles pour la sécurité et la gestion centralisée :
ainsi on va pouvoir utiliser ces comptes pour configurer des audits, IPSec, le déploiement de
logiciels, les stratégies de sécurité,….

3.2.2. Création de compte d’ordinateur

B.salim 18
La création d’un compte d’ordinateur se fait via l’outil graphique d’administration Utilisateurs et
ordinateurs Active Directory ou à l’aide de l’outil en ligne de commande dsadd computer
(dsadd computer ComputerDomainName [-samid SAMName] [-desc Description] [-loc Location]
[-memberof GroupDomainName ..] [{-s Server | -d Domain}] [-u UserName] [-p {Password |
*}] [-q] [{-uc | -uco | -uci}]).

Une autre possibilité s’offre à vous pour créer un compte d’ordinateur est de le créer à partir
du client lorsque celui-ci se joint au domaine. Dans ce cas, le compte d’ordinateur est créé
dans le conteneur Computer.

3.3. Modification des propriétés des comptes


d’utilisateur et d’ordinateur
Une fois le compte créé, il est possible d’en modifier les propriétés. La première utilité est d’en
mettre à jour les informations, la seconde est d’accéder à des propriétés qui ne sont pas
disponibles lors de la procédure de création de compte.

Les différentes modifications qui vont être apportées aux comptes peuvent avoir plusieurs
utilités :
 Faciliter la recherche : le département, le bureau, …
 Permettre de centraliser des informations liées au compte : le téléphone, l’email, …
Afin de modifier ces propriétés, il vous suffit d’utiliser l’outil graphique d’administration
Utilisateurs et ordinateurs Active Directory et d’afficher les propriétés de l’objet en double-
cliquant dessus. Il est à noter que dans ce mode graphique il est possible de sélectionner
plusieurs utilisateurs afin de réaliser des modifications en "masse".

Une autre solution consiste à utiliser l’outil en ligne de commande dsmod [user | computer] :

dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display
DisplayName] [-empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel
PhoneNumber] [-email E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-
mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title
Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv
DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes |
no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-
disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [- p {Password | *}] [-c] [-q] [{-uc | -uco
| -uci}]

dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset]
[{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]

3.4. Création de modèles de comptes utilisateur


3.4.1. Présentation d’un modèle de compte utilisateur

Un modèle de compte est un compte utilisateur générique contenant les informations communes
à tous les comptes ayant le même rôle dans l’entreprise. Une fois ce modèle de compte créé (en
utilisant la même procédure que n’importe quel compte utilisateur), il suffira de le dupliquer à

B.salim 19
chaque création d’un nouveau compte correspondant au rôle. Ainsi le nouveau compte créé,
héritera des propriétés du modèle.

Pour des raisons de sécurité il est nécessaire de désactiver l’ensemble des modèles de compte
afin qu’ils ne soient pas utilisés pour entrer dans le système. De plus il est conseillé d’identifier
les modèles de compte par une lettre significative en début de nom (ex : M_<nom_du_modele>).

3.4.2. Propriétés maintenues lors de la copie du modèle de


compte
Lorsqu’un modèle de compte est dupliqué, toutes les propriétés ne sont pas copiées. La liste qui
suit vous informe des propriétés qui le sont :

 Onglet Adresse : Les informations sont copiées, à l’exception de la propriété Adresse.


 Onglet Compte : Les informations sont copiées, à l’exception de la propriété Nom
d’ouverture de session de l’utilisateur qui est récupéré de l’assistant de duplication de
compte.
 Onglet Profil : Les informations sont copiées, à l’exception des propriétés Chemin du
profil et Dossier de base qui sont modifiées pour refléter le changement de nom
d’ouverture de session.
 Onglet Organisation : Les informations sont copiées, à l’exception de la propriété Titre.
 Membre de : Les informations sont copiées.

3.5. Activation et désactivation d’un compte


utilisateur
Chaque compte utilisateur bénéficie d’un identifiant unique interne, à Active Directory ou à la
base SAM, qui permet de l’identifier. Cet identifiant appelé SID est utilisé notamment par le
système de sécurité de Windows 2003.

Lorsque l’on supprime un compte et que l’on recrée ce compte, même avec des informations
strictement identiques, celui-ci se voit affecter un nouveau SID. Il perd ainsi l’ensemble de son
contexte de sécurité.

Afin d’éviter d’avoir à reconfigurer l’ensemble des droits et autorisations du compte utilisateur, il
est conseillé de toujours désactiver les comptes utilisateur (l’utilisateur ne pourra plus l’utiliser)
dans un premier temps. Après vérification, si la suppression peut se faire dans de bonnes
conditions, vous pouvez la réaliser.

L’activation et la désactivation se fait via l’outil graphique d’administration Utilisateurs et


ordinateurs Active Directory ou à l’aide de l’outil en ligne de commande dsmod user UserDN
-disabled {yes|no}.

3.6. Recherche dans Active Directory


3.6.1. Recherche standard

B.salim 20
Une fois les comptes d’utilisateurs et d’ordinateurs créés, des outils sont mis à votre disposition
pour pouvoir effectuer des recherches dans l’annuaire.
Ces recherches peuvent être définies selon divers critères comme le type d’objet, les valeurs des
propriétés de ces objets.

Pour lancer l’outil de recherche, il suffit de lancer l’outil de recherche graphique Utilisateurs et
Ordinateurs Active Directory.

Vous pouvez aussi utiliser l’outil en ligne de commande dsquery user ou dsquery computer :

dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree |
onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive
NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName]
[-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree |
onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive
NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName]
[-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

3.6.2. Recherche personnalisée


Il vous est possible aussi de réaliser des requêtes personnalisées directement en LDAP.
Pour cela, il vous suffit de sélectionner l’option Recherche personnalisée dans l’option
Recherche :.

3.6.3. Sauvegarde des requêtes


Un nouveau répertoire fait son apparition dans l’outil Utilisateurs et ordinateurs Active Directory. Il
permet de créer, organiser et sauvegarder des requêtes LDAP. Cela permet d’effectuer les
recherches courantes plus rapidement.

Une fonctionnalité d’export au format XML est aussi disponible pour chacune des requêtes
sauvegardées.

B.salim 21
Module 4. Gestion des groupes

4.1. Présentation des groupes


Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du
réseau. Les groupes permettent d’affecter en une seule action une ressource à un ensemble
d’utilisateurs au lieu de répéter l’action pour chaque utilisateur. Un utilisateur peut être membre
de plusieurs groupes.

Il y a deux emplacements où l’on peut trouver les groupes :

4.1.1. Groupes sur un ordinateur local

Ils permettent d’accorder des permissions uniquement au niveau de la machine. Dans le cas
d’une machine non-reliée à un domaine, il est possible d’inclure uniquement les comptes locaux.
Les groupes locaux sont créés à l’aide de l’outil Gestion de l’ordinateur, puis dans le
composant enfichable Utilisateurs et groupes locaux.

4.1.2. Groupes sur un contrôleur de domaine


Ils sont utilisables sur l’ensemble des machines du domaine et permettent d’avoir une gestion
centralisée de la hiérarchie des groupes. Ils peuvent contenir des utilisateurs du domaine et
même d’autres domaines.

Les groupes de domaine sont créés à l’aide de l’outil d’administration Utilisateurs et


ordinateurs Active Directory et cela dans n’importe quelle unité d’organisation présente ou à
l’aide de l’outil en ligne de commande dsadd group GroupDN -samid SAMName -secgrp yes |
no -scope l | g | u.

4.1.2.1. Type de groupe

Il existe deux types de groupes dans Active Directory :

 Les groupes de sécurité : permettent d’affecter des utilisateurs et des ordinateurs à des
ressources. Peuvent aussi être utilisés comme groupes de distribution.
 Les groupes de distribution : exploitables entre autres via un logiciel de messagerie.
Ils ne permettent pas d’affecter des permissions sur des ressources aux utilisateurs.

4.1.2.2. Etendue des groupes

Les deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. Leur
fonctionnement va dépendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif
2000 et natif 2003. Selon le mode fonctionnel, les fonctionnalités des groupes changent :

B.salim 22
4.1.2.2.1. Les groupes globaux:

Mode mixte Mode natif


Comptes d’utilisateurs du même Comptes d’utilisateurs et
Membres domaine groupes globaux du même
domaine
Groupes locaux de
Membres de Groupes locaux du même domaine
domaines
Etendue Visibles dans leur domaine et dans tous les domaines approuvés
Autorisations
Tous les domaines de la forêt
pour

4.1.2.2.2. Les groupes de domaine local :

Mode mixte Mode natif

Comptes d’utilisateurs,
groupes
Membres Comptes d’utilisateurs et groupes globaux et groupes
globaux de tout domaine universels d’un domaine
quelconque de la forêt, et
groupes de domaine local du
même domaine

Membres d’aucun groupe Groupes de domaine local


Membres de
du même domaine
Etendue Visibles dans leur propre domaine
Autorisations
Le domaine dans lequel le groupe de domaine local existe
pour

4.1.2.2.3. Les groupes universels :

Mode mixte Mode natif

Comptes d’utilisateurs,
Non utilisables groupes globaux et autres
groupes universels
Membres d’un domaine quelconque de
la forêt.

Non utilisables Groupes de domaine local et


Membres de
universels de tout domaine.
Etendue Visibles dans tous les domaines de la forêt
Autorisations
Tous les domaines de la forêt
pour

B.salim 23
La propriété gestionnaire des groupes utilisateurs permet de connaître le responsable d’un
groupe. Cela permet aussi via l’option « Le gestionnaire peut mettre à jour la liste des membres »
d’en modifier les membres.
4.2. Convention de nommage des groupes
Il est conseillé de toujours identifier l’étendue voir le type de groupe en ajoutant une lettre au
début du nom du groupe.
Exemple :
G_nom : Groupe global
U_nom : Groupe Universel
DL_nom : Groupe de domaine local

4.3. Gestion des groupes


4.3.1. Stratégie d’utilisation des groupes dans un domaine
unique
La stratégie recommandée pour les groupes globaux et locaux dans un domaine unique est la
suivante :
 Ajoutez les comptes d’utilisateur aux groupes globaux.
 Ajoutez les groupes globaux à un autre groupe global (dans le cas d’un environnement
natif).
 Ajoutez les groupes globaux à un groupe de domaine local.
 Affectez les autorisations sur les ressources au groupe de domaine local.

Cette stratégie est aussi appelée A G DL P.

4.3.2. Stratégie d’utilisation des groupes dans un environnement


à domaines multiples
 Dans chaque domaine, ajoutez aux groupes globaux des comptes d’utilisateurs ayant la
même fonction.
 Imbriquez des groupes globaux dans un seul groupe global pour intégrer les utilisateurs.
Cette étape n’est utile que si vous gérez un grand nombre d’utilisateurs.
 Imbriquez des groupes globaux dans un groupe universel.
 Ajoutez les groupes universels aux groupes de domaine local pour gérer l’accès aux
ressources.
 Affectez aux groupes de domaine local des autorisations appropriés sur les ressources.

Cette stratégie est aussi appelée A G G U DL P.

4.3.3. Modification de l’étendue d’un groupe


Dans certains cas, il peut être utile de modifier l’étendue d’un groupe dans Active Directory.

Groupe global vers universel : Ceci n’est possible que si le groupe n’est pas lui-même membre
d’un groupe global.

B.salim 24
Groupe global vers domaine local : Il n’est pas possible de modifier directement un groupe
global vers un groupe de domaine local. Pour réaliser cette modification, il est obligatoire de
modifier le groupe global en groupe universel, puis en groupe de domaine local.
Groupe de domaine local vers universel : Ceci n’est possible que si le groupe n’est pas lui-
même membre d’un groupe de domaine local.
Groupe universel vers global : Ceci n’est possible que si le groupe n’est pas lui-même membre
d’un groupe universel.
Groupe universel vers domaine local : Aucune limitation n’existe dans ce cas.

4.4. Groupes par défaut


Les groupes par défaut possèdent des droits et des autorisations prédéfinis qui permettent de
faciliter la mise en place d’un environnement sécurisé. Ainsi un certain nombre de rôles courants
sont directement applicables en rendant membre du groupe par défaut adéquat l’utilisateur à qui
l’on souhaite donner des droits ou autorisations.
Ces groupes et les droits qui leurs sont associés sont créés automatiquement.

4.4.1. Groupes par défaut sur un serveur membre


Les groupes par défaut sur un serveur membre sont stockés dans la base de compte locale de la
machine et sont visibles via le composant enfichable Utilisateurs et groupes locaux de la
console d’administration Gestion de l’ordinateur. Ils sont créés automatiquement lors de
l’installation de Windows 2003.

Voici les rôles et les propriétés de certains d’entre eux :

Pleins pouvoirs sur le serveur. Lorsqu’un serveur


Administrateurs est ajouté au domaine, le groupe Admins. du
domaine est ajouté à ce groupe.
Un profil temporaire est créé pour l’utilisateur que
Invités
l’on place dans ce groupe.
Peut créer des comptes utilisateurs et les gérer.
Utilisateurs avec pouvoir Peut créer des groupes locaux et les gérer.
Peut créer des ressources partagées.
Peut lancer des applications, utiliser les
Utilisateurs
imprimantes.
Opérateurs d’impression Peut gérer les imprimantes et les files d’attentes

Certains groupes par défaut ne sont disponibles que lorsqu’un service précis est installé comme
les services DHCP et WINS qui installent les groupes par défaut Administrateurs DHCP,
Utilisateurs DHCP, Utilisateurs WINS.

4.4.2. Groupes par défaut dans Active Directory


Les groupes par défaut dans Active Directory sont stockés dans la base Active Directory et sont
visibles via la console d’administration Utilisateurs et ordinateurs Active Directory dans les
conteneurs Builtin et Users. Ils sont créés automatiquement lors de l’installation d’Active
Directory.

B.salim 25
Voici les rôles et les propriétés de certains d’entre eux :

Les membres de ce groupe peuvent gérer les


Opérateurs de compte
comptes utilisateurs.
Les membres de ce groupe peuvent administrer les
Opérateurs de serveur
serveurs du domaine.
Ce groupe contient tous les comptes d’ordinateurs
Contrôleurs de domaine
des contrôleurs de domaine.
Les membres de ce groupe vont bénéficier d’un
Invités du domaine
profil temporaire.
Contient tout les utilisateurs du domaine. Tous les
Utilisateurs du domaine utilisateurs créés du domaine sont membre de ce
groupe

Ordinateurs du domaine Ce groupe contient tous les ordinateurs du domaine

Administrateurs du Ce groupe contient les utilisateurs administrateurs


domaine du domaine.
Ce groupe contient les administrateurs de
Administrateurs de
l’entreprise. Permet de créer les relations
l’entreprise
d’approbations entre domaines.
Ce groupe contient les utilisateurs capables de faire
Administrateurs du schéma
des modifications sur le schéma Active Directory.

4.5. Groupes système


Les groupes systèmes sont des groupes dont les membres sont auto-gérés par le système. Ces
groupes sont particulièrement utiles dans le cas d’affectations d’autorisations.

Représente les utilisateurs qui ne ce sont pas


Anonymous Logon
authentifiés.
Tous les utilisateurs se retrouvent automatiquement
Tout le monde
dans ce groupe.

Réseau Regroupe les utilisateurs connectés via le réseau.

Utilisateurs authentifiés Regroupe les utilisateurs authentifiés.

Créateur propriétaire Représente l’utilisateur qui est propriétaire de


l’objet.

B.salim 26
Module 5. Gestion d’accès aux ressources

5.1. Contrôle d’accès


Le système de contrôle d’accès dans Windows 2003 est basé sur trois composants qui
permettent la définition du contexte de sécurité des éléments du système.

Ces trois éléments sont :


 Les entités de sécurité
 Le SID
 DACL – Discretionary Access Control List

5.1.1. Les entités de sécurité

Les entités de sécurité peuvent être un compte utilisateur, d’ordinateur ou un groupe. Ils
permettent d’affecter l’accès à un objet en le représentant dans le système informatique.

5.1.2. Le SID
Toutes les entités de sécurité sont identifiées dans le système par un numéro unique appelé SID.
Ce SID est lié à la vie de l’objet, ainsi si l’on supprime un groupe et qu’on le recrée ce même
groupe juste après (même nom, mêmes propriétés), celui-ci se verra attribuer un nouveau SID.
L’ensemble des définitions de sécurité étant basé sur ce SID, les accès donnés au groupe
supprimé ne seront pas transférés au nouveau groupe.

5.1.3. DACL - Discretionary Access Control List


Les DACL sont associées à chaque objet sur lequel on va définir un contrôle d’accès.
Les DACL sont composées d’ACE (Access Control Entry) qui définissent les accès à l’objet.
Les ACE se composent de la façon suivante :

 Le SID de l’entité à qui l’on va donner ou refuser un accès.


 Les informations sur l’accès (ex : Lecture, Ecriture, …)
 Les informations d’héritage.
 L’indicateur de type d’ACE (Autoriser ou refuser).

A chaque tentative d’accès à une ressource, cette liste sera parcourue afin de déterminer si
l’action voulue peut être réalisée.

5.2. Autorisations
5.2.1. Autorisations standard

B.salim 27
Les autorisations permettent de fixer le niveau d’accès qu’ont les entités de sécurité (pour un
compte utilisateur, groupe d’utilisateurs ou ordinateur) sur une ressource.
Les ressources utilisant ce système d’autorisations pour réguler leurs accès sont multiples
(Registre, Fichiers, Imprimantes, Active Directory, …)
5.2.2. Autorisations spéciales
Les autorisations standards sont limitées aux actions de base sur un objet (ex : Lecture, Modifier,
Contrôle Total, …). Aussi pour pouvoir granuler de façon plus précise les autorisations, vous
avez accès via le bouton « Avancé » à une liste étendue d’autorisations.

5.3. Administration des accès aux dossiers


partagés
5.3.1. Description des dossiers partagés
Le partage d’un dossier permet de rendre disponible l’ensemble de son contenu via le réseau.
Par défaut, lors de la création d’un partage, le groupe « Tout le monde » bénéficie de
l’autorisation « Lecture ».

Il est possible de cacher le partage d’un dossier en ajoutant le caractère « $ » à la fin du nom.
Pour pouvoir y accéder, il sera obligatoire de spécifier le chemin UNC complet
(\\nom_du_serveur\nom_du_partage$).

5.3.2. Partages administratifs

Windows 2003 crée automatiquement des partages administratifs. Les noms de ces partages se
terminent avec un caractère $ qui permet de cacher le partage lors de l'exploration par le réseau.

Le dossier système (Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine
de chaque volume (c$, d$, …) constituent autant de partages administratifs.
Seuls les membres du groupe « Administrateurs » peuvent accéder à ces partages en accès
Contrôle Total.

Le partage IPC$ permet l’affichage des ressources partagées (dossiers partagés, imprimantes
partagées).

5.3.3. Création de dossiers partagés


Sur des machines Windows 2003 Server en mode autonome ou serveur membre, seuls les
membres des groupes « Administrateurs » et « Utilisateurs avec pouvoirs » peuvent créer des
dossiers partagés.

Sur des machines contrôleurs de domaine Windows 2003 Server, seuls les membres des
groupes « Administrateurs » et « Opérateurs de serveurs » peuvent créer des dossiers partagés.

Pour pouvoir créer un partage vous avez trois possibilités :

 L’outil d’administration Gestion de l’ordinateur à l’aide du composant logiciel enfichable «


Dossiers partagés ».

B.salim 28
 L’explorateur par le biais du menu contextuel de tous les dossiers de l’arborescence.
 La commande NET SHARE (net share NomDossierPartagé=Unité:Chemin).

5.3.4. Publication des dossiers partagés


Grâce à Active Directory, il est possible aux utilisateurs de retrouver un partage du domaine en
faisant une recherche sur des mots clés.

Pour mettre en place cette fonctionnalité, il suffit de créer un objet « Dossier partagé » à l’aide de
la console « Utilisateurs et ordinateurs Active Directory » et de spécifier lors de sa création, le
chemin UNC permettant d’accéder physiquement à ce partage (l’objet Active Directory n’étant
qu’un raccourci vers la ressource physique).

Il est aussi possible d’automatiser cette tâche en cochant l’option « Publier ce partage dans
Active Directory » à l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant
enfichable « Dossiers Partagés » directement sur le serveur qui héberge la ressource.
Suite à la publication, rien ne vous empêche si le serveur hébergeant le partage de fichier tombe
en panne de modifier le raccourci de l’objet Active Directory pour le faire pointer vers un nouveau
serveur accueillant le partage temporairement. Les utilisateurs ne perdent donc pas la trace de
leurs ressources.

5.3.5. Autorisations sur les dossiers partagés

Chaque dossier partagé peut être protégé par une ACL qui va restreindre son accès
spécifiquement aux utilisateurs, groupes ou ordinateurs qui y accèdent via le réseau.

Il existe trois niveaux d’autorisations affectables :

 Lecture : Permet d’afficher les données et d’exécuter les logiciels.


 Modifier : Comprend toutes les propriétés de l’autorisation lecture avec la possibilité de
créer des fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus.
 Contrôle total : Comprend toutes les propriétés de l’autorisation Modifier avec la
possibilité de modifier aux travers le réseau les autorisations NTFS des fichiers et
dossiers.

Les trois niveaux d’autorisations sont disponibles en « Autoriser » ou en « Refuser » en sachant


que les autorisations de refus sont prioritaires.

Pour affecter des autorisations de partage, vous avez deux solutions :

 A l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant enfichable


« Dossiers Partagés ».
 A l’aide de l’explorateur dans les propriétés du dossier partagé.

5.3.6. Connexion à un dossier partagé


Afin qu’un client puisse accéder à un dossier partagé, plusieurs moyens sont disponibles :

 Favoris réseau : Permet de créer des raccourcis vers les partages désirés.

B.salim 29
 Lecteur réseau : Permet d’ajouter le dossier partagé directement dans le poste de travail
en lui attribuant une lettre.
 Exécuter : Permet d’accéder ponctuellement à la ressource en spécifiant simplement le
chemin UNC d’accès à la ressource.

5.4. Administration des accès aux fichiers et


dossiers NTFS
5.4.1. Présentation de NTFS
NTFS est un système de fichiers qui offre les avantages suivants :

 Fiabilité : NTFS est un système de fichiers journalisé. En cas de problème, ce journal


sera utilisé pour analyser les parties du disque qui ont posé problème (cela évite le
scandisk de l’intégralité du disque que l’on avait sous Windows 98).
 Sécurité : Le système NTFS prend en charge le cryptage de fichiers avec EFS. EFS
permet d’éviter des problèmes comme l’espionnage industriel en empêchant l’exploitation
des données même si le disque dur est volé. NTFS permet aussi l’utilisation
d’autorisations NTFS qui permettent de restreindre l’accès aux données de la partition.
 Gestion du stockage : NTFS permet la compression de données transparente pour tous
les fichiers stockés sur la partition. Il permet aussi l’implémentation de la gestion de
quotas pour restreindre de façon logique l’espace dont peut bénéficier un utilisateur sur
une partition.

L’utilisation de systèmes de fichiers comme FAT et FAT32 est recommandée uniquement pour
faire du dual boot entre des systèmes Windows 2003 et d’autres systèmes d’exploitation tels que
DOS 6.22, Win 3.1 ou Win 95/98.

Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS.
Les partitions NTFS ne peuvent pas être converties vers FAT ou FAT32, la partition doit alors
être effacée et recréée en tant que FAT ou FAT32.

5.4.2. Autorisations sur les fichiers et dossiers NTFS

Les autorisations NTFS permettent de définir les actions que vont pouvoir effectuer les
utilisateurs, groupes ou ordinateurs sur les fichiers.

5.4.2.1. Autorisations sur les fichiers

 Contrôle total : Dispose de toutes les autorisations de Modification avec la prise de


possession et la possibilité de modifier les autorisations du fichier.
 Modification : Permet de modifier, supprimer, lire et écrire les fichiers.
 Lecture et exécutions : Permet de lire les fichiers et d’exécuter les applications.
 Ecriture : Permet d’écraser le fichier, de changer ses attributs et d’afficher le
propriétaire.
 Lecture : Permet de lire le fichier, d’afficher ses attributs, son propriétaire et ses
autorisations.

5.4.2.2. Autorisations sur les dossiers

B.salim 30
 Contrôle total : Dispose de toutes les autorisations de « Modification » avec la prise de
possession et la possibilité de modifier les autorisations du dossier.
 Modification : Dispose de toutes les autorisations de « Ecriture » avec la possibilité de
supprimer le dossier.
 Lecture et exécutions : Permet d’afficher le contenu du dossier et d’exécuter les
applications.
 Ecriture : Permet de créer des fichiers et sous-dossiers, de modifier ses attributs et
d’afficher le propriétaire.
 Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propriétaire et
autorisations du dossier.
 Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.

5.4.3. Impact de la copie et du déplacement sur les autorisations


NTFS
Toutes les opérations de copie héritent des autorisations du dossier cible. Seul le déplacement
vers la même partition permet le maintien des autorisations.
Les fichiers déplacés depuis une partition NTFS vers une partition FAT perdent leurs attributs et
leurs descripteurs de sécurité.
Les attributs de fichiers pendant la copie/déplacement d’un fichier à l’intérieur d’une partition ou
entre deux partitions sont gérés ainsi:

 Copier à l’intérieur d’une partition : Crée un nouveau fichier identique au fichier original. Il
hérite des permissions du répertoire de destination.
 Déplacer à l’intérieur d’une partition : Ne crée pas un nouveau fichier. Il y a seulement
une mise à jour des pointeurs du dossier. Garde les permissions appliquées à l’origine au
fichier.
 Déplacer vers une autre partition : Crée un nouveau fichier identique à l’original et détruit
le fichier original. Le nouveau fichier hérite des permissions du répertoire de destination.

5.4.4. Présentation de l’héritage NTFS

Sur le système de fichiers NTFS de Windows 2003, les autorisations que vous accordez à un
dossier parent sont héritées et propagées à tous les sous-dossiers, et les fichiers qu’il contient.

Tous les nouveaux fichiers et dossiers créés dans ce dossier hériteront aussi de ces permissions.

Par défaut, toutes les autorisations NTFS d’un dossier créé seront héritées par les dossiers et
fichiers qu’il contiendra.

Il est possible de bloquer cet héritage (pour des raisons de sécurité) afin que les permissions ne
soient pas propagées aux dossiers et aux fichiers contenus dans le dossier parent.

Pour bloquer l’héritage des permissions, afficher les propriétés du dossier, allez dans l’onglet
Sécurité, puis cliquez sur le bouton « Paramètres avancés » désactiver la case à cocher «
Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants.
Cela inclut les objets dont les entrées sont spécifiquement définies ici.».

B.salim 31
Dans la nouvelle fenêtre, cliquez sur Copier si vous souhaitez garder les autorisations
précédemment héritées sur cet objet, ou alors cliquez sur Supprimer afin de supprimer les
autorisations héritées et ne conserver que les autorisations explicitement spécifiées.

5.4.5. Identification des autorisations effectives


Lorsque vous accordez des autorisations à un utilisateur, à un groupe ou à un utilisateur, il est
parfois difficile de s’y retrouver avec par exemple les groupes auxquels un utilisateur peut
appartenir et les autorisations héritées.

Lorsque l’on définit des autorisations, il est possible qu’un même utilisateur obtienne plusieurs
autorisations différentes car il est membre de différents groupes.
Dans ce cas, les autorisations se cumulent et il en résulte l’autorisations la plus forte (ex : lecture
+ contrôle total → contrôle total).

Lorsqu’un utilisateur ne se trouve pas dans la DACL de l’objet, il n’a aucune autorisation dessus.
C’est une autorisation « Refuser » implicite.

Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.

Les autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans TOUS les
cas (ex : contrôle total + refuser lecture → La lecture sera bien refusée).

Le propriétaire à la possibilité d’affecter les autorisations qu’il désire sur tous les fichiers dont il
est le propriétaire même si il n’a pas d’autorisations contrôle total dessus.

Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout d’abord se
l’approprier.

Il est possible de vérifier les permissions effectives d’un utilisateur à l’aide de l’onglet
Autorisations effectives de la fenêtre de paramètres de sécurité avancé.

B.salim 32
5.4.6. Cumul des autorisations NTFS et des autorisations de
partage
Lorsqu’ un utilisateur est sujet aussi bien aux autorisations NTFS qu’aux autorisations de
partage, ses permissions effectives s’obtiennent en combinant le niveau maximum d’autorisations
indépendamment pour les autorisations NTFS et pour les autorisations de partage (ex : Lecture
pour les autorisations de partage et modification pour les autorisations NTFS).
Une fois les deux autorisations définies, il suffit de prendre la plus restrictive des deux.

Exemple :
Partage – lecture + NTFS – contrôle total → lecture
et inversement
Partage – contrôle total + NTFS – lecture → lecture

5.5. Mise en place des fichiers hors connexion


5.5.1. Présentation des fichiers hors connexion
Les fichiers Hors Connexion remplacent le Porte-Documents et fonctionnent de manière similaire
à l’option « Visualiser Hors-Connexion » d’Internet Explorer. Ainsi il est possible pour les
utilisateurs itinérants de continuer à accéder à leurs ressources réseau alors qu’ils sont
déconnectés de celui-ci.

Pour activer la fonction de mise hors-connexion côté serveur, il suffit de partager un dossier et
d’activer son cache afin de le rendre disponible hors connexion. Trois modes de mise en cache
sont alors disponibles :

 Cache manuel pour les documents : réglage par défaut. Les utilisateurs doivent
spécifier quels documents ils souhaitent rendre disponibles hors connexion.
 Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur
sont mis en cache sur son disque dur pour une utilisation hors connexion – les versions
anciennes du document sur le disque sont automatiquement remplacées par des
versions plus récentes du partage quand elles existent.
 Cache automatique pour les programmes : cette mise en cache est unidirectionnelle
et ne concerne que les fichiers dont les modifications des utilisateurs doivent être
ignorées (ex : tarifs, applications, …). Elle permet notamment un gain de performance
car les fichiers sont alors consultés en local et non pas sur le réseau. Elle est activée via
l’option « Optimisé pour les performances ».

La mise en cache peut être aussi activée par la commande NET SHARE et le
commutateur /cache.

L’utilitaire de Synchronisation, vous permet de spécifier les fichiers qui seront synchronisés, le
type de connexion employée pour cette synchronisation (pour empêcher par exemple une
synchronisation lorsque l’on est connecté au réseau à distance via un modem) et le moment où
cette synchronisation est effectuée (lors d’une connexion, d’une déconnexion, lorsque l’ordinateur
est en veille,…).
Lorsque vous synchronisez, si vous avez édité un fichier hors connexion et qu’un autre utilisateur
a fait de même, alors, il vous sera demandé si vous souhaitez :
Garder et renommer votre exemplaire

B.salim 33
Écraser votre exemplaire avec la version disponible sur le réseau
Écraser la version disponible sur le réseau et perdre les modifications de l’autre utilisateur

Module 6. Implémentation de l’impression

6.1. Présentation de l’impression dans la famille


Windows Server 2003
6.1.1. Terminologie de l’impression
 Pilote d’impression : Logiciel permettant d’implémenter sur l’ordinateur le langage de
communication de l’imprimante.
 Tâche d’impression : Tout document qui est envoyé pour être imprimé.
 Serveur d’impression : Ordinateur centralisant les tâches d’impression et gérant la file
d’attente d’impression. Il contient le pilote d’imprimante propre à chacun des
périphériques d’impression connectés. Ce pilote est disponible dans la version de chacun
des clients qui vont utiliser le serveur pour demander des travaux d’impression (Windows
95, 98, NT, 2000, 2003, …).
 Imprimante : C’est l’interface logicielle qu’il y a entre le périphérique d’impression et
Windows. Concrètement, le file d’attente du périphérique d’impression (à ne pas
confondre avec votre Epson ou votre Canon).
 Spouleur d’impression : Le spouleur d’impression est chargé de recevoir, stocker et
d’envoyer vers le bon périphérique d’impression, les tâches d’impression.
 File d’attente d’impression : C’est l’ensemble des tâches d’impression dans leurs ordre
d’arrivée.
 Port Imprimante : Interface logique de communication avec le périphérique d’impression.
 Périphérique d’impression : C’est le périphérique physique réalisant les tâches
d’impression (c’est votre Epson, votre Canon, …).

6.1.2. Types de clients d’impression supportés par Windows


2003
6.1.2.1. Clients Microsoft

Les clients 32 bits & 64 bits Microsoft (à partir de Windows 95), sont capables de télécharger les
pilotes d’impressions directement à partir du serveur d’impression. Ceci se fait à l’aide du partage
administratif print$.
Pour les clients 16 bits Microsoft (famille MS-DOS), l’installation des pilotes est manuelle sur
chaque poste client en ayant pris soin de télécharger les bonnes versions de pilotes.

B.salim 34
6.1.2.2. Clients NetWare

Pour supporter les clients NetWare, il est obligatoire d’avoir installé les services de fichiers et
d’impression pour NetWare. Le protocole IPX/SPX peut lui aussi être nécessaire sur les clients et
le serveur si les clients n’implémentent pas TCP/IP (protocole réseau utilisé par Microsoft).

6.1.2.3. Clients Macintosh

Les clients Macintosh nécessitent l’installation des services d’impression Microsoft pour
Macintosh. Le protocole Appletalk est lui aussi nécessaire pour la communication avec les clients
Macintosh.

6.1.2.4. Clients UNIX

Les clients UNIX nécessitent l’installation des services d’impression Microsoft pour UNIX. Les
clients se connectent au serveur LPD en suivant les spécifications LPR.

6.1.2.5. Clients IPP (Internet Printing Protocol)

Le support des clients IPP est assuré sous Windows 2003 à la suite de l’installation de IIS
(Internet Information Services) ou de PWS (Personal Web Server).

6.1.3. Fonctionnement de l’impression


Il existe deux méthodes dans un environnement Windows 2003 d’imprimer :

6.1.3.1. Impression sans serveur d’impression

Dans ce cas, les différents clients se connectent directement à l’imprimante réseau (cette
imprimante doit être équipée d’une carte réseau intégrée).

Inconvénients de cette méthode:

 Chacun des clients hébergent sa propre file d’attente, impossible de connaître sa position
par rapport aux autres clients.
 Les messages d’erreur sont retournés uniquement vers le client dont la tâche
d’impression est en cours.
 Le spouling est réalisé sur le client et non pas sur le serveur ce qui engendre une charge
de travail supplémentaire sur le client.

6.1.3.2. Impression avec serveur d’impression

Dans ce cas, les différents clients se connectent via un serveur d’impression qui peut être lui-
même connecté à une imprimante réseau ou directement relié au périphérique d’impression.

Avantages de cette méthode:

 Le serveur gère la distribution des pilotes aux clients.


 La file d’attente est unique pour tous les clients qui peuvent donc voir de façon effective
leur position dans la file d’attente.

B.salim 35
 Les messages d’erreur sont retournés sur tous les clients dont la tâche d’impression est
en cours.
 Certains traitements sont transmis et réaliser directement par le serveur d’impression.

6.2. Installation et partage d’imprimantes


6.2.1. Imprimantes locales et imprimantes réseau
Une imprimante locale est une imprimante qui va être directement reliée au serveur d’impression
par un câble de type USB, parallèle (LPT) ou Infrarouge (IR).
Une imprimante réseau est une imprimante qui va être reliée au serveur d’impression via
l’infrastructure réseau et la mise en place d’un protocole réseau comme TCP/IP, IPX/SPX ou
AppleTalk.
6.2.2. Installation et partage d’une imprimante
Vous devez avoir les privilèges d’Administrateur afin d’ajouter une imprimante à votre serveur.
L’assistant d’Ajout d’imprimante vous guide pendant tout le processus qui vous permettra de
définir quel périphérique d’impression est disponible, sur quel port physique le périphérique
d’impression est branché, quel pilote utiliser, ainsi que le nom du périphérique d’impression sous
lequel il sera connu sur le réseau.

Dans le cas d’une imprimante réseau, il est nécessaire de créer un port TCP/IP avec l’adresse IP
de l’imprimante réseau.

Le partage d’une imprimante se fait dans les mêmes conditions que l’ajout d’une imprimante,
c'est-à-dire qu’il faut être Administrateur. Un clic droit sur l’imprimante, puis Propriétés, là il faut
choisir l’onglet Partage. Choisir le nom de partage de l’imprimante sur le réseau, et ensuite
ajouter tous les pilotes nécessaires aux clients qui vont utiliser cette imprimante (en cliquant sur
‘Pilotes supplémentaires’).

Le partage d’une imprimante sur un serveur membre publie l’imprimante


automatiquement dans Active Directory. Pour annuler cette publication, décocher l’option
« Lister dans l’annuaire ».

6.3. Autorisations d’imprimantes partagées


Il existe trois niveaux d’autorisations pour définir les accès d’une imprimante partagée :
 Impression : L’utilisateur peut imprimer des documents.
 Gestion des documents : L’utilisateur peut imprimer et il peux gérer complètement la file
d’attente de l’impression.
 Gestion d’imprimantes : Permet de modifier les autorisations de l’imprimantes, de gérer
la file d’attente et d’imprimer.

Le principe de gestion de cette ACL est identique à la gestion des ACL du système de fichiers
NTFS.

6.4. Gestion des pilotes d’imprimantes

B.salim 36
Windows 2003 Server offre le téléchargement automatique des pilotes pour les clients qui
tournent sous Windows 2003, Windows XP, Windows 2000, Windows NT 4, Windows NT 3.51 et
Windows 95/98.
La plate-forme Itanium est même supportée avec Windows XP et Windows 2003.
Cela est transmis au client via le partage administratif admin$ sur le serveur d’impression.

B.salim 37
Module 7. Administration de l’impression

7.1. Changement de l’emplacement du spouleur


d’impression
Le spouleur d’impression est un exécutable prenant en charge la gestion de l’impression.

Il effectue notamment les taches suivantes :

 Gestion de l’emplacement des pilotes imprimantes.


 Récupération des documents, stockage et envoi à l’imprimante.
 Planification du travail d’impression.

Par défaut, le spouleur d’impression se trouve dans le répertoire système à l’emplacement


%SystemRoot%\System32\Spool\Printers.
Il peut être nécessaire de changer son emplacement pour des questions de performances ou
d’espace disque.
En effet, l’accès aux fichiers système et au répertoire du spouleur simultanément réduit les
performances du serveur car la tête de lecture du disque va faire des allers-retours incessants.
De plus, des problèmes de fragmentation de fichiers pourraient apparaître sur le disque au vu
des écritures multiples.
Le déplacement du fichier du spouleur est aussi utile dans le simple cas de la saturation du
disque dur qui le contient.
Il est aussi intéressant de pourvoir définir des quotas (en terme de taille de fichier et non en
terme de nombre d’impressions) en utilisant la fonctionnalités de quotas du système de fichiers
NTFS. Pour cela il est indispensable d’isoler les fichiers du spouleur sur un volume dédié.

Pour finir, une simple implémentation d’un système de disques durs à tolérance de pannes incite
à déplacer les fichiers du spouleur.

En prenant en compte l’ensemble de ces considérations, il est conseillé de déplacer les fichiers
du spouleur sur un disque dédié possédant son propre contrôleur de disques.
Une fois la décision prise, il suffit d’aller dans le panneau de configuration « Imprimantes et
télécopieurs », puis dans le menu fichier et de cliquer sur « Propriétés de Serveur d’impression ».
Ensuite dans « Avancé », de modifier le champ « Dossier du spouleur ».
Une fois la modification effectuée, il vous suffit de redémarrer le spouleur (NET STOP SPOOLER
et NET START SPOOLER).

Il est recommandé que les travaux d’impression en cours soient finis avant de déplacer
les fichiers du spouleur.

7.2. Définition des priorités d’imprimantes

B.salim 38
Les priorités d’impression sont fixées en créant plusieurs imprimantes logiques qui pointent vers
le même périphérique d’impression et en leur assignant individuellement des priorités.
L’échelle des priorités va de 1 (la plus faible, par défaut) à 99, la plus forte. Il faut ensuite limiter
via l’onglet sécurité l’utilisation de chacune des imprimantes aux bons utilisateurs.
Pour mettre en place les priorités d’une imprimante, il suffit de se rendre dans l’onglet Avancé,
puis de remplir la zone ‘Priorité’ avec la valeur voulue.

Les priorités ne sont prises en compte qu’au niveau de la file d’attente, donc si un long
travail d’impression est en cours, même l’arrivée d’un travail prioritaire n’arrêtera pas le
travail en cours.

7.3. Planification de la disponibilité des


imprimantes
Afin de pouvoir relayer un certain nombre d’impressions à des plages horaires précises (des gros
travaux d’impression que l’on souhaite réaliser la nuit), il est possible de spécifier dans les
propriétés de l’imprimante une plage horaire de disponibilité qui permettra à tous les documents
envoyés à cette imprimante (et ce, quelque soit le moment de la journée) de pouvoir être réalisés
uniquement pendant la plage horaire de disponibilité de l’imprimante.

Il est conseillé lors de la mise en place de la planification de la disponibilité de l’imprimante de


créer deux imprimantes pointant vers le même périphérique d’impression et de restreindre l’accès
de cette imprimante à l’aide de l’onglet sécurité.

7.4. Configuration d’un pool d’impression


Si vous avez de grosses charges d’impression, vous pouvez utiliser un ou plusieurs
périphériques d’impression identiques pour ne faire qu’une imprimante logique. C’est le Print
Pooling (Pool d’impression). Le pool d’impression ne comporte pas nécessairement que des
périphériques d’impression locaux, il peut aussi comporter des périphériques d’impression munis
de carte (interface) réseau.
Quand un travail d’impression sera réceptionné par le serveur, alors, il sera envoyé au premier
périphérique d’impression qui sera disponible.
Pour créer un pool d’impression, il faut se rendre dans l’onglet « Port », puis cliquer sur la case «
Activer le pool d’imprimante » et il ne reste plus qu’à choisir sur quels ports sont connectés les
périphériques d’impression.

B.salim 39
Module 8. Implémentation des modèles
d’administration et des stratégies d’audit

8.1. Vue d’ensemble de la sécurité dans Windows


2003
Un droit sous Windows 2003 est la possibilité d’agir sur la configuration du système. Ainsi pour
qu’un utilisateur modifie l’heure, ouvre une session, ou éteigne l’ordinateur, il est nécessaire qu’il
ait le droit associé.
La différence avec une autorisation est que l’autorisation constitue la possibilité d’accéder ou
d’utiliser une ressource (ex : fichier, dossier, imprimante, …).
Par défaut, un certain nombre de droits sont associés à des groupes prédéfinis (ex : les membres
du groupe « Opérateurs de sauvegarde » peuvent sauvegarder et restaurer des fichiers et des
répertoires.).

8.2. Utilisation de modèles de sécurité pour


protéger les ordinateurs
8.2.1. Présentation des stratégies de sécurité

Une stratégie de sécurité est un ensemble de paramètres de sécurité permettant de définir le


contexte de sécurité d’un ordinateur.
Les stratégies de sécurité vont permettre de définir ces paramètres sur l’ordinateur local ou à
partir d’Active Directory. L’avantage de l’implémentation dans Active Directory est la possibilité
d’appliquer ces paramètres sur un nombre définit de machine via une GPO.

8.2.2. Description des modèles de sécurité


Vu la multitude de paramètres qui sont personnalisables dans une stratégie de sécurité, il fournit
directement avec Windows 2003 un certain nombre de modèles correspondant chacun à un
contexte de sécurité précis.

B.salim 40
Modèle Fichier Description

Sécurité setup security.inf Configure la machine avec un niveau de sécurité


par défaut dc security.inf basique

Offre un contexte de sécurité très proche de celui


Compatible compatws.inf de Windows NT 4 ce qui permet d’assurer une
compatibilité accrue pour les applications
conçues pour l’ancien système.

Il améliore les variables de sécurité pour les


Stratégies de Compte et d’Audit. Enlève tous les
securews.inf membres du groupe Utilisateur avec Pouvoir. Les
Sécurisé
securedc.inf ACL ne sont pas modifiées. Il ne peut garantir le
bon fonctionnement de toutes les applications (et
leurs fonctionnalités).

Modèle le plus sûr mis à disposition des


machines qui utilisent Windows 2000 en mode
natif seulement. Il demande à ce que toutes les
connexions réseau soient signées et cryptées de
manière digitale (implémentation de IPSec). Il ne
Hautement hisecws.inf permet pas la communication avec des machines
sécurisé hisecdc.inf employant des modèles plus anciens de clients
Windows. Il ne se soucie pas du bon
fonctionnement des applications.

Sécurité Spécifie les autorisations pour la racine du disque


racine Rootsec.inf système.
système

8.2.3. Description des paramètres de modèles de stratégies


Stratégies de comptes Configurent des stratégies pour les mots de passe et les
comptes.
Stratégies locales Configurent l'audit, les droits d'utilisateur et les options
de sécurité.

B.salim 41
Journal des Configure les paramètres des journaux des applications,
événements des journaux système et des journaux de sécurité
Configurent l'adhésion aux groupes prédéfinis comme «
Groupes restreints Administrateurs », « Utilisateurs avec pouvoir », Admins
du domaine, …
Configurent les paramètres de sécurité et de démarrage
Services système
des services exécutés sur un ordinateur
Registre Configure la sécurité d’accès (DACL) au niveau des clés
du registre.
Configure la sécurité d’accès (DACL) au niveau des
Système de fichiers
chemins d'accès de fichiers spécifiques
Configurent les agents de récupération de données
Stratégies de clé
cryptées, les racines de domaines, les autorités de
publique
certification approuvées, etc.

8.2.4. Outils de création et d’importation des modèles de


sécurité personnalisés

Dans le cas ou les modèles ne correspondent pas à vos besoins, il est possible de personnaliser
l’un des modèles existants ou d’en créer un nouveau.

Pour cela il suffit d’utiliser les deux composants logiciels enfichables :

 Modèles de sécurité : Permet de visualiser et de gérer les modèles existant sur le


système (par défaut dans le répertoire %systemroot%\security\templates).
 Configuration et analyse de la sécurité : Permet de tester et d’appliquer à la machine
en cours les modèles de stratégies que l’on a créés.

Une fois votre modèle créé et testé, vous pouvez l’importer dans Active Directory pour le
déployer via une GPO. Pour cela, il vous suffit dans votre GPO de développer le conteneur
Configuration de l’ordinateur, puis Paramètres Windows et enfin faire un clic droit sur
Paramètres de sécurité pour sélectionner Importer une stratégie.

8.3. Configuration de l’audit


8.3.1. Présentation de l’audit
L’audit permet la création d’un journal recensant l’ensemble des actions effectuées sur un objet
ou un élément de configuration par une population précise.
Cela peut permettre par exemple de surveiller l’accès à certains fichiers ou la modification des
paramètres de configuration des comptes utilisateur par des administrateurs subalternes.

8.3.2. Description d’une stratégie d’audit


Une stratégie d’audit détermine les types d’actions que Windows 2003 va enregistrer dans le
journal sécurité.

Pour implémenter une stratégie d’audit, plusieurs méthodes sont mises à votre disposition :

B.salim 42
 Utiliser un modèle de stratégie de sécurité au niveau de l’ordinateur ou au niveau d’une
GPO. En effet, les stratégies de sécurité contiennent des stratégies d’audit pré
configurées.
 Configurer la stratégie d’audit directement dans le composant logiciel enfichable
Stratégie de sécurité local de votre ordinateur.
 Configurer la stratégie d’audit dans une GPO pour l’appliquer à un ensemble
d’ordinateurs.

La stratégie de sécurité va vous permettre de vérifier la réussite ou l’échec des évènements


suivants :

Connexions aux Un évènement est enregistré à chaque authentification


comptes d’un compte sur la machine qui authentifie l’utilisateur.
Un évènement est créé à chaque création, modification
Gestion des comptes ou suppression d’un compte ou d’une propriété d’un
utilisateur ou d’un groupe.
Accès au service Un évènement est enregistré à chaque accès à un
d’annuaire objet Active Directory. Pour cela vous devez spécifier
les objets dans les propriétés d’AD.
Un évènement est enregistré à chaque ouverture de
Ouverture de session session réseau ou local sur l’ordinateur qui accepte la
connexion.

Un évènement est enregistré à chaque accès à un


Accès aux objets fichier, dossier NTFS ou imprimante. Pour cela vous
devez spécifier les objets dans les propriétés NTFS ou
de l’imprimante.

Modification de Un évènement est enregistré à chaque modification


stratégie des options de stratégies de sécurité.

Utilisation de privilèges Un évènement est enregistré à chaque utilisation d’un


droit.
Un évènement est enregistré lorsqu’une application
Suivi des processus exécute une action.
Un évènement est enregistré lorsqu’un utilisateur
Système
redémarre ou arrête Windows Server 2003.

Lorsque vous mettez en place un audit sur des fichiers, dossiers, imprimantes ou objets
Active Directory, assurez vous d’avoir activer les audits correspondant au niveau de la
stratégie de sécurité de la machine.

8.4. Gestion des journaux de sécurité


Les journaux de sécurité sont visibles dans l’Observateur d’évènements, ils permettent de
visualiser toutes les informations concernant votre système.
Vous pouvez trouver les trois journaux principaux suivants sur tous les serveurs :

Contient les évènements générés par des applications


Application installées sur l’ordinateur (ex : SQL Serveur,
Exchange, …).

B.salim 43
Contient les évènements générés par le système
Sécurité
d’audit.
Contient les évènements générés par les services et
Système
les applications intégrés à Windows 2003.

Les deux journaux suivants ne sont présents que sur les contrôleurs de domaine :

Service d’annuaire Contient les évènements générés par le service


d’annuaire Active Directory.
Service de réplication Contient les évènements générés par le service de
de fichiers réplication de fichiers.

Pour chaque journal, vous pouvez spécifier la taille de celui-ci et le type de remplacement des
données d’un fichier journal :

Remplacer les Chaque nouvel enregistrement remplace


événements si l’enregistrement le plus ancien dans le journal.
nécessaire
Remplacer les Les enregistrements sont conservés dans le journal
événements datant de pendant la durée spécifiée avant d’être écrasés. Par
plus de [x] jours défaut, cette durée est de sept jours.
Ne pas remplacer les Les nouveaux enregistrements ne sont pas enregistrés
événements et le journal doit être nettoyé à la main.

Vous avez la possibilité de sauvegarder le contenu de vos journaux dans les formats suivants :

 Fichiers journaux d’événements (.evt) (par défaut)


 Fichiers délimités par des virgules (.csv)
 Fichiers texte (.txt)

Par défaut seul l’administrateur ou les membres du groupe Administrateurs peuvent agir
sur le contenu des journaux.

B.salim 44
Module 9. Gestion de la récupération en cas
d'urgence

9.1. Sauvegarde des données


9.1.1. Vue d'ensemble de la sauvegarde des données
La sauvegarde est un processus simple qui consiste à dupliquer des informations d’un
emplacement à un autre. Ceci permet de faire face aux situations d’urgences où les données ont
été perdues. On peut alors utiliser une sauvegarde afin de restituer un environnement de travail
pour reprendre la production de l’entreprise.
Reste à savoir quelles sont les informations à sauvegarder, sur quelle fréquence se feront les
sauvegardes, et quel type de sauvegarde seront effectué.

9.1.2. Qui peut sauvegarder les données ?


Par défaut, seuls les membres des groupes suivant peuvent effectuer une sauvegarde :

 Administrateur
 Opérateurs de sauvegardes
 Opérateurs de serveurs

Sinon l’utilisateur doit soit être propriétaire du fichier qu’il souhaite sauvegarder, ou soit au moins
avoir l’autorisation NTFS lecture sur le fichier en question.

9.1.3. Qu'est-ce que les données sur l'état du système ?


Dans le processus de sauvegarde, l’utilisateur a la possibilité (si il possède les autorisations
requises) d’effectuer une sauvegarde de l’état du système. Il s’agit d’une sauvegarde de toutes
les informations requises par le système d’exploitation pour son bon fonctionnement. Voila la liste
des composants de l’état du système :

 Registre
 Fichiers de démarrage, inscriptions de classe Com+, y compris les fichiers système
 Base de données Services de certificats
 Service d'annuaire Active Directory
 Répertoire SYSVOL
 Information de service de cluster
 Métarépertoire IIS

B.salim 45
 Fichiers système sous protection de fichiers Windows

9.1.4. Types de sauvegardes


L’utilisateur a la possibilité d’effectuer plusieurs types de sauvegardes en fonctions de la stratégie
adoptée.

Désactivation
Type de sauvegarde Description de l'attribut
archive
Sauvegarde les fichiers et dossiers
Normal / Complète Oui
sélectionnés.
Sauvegarde les fichiers et dossiers
Copie Non
sélectionnés
Sauvegarde les fichiers et dossiers
sélectionnés qui ont été modifiés
Incrémentiel Oui
depuis la sauvegarde normale ou
incrémentielle
Sauvegarde les fichiers et dossiers
Différentiel sélectionnés qui ont été modifiés Non
depuis la dernière sauvegarde
Sauvegarde les fichiers et dossiers
Journalière sélectionnés qui ont été modifiés au Non
cours de la journée

Le logiciel de sauvegarde considère qu’un fichier a été sauvegardé si son attribut prêt à
être archivé est désactivé.

9.1.5. Qu'est-ce que ntbackup ?

L’utilitaire de sauvegarde est aussi disponible en ligne de commande avec la syntaxe suivante :

ntbackup backup [systemstate] "nom de fichier bks" /J {"nom tâche"} [/P {"nom pool"}] [/G
{"nom GUID"}] [/T { "nom bande"}] [/N {"nom média"}] [/F {"nom fichier"}] [/D {"description jeu"}]
[/DS {"nom serveur"}] [/IS {"nom serveur"}] [/A] [/V:{yes|no}] [/R:{yes|no}] [/L:{f|s|n}] [/M {type
sauvegarde}] [/RS:{yes|no}] [/HC:{on|off}]

Cela permet de créer des scripts de sauvegarde, par contre il existe des limites à ce mode
d’exécution :

B.salim 46
 Avec l’outil en ligne de commande il n’est pas possible de sauvegarder des fichiers. On
ne peut sauvegarder que des dossiers complets. Vous pouvez par contre pointer sur une
sélection de sauvegarde (.bks) qui contient cette liste de fichier.
 La commande ne supporte pas les caractères joker comme * ou ? ce qui signifie que
*.jpg n’enregistrera pas les fichiers .jpg dans la sauvegarde.

9.1.6. Qu'est-ce qu'un jeu de récupération automatique du


système ?
L’utilitaire de sauvegarde propose l’utilisation de la Récupération du système automatique
(ASR).
Cet outil permet d’effectuer une sauvegarde complète du système (sans les données
personnels), sur disquette.
Ceci permettrait de restaurer le système si ce dernier de démarrer plus tel qu’il l’était au moment
de la sauvegarde.
Bien que cet outil sois spécialisé dans la sauvegarde de l’état du système, il dispose d’une
option, Toute les informations sur cet ordinateur, qui permet de sauvegarder non seulement
l’état du système, mais également toutes les données stockées sur l’ordinateur.

9.2. Planification des opérations de sauvegarde


9.2.1. Qu'est-ce qu'une opération de sauvegarde planifiée ?
Il s’agit d’une opération de sauvegarde qui se déclanchera à une date et heure précise.
Ceci permet d’éviter d’oublier une sauvegarde qui devrait être effectuée périodiquement, ou
d’être physiquement présent pour lancer une sauvegarde en dehors des horaires de travail.

Plusieurs options de planification de sauvegarde sont disponibles :

Une fois Une seule fois à une date et une heure spécifiques
Tous les jours À l'heure spécifiée chaque jour

Toutes les semaines À l'heure spécifiée chacun des jours spécifiés de la


semaine

Tous les mois À l'heure spécifiée une fois par mois


Au démarrage du
Au prochain démarrage du système
système
À la prochaine ouverture de session par le propriétaire
A l’ouverture de session
de l'opération de sauvegarde
Si inactif Quand le système est resté inactif pendant un nombre
de minutes donné

B.salim 47
9.2.2. Comment planifier une opération de sauvegarde ?
Vous pouvez planifier des sauvegardes régulières à l'aide de l'Assistant Sauvegarde ou
Restauration pour que vos données archivées soient toujours à jour.
Vous devez avoir ouvert une session en tant qu'administrateur ou opérateur de sauvegarde pour
planifier une opération de sauvegarde.

9.3. Restauration des données


9.3.1. Qu'est-ce que la restauration des données ?

La restauration des données est le processus de restitution des informations provenant d’une
sauvegarde.
On a souvent recours aux restaurations en cas d’urgence (sinistre).

9.4. Configuration des clichés instantanés


9.4.1. Qu'est-ce que les clichés instantanés ?

B.salim 48
Un cliché instantané (shadow copy) est un système de récupération de donnée(s) partagée(s).
Ainsi, à la suite d’une mauvaise manipulation d’un fichier présent sur un volume sur lequel on a
activé les clichés instantanés, il va être possible d’accéder (en lecture seule) à une version
précédente du document.

Les clichés instantanés sont désactivés par défaut.


9.4.2. Comment configurer des clichés instantanés sur le
serveur ?
Il y a deux façons de d’activer les clichés instantanés sur un volume. Soit en utilisant la console
gestion de l’ordinateur, soit en affichant les propriétés du volume et en sélectionnant l’onglet
Clichés instantanés.
Ensuite, il s’agit d’activer, ou désactiver la gestion de clichés instantanés.
Il est possible également de définir la quantité d’espace maximale exploitable pour la sauvegarde
des clichés instantanés. Par défaut cette taille est fixée à 100 Mo.

B.salim 49
9.4.3. Logiciel client pour les versions précédentes des clichés
instantanés
Pour que les clients puissent accéder à une version précédente d’une ressource partagée, ils
doivent au préalable installer le logiciel Client pour version précédente.

Ce logiciel est disponible sur le serveur Windows 2003 dans le dossier suivant :
%systemroot%\WINDOWS\system32\clients\twclient\x86\twcli32.msi
Ensuite pour pouvoir obtenir un listing des différentes versions d’une ressource partagée, il suffit
d’afficher les propriétés du fichier, et d’aller dans l’onglet Versions précédentes.

B.salim 50
9.5. Récupération suite à une défaillance du
serveur
9.5.1. Contrôle des paramètres système au cours du processus
d’amorçage
Windows 2003 Server fournit deux types de configuration pour démarrer un ordinateur : la
configuration par défaut, et la dernière bonne configuration connue.

Les informations relatives à ces deux configurations sont stockées dans la base de Registre dans
HKEY_LOCAL_MACHINE\SYTEM\CurrentControlSet et
HKEY_LOCAL_MACHINE\SYTEM\LastKnowGood.

Lors de l’ouverture de session réussie, la configuration en cours de Windows est


systématiquement sauvegardée en tant que dernière bonne configuration connue.
Ces options de démarrage sont accessibles en tapant sur la touche F8 au démarrage de
l’ordinateur au menu de sélection du système d’exploitation.

Voici un tableau indiquant les cas où il faut ou non utiliser la dernière bonne configuration connue
:

Dernière
bonne
Cas
configuration
connue
Après installation d’un nouveau pilote, Windows 2003 Server ne
Oui
répond plus.
Désactivation accidentelle d’un pilote de périphérique essentiel. Oui
Problème non lié à des changements de configuration de
Non
Windows 2003 Server.
Après une ouverture de session Non
Pannes matérielles, fichiers manquants ou endommagés. Non

9.5.2. Modification du comportement au démarrage à l’aide du


fichier Boot.ini
Le fichier Boot.ini se compose de deux sections :

 [boot loader] qui contient le timeout et l’emplacement de l’OS à lancer par défaut.
 [operating systems] qui contient l’emplacement de l’ensemble des OS installés sur
l’ordinateur.

B.salim 51
Les emplacements des OS sont indiqués grâce à des chemins ARC (Advanced RISC
Computing). Cette notation permet d’indiquer la ou les partitions sur lesquelles le(s) système(s)
résident.

Le tableau suivant contient une description de chaque élément du chemin de nom.

Convention Description
Spécifie un contrôleur SCSI sur lequel le BIOS SCSI n'est pas actif. La
scsi(x) variable x représente un chiffre qui indique l'ordre de chargement du
contrôleur. La numérotation du contrôleur commence à 0.

Spécifie n'importe quel contrôleur qui n'utilise pas la convention


multi(x) SCSI(x), en l’occurrence, les contrôleurs IDE et les contrôleurs SCSI
avec BIOS actif. La variable x représente un chiffre qui indique l'ordre
de chargement du contrôleur. La numérotation du contrôleur
commence à 0.

L'identificateur SCSI du disque lorsque le BIOS du contrôleur SCSI


disk(y)
n’est pas actif. La numérotation commence à 0.
Le numéro qui identifie le disque sur lequel le système d'exploitation
rdisk(z) réside lorsque multi identifie le contrôleur. La numérotation commence
à 0.
Spécifie la partition sur laquelle le système d'exploitation réside. La
partition(a)
numérotation commence à 1.

Voici un exemple de fichier boot.ini:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows 2003 Server"

Ce fichier décrit un ordinateur qui utilise Windows 2003 Server comme OS par défaut. Cet OS se
trouve sur un contrôleur IDE ou SCSI avec BIOS actif, sur le premier disque, sur la partition 1.

9.5.3. Utilisation des options d’amorçage avancées pour


résoudre les problèmes de démarrage

Le mode sans échec est le mode de diagnostic le plus souvent utilisé pour résoudre des
problèmes de démarrage du système. Il permet de lancer Windows avec un nombre minimum de
pilotes. Ainsi, si l’installation d’un nouveau logiciel empêche Windows de démarrer normalement,
il est toujours possible de lancer ce dernier en mode sans échec, et à partir de là, modifier le
paramètre du logiciel qui pose problème, ou tout simplement le supprimer.
Ce mode, est accessible en tapant sur la touche F8 au démarrage de l’ordinateur, au niveau de
la sélection de l’OS à lancer.

B.salim 52
9.5.4. Utilisation de la console de récupération pour démarrer
l’ordinateur
La console de récupération peut être utilisée dans le cas où les deux solutions proposées
précédemment ne fonctionnent pas. Il faut cependant avoir le mot de passe administrateur de la
machine pour pouvoir l’utiliser.

Cette console permet d’effectuer les tâches suivantes :

 Démarrer et arrêter de services


 Reconfigurer les services qui empêchent l’ordinateur de démarrer correctement
 Formater les lecteurs sur un disque dur
 Lire et écrire des données sur un disque formaté en FAT ou NTFS
 Réparer le système en copiant un fichier à partir d’une disquette ou d’un CD-ROM
 Autres tâches d’administration

L’installation de la console de récupération se fait à partir du CD-ROM d’installation de Windows


2003 Server. Tapez la commande ci-dessous à partir de l’invite de commande en basculant sur
le lecteur CDROM (d : par exemple): D:\i386\winnt32.exe /cmdcons

Il est également possible de lancer la console de récupération en bootant avec le CD-ROM


d’installation de Windows 2003 Server, et en tapant r au menu « Bienvenue ! » du CD.

Ensuite pour lancer la console de récupération à partir du menu, choisissez l’OS à démarrer, puis
sélectionnez l’installation à récupérer, et enfin entrez le mot de passe administrateur. Utilisez
ensuite la commande help pour obtenir la liste des commandes accessibles.

9.6. Choix d'une méthode de récupération en cas


d'urgence
9.6.1. Quels sont les outils de récupération en cas d'urgence ?
Ce tableau résume les outils à utiliser en cas d’urgence :

À utiliser quand un problème empêche le


Mode sans échec
démarrage normal de Windows Server 2003

À n'utiliser que si la configuration est


incorrecte et que l’utilisateur n’a pas déjà
Dernière bonne configuration ouvert de session depuis la modification qui
connue pose problème.

À utiliser pour créer une copie des données


sur le disque dur et l'archiver sur un autre
Sauvegarde
périphérique de stockage

Console de récupération À utiliser si vous ne pouvez pas corriger les


problèmes avec une des méthodes de
démarrage

B.salim 53
Récupération système À utiliser lors de la restauration des données
automatique (ASR) d'une sauvegarde

B.salim 54
LABORATOIRES

B.salim 55
Module 1 : Préparation de l’administration d’un serveur

Exercice 1 : Comment configurer les raccourcis associés à la commande


Exécuter en tant que ?

Introduction

Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associés à la
commande Exécuter en tant que, vers les outils d’administration que vous utilisez le plus
souvent.

Procédure

Pour configurer un raccourci associé à la commande Exécuter en tant que vers l’outil
Performances :

1. Cliquez avec le bouton droit sur le Bureau, pointez sur Nouveau, puis cliquez sur
Raccourci.
2. Sur la page Création d’un raccourci, tapez runas /user:Nwtraders\administrateur
«mmc %windir%\system32\perfmon.msc» dans le champ Entrez l’emplacement de
l’élément, puis cliquez sur Suivant.
3. Dans la page Sélection d’un titre pour le programme, tapez Performances dans le
champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer.

Consultez le tableau suivant pour les autres commandes.

Outil Ligne de commande

Gestion de l’ordinateur runas /user:nwtraders\administrateur «mmc


%windir%\system32\compmgmt.msc»

Gestionnaire de périphériques runas /user:nwtraders\administrateur «mmc


%windir%\system32\devmgmt.msc»

Gestion des disques runas /user:nwtraders\administrateur «mmc


%windir%\system32\diskmgmt.msc»

Utilisateurs et ordinateurs
Active Directory runas /user:nwtraders\administrateur «mmc
%windir%\system32\dsa.msc»

MMC runas /user:nwtraders\administrateur mmc

Invite de commandes runas /user:nwtraders\administrateur cmd

Exercice 2 : Comment utiliser la commande Exécuter en tant que ?

Introduction

Utilisez la commande Exécuter en tant que pour lancer une console MMC à partir d’un compte
disposant des droits appropriés pour l’exécution de cette tâche. Par exemple, si vous ouvrez une
session sur un serveur en tant qu’utilisateur et que vous souhaitez installer un nouveau logiciel,

B.salim 56
vous pouvez fermer la session, en ouvrir une autre en tant qu’administrateur, ouvrir le Panneau
de configuration, utiliser la fonction Ajout/Suppression de programmes pour installer le
nouveau logiciel, fermer la session en tant qu’administrateur, puis rouvrir une nouvelle session
avec votre compte d’utilisateur. Avec la commande Exécuter en tant que, cependant, vous
pouvez ouvrir le Panneau de configuration, appuyer sur la touche MAJ, cliquer avec le bouton
droit sur Ajout/Suppression de programmes, puis utiliser la commande Exécuter en tant que
pour ajouter ou supprimer des programmes en tant qu’administrateur.

Procédure d’utilisation de la commande Exécuter en tant que à partir du menu Démarrer

Pour utiliser la commande Exécuter en tant que à partir du menu Démarrer :

1. Dans le menu Démarrer, cliquez avec le bouton droit sur le fichier exécutable du
programme de votre choix (ou sur le raccourci).
2. Cliquez sur Exécuter en tant que.
3. Cliquez sur L’utilisateur suivant.
4. Dans les champs Nom d’utilisateur et Mot de passe, tapez le nom et le mot de passe
du compte.
5. Cliquez sur OK.
Procédure d’utilisation de la commande Exécuter en tant que à partir de l’Explorateur
Windows

Pour utiliser la commande Exécuter en tant que à partir de l’Explorateur Windows :

1. Ouvrez l’Explorateur Windows, puis cliquez avec le bouton droit sur le fichier exécutable
du programme.
2. Cliquez sur Exécuter en tant que.
3. Cliquez sur L’utilisateur suivant.
4. Dans les champs Nom d’utilisateur et Mot de passe, tapez le nom et le mot de passe
du compte.
5. Cliquez sur OK.
Procédure d’utilisation de la commande Exécuter en tant que à partir de l’invite

Pour utiliser la commande Exécuter en tant que à partir de l’invite de commandes :

1. Dans le menu Démarrer, cliquez sur Exécuter, tapez runas /user:


nom_domaine\administrateur cmd, sachant que nom_domaine correspond au nom de
votre domaine, puis cliquez sur OK.
2. Une fenêtre de console apparaît, invitant à entrer un mot de passe pour le compte
nom_domaine\administrateur. Tapez le mot de passe correspondant au compte
d’administrateur, puis appuyez sur ENTRÉE.
3. Une nouvelle console apparaît, exécutée en mode administrateur. Le titre de la console
affiche «en tant qu’utilisateur nom_domaine\administrateur.»

Procédure d’utilisation des raccourcis associés à la commande Exécuter en tant que

Pour utiliser les raccourcis sur le Bureau associés à la commande Exécuter en tant que afin
d’ouvrir un outil d’administration :

1. Sur le Bureau, double-cliquez sur l’icône Performances, Gestion de l’ordinateur,


Gestionnaire de périphériques, ou Gestion des disques.

B.salim 57
2. Tapez P@ssw0rd

Exercice 3 : Comment administrer un serveur à distance à l’aide de Gestion


de l’ordinateur ?

Introduction

Vous pouvez utiliser les outils de gestion de l’ordinateur lorsque vous êtes sur un site distant du
serveur que vous devez gérer. Les outils de gestion à distance fournis avec Windows Server
2003 vous aident à identifier et à résoudre les problèmes que les utilisateurs peuvent rencontrer,
sans envoyer le personnel du support technique sur le site de l’utilisateur. Par exemple, si vous
travaillez dans votre bureau et que vous devez modifier une partition de disque sur un serveur
situé dans un autre bâtiment, vous pouvez effectuer cette tâche en utilisant l’outil Gestion de
l’ordinateur.

Procédure

Pour utiliser l’outil Gestion de l’ordinateur afin d’administrer un ordinateur à distance :

1. Ouvrez une session en tant qu’administrateur avec le mot de passe P@ssw0rd


2. Dans le menu Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez
sur Gérer.
3. Cliquez avec le bouton droit sur Gestion de l’ordinateur (local), puis cliquez sur Se
connecter à un autre ordinateur.
4. Cliquez sur Un autre ordinateur, tapez le nom de l’ordinateur que vous souhaitez gérer
à distance ou cliquez sur Parcourir pour le rechercher, puis cliquez sur OK.
5. Dans l’arborescence de la console Gestion de l’ordinateur, développez Outils système,
Stockage, ou Services et applications.
6. Cliquez sur l’élément, puis sélectionnez les outils que vous souhaitez utiliser.

Exercice 4 : Comment configurer MMC pour gérer un serveur à distance ?

Introduction

Les administrateurs système doivent souvent travailler en dehors du site. Ainsi, en tant
qu’administrateur, vous pouvez vous trouver sur un site et devoir effectuer la maintenance d’un
serveur sur un autre site. Dans ce cas, vous pouvez utiliser la console MMC pour gérer le serveur
à distance. Par exemple, vous pouvez démarrer ou arrêter des services sur un serveur distant,
consulter le journal des événements et gérer les partages ou les disques.

Procédure

Pour configurer MMC afin de pouvoir gérer un serveur à distance :

1. Ouvrez MMC.
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable, puis cliquez sur Ajouter.
3. Dans la liste des composants logiciels enfichables, cliquez sur Gestion de l’ordinateur,
puis sur Ajouter.
4. À l’invite, sélectionnez l’ordinateur local ou distant que vous souhaitez gérer à l’aide de
ce composant logiciel enfichable, puis cliquez sur Terminer.
5. Cliquez sur Fermer, puis sur OK.

B.salim 58
Exercice 5 : Configuration de MMC pour gérer des fichiers sur un serveur
distant

Objectif

Dans cet exercice, vous allez effectuer les tâches suivantes :


• Configurer MMC pour gérer et analyser un serveur local et un serveur distant.
• Utiliser la commande Exécuter en tant que pour ouvrir MMC.
Scénario

Vous êtes l’administrateur système d’une unité d’organisation sur un réseau.


Vous êtes responsable de la gestion et de l’analyse des dossiers partagés sur votre serveur et
sur un serveur distant. Vous allez créer un composant logiciel enfichable MMC vous permettant
de gérer et d’analyser les dossiers partagés simultanément sur les deux serveurs. Vous allez
également créer un dossier partagé sur le serveur distant à l’aide du même outil. Étant donné
que vous utiliserez souvent cet outil, vous devrez l’enregistrer sur le Bureau. Ne disposant pas
des privilèges de fichier sur le serveur distant, vous devrez utiliser l’outil par le biais de la
commande Exécuter en tant que.

Création d’une console MMC personnalisée

Créer une console MMC personnalisée pour gérer et analyser les dossiers partagés sur
plusieurs serveurs

1. Ouvrez une session sur le domaine avec le compte OrdinateurUser (Ordinateur


correspondant au nom de votre ordinateur) et le mot de passe P@ssw0rd.
2. Dans le menu Démarrer, cliquez sur Exécuter.
3. Dans la boîte de dialogue Exécuter, tapez mmc et cliquez sur OK.
4. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable, cliquez sur Ajouter, puis ajoutez un composant logiciel enfichable Gestion
de l’ordinateur pour votre ordinateur.
5. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable, cliquez sur Ajouter, puis ajoutez un composant logiciel enfichable Gestion
de l’ordinateur pour l’ordinateur Glasgow.
6. Dans l’arborescence de l’outil Gestion de l’ordinateur (local), développez Outils
système, développez Dossiers partagés, puis cliquez sur Partages.
7. Déterminez si vous pouvez analyser les dossiers partagés de votre ordinateur.
8. Dans l’arborescence de l’outil Gestion de l’ordinateur (Glasgow), développez Outils
système, développez Dossiers partagés, puis cliquez sur Partages.
9. Déterminez si vous pouvez analyser les dossiers partagés de l’ordinateur Glasgow.
10. Enregistrez la console sur le Bureau sous MMC1.
11. Fermez MMC1.
12. À l’aide de la commande Exécuter en tant que, ouvrez MMC1 en tant qu’administrateur
de domaine.
13. Vérifiez que vous pouvez analyser les partages sur l’ordinateur local et sur l’ordinateur
Glasgow.

Création d’un dossier partagé

B.salim 59
Créer un dossier partagé sur un ordinateur distant à l’aide de MMC1

1. Dans la fenêtre MMC1, ouvrez l’arborescence de l’outil Gestion de l’ordinateur


(Glasgow), développez Outils système, développez Dossiers partagés, puis cliquez
sur Partages.
2. Cliquez avec le bouton droit sur Partages, puis cliquez sur Nouveau partage.
3. Créez un dossier partagé sur \\Glasgow avec les paramètres suivants :

Paramètre Entrées

Nom du partage NomOrdinateur (NomOrdinateur correspondant au nom de


votre ordinateur, tel que Vancouver, Denver, etc.)

Chemin d’accès du partage C:\MOC\Shares\NomOrdinateur

Autorisations Administrateur : Contrôle total

Utilisateurs : Lecture seule

4. Fermez la fenêtre MMC1 sans enregistrer les paramètres de la console.


5. Vérifiez que les administrateurs bénéficient du contrôle total et que les utilisateurs
disposent d’autorisations en lecture seulement.
6. Fermez toutes les fenêtres et fermez la session.

Exercice 6 : Comment activer la fonction Bureau à distance ?

Introduction

Un administrateur système peut utiliser la fonction Bureau à distance pour effectuer des tâches,
telles que l’ajout d’un logiciel et l’installation de services packs sur un serveur distant.

Procédure

Pour configurer les connexions serveur afin d’administrer un serveur à distance :

1. Connectez-vous en tant qu’Administrateur.


2. Dans le menu Démarrer, cliquez avec le bouton droit sur Poste de travail.
3. Cliquez sur Propriétés.
4. Cliquez sur Utilisation à distance.
5. Cochez la case Autoriser les utilisateurs à se connecter à distance à cet ordinateur.

Exercice 7 : Comment se connecter à un serveur distant ?

Introduction

En tant qu’administrateur système, vous êtes sans doute souvent amené à perdre du temps en
vous déplaçant sur les sites des serveurs distants pour effectuer des tâches administratives. En
utilisant l’outil Connexion Bureau à distance pour administrer à distance les serveurs de votre
entreprise, vous pouvez économiser du temps sur vos déplacements et consacrer ainsi plus de
temps à votre travail.
Procédure de connexion à un Bureau distant Procédure de connexion à la session de la
console sur un serveur distant

B.salim 60
Pour vous connecter à un serveur distant à l’aide de l’outil Connexion Bureau à distance :

1. Sur l’ordinateur client, cliquez sur Démarrer.


2. Pointez sur Tous les programmes, puis sur Accessoires et sur Communications, puis
cliquez sur Connexion Bureau à distance.
3. Dans la zone Ordinateur, tapez le nom d’un ordinateur ou l’adresse IP du serveur
exécutant Windows Server 2003 et sur lequel le Service de bureau à distance est
installé.
4. Lorsque vous avez terminé de travailler sur la session distante, dans le menu Démarrer,
cliquez sur Fermer la session.

En tant qu’administrateur système, vous êtes sans doute amené à vous connecter à la session
de la console afin de voir les messages système envoyés à la console. Vous devez peut-être
également gérer simultanément plusieurs serveurs. Pour ce faire, vous pouvez utiliser le
composant logiciel enfichable Bureaux à distance.

Pour vous connecter à un ou plusieurs des serveurs à l’aide du composant logiciel enfichable
Bureaux à distance

1. Dans le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Bureaux
à distance.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Bureaux à distance,
puis cliquez sur Ajouter une nouvelle connexion.
3. Dans la boîte de dialogue Ajouter une nouvelle connexion, entrez le nom du serveur,
un nom de connexion, un nom d’utilisateur, le mot de passe correspondant et le nom du
domaine.
4. Si vous souhaitez vous connecter à la session de la console, vérifiez que la case Se
connecter à la console est bien sélectionnée.
5. Pour gérer plusieurs serveurs, répétez les étapes 2 et 3.
6. Lorsque vous avez terminé de travailler sur la session distante, dans le menu Démarrer,
cliquez sur Fermer la session.

Procédure de connexion à un Bureau distant à l’aide de l’outil de ligne de commande


mstsc

Pour vous connecter à la session de la console sur un serveur distant à l’aide de l’outil de ligne
de commande mstsc

1. Dans le menu Démarrer, cliquez sur Exécuter.


2. Dans la boîte de dialogue Exécuter, tapez cmd, puis cliquez sur OK.
3. À l’invite de commandes, tapez la commande suivante, puis appuyez sur ENTRÉE.
mstsc /v:serveur /console serveur correspondant au nom du serveur distant.
4. Connectez-vous au serveur distant.

Pour afficher la syntaxe complète de la commande mstsc, tapez mstsc /? À l’invite de


commandes.

Exercice 8: Configuration de la fonction Bureau à distance

Objectif

B.salim 61
Dans cet exercice, vous allez effectuer les tâches suivantes :
• Configurer votre serveur afin d’autoriser votre partenaire à y avoir accès à distance.
• Vous connecter au serveur d’un partenaire à l’aide de l’outil Connexion Bureau à distance.
• Autoriser votre partenaire à se connecter à votre ordinateur en tant qu’administrateur de
domaine à l’aide de l’outil Connexion Bureau à distance.

Scénario

Vous êtes l’administrateur système d’une unité d’organisation sur un réseau. La direction vous a
demandé de configurer votre serveur afin que l’administrateur de domaine puisse gérer votre
serveur à distance.

Activation de la fonction Bureau à distance

Activer la fonction Bureau à distance sur votre serveur

1. Ouvrez une session sur le domaine avec le compte OrdinateurUser (Ordinateur


correspondant au nom de votre ordinateur) et le mot de passe P@ssw0rd.
2. Dans Panneau de configuration, maintenez la touche MAJ enfoncée, cliquez avec le
bouton droit sur Système, puis cliquez sur Exécuter en tant que.
3. Dans la boîte de la dialogue Exécuter en tant que, tapez nwtraders\administrateur
dans le champ Nom d’utilisateur, puis tapez P@ssw0rd dans le champ Mot de passe
et appuyez sur ENTRÉE.
4. Sous l’onglet Utilisation à distance, cochez la case Autoriser les utilisateurs à se
connecter à distance à cet ordinateur dans la zone Bureau à distance.
5. Cliquez sur OK pour fermer toutes les boîtes de dialogue.
6. Attendez que votre partenaire ait fini la procédure avant de continuer.

Vérification de l’activation de la fonction Bureau à distance

Vérifier que la fonction Bureau à distance est activée sur l’ordinateur du partenaire

1. Dans le menu Démarrer, pointez successivement sur Tous les programmes,


Accessoires et Communications, puis cliquez sur Connexion Bureau à distance.
Vous avez également la possibilité d’ouvrir une invite de commandes et d’utiliser la
commande mstsc suivante pour vous connecter à l’ordinateur de votre partenaire :
mstsc /v:OrdinateurPartenaire /f
2. Connectez-vous à l’ordinateur de votre partenaire en utilisant les paramètres suivants :

Ordinateur OrdinateurPartenaire (OrdinateurPartenaire


correspondant au nom de l’ordinateur du partenaire)

Nom de l’utilisateur Administrateur


Mot de passe (Password) P@ssw0rd
Domaine NWTRADERS
3. Vérifiez que le nom de l’ordinateur de votre partenaire figure en haut de l’écran.
4. Fermez la session sur l’ordinateur distant.
5. Fermez toutes les fenêtres et fermez la session.

B.salim 62
Exercice 9 : Comment définir les paramètres de délai d’expiration des
connexions à distance ?

Introduction

L’utilisation des paramètres de délai peut vous aider à gérer les ressources du serveur. Après
avoir défini les limites des connexions de session, vous pouvez administrer le serveur de manière
plus efficace.

Exemple de paramètres de délai : Supposons qu’un autre administrateur soit parti en vacances
pour deux semaines et ait oublié de fermer une connexion distante. Si vous avez défini les
paramètres de délai, cette connexion est automatiquement fermée à la fin du délai prédéterminé.

Procédure

Pour configurer un paramètre de délai pour une connexion distante :

1. Cliquez sur Démarrer.


2. Dans le menu Outils d’administration, cliquez sur Configuration des services
Terminal Server.
3. Dans le volet d’informations, cliquez avec le bouton droit sur RDP-Tcp,puis cliquez sur
Propriétés.
4. Sous l’onglet Sessions, activez la première case Remplacer les paramètres de
l’utilisateur.
5. Modifiez les paramètres appropriés :
• Fin d’une session déconnectée
• Limite de session active
• Limite de session inactive

Exercice 10 : Comment gérer les sessions à l’aide du Gestionnaire des


services Terminal Server ?

Introduction

Lors de l’analyse d’une session distante, vous pouvez savoir qui a établi une connexion distante
et déterminer l’état de cette connexion. Si la connexion est restée inactive et que vous pensez
que l’administrateur s’est déconnecté sans fermer la session, vous pouvez fermer manuellement
cette session à distance.

Procédure d’analyse d’une session distante

Pour analyser une session distante à l’aide du Gestionnaire des services Terminal Server :

1. Sur le serveur distant, cliquez sur Démarrer.


2. Dans le menu Outils d’administration, cliquez sur Gestionnaire des services
Terminal Server.
3. Cliquez sur l’onglet Sessions pour afficher les sessions en cours.
Procédure de fermeture d’une session distante

Pour fermer une session distante à l’aide de la fonction Bureau à distance :

B.salim 63
1. Sur l’ordinateur client, dans la fenêtre Bureau à distance, cliquez sur Démarrer.
2. Cliquez sur Fermer la session, puis sur Fermer la session.
Procédure de déconnexion d’une session distante

Pour déconnecter une session distante à l’aide de la fonction Bureau à distance :

• Sur l’ordinateur client, fermez la fenêtre Bureau à distance.

Procédure de fermeture d’une session déconnectée

Pour fermer une session déconnectée à l’aide du Gestionnaire des services Terminal Server :
• Sur le serveur distant, sous l’onglet Sessions, cliquez avec le bouton droit sur la session
déconnectée, puis cliquez sur Réinitialiser.

Exercice 11: Configuration des sessions de bureau à distance

Objectif

Dans cet exercice, vous allez effectuer les tâches suivantes :


• Analyser le nombre de sessions distantes ouvertes sur le serveur et fermer toutes les
sessions déconnectées.
• Configurer le serveur de sorte que les sessions déconnectées soient automatiquement
fermées à la fin d’un délai déterminé.

Scénario

Vous êtes l’administrateur système d’une unité d’organisation sur un réseau.


Vous remarquez que l’administrateur de domaine accède souvent à votre serveur à l’aide de la
fonction Bureau à distance mais oublie de fermer la session lorsqu’il a terminé. Vous devez
souvent fermer manuellement les sessions déconnectées. Vous décidez de définir le paramètre
de délai afin de fermer les sessions déconnectées lorsqu’elles sont restées inactives pendant
plus d’une minute.

Fermeture manuelle de sessions déconnectées

Fermer manuellement des sessions déconnectées

1. Ouvrez une session sur le domaine avec le compte OrdinateurUser (où Ordinateur
correspond au nom de votre ordinateur) et le mot de passe P@ssw0rd.
2. Accédez au Panneau de configuration, cliquez sur Outils d’administration, cliquez avec le
bouton droit sur Gestionnaire des services Terminal Server, puis cliquez sur Exécuter
en tant que.
3. Dans la boîte de la dialogue Exécuter en tant que, tapez nwtraders\administrateur
dans le champ Nom d’utilisateur, puis tapez P@ssw0rd dans le champ Mot de passe
et appuyez sur ENTRÉE.
4. Si un message du Gestionnaire des services Terminal Server apparaît, cliquez sur Ne
plus afficher ce message, puis cliquez sur OK.
5. Cliquez avec le bouton droit sur la session déconnectée, puis cliquez sur Fermer la
session.
6. Fermez le Gestionnaire des services Terminal Server.

Configuration d’une session

B.salim 64
Définir un délai d’une minute avant la fermeture des sessions déconnectées

1. Dans Outils d’administration, ouvrez l’outil Configuration des services Terminal Server à
l’aide de la commande Exécuter en tant que.
2. Dans la boîte de la dialogue Exécuter en tant que, tapez nwtraders\administrateur
dans le champ Nom d’utilisateur, puis tapez P@ssw0rd dans le champ Mot de passe
et appuyez sur ENTRÉE.
3. Ouvrez la boîte de dialogue Propriétés de RDP-Tcp.
4. Sous l’onglet Sessions, configurez un délai d’une minute avant la fermeture des
sessions déconnectées.
5. Fermez toutes les fenêtres et fermez la session.

Atelier A : Préparation de l’administration d’un serveur


Objectifs

À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :
• Créer un dossier partagé sur un ordinateur distant.
• Défragmenter un disque sur un ordinateur distant.
• Vous connecter à une session de console distante.
• Créer des raccourcis pour les outils d’administration.

Scénario

Vous êtes l’administrateur système d’une unité d’organisation sur un réseau. Un autre
administrateur système, situé en dehors du site, vous a envoyé un message urgent par courrier
électronique vous demandant de créer un dossier partagé sur son serveur et de défragmenter le
lecteur D de son serveur. Vous recevez également un appel téléphonique d’un troisième
administrateur système qui vous demande de consulter le graphique d’échange qu’il est en train
de visualiser sur la console du serveur Glasgow.

Notes de l’administrateur système

À l’aide de l’outil Gestion de l’ordinateur, partagez le dossier C:\MOC\Shares\MeetingNotes sur


l’ordinateur de votre partenaire.
Connectez-vous, à distance, à l’ordinateur du partenaire et utilisez l’outil Gestion de l’ordinateur
pour défragmenter le lecteur D.
Connectez-vous à la console de l’ordinateur Glasgow, puis affichez le graphique d’échange.

Exercice 0 : Configuration des autorisations de dossier

Vous devez exécuter un script pour configurer les autorisations de dossier sur votre ordinateur.

Configurer les autorisations de dossier sur votre ordinateur

1. Ouvrez une session sur le domaine en tant qu’Administrateur avec le mot de passe
P@ssw0rd.
2. Dans le menu Démarrer, cliquez sur Exécuter.

B.salim 65
3. Dans la boîte de dialogue Exécuter, tapez C:\MOC\2149\Labfiles\Setperm.cmd, puis
appuyez sur ENTRÉE.
4. Fermez la session.

Exercice 1 : Création d’un dossier partagé sur un ordinateur distant

À l’aide de l’outil Gestion de l’ordinateur, vous allez créer des dossiers partagés sur l’ordinateur
de votre partenaire. Pour ce faire, vous allez utiliser la commande Exécuter en tant que pour
lancer la Gestion de l’ordinateur avec des informations d’identification d’administration.

Tâches Instructions spécifiques

1. Ouvrir une session avec votre compte • Ouvrez une session avec votre compte
d’utilisateur de domaine. d’utilisateur de domaine, OrdinateurUser,
avec le mot de passe P@ssw0rd.

2. Ouvrir une fenêtre MMC. • Utilisez la commande Exécuter en tant que


pour ouvrir une fenêtre MMC avec des
informations d’identification d’administration.
3. Créer un outil, à l’aide du composant logiciel • Dans le menu Fichier, sélectionnez
enfichable Gestion de l’ordinateur, pour Ajouter/Supprimer un composant logiciel
l’ordinateur de votre partenaire. enfichable pour ouvrir le composant
logicielenfichable Gestion de l’ordinateur
pour l’ordinateur de votre partenaire.

4. Partager le dossier. • Dans Gestion de l’ordinateur, procédez au


partage du dossier
C:\MOC\2149\Labfiles\Test appelé Test en
attribuant les autorisations suivantes :
Administrateurs : Contrôle total
Utilisateurs : Lecture seule
5. Vérifier l’existence du dossier partagé sur • Utilisez la commande Exécuter en tant que
l’ordinateur. pour vous connecter à l’ordinateur de votre
partenaire en utilisant le format de la
convention d’affectation de noms
(UNC) \\OrdinateurPartenaire\Test.

Exercice 2 : Défragmentation d’un disque sur un ordinateur distant

Dans cet exercice, vous allez défragmenter un disque sur un ordinateur distant à l’aide des outils
Gestion de l’ordinateur et Connexion de Bureau à distance.

Tâches Instructions spécifiques

1. Ouvrir le Défragmenteur de disque dans la • Dans la fenêtre de la console1, développez


fenêtre de la console1. Stockage, puis cliquez sur Défragmenteur
de disque.

B.salim 66
Que se passe-t-il lorsque vous essayer de défragmenter un disque sur un ordinateur distant à l’aide
d’une copie locale du Défragmenteur de disque ?

2. Se connecter à l’ordinateur du partenaire à • Ouvrez l’outil Connexion Bureau à distance


l’aide de l’outil Connexion Bureau à distance. et connectez-vous à l’ordinateur de votre
partenaire en tant qu’administrateur.

3. Défragmenter le lecteur D de l’ordinateur • Ouvrez l’outil Gestion de l’ordinateur sur


distant. l’ordinateur distant, puis ouvrez le
Défragmenteur de disque.

4. Fermer la session distante. • Fermez la session distante.

Exercice 3 : Connexion à une session de console distante

Dans cet exercice, vous allez vous connecter à une session de console distante à l’aide des
Bureaux à distance.

Tâches Instructions spécifiques

1. Se connecter à un ordinateur distant à l’aide a. Ouvrez le Panneau de configuration, puis


des Bureaux à distance. ouvrez Outils d’administration.
b. Ouvrez l’outil Bureaux à distance.
c. Agrandissez la fenêtre de l’outil Bureaux à
distance, puis agrandissez la fenêtre Racine de
console.
d. Cliquez avec le bouton droit sur Bureaux à
distance, puis cliquez sur Ajouter une nouvelle
connexion.
e. Connectez-vous à Glasgow en utilisant les
données suivantes :
• Nom ou adresse IP du serveur Glasgow
• Nom de la connexion : Glasgow
• Nom d’utilisateur : Administrateur
• Mot de passe : P@ssw0rd
• Domaine : nwtraders
f. Dans l’arborescence de la console, développez
Bureaux à distance, puis cliquez sur Glasgow.

2. Ouvrir le Gestionnaire des tâches et afficher a. Démarrez le Gestionnaire des tâches en


les performances de l’ordinateur distant. ouvrant la boîte de dialogue Exécuter et en
tapant taskmgr.exe.
b. Consultez les performances.

Que se passe-t-il lorsqu’un autre utilisateur se connecte à la session de la console Glasgow pendant
que vous visualisez la session de la console ?

B.salim 67
3. Fermer toutes les fenêtres. • Fermez toutes les fenêtres.

Exercice 4 : Création de raccourcis vers des outils d’administration

Dans cet exercice, vous allez créer des raccourcis vers les outils d’administration fréquemment
utilisés.

Tâches Instructions spécifiques

1. Créer un raccourci vers Gestion de a. Créez un raccourci vers Gestion de l’ordinateur


l’ordinateur. en cliquant avec le bouton droit sur le Bureau,
puis en cliquant sur Nouveau et sur Raccourci.
b. Dans le champ Entrez l’emplacement de
l’élément, tapez runas /user:nwtraders
\administrateur "mmc %windir
%\system32\compmgmt.msc", puis
cliquez sur Suivant.
c. Dans le champ Entrez un nom pour ce
raccourci, tapez Gestion de l’ordinateur, puis
cliquez sur Terminer.
2. Créer un raccourci vers Utilisateurs et • Tapez runas
ordinateurs Active Directory. /user:nwtraders\administrateur "mmc
%windir%\system32\dsa.msc"

3. Créer un raccourci vers Performances. • Tapez runas


/user:nwtraders\administrateur "mmc
%windir%\system32\perfmon.msc"

4. Créer un raccourci vers le Gestionnaire de • Tapez runas


périphériques. /user:nwtraders\administrateur "mmc
%windir%\system32\devmgmt.msc"

5. Créer un raccourci vers Gestion des disques. • Tapez runas


/user:nwtraders\administrateur "mmc
%windir%\system32\diskmgmt.msc"

6. Créer un raccourci vers l’invite de commandes. • Tapez runas


/user:nwtraders\administrateur cmd

7. Créer un raccourci vers Microsoft Management • Tapez runas


Console. /user:nwtraders\administrateur mmc

8. Tester chaque raccourci. • Testez tous les raccourcis et vérifiez que


l’outil approprié apparaît.
9. Fermer toutes les fenêtres. • Fermez toutes les fenêtres.

B.salim 68
Module 2 : Présentation de l’administration des comptes
et des ressources

Exercice 1 : Ouverture de session à l’aide d’un compte d’ordinateur local

Objectif :

Dans cette application pratique, vous allez ouvrir une session sur un ordinateur en utilisant un
compte d’ordinateur local.

Scénario

Vous avez été engagé par Northwind Traders pour participer à l’administration des ordinateurs,
des utilisateurs et des ressources pour une ville du réseau mondial de Northwind Traders. Vous
serez également responsable d’un serveur membre de votre ville et ouvrirez occasionnellement
sur le serveur membre une session avec le compte Administrateur local.

Application pratique

Ouvrir une session sur votre serveur membre en utilisant le compte Administrateur local

1. Appuyez sur CTRL+ALT+SUPPR.


2. Dans la boîte de dialogue Ouverture de session Windows, entrez Administrateur
dans la zone Utilisateur.
3. Dans la zone Mot de passe, entrez P@ssw0rd (le 0 est un zéro).
4. Dans la zone Se connecter à, cliquez sur le nom de votre ordinateur. Le nom de votre
ordinateur est suivi de (cet ordinateur).
5. Cliquez sur OK.
6. Fermez la session en procédant comme suit :
a. Dans le menu Démarrer, cliquez sur Fermer la session.
b. Dans la boîte de message, cliquez sur Fermer la session.

Exercice 2 : Ouverture de session à l’aide d’un compte de domaine

Objectif

Dans cette application pratique, vous allez ouvrir une session sur un ordinateurlocal avec un
compte de domaine.

Scénario

Vous avez été engagé par Northwind Traders pour participer à l’administrationdes ordinateurs,
des utilisateurs et des ressources pour une ville du réseau mondial de Northwind Traders. Vous
devez vous assurer que vous pouvez ouvrir une session avec votre compte Administrateur de
domaine.

Application pratique

Ouvrir une session sur votre serveur membre en utilisant votre compte Administrateur de
domaine

B.salim 69
1. Appuyez sur CTRL+ALT+SUPPR.
2. Dans la boîte de dialogue Ouverture de session Windows, tapez
NomOrdinateurAdmin dans la zone Utilisateur (Exemple : LondonAdmin).
3. Dans la zone Mot de passe, entrez P@ssw0rd (le 0 est un zéro).
4. Dans la zone Se connecter à, cliquez sur NWTraders, puis sur OK.
5. Fermez la session en procédant comme suit :
a. Dans le menu Démarrer, cliquez sur Fermer la session.
b. Dans la boîte de message, cliquez sur Fermer la session.

Exercice 3 : Procédure d’installation des outils d’administration

Introduction

Pour installer les outils d’administration Windows Server 2003 surun ordinateur exécutant
Windows XP Professionnel, vous devez disposer d’autorisations d’administration sur l’ordinateur
local. Si l’ordinateur est lié à un domaine, les membres du groupe des administrateurs de
domaine peuvent effectuer cette procédure.

Procédure

Pour installer ou réinstaller les outils d’administration Windows Server 2003à partir du CD-ROM
de Windows Server 2003 :

1. Placez le CD-ROM Windows Server 2003 dans le lecteur de CD d’un ordinateur


exécutant Windows XP Professionnel.
2. Le programme d’installation du CD-ROM s’exécute automatiquement. Si tel n’est pas le
cas :
a. Cliquez sur Démarrer, puis sur Exécuter.
b. Dans la boîte de dialogue Exécuter, cliquez sur Parcourir.
c. Dans la boîte de dialogue Parcourir, cliquez sur Poste de travail.
d. Double-cliquez sur le lecteur de CD-ROM, puis sur setup.exe.
e. Dans la boîte de dialogue Exécuter, cliquez sur OK.
3. Dans la boîte de dialogue Bienvenue dans Windows Server 2003, cliquez sur
Effectuer des tâches supplémentaires.
4. Dans la boîte de dialogue Que voulez-vous faire ?, cliquez sur Parcourir ce CD.
5. Double-cliquez sur le dossier i386.
6. Double-cliquez sur l’icône Adminpak.msi.
7. Spécifiez l’emplacement ou le lecteur d’installation des outils d’administration Windows
Server 2003.

Exercice 4: Configuration des outils d’administration

Objectif

Dans cette application pratique, vous allez effectuer les tâches suivantes :
• créer une MMC personnalisée ;
• ajouter des composants logiciels MMC ;
• enregistrer une console MMC personnalisée.

Instructions

B.salim 70
Avant de commencer cette application pratique :

• Ouvrez une session dans le domaine en utilisant le compte NomOrdinateurAdmin.

Scénario

Votre responsable vous informe que vous devrez ajouter des comptes d’utilisateurs de domaine
sur le serveur membre de votre ville et sur le serveur Glasgow. Configurez les outils de support
pour disposer d’une console d’administration qui vous permette d’accéder rapidement aux outils
dont vous avez besoin pour exécuter les tâches les plus courantes qui vous incombent.

Application pratique

Configurer une console MMC personnalisée

1. Ouvrez une console MMC personnalisée.


2. Ajoutez un composant logiciel enfichable Gestion de l’ordinateur pour l’ordinateur local.
3. Ajoutez un composant logiciel enfichable Gestion de l’ordinateur pour Glasgow.
4. Ajoutez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
5. Enregistrez la console MMC sous C:\MOC\CustomMMC.msc.

Exercice 5: Création d’une unité d’organisation

Objectif

Dans cette application pratique, vous allez créer trois unités d’organisation.

Instructions

Avant de commencer cette application pratique :

• Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.

Scénario

En tant qu’administrateur système de Northwind Traders, vous êtes chargé de créer une
hiérarchie d’unités d’organisation conçue par l’équipe de conception de Northwind Traders. La
hiérarchie d’unités d’organisation repose sur l’emplacement qui sépare les ordinateurs portables
des ordinateurs de bureau. Vous allez créer une hiérarchie d’unités d’organisation dans l’unité
d’organisation de votre ville pour séparer les types d’ordinateurs.
L’illustration ci-dessous indique les éléments que vous devez créer pour le domaine NWTraders.
Les unités d’organisation Locations et NomOrdinateur ont déjà été créées.

Application pratique

Créer les unités d’organisation Computers, Laptops et Desktops

1. Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte


d’utilisateur suivant : NomOrdinateurAdmin@nwtraders.msft

B.salim 71
2. Développez Utilisateurs et ordinateurs Active Directory.
3. Développez nwtraders.msft et Locations.
4. Cliquez avec le bouton droit sur NomVille, pointez sur Nouveau, puis cliquez sur Unité
d’organisation.
5. Dans la boîte de dialogue Nouvel objet . Unité d’organisation, entrez Computers dans
la zone Nom, puis cliquez sur OK.
6. Cliquez avec le bouton droit sur l’unité d’organisation Computers que vous venez de
créer, pointez sur Nouveau, puis cliquez sur Unité d’organisation.
7. Dans la boîte de dialogue Nouvel objet . Unité d’organisation, entrez Laptops dans la
zone Nom, puis cliquez sur OK.
8. Cliquez avec le bouton droit sur l’unité d’organisation Computers, pointez sur Nouveau,
puis cliquez sur Unité d’organisation.
9. Dans la boîte de dialogue Nouvel objet . Unité d’organisation, entrez Desktops dans
la zone Nom, puis cliquez sur OK.
10. Fermez et enregistrez CustomMMC.

La hiérarchie d’unités d’organisation doit maintenant être semblable à celle du diagramme


précédent.

Scénario

Les ingénieurs système veulent tester certaines fonctionnalités avancées d’Active Directory. Ils
veulent que votre équipe crée des unités d’organisation dans l’unité d’organisation IT Test.
L’unité d’organisation IT Test a déjà été créée. Vous devez ajouter une unité d’organisation qui
corresponde à votre ville, comme indiqué dans le schéma ci-dessous.

Application pratique : Utilisation d’une ligne de commandes

Créer une unité d’organisation en utilisant dsadd

1. Cliquez sur Démarrer, puis sur Exécuter.


2. Dans la zone Ouvrir, tapez runas /user:nwtraders\NomOrdinateurAdmincmd, puis
cliquez sur OK.
3. Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd et appuyez sur
Entrée.
4. À l’invite de commandes, tapez la commande suivante :
dsadd ou UnitéOrganisationNomUnique

Exemple : dsadd ou "ou=London,ou=IT Test,dc=nwtraders,dc=msft"

Exercice 6: Déplacement d’objets de domaine Active Directory

Objectif

Dans cette application pratique, vous allez déplacer des objets de domaine d’une unité
d’organisation vers une autre.

Instructions

B.salim 72
Avant de commencer cette application pratique :

• Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


• Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
• Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.
Scénario

Les ingénieurs système testent certaines fonctionnalités avancées de création de rapports Active
Directory. Ils vous demandent de créer des objets de domaine et de les déplacer de l’unité
d’organisation IT Test vers l’unité d’organisation IT Test Move.

Application pratique

Créer et déplacer des unités d’organisation

1. Créez les unités d’organisation suivantes dans l’unité d’organisation IT Test :


• OUNomOrdinateur1
• OUNomOrdinateur2
2. Déplacez-les vers l’unité d’organisation IT Test Move.

Atelier A : Création d’unités d’organisation


Introduction

À la fin de cet atelier, vous serez à même de créer des unités d’organisation.

Connaissances préalables

Avant de commencer cet atelier, vous devez :

• vous entraîner à vous déplacer dans une structure d’unités d’organisation dans Utilisateurs et
ordinateurs Active Directory ;
• vous entraîner à créer des unités d’organisation.
• La section Mise en place de l’atelier répertorie les tâches que vous devez effectuer avant de
commencer l’atelier. Pour terminer cet atelier, vous devez avoir passé en revue les
procédures du module et effectué chaque application pratique.
Mise en place de l’atelier

Avant de commencer cet atelier :

• Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


• Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
• Vérifiez que CustomMMC contient les composants logiciels enfichables suivants :
 Gestion de l’ordinateur (Glasgow)
 Gestion de l’ordinateur (Local)
 Utilisateurs et ordinateurs Active Directory
• Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.

B.salim 73
Exercice 1 : Création d’une hiérarchie d’unités d’organisation

Dans cet exercice, vous allez créer une hiérarchie d’unités d’organisation.

Scénario

En tant qu’administrateur système de Northwind Traders, vous êtes chargé de créer une
hiérarchie d’unités d’organisation conçue par l’équipe de conception de Northwind Traders. Cette
hiérarchie repose sur l’emplacement qui sépare les comptes d’utilisateurs des comptes de
groupes. Vous allez créer la hiérarchie d’unités d’organisation dans l’unité d’organisation de votre
ville.
À la fin de cet atelier, la hiérarchie d’unités d’organisation doit être semblable à celle représentée
ci-dessous :

Remarque Vous avez créé pendant les applications pratiques les unités d’organisation
Computers, Laptops et Desktops présentées dans le graphique.

Tâches Instructions spécifiques

1. Ouvrir CustomMMC à l’aide de la commande a. Nom de l’utilisateur :


Exécuter en tant que. NWTraders\NomOrdinateurAdmin
b. Mot de passe : P@ssw0rd

2. Rechercher l’unité d’organisation qui • Trouvez l’unité d’organisation


correspond au nom de votre ordinateur. Nwtraders/Locations/NomOrdinateur

3. Créer l’unité d’organisationUsers dans votre • Créez l’unité d’organisation


unité d’organisation NomOrdinateur. Nwtraders/Locations/NomOrdinateur/Users.

4. Créer l’unité d’organisation Groups dans votre • Créez l’unité d’organisation


unité d’organisation NomOrdinateur. Nwtraders/Locations/NomOrdinateur/Groups.

B.salim 74
Module 3 : Administration des comptes d'utilisateurs et des
comptes d'ordinateurs

Exercice 1: Création de comptes d’utilisateurs

Objectif

Dans cette application pratique, vous allez :

• créer un compte d’utilisateur local en utilisant Gestion de l’ordinateur ;


• créer un compte de domaine à l’aide d’Utilisateurs et ordinateurs Active Directory ;
• créer un compte d’utilisateur de domaine à l’aide de la commande Exécuter en tant que
• créer un compte d’utilisateur de domaine à l’aide de la commande dsadd.

Instructions

Avant de commencer cette application pratique :

• Ouvrez une session sur l’ordinateur du stagiaire en utilisant le compte NomOrdinateurUser.


• Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que.
• Utilisez le compte d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
• Vérifiez que CustomMMC contient les composants logiciels enfichables suivants :
 Gestion de l’ordinateur (local)
 Utilisateurs et ordinateurs Active Directory

Scénario

Votre responsable vous demande de créer un compte d’utilisateur local qui servira à la
sauvegarde des logiciels de votre entreprise. Un autre service de votre organisation installera les
logiciels et accordera au compte les droits utilisateurs requis pour effectuer la sauvegarde du
serveur. Vous devez créer un compte d’utilisateur local qui sera utilisé comme compte de service.

Application pratique : Création d’un compte d’utilisateur local

Créer un compte d’utilisateur local

1. Ouvrez le composant Gestion de l’ordinateur de votre ordinateur local.


2. Créez un compte en utilisant les paramètres suivants :
a. Nom d’utilisateur : Service_Backup
b. Description : Compte de service pour le logiciel de sauvegarde

B.salim 75
c. Mot de passe : P@ssw0rd
d. Désactivez la case à cocher L’utilisateur doit changer le mot de passe à la
prochaine ouverture de session.

Scénario

Vous utiliserez le compte Administrateur pour effectuer les tâches d’administration. Les
procédures de sécurité de votre entreprise requièrent la création d’un compte d’utilisateur
personnel dont vous vous servirez pour ouvrir une session sur le domaine, lire et envoyer des
messages électroniques et effectuer d’autres tâches non administratives.
Vous devez configurer un compte d’utilisateur de domaine pour vous-même. Lorsque vous
effectuerez des tâches d’administration, vous ouvrirez une session sous un nom différent ou
utiliserez des informations d’identification d’ouverture de session secondaire. Ce nouveau compte
doit être créé dans le conteneur nwtraders.msft/IT Admin/IT Users.

Application pratique : Création d’un compte d’utilisateur de domaine

Créer un compte d’utilisateur de domaine

1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.


2. Ajoutez un compte d’utilisateur au conteneur IT Users avec les paramètres suivants :
a. Prénom : votre prénom (exemple : Michel)
b. Nom : votre nom (exemple : Simon)
c. Nom complet : votre nom complet (exemple : Michel Simon)
d. Nom d’ouverture de session de l’utilisateur : les trois premières lettres de votre
prénom et les trois premières lettres de votre nom (exemple : MicSim)
e. Mot de passe : utilisez un mot de passe qui :
 comporte au minimum sept caractères ;
 ne contient pas votre nom d’utilisateur, votre nom réel ou le nom de
votre entreprise ;
 ne contient pas de mots complets présents dans le dictionnaire ;
 contient des caractères de chacun des quatre groupes suivants.

Groupe Exemples

Lettres majuscules A, B, C...


Lettres minuscules a, b, c...
Chiffres 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Symboles du clavier (tous les
caractères du clavier qui ne sont
pas définis comme des lettres
ou des chiffres)
‘~!@#$%^&*()_+-={}|[]/:";’
<>?,.\

J*p2leO4>F est un exemple de mot de passe efficace.

3. Fermez la session.
4. Testez le compte d’utilisateur que vous venez de créer en ouvrant une session à partir de
ce compte.
5. Fermez la session.

Scénario

B.salim 76
Northwind Traders teste actuellement les fonctionnalités avancées de Active Directory. Votre
équipe est chargée de créer des comptes d’utilisateurs dans l’unité d’organisation IT Test.
L’équipe de test utilise ces comptes. Chaque membre de votre équipe doit en créer cinq.

Application pratique : Création d’un compte d’utilisateur de domaine à l’aide de la


commande Exécuter en tant que

Créer un compte d’utilisateur de domaine à l’aide de la commande Exécuter en tant que

1. Ouvrez une session sur l’ordinateur du stagiaire en utilisant le compte


NomOrdinateurUser.
2. Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
3. Dans la console Utilisateurs et ordinateurs Active Directory, développez Nwtraders.msft.
4. Cliquez avec le bouton droit sur l’unité d’organisation IT Test, pointez sur Nouveau, puis
cliquez sur Utilisateur.
5. Ajoutez un compte d’utilisateur à l’unité d’organisation IT Test avec les paramètres
suivants :
a. Prénom : Utilisateur1
b. Nom : votre nom (exemple : Simon)
c. Nom d’ouverture de session de l’utilisateur : Utilisateur1 suivi des trois
premières lettres de votre nom (exemple : Utilisateur1Sim)
d. Mot de passe : P@ssw0rd
6. Effectuez de nouveau les opérations de l’étape 5 et créez quatre comptes d’utilisateurs
supplémentaires. Exemple : Utilisateur2Sim, Utilisateur3Sim, Utilisateur4Sim,
Utilisateur5Sim
7. Fermez toutes les fenêtres.

Scénario

Northwind Traders teste actuellement les fonctionnalités avancées de Active Directory. Votre
équipe est chargée de créer des comptes d’utilisateurs dans l’unité d’organisation IT Test.
L’équipe de test utilise ces comptes. Chaque membre de votre équipe doit en créer cinq.

Application pratique : Utilisation d’une ligne de commandes

Créer un compte d’utilisateur de domaine à l’aide de la commande dsadd

1. Cliquez sur Démarrer et Exécuter, tapez runas /user:nwtraders\NomOrdinateurAdmin


cmd, puis cliquez sur OK.
2. Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd et appuyez sur
Entrée.
3. À l’invite de commandes, tapez la commande suivante :

dsadd user "cn=Utilisateur6TroisPremièresLettresDuNom,


ou=it test,dc=nwtraders,dc=msft" -samid TroisPremièresLettresDuNom -
pwd P@ssw0rd

Exercice 2 : Création d’un compte d’ordinateur

Objectif

Dans cette application pratique, vous allez créer des comptes d’ordinateurs.

B.salim 77
Instructions

Avant de commencer cette application pratique :

 Ouvrez une session sur le domaine en utilisant le compte


 NomOrdinateurUser.
 Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
 Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.

Scénario

Les ingénieurs système de Northwind Traders testent certaines des fonctionnalités avancées de
Active Directory. Chaque membre de votre équipe doit créer cinq comptes d’ordinateurs dans
l’unité d’organisation IT Test.
Application pratique : Création d’un compte d’ordinateur

Créer un compte d’ordinateur

1. Dans la console Utilisateurs et ordinateurs Active Directory, développez nwtraders.msft,


puis cliquez sur l’unité d’organisation IT Test.
2. Créez un compte d’ordinateur avec les paramètres suivants :
a. Nom de l’ordinateur : NomOrdinateur001
b. Nom d’ordinateur (antérieur à Windows 2000) : NomOrdinateur001
3. Effectuez de nouveau les opérations de l’étape 2 pour les noms d’ordinateurs suivants :
NomOrdinateur002, NomOrdinateur003, NomOrdinateur004
4. Fermez toutes les fenêtres.

Scénario

Les ingénieurs système de Northwind Traders testent certaines des fonctionnalités avancées de
Active Directory. Chaque membre de votre équipe doit créer cinq comptes d’ordinateurs dans
l’unité d’organisation IT Test.

Application pratique : Utilisation d’une ligne de commandes

Créer un compte d’ordinateur à l’aide de la commande dsadd

1. Cliquez sur Démarrer et sur Exécuter, puis tapez runas


/user:nwtraders\NomOrdinateurAdmin cmd.
2. Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd et appuyez sur
Entrée.
3. À l’invite de commandes, tapez la commande suivante :

dsadd computer "cn=NomOrdinateur005,ou=ITTest,dc=nwtraders,dc=msft"

Exercice 3: Modification des propriétés des comptes d’utilisateurs et des


comptes d’ordinateurs

Objectif

B.salim 78
Dans cette application pratique, vous allez modifier les propriétés de comptes d’utilisateurs et de
comptes d’ordinateurs.

Instructions

Avant de commencer cette application pratique :

 Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


 Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
 Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.

Scénario

Les ingénieurs système de Northwind Traders travaillent à l’intégration d’Active Directory dans le
système de paie. Vous devez créer un utilisateur dans l’unité d’organisation IT Test et définir les
propriétés de comptes d’utilisateurs dont le système de paie se servira pour identifier les
utilisateurs. Parce qu’il s’agit d’un compte test, vous ne demanderez pas à l’utilisateur de changer
le mot de passe. De plus, étant donné que les ingénieurs système utiliseront ce compte
ultérieurement, vous devez le désactiver.

Application pratique : Modification des propriétés des comptes d’utilisateurs

Créer un compte d’utilisateur

1. Dans Utilisateurs et ordinateurs Active Directory, créez un compte d’utilisateur avec les
paramètres suivants :
 Prénom : NomOrdinateur (exemple : London)
 Nom : Payroll
 Nom complet : NomOrdinateur Payroll (exemple : London Payroll)
 Nom d’ouverture de session de l’utilisateur : NomOrdinateurPayroll (exemple :
LondonPayroll)
 Nom d’ouverture de session de l’utilisateur [pré-Windows 2000] :
NomOrdinateurPayroll (exemple : LondonPayroll)
 Mot de passe : P@ssw0rd
Modifier le compte d’utilisateur

2. Dans Utilisateurs et ordinateurs Active Directory, modifiez les paramètres suivants du


compte d’utilisateur NomOrdinateur Payroll :
 Description : Compte pour AD et Test Payroll
 Bureau : Payroll
 Numéro de téléphone : 973-555-0198
 Adresse de messagerie : NomOrdinateurPayroll@nwtraders.msft
 Titre : Payroll Test Account
 Service : Payroll Test
 Société : Payroll Test
 Gestionnaire : User0002
 Numéro de téléphone à Domicile : 555-0101

Scénario

B.salim 79
Les ingénieurs système de Northwind Traders veulent tester votre capacité à suivre et rechercher
les ressources informatiques en utilisant la propriété Emplacement d’un compte d’ordinateur.
Vous devez créer un compte d’ordinateur dans l’unité d’organisation IT Test et modifier la
propriété Emplacement pour qu’elle corresponde à l’emplacement de votre ville.

Application pratique : Modification des propriétés des comptes d’ordinateurs

Créer un compte d’ordinateur

 Dans Utilisateurs et ordinateurs Active Directory, créez le compte d’ordinateur


ServerNomOrdinateur (exemple : ServerLondon).

Modifier le compte d’ordinateur

 Dans Utilisateurs et ordinateurs Active Directory, remplacez la propriété Emplacement


du compte d’ordinateur ServerNomOrdinateur par NomOrdinateur.

Scénario

Les ingénieurs système de Northwind Traders modifient les comptes d’utilisateurs avec des outils
de ligne de commandes. Vous devez créer un utilisateur et modifier ses propriétés.

Application pratique : Utilisation d’une ligne de commandes pour modifier les comptes
d’utilisateurs

Ajouter un compte d’utilisateur

 À l’aide de la commande dsadd, ajoutez le compte d’utilisateur nommé


NomOrdinateurDsmod. Exemple : dsadd user "cn=londonDsmod,ou=it
test,dc=nwtraders,dc=msft"

Modifier le compte d’utilisateur

• À l’aide de la commande dsmod, modifiez les paramètres suivants du compte d’utilisateur :


 Prénom : NomOrdinateur
 Nom : Dsmod
 Nom complet : NomOrdinateur Dsmod
 Nom d’ouverture de session de l’utilisateur : NomOrdinateurDsmod
 Mot de passe : P@ssw0rd
 Description : Compte pour AD et Test Dsmod
 Bureau : DataCenter
 Numéro de téléphone : 555-0101
 Adresse de messagerie : NomOrdinateurDsmod@nwtraders.msft
 Titre : Compte Test Dsmod
 Service : Centre informatique
 Société : NWTraders
 Numéro de téléphone personnel : 555-0101
Exemple : dsmod user "cn=Londondsmod,ou=it test,dc=nwtraders,dc=msft"
-upn Londondsmod@nwtraders.msft -fn London -ln dsmod -display

B.salim 80
Londondsmod -office DataCenter -tel 555-0101 -title ITAdmin -dept
DataCenter -company NWTraders -hometel 555-0101

Scénario

Les ingénieurs système de Northwind Traders veulent tester votre capacité à suivre et rechercher
les ressources informatiques en utilisant la propriété Emplacement du compte d’ordinateur
Active Directory. Vous devez créer un compte d’ordinateur dans l’unité d’organisation IT Test et
modifier la propriété Emplacement en fonction de votre ville.

Application pratique : Utilisation d’une ligne de commandes pour modifier les comptes
d’ordinateurs

Ajouter un compte d’ordinateur

1. Cliquez sur Démarrer et sur Exécuter, puis tapez ensuite runas


/user:nwtraders\NomOrdinateurAdmin cmd.
2. Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd et appuyez sur
Entrée.
3. À l’invite de commandes, ajoutez, à l’aide de dsadd, un compte d’ordinateur avec les
paramètres suivants :
 Nom de l’ordinateur : dsmod NomOrdinateur
 Unité d’organisation : IT Test

Exemple : dsadd computer "cn=dsmodlondon,ou=it test,dc=nwtraders,dc=msft"

Modifier l’attribut d’emplacement d’un compte d’ordinateur

 À l’aide de la commande dsmod, modifiez le compte d’ordinateur dsmodNomOrdinateur


avec l’attribut suivant :
• Emplacement : NomOrdinateur

Exemple : dsmod computer "cn=dsmodlondon,ou=it


test,dc=nwtraders,dc=msft" -loc London

Exercice 4: Création d’un modèle de compte d’utilisateur

Objectif

Dans cette application pratique, vous allez créer et copier un modèle de compte d’utilisateur.
Instructions

Avant de commencer cette application pratique :

• Ouvrez une session dans le domaine en utilisant le compte NomOrdinateurUser.


• Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
• Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.

Scénario

B.salim 81
Votre responsable vous demande de rechercher les valeurs à copier à partir d’un modèle de
compte. Vous devez créer un modèle de compte avec les paramètres suivants, copier le compte
dans un compte d’utilisateur et documenter les variables qui ont été copiées ainsi que celles qui
ne l’ont pas été.

Application pratique : Création d’un modèle de compte d’utilisateur

Créer un modèle de compte d’utilisateur

• Créez un modèle de compte d’utilisateur avec les paramètres suivants :

Paramètre Propriétés Exemple


Prénom NomOrdinateur London
Nom Template
Nom complet NomOrdinateur Template London Template
Nom d’ouverture de NomOrdinateurTemplate LondonTemplate
session de l’utilisateur

Mot de passe P@ssw0rd

Modifier le modèle de compte d’utilisateur

• Modifiez les paramètres suivants du compte d’utilisateur NomOrdinateur Template.

Paramètre Propriétés Exemple


Description Telemarketing User
Bureau Télémarketing
Numéro
555-1000
de téléphone
NomOrdinateurTemplate@ LondonTemplate@
Adresse de messagerie
nwtraders.msft nwtraders.msft
Ville Redmond
Adresse One Microsoft Way
Département ou région Washington
Code postal 98052
3. Procéder à une récupération suite à l’altération 2. Procéder à une récupération suite à
d’un fichier de démarrage.Instructions l’altération d’un registre.Legal Pool 20 Exec
spécifiques1. Ouvrir une session sur Printer 18 192.168.239.50
votre ordinateur.Que devez-vous faire
pour récupérer de cette situation
d’urgence ?2. Installer le logiciel. Ouvrez

B.salim 82
une session sur le domaine avec le compte
de l’administrateur.a. Redémarrez votre
ordinateur, puis appuyez sur F8 pour
ouvrir le menu d’options avancées de
Windows.Que devez-vous faire pour
récupérer de cette situation d’urgence ?À
partir de l’Explorateur Windows, accédez à
C:\MOC\2149\Labfiles\Lab07 puis double-
cliquez sur inst_01.bat1. Installer le
logiciel.Instructions spécifiquesOuvrez une
session sur le domaine avec le compte de
l’administrateur.Instructions spécifiques1.
Ouvrir une session sur votre
ordinateur.Dernière étape de l’Assistant
Sauvegarde Terminer Planification
Paramétrez l’heure de début pour qu’elle
commence dans 5 minutes. Définition des
informations de compte Exécuter en tant
que : Vérifier les données après la
Parcourir Enregistrer sous Type, nom et
destination de la Qu’est-ce que
NomOrdinateurUser essayait de faire ?
Outil : DSRMVérifiez que l’ordinateur
NomOrdinateur figure dans l’unité
d’organisation
Locations/NomOrdinateur/Computers.4.
Vérifier que le compte d’ordinateur
correspondDéveloppez toutes les unités
d’organisation de
Locations/NomOrdinateur et désactivez le
blocage de l’héritage de toutes les unités
d’organisation secondaires.3. Désactiver
Bloquer l’héritage. Nom du modèle :
NomOrdinateur Modèle de serveur.inf 2.
Importer un modèle de sécurité dans un
objet de stratégie de groupe. Unité
d’organisation à lier à l’objet de stratégie
de groupe :
Locations/NomOrdinateur/ComputersInstr
uctions spécifiques1. Créer et relier un
objet de stratégie de groupe. Nom du
journal d’analyse : NomOrdinateur Test de
sécurité.log2. Analyser le serveur. Nom de
la base de données : NomOrdinateur Test
de sécurité1. Créer une base de données
initiale de configuration et d’analyse.

B.salim 83
Enregistrez le modèle NomOrdinateur
Modèle de serveur.3. Définir les propriétés
du journal des événements. Activez les
stratégies d’audit des échecs suivantes :1.
Créer un modèle de sécurité personnalisé.
Instructions spécifiques4. Définissez la
priorité de l’imprimantePriorité : 102.
Configurez la planification d’impression
de l’imprimante NomOrdinateur Report.a.
Nom de l’imprimante : NomOrdinateur
ReportLegal Pool 23 192.168.3.70
192.168.3.71 London/Build 2/Fl 1 Room
22 Legal Pool 21 TunisAdmin
TokyoAdmin 192.168.3.66 192.168.3.67
SuvaAdmin 192.168.3.64 192.168.3.65
London/Build 2/Fl 2 Room 20
192.168.3.62 192.168.3.63 London/Build
2/Fl 1 Room 19 Legal Pool 19
London/Build 2/Fl 1 Room 18 Legal Pool
18 Legal Pool 17
SingaporeAdminSantiagoAdmin192.168.3.
58 192.168.3.59 PerthAdmin 192.168.3.56
192.168.3.57 London/Build 2/Fl 1 Room
16 NairobiAdmin 192.168.3.54
192.168.3.55 London/Build 2/Fl 1 Room
15 Legal Pool 15 Legal Pool 13
MoscowAdminLegal Pool 12 Legal Pool 8
LimaAdmin 192.168.3.42 192.168.3.43
London/Build 2/Fl 1/Room 09 Legal Pool
9 LisbonAdmin192.168.3.44 192.168.3.45
London/Build 2/Fl 1/Room 10 Legal Pool
10 Legal Pool 5 CasablancaAdmin
BrisbaneAdmin192.168.3.30 192.168.3.31
London/Build 2/Fl 1/Room 03 Legal Pool
3 London/Build 2/Fl 1/Room 02 Legal
Pool 2 Emplacement Nom de l’imprimante
et du partage a. Accordez l’autorisation
d’impression au groupe DL NWTraders
Legal Personnel Print.5. Configurer la
sécurité.a. Dans le dossier Imprimantes et
télécopieurs de Glasgow, cliquez sur
Ajouter une imprimante.3. Créer une
imprimante à utiliser comme pool2. Créer
les ports des périphériques d’impression.a.
Dans le champ Exécuter, tapez \\glasgow,
puis cliquez sur OK.Instructions

B.salim 84
spécifiques1. Se connecter au serveur
d’impression Glasgow.192.168.3.22
London/Build 2/Fl 1 Legal Printer 22
TunisAdmin 192.168.5.12 London/Build 3
Exec Printer 12 TunisAdmin 192.168.3.12
London/Build 2/Fl 1 Legal Printer 12
VancouverAdmin 192.168.5.2
London/Build 3 Exec Printer 02
VancouverAdmin 192.168.3.2
London/Build 2/Fl 1 Legal Printer 02
London/Build 3 Exec Printer 22 Legal
Printer 16 TokyoAdmin SuvaAdmin
192.168.3.16 SuvaAdmin 192.168.5.16
London/Build 3 London/Build 3 Exec
Printer 17 SingaporeAdmin 192.168.5.10
London/Build 3 SantiagoAdmin
192.168.3.8 London/Build 2/Fl 1 Legal
Printer 08 Legal Printer 03 SantiagoAdmin
Legal Printer 24 PerthAdmin 192.168.5.03
London/Build 3 Exec Printer 03
PerthAdmin 192.168.3.3 192.168.3.24
London/Build 3 NairobiAdmin Legal
Printer 18 192.168.3.18 London/Build 3
MoscowAdmin 192.168.3.20
London/Build 2/Fl 1 Legal Printer 20 Port
de périphérique d’impression
Emplacement Nom de l’imprimante et du
partage AcapulcoAdmin 192.168.5.13
London/Build 3 Exec Printer 13
AcapulcoAdmin 192.168.3.13
London/Build 2/Fl 1 Legal Printer 13
AucklandAdmin 192.168.5.15
London/Build 3 Exec Printer 15
AucklandAdmin 192.168.3.15
London/Build 2/Fl 1 Legal Printer 15
BangaloreAdmin 192.168.5.9
London/Build 3 Exec Printer 09
BangaloreAdmin 192.168.3.9
London/Build 2/Fl 1 Legal Printer 09
BonnAdmin 192.168.5.6 London/Build 3
Exec Printer 06 BonnAdmin 192.168.3.6
London/Build 2/Fl 1 Legal Printer 06
BrisbaneAdmin 192.168.5.4 London/Build
3 Exec Printer 04 BrisbaneAdmin
192.168.3.4 London/Build 2/Fl 1 Legal
Printer 04 CaracasAdmin 192.168.5.19

B.salim 85
London/Build 3 Exec Printer 19
CaracasAdmin 192.168.3.19 London/Build
2/Fl 1 Legal Printer 19 CasablancaAdmin
192.168.5.11 London/Build 3 Exec Printer
11 CasablancaAdmin 192.168.3.11
London/Build 2/Fl 1 Legal Printer 11
DenverAdmin 192.168.5.25 London/Build
3 Exec Printer 25 DenverAdmin
192.168.3.25 London/Build 2/Fl 1 Legal
Printer 25 KhartoumAdmin 192.168.5.23
London/Build 3 Exec Printer 23
KhartoumAdmin 192.168.3.23
London/Build 2/Fl 1 Legal Printer 23
LimaAdmin 192.168.5.7 London/Build 3
Exec Printer 07 LimaAdmin 192.168.3.7
London/Build 2/Fl 1 Legal Printer 07
LisbonAdmin 192.168.5.5 London/Build 3
Exec Printer 05 LisbonAdmin 192.168.3.5
London/Build 2/Fl 1 Legal Printer 05
ManilaAdmin 192.168.5.21 London/Build
3 Exec Printer 21 ManilaAdmin
192.168.3.21 London/Build 2/Fl 1 Legal
Printer 21 MiamiAdmin 192.168.5.14
London/Build 3 Exec Printer 14
MiamiAdmin 192.168.3.14 London/Build
2/Fl 1 Legal Printer 14 MontevideoAdmin
192.168.5.20 London/Build 3 Exec Printer
20 3. Fermer toutes les fenêtres et la
session.a. Accordez l’autorisation
Imprimer au groupe Utilisateurs
authentifiés.4. Définir les autorisations de
l’imprimante Exec.Accordez l’autorisation
Imprimer au groupe DL NWTraders Legal
Personnel Print.3. Définir les autorisations
de l’imprimante Legal.Dans le tableau
figurant à la fin de l’atelier, recherchez
votre compte de stagiaire, créez deux
imprimantes réseau dans Glasgow avec le
port de périphérique d’impression et
partagez les noms.2. Créer deux
imprimantes dans Glasgow.a. Dans la zone
Exécuter, tapez \\glasgow, puis cliquez sur
OK.1. Se connecter au serveur
d’impression Glasgow.Santiago Sales
Printer Santiago 192.168.81.0/24 Santiago
Santiago IT Datacenter Printer

B.salim 86
192.168.79.0/24 Singapore Sales Printer
Singapour 192.168.101.0/24 Singapore
Singapore IT Datacenter Printer
192.168.99.0/24 Stockholm Sales Printer
Stockholm 192.168.171.0/24 Stockholm
Stockholm IT Datacenter Printer
192.168.169.0/24 Suva Sales Printer Suva
192.168.161.0/24 Suva Suva IT Datacenter
Printer 192.168.159.0/24 Tokyo Sales
Printer Tokyo 192.168.221.0/24 Tokyo
Tokyo IT Datacenter Printer
192.168.219.0/24 Tunis Sales Printer
Tunis 192.168.121.0/24 Tunis Tunis IT
Datacenter Printer 192.168.119.0/24
Vancouver Sales Printer Vancouver
192.168.11.0/24 Vancouver Vancouver IT
Datacenter Printer 192.168.9.0/24 Moscow
Moscow IT Datacenter Printer
192.168.179.0/24 Nairobi Sales Printer
Nairobi 192.168.241.0/24 Nairobi Nairobi
IT Datacenter Printer 192.168.239.0/24
Montevideo Sales Printer Montevideo
192.168.201.0/24 Montevideo Montevideo
IT Datacenter Printer 192.168.199.0/24
Nom du partage d’imprimante Sous-réseau
Acapulco Sales Printer Acapulco
192.168.131.0/24 Acapulco Acapulco IT
Datacenter Printer 192.168.129.0/24
Auckland Sales Printer Auckland
192.168.151.0/24 Auckland Auckland IT
Datacenter Printer 192.168.149.0/24
Bangalore Sales Printer Bangalore
192.168.91.0/24 Bangalore Bangalore IT
Datacenter Printer 192.168.89.0/24 Bonn
Sales Printer Bonn 192.168.61.0/24 Bonn
Bonn IT Datacenter Printer
192.168.59.0/24 Brisbane Sales Printer
Brisbane 192.168.41.0/24 Brisbane
Brisbane IT Datacenter Printer
192.168.39.0/24 Caracas Sales Printer
Caracas 192.168.191.0/24 Caracas Caracas
IT Datacenter Printer 192.168.189.0/24
Casablanca Sales Printer Casablanca
192.168.111.0/24 Casablanca Casablanca
IT Datacenter Printer 192.168.109.0/24
Denver Sales Printer Denver

B.salim 87
192.168.21.0/24 Denver Denver IT
Datacenter Printer 192.168.19.0/24
Khartoum Khartoum Sales Printer
192.168.231.0/24 Khartoum Khartoum IT
Datacenter Printer 192.168.229.0/24 Lima
Sales Printer Lima 192.168.71.0/24 Lima
Lima IT Datacenter Printer
192.168.69.0/24 Lisbon Sales Printer
Lisbonne 192.168.51.0/24 Lisbon Lisbon
IT Datacenter Printer 192.168.49.0/24
Manila Sales Printer Manille
192.168.59.0/24 Manila Manila IT
Datacenter Printer 192.168.211.0/24 Sous-
réseau Emplacement Sous-réseau
Auckland Sales Printer Suva 192.168.9.50
Suva Sales Printer Stockholm
192.168.19.50 Stockholm Sales Printer
Moscow 192.168.29.50 Moscow Sales
Printer Caracas 192.168.39.50 Caracas
Sales Printer Montevideo 192.168.49.50
Montevideo Sales Printer Manila
192.168.59.50 Manila Sales Printer Tokyo
192.168.69.50 Tokyo Sales Printer
Khartoum 192.168.79.50 Khartoum Sales
Printer Nairobi 192.168.89.50 Nairobi
Sales Printer Adresse IP Nom de
l’imprimante partagée Vancouver
192.168.11.50 Vancouver Sales Printer
Denver 192.168.21.50 Denver Sales
Printer Perth 192.168.31.50 Perth Sales
Printer Brisbane 192.168.41.50 Brisbane
Sales Printer Lisbon 192.168.51.50 Lisbon
Sales Printer Bonn 192.168.61.50 Bonn
Sales Printer Lima 192.168.71.50 Lima
Sales Printer Santiago 192.168.169.50
Santiago Sales Printer Bangalore
192.168.179.50 Bangalore Sales Printer
Singapore 192.168.189.50 Singapore Sales
Printer Casablanca 192.168.199.50
Casablanca Sales Printer Tunis
192.168.209.50 Tunis Sales Printer
Acapulco192.168.219.50 Acapulco Sales
Printer Miami 192.168.229.50 Miami
Sales Printer Activez la mise en cache pour
les fichiers que les utilisateurs ouvrent3.
Définir les paramètres de mise en cache

B.salim 88
horsAccordez l’autorisation de
modification à DL NomOrdinateur
Accounting Personnel Full Control2.
Définir les autorisations NTFS. Outil :
Gestion de l’ordinateur
(Glasgow)Informations détaillées1. Créer
un dossier partagé. Activez la mise en
cache automatique des documents3.
Définir les paramètres de mise en cache
horsAccordez l’autorisation de
modification à DL Marketing Personnel
Full Control2. Définir les autorisations
NTFS. Outil : Gestion de l’ordinateur
(Glasgow)Informations détaillées1. Créer
un dossier partagé. Supprimez les
paramètres de mise en cache hors
connexion3. Définir les paramètres de mise
cache hors connexion. Accordez
l’autorisation de modification à DL
Manufacturing Managers Full Control2.
Définir les autorisations NTFS. Outil :
Gestion de l’ordinateur
(Glasgow)Informations détaillées1. Créer
un dossier partagé. Groupe Autorisations
spéciales NTFS D:\Public Utilisateurs
authentifiés Parcourir le dossier / Exécuter
le fichier Affichage du contenu du dossier /
lecture des données Autorisation de lecture
NomOrdinateur\Administrateurs Contrôle
total D:\Public\Accounting DL NWTraders
Accounting Personnel Full Control
Contrôle total
NomOrdinateur\Administrateurs Contrôle
total D:\Public\HR DL NWTraders HR
Personnel Full Control Contrôle total
NomOrdinateur\Administrateurs Contrôle
total Module 5 : Administration des accès
aux ressourcesa. Pour chaque groupe de
domaine local de personnel créé, ajoutez le
groupe local approprié pour le personnel.
Par exemple : ajoutez6. Ajouter des
membres au groupe de domaine local de
personnel.a. Pour chaque groupe de
domaine local de directeurs qui a été créé,
ajoutez le groupe local de directeurs
approprié. Par exemple : ajoutez5. Ajouter

B.salim 89
des membres aux groupes de domaine
local pour les directeurs.Créez les groupes
de domaine local suivants :4. Créer des
groupes de domaine local qui seronta.
Recherchez tous les utilisateurs de la ville
NomOrdinateur et ajoutez les au groupe G
Marketing personnel.3. Rechercher les
utilisateurs qui font partie du personnel et
les ajouter aux groupes globaux des
employés.a. Recherchez tous les directeurs
du marketing dans l’unité d’organisation
de la ville NomOrdinateur et ajoutez-les au
groupe G NomOrdinateur Marketing
Managers.2. Rechercher les utilisateurs qui
sont directeurs et les ajouter aux groupes
globaux des
directeurs.Nwtraders.msft/Locations/Nom
Ordinateur/UsersInstructions spécifiques1.
Rechercher des comptes d’utilisateurs
désactivés dans l’emplacement
suivantNwtraders.msft/Locations/NomOrd
inateur/Computers2. Transférer des
comptes d’ordinateurs vers l’emplacement
suivantPoint de départ pour la recherche :
nwtraders.msftInstructions spécifiques1.
Rechercher des comptes d’ordinateurs à
l’aide des critères suivants de recherche
avancéeNwtraders.msft/Locations/NomOr
dinateur/Users2. Transférer des comptes
d’utilisateurs versPoint de départ pour la
recherche : nwtraders.msft1. Rechercher
des comptes d’utilisateurs à l’aide des
critères suivants de recherche
avancéeInstructions spécifiquesCréez les
comptes dans l’unité d’organisation
nwtraders.msft/Locations/NomOrdinateur/
Computers/Laptops.2. Créer cinq
ordinateurs portablesCréez les comptes
dans l’unité d’organisation
nwtraders.msft/Locations/NomOrdinateur/
Computers/Desktops.1. Créer cinq
ordinateurs de bureauVille :
NomOrdinateur2. Modifier les comptes
d’utilisateursCréez les comptes
d’utilisateurs dans l’unité d’organisation
nwtraders.msft/Locations/NomOrdinateur/

B.salim 90
Users.1. Créer des comptes
d’utilisateurs.Instructions
spécifiquesPropriétés Exemple Prénom
NomOrdinateurLondon Nom User Nom
complet NomOrdinateurUserLondonUser
Nom d’ouverture de session de l’utilisateur
NomOrdinateurTemplate LondonTemplate
Mot de passe P@ssw0rd Le compte est
désactivé G NWTraders 555-0101 Titre
Utilisateur Télémarketing Service
Telemarketing Société NWTraders
Gestionnaire User0001 Membre de
Numéro de

Exercice 5 : Récupération suite à


l’altération d’un registre (deuxième partie)

Dans cet exercice, vous allez rétablir le


fonctionnement d’une souris qui ne répond
pas. Ce problème est dû à l’installation d’un
logiciel qui a modifié le registre.

Tâches

b. Sélectionnez l’option que vous pouvez


utiliser pour procéder à une récupération
quand un registre est endommagé.

Utilisez l’Explorateur Windows pour vérifier


que D:\MOC3.bkf est créé.
Fermez toutes les fenêtres et fermez la
session.

Exercice 5 : Comment restaurer des


fichiers ou des dossiers avec l’utilitaire de
sauvegarde ?

Introduction

Dans l’utilitaire de sauvegarde, quand vous


cliquez sur l’onglet Restaurer et gérer le
média, les bandes, les fichiers et les jeux de
sauvegarde à partir desquels vous pouvez
restaurer les données s’affichent dans une

B.salim 91
arborescence.
Vous pouvez restaurer des jeux complets de
fichiers et de dossiers ou des fichiers et des
dossiers individuels.

Procédure

Pour restaurer des fichiers ou des dossiers


avec l’utilitaire de sauvegarde

Ouvrez l’utilitaire de sauvegarde puis, sur la


page d’accueil de l’Assistant Sauvegarde ou
Restauration, cliquez sur le lien Mode avancé.
Dans la fenêtre de l’Utilitaire de sauvegarde,
cliquez sur l’onglet Restaurer et gérer le
média.
Dans le volet gauche, développez Fichier,
développez le média désiré, puis cochez les
éléments à restaurer.
Dans la zone Restaurer les fichiers vers,
effectuez une des opérations suivantes :
Cliquez sur Emplacement d’origine pour
restaurer les fichiers et dossiers sauvegardés
dans le(s) dossier(s) où ils se trouvaient au
moment de la sauvegarde.
Cliquez sur Autre emplacement pour que les
fichiers et dossiers sauvegardés soient
restaurés dans le dossier que vous indiquez.
Cette option respecte la structure de dossiers
des données sauvegardées ; tous les dossiers
et sous-dossiers apparaissent dans l’autre
dossier que vous indiquez.
Cliquez sur Dossier unique pour que les
fichiers et dossiers sauvegardés soient
restaurés dans le dossier que vous indiquez.
Cette option ne conserve pas la structure de
dossiers des données sauvegardées ; les
fichiers n’apparaissent que dans le dossier que
vous indiquez.
Si vous avez sélectionné Autre emplacement
ou Dossier unique, tapez un chemin pour le
dossier sous Autre emplacement, ou cliquez
sur Parcourirpour trouver le dossier.
Dans le menu Outils, cliquez sur Options
puis, sur l’onglet Restaurer, effectuez une des
opérations suivantes :
Cliquez sur Ne pas remplacer les fichiers
sur mon ordinateur.
Cliquez sur Remplacer les fichiers sur le
disque seulement s’ils sont moins récents.
Cliquez sur Toujours remplacer les fichiers
sur mon ordinateur.
Cliquez sur OK pour accepter les options de
restauration que vous avez définies.

Exercice 6 : Comment récupérer les

B.salim 92
données avec ASR suite à une défaillance
du serveur ?

Introduction

Pendant la sauvegarde, ASR crée une


disquette qui peut servir à restaurer les
signatures, volumes et partitions de disque sur
les disques nécessaires au démarrage de
l’ordinateur. Avec la disquette ASR, vous
pouvez procéder à une installation simplifiée
de Windows. L’utilitaire de sauvegarde
commence automatiquement à restaurer votre
système d’exploitation à l’aide de l’Assistant
Récupération automatique du système, dès
que l’installation simplifiée de Windows est
terminée.
Rappelez-vous qu’ASR ne restaure pas les
fichiers de données. Après avoir restauré le
système d’exploitation, vous pouvez restaurer
les fichiers de données à partir des fichiers de
sauvegarde créés pendant les sauvegardes
planifiées.

Procédure

Pour procéder à une récupération automatique


du système après une défaillance du serveur

Assurez-vous que vous disposez des éléments


suivants :
Disquette de récupération automatique du
système précédemment créée
Média de sauvegarde précédemment créé
CD-ROM d’installation du système
d’exploitation d’origine
Si vous utilisez un contrôleur de stockage de
masse et qu’un pilote mis à niveau (différent
du pilote du CD-ROM d’installation) est
disponible auprès du fabricant, procurez-vous
une disquette avec le pilote mis à jour avant
d’appliquer cette procédure.
Insérez le CD-ROM d’installation d’origine du
système d’exploitation dans le lecteur.
Redémarrez l’ordinateur. Si un message vous
le demande, appuyez sur une touche pour
démarrer l’ordinateur à partir du CD-ROM.
Si vous disposez d’un fichier de pilote distinct
tel que décrit à l’étape 1, utilisez-le pour
l’installation en appuyant sur F6 quand vous y
êtes invité.
Au début de la section en mode texte de
l’installation, appuyez sur F2 quand vous y
êtes invité. Vous êtes invité à insérer la
disquette de récupération automatique du
système que vous aviez précédemment créée.

B.salim 93
Suivez les instructions à l’écran.
Si vous disposez d’un fichier de pilote distinct
tel que décrit à l’étape 1, appuyez une
deuxième fois sur F6 lorsque vous y êtes
invité, après le redémarrage du système.
Suivez les instructions à l’écran.

Exercice 7 : Comment restaurer les


données sur l’état du système ?

Introduction

Quand vous restaurez les données sur l’état


du système, la version actuelle deces données
est remplacée par la version restaurée. Vous
ne pouvez pas choisir l’emplacement de
restauration de ces données. C’est l’utilitaire
de sauvegarde qui le détermine, en fonction de
l’emplacement du répertoire systemroot actif.

Procédure

Pour restaurer les données sur l’état du


système avec l’utilitaire de sauvegarde

Ouvrez l’utilitaire de sauvegarde puis, sur la


page d’accueil de l’Assistant Sauvegarde ou
Restauration, cliquez sur le lien Mode avancé.
Sous l’onglet Restaurer et gérer le média,
développez le média voulu, puis cochez la
case État du système.

Exercice 8: Restauration des données

Objectif

Dans cet exercice, vous allez restaurer des


données à partir d’un fichier de sauvegarde.

Scénario

Vous êtes l’administrateur système d’une unité


d’organisation appartenant à unvaste réseau.
Un responsable vous appelle en urgence car
un de ses utilisateurs a supprimé par accident
la plupart des fichiers d’un dossier de base de
données appelé VSS. Vous devez restaurer
les fichiers supprimés aussi vite que possible.

Restaurer des données à partir du fichier


de sauvegarde

Ouvrez une session sur le domaine en tant qu’


OrdinateurUser avec le mot de passe
P@ssw0rd.
Ouvrez l’Explorateur Windows, puis supprimez

B.salim 94
le dossier C:\MOC.
Lancez l’utilitaire de sauvegarde en utilisant
Exécuter en tant que, puis cliquez sur Mode
avancé.
Sous l’onglet Restaurer et gérer le média,
développez Fichier, développez MOC.bkf,
cochez C:, puis cliquez sur Démarrer.
Quand « La restauration est terminée. »
s’affiche dans la boîte de dialogue
Restauration en cours, cliquez sur Fermer,
puis fermez l’utilitaire de sauvegarde.
Dans l’Explorateur Windows, appuyez sur F5
pour actualiser l’écran, puis vérifiez que le
dossier MOC apparaît sous Disque local (C:).
Fermez toutes les fenêtres et fermez la
session.

Exercice 9 : Comment configurer des


clichés instantanés sur le serveur ?

Introduction

Par défaut, les clichés instantanés sont


désactivés. Vous pouvez les activer sur le
serveur en appliquant la procédure suivante,
mais ils ne sont activés sur l’ordinateur client
que lorsque le logiciel client pour les clichés
instantanés est installé sur cet ordinateur.
Avant de déployer les clichés instantanés de
dossiers partagés, il est recommandé de créer
un plan spécifiant l’emplacement et les limites
de stockage des clichés instantanés. La taille
de stockage par défaut équivaut à 10 pour
cent du volume source.

Procédure

Pour configurer les clichés instantanés

Dans Gestion de l’ordinateur (local), accédez à


l’arborescence de la console, cliquez avec le
bouton droit sur Dossiers partagés, pointez
sur Toutes les tâches, puis cliquez sur
Configurer les clichés instantanés.
Sélectionnez le volume où vous voulez activer
les clichés instantanés de dossiers partagés,
cliquez sur Activer, puis cliquez sur Oui en
réponse à l’invite pour activer les clichés
instantanés.

Exercice 10 : Comment afficher les


versions précédentes du logiciel client ?

Introduction

Avant qu’un utilisateur puisse afficher une

B.salim 95
version précédente d’un fichier ou d’un
dossier, vous devez installer le logiciel client
pour les clichés instantanés sur son
ordinateur. Utilisez les procédures suivantes
pour installer le logiciel client et afficher les
versions précédentes.

Procédure d’installation du logiciel client


pour les versions précédentes

Pour installer le logiciel client pour les clichés


instantanés sur un ordinateur client

Sur la ligne de commande, tapez


\windows\system32\clients\twclient
\x86\twcli32.msi et appuyez sur ENTRÉE.
Dans l’Assistant Client pour versions
précédentes, cliquez sur Terminer.

Procédure d’affichage des versions


précédentes

Pour afficher la version précédente d’un fichier


ou d’un dossier

Dans le menu Démarrer, cliquez sur


Exécuter.
Dans la boîte de dialogue Exécuter, tapez
\\Nomordinateur\Share (où Nomordinateur est
le nom du serveur qui héberge les clichés
instantanés).
Cliquez avec le bouton droit sur un fichier ou
un dossier, puis cliquez sur Propriétés.
Cliquez sur l’onglet Versions précédentes.

Exercice 11 : Comment planifier des clichés


instantanés ?

Introduction

Vous pouvez planifier les clichés instantanés


pour disposer automatiquement de copies des
fichiers à des moments précis. Ces clichés
peuvent constituer une autre option pour la
sauvegarde des fichiers que vous pouvez
récupérer suite à une perte de données.

Procédure

Pour planifier les clichés instantanés

Dans Gestion de l’ordinateur, accédez à


l’arborescence de la console, cliquez avec le
bouton droit sur Dossiers partagés, pointez
sur Toutes les tâches, puis cliquez sur
Configurer les clichés instantanés.

B.salim 96
Sous Sélectionnez un volume, cliquez sur le
volume pour lequel vous voulez planifier les
clichés instantanés, puis cliquez sur
Paramètres.
Dans la boîte de dialogue Paramètres, cliquez
sur Planifier, puis modifiez les paramètres.

Exercice 12 : Comment restaurer une


version précédente ?

Introduction

Vous pouvez restaurer les données de


versions précédentes de fichiers et de
dossiers, à condition que le logiciel client soit
installé sur un ordinateur qui exécute Windows
XP (client) ou Windows Server 2003, et que
vous ayez configuré les volumes pour lesquels
vous voulez créer des clichés instantanés.

Procédure

Pour restaurer des clichés instantanés

Dans l’Explorateur Windows, localisez le


fichier ou le dossier que vous voulez restaurer,
cliquez avec le bouton droit sur l’icône, puis
cliquez sur Propriétés.
Sous l’onglet Versions précédentes de la
boîte de dialogue Propriétés, sélectionnez la
version à restaurer, puis cliquez sur
Restaurer.

Exercice 13: Configuration des clichés


instantanés

Objectif

Dans cet exercice, vous allez effectuer les


tâches suivantes :
Configurer des clichés instantanés
Installer le logiciel client pour les versions
précédentes
Restaurer des versions précédentes

Scénario

Vous êtes l’administrateur système d’une unité


d’organisation appartenant à un vaste réseau.
Les utilisateurs qui travaillent avec des
dossiers partagés sur le serveur
départemental se plaignent souvent de
rencontrer des fichiers endommagés par
d’autres utilisateurs.
Par exemple, un utilisateur travaillant sur une
présentation Microsoft PowerPoint demande à

B.salim 97
un collègue de vérifier la présentation. Au
terme de cette vérification, l’utilisateur rouvre
le fichier et s’aperçoit que certaines
diapositives sont endommagées ou
manquantes. Le service informatique ne peut
pas restaurer le fichier, et l’utilisateur doit donc
recréer les diapositives manquantes. Pour
fournir aux utilisateurs un moyen de récupérer
des versions précédentes de leur travail, vous
décidez de configurer un cliché instantané du
dossier partagé pour résoudre le problème.

Configuration de clichés instantanés

Configurer des clichés instantanés sur le


lecteur C

Ouvrez une session sur le domaine en tant qu’


OrdinateurUser avec le mot de passe
P@ssw0rd.
Dans la boîte de dialogue Exécuter, utilisez la
commande runas pour démarrer Gestion de
l’ordinateur avec les privilèges
d’administrateur, en tapant : runas
/user:nwtraders\administrateur «mmc
%windir%\system32\compmgmt.msc»
Développez Gestion de l’ordinateur,
développez Outils système, cliquez avec le
bouton droit sur Dossiers partagés, pointez
sur Toutes les tâches, puis cliquez sur
Configurer les clichés instantanés.
Activez les clichés instantanés pour le volume
C:\.
Cliquez sur Paramètres, cliquez sur Planifier,
cliquez sur Avancé, planifiez la réalisation de
clichés instantanés chaque minute de chaque
jour, puis enregistrez vos modifications.
Dans Gestion de l’ordinateur, développez
Dossiers partagés, cliquez avec le bouton
droit sur Partages et cliquez ensuite sur
Nouveau partage.
Partagez le dossier
C:\MOC\2149\Practices\Mod07 en tant que
Mod07.
Dans Gestion de l’ordinateur, cliquez sur
Partages, cliquez avec le bouton droit sur
Mod07, puis cliquez sur Propriétés.
Accordez à OrdinateurUser le contrôle total du
dossier Mod07 pour les autorisations de
partage et NTFS.

Installation du logiciel client pour les


versions précédentes

Installer le logiciel client pour les versions


précédentes

B.salim 98
En utilisant runas, démarrez une invite de
commandes avec les privilèges
d’administrateur.
Installez le logiciel client pour les versions
précédentes, qui réside dans
windows\system32\clients\twclient\x86\twcli32.
msi.

Restauration d’une version précédente

Restaurer une version précédente

Ouvrez la boîte de dialogue Exécuter.


Ouvrez Mod07 en utilisant la convention de
dénomination universelle (UNC, Universal
Naming Convention) pour votre ordinateur, en
tapant \\Ordinateur\Mod07 puis en appuyant
sur ENTRÉE.
Ouvrez le dossier Test, puis ouvrez le fichier
Shadow.txt.
Sur la première ligne, remplacez « Best
practices » par « texte modifié ».
Enregistrez votre travail, puis fermez
Shadow.txt.
Ouvrez la boîte de dialogue Propriétés pour
Shadow.txt.
Sous l’onglet Versions précédentes,
restaurez la version précédente du fichier, puis
fermez la boîte de dialogue.
Ouvrez Shadow.txt et vérifiez que « Best
practices » figure bien sur la première ligne de
la version restaurée du fichier.
Fermez toutes les fenêtres et fermez la
session.

Exercice 14 : Comment démarrer un


système avec le mode sans échec et la
dernière bonne configuration connue ?

Objectif

Les options Mode sans échec et Dernière


bonne configuration connue chargent un jeu
minimal de pilotes. Vous pouvez les utiliser
pour démarrer Windows de façon à modifier le
registre ou charger ou supprimer des pilotes.

Procédure de démarrage d’un système en


mode sans échec

Pour démarrer le système avec le mode sans


échec

Redémarrez l’ordinateur.
Quand le message « Choisissez le système

B.salim 99
d’exploitation à démarrer » s’affiche, appuyez
sur F8.
Utilisez les touches de direction pour mettre en
surbrillance l’option de mode sans échec
appropriée, puis appuyez sur ENTRÉE.
Utilisez les touches de direction pour mettre en
surbrillance un système d’exploitation, puis
appuyez sur ENTRÉE.

Procédure de démarrage d’un système


avec la dernière bonne configuration
connue

Pour démarrer le système avec la dernière


bonne configuration connue

Redémarrez l’ordinateur.
Quand le message « Choisissez le système
d’exploitation à démarrer » s’affiche, appuyez
sur F8.
Utilisez les touches de direction pour mettre en
surbrillance Dernière bonne configuration
connue, puis appuyez sur ENTRÉE.
Utilisez les touches de direction pour mettre en
surbrillance un système d’exploitation, puis
appuyez sur ENTRÉE.

Exercice 15 : Comment utiliser la console


de récupération ?

Introduction

Vous devez installer la console de


récupération sur le disque dur avant même
d’en avoir besoin. Cette installation s’effectue
à partir du CD-ROM Windows Server 2003.

Procédure d’installation de la console


derécupération

Pour installer la console de récupération

Dans l’invite de commandes, accédez au


dossier I386 du CD-ROM Windows Server
2003.
À l’invite, tapez winnt32 /cmdcons et appuyez
sur ENTRÉE.
Cliquez sur Oui, puis sur OK.
Procédure de démarrage et d’utilisation de
la console de récupération à partir du CD-
ROM d’installation

Pour démarrer et utiliser la console de


récupération à partir du CD-ROM d’installation
de Windows Server 2003

B.salim 100
Insérez le CD-ROM d’installation puis
redémarrez l’ordinateur à partir du lecteur de
CD-ROM.
Quand vous devez indiquer l’installation
Windows, tapez 1 et appuyez sur ENTRÉE.
Quand la partie texte de l’installation
commence, suivez les instructions ;
sélectionnez l’option de réparation ou de
récupération en appuyant sur R.
À l’invite, tapez le mot de passe de
l’administrateur.
À l’invite du système, tapez les commandes
appropriées de la console de récupération.
Pour quitter la console de récupération et
redémarrer l’ordinateur, tapez exit

Procédure de démarrage et d’utilisation de


la console de récupération à partir du
serveur

Pour démarrer et utiliser la console de


récupération à partir du menu de démarrage
du système d’exploitation sur le serveur

Démarrez l’ordinateur, sélectionnez Console


de récupération Microsoft Windows dans le
menu du chargeur de démarrage et appuyez
sur ENTRÉE.
Quand vous devez indiquer l’installation
Windows, tapez 1 et appuyez sur ENTRÉE.
Tapez le mot de passe du compte de
l’administrateur local et appuyez sur ENTRÉE.
À la ligne de commande, tapez help pour
afficher toutes les commandes disponibles.
Vous pouvez utiliser ces commandes pour
réparer le serveur.

Exercice 16 : Comment créer une disquette


de démarrage Windows ?

Introduction

Il pourrait arriver qu’il soit impossible de


démarrer Windows ou un autre système
d’exploitation sur votre ordinateur. Cela peut
se produire quand Windows est installé sur un
ordinateur doté d’un processeur Intel x86 et
que l’enregistrement de démarrage pour la
partition active ou les fichiers nécessaires au
démarrage de Windows sont endommagés.
Utilisez les procédures suivantes pour créer et
utiliser une disquette de démarrage Windows.
Cette disquette contient seulement les fichiers
nécessaires au démarrage du système
d’exploitation, le reste des fichiers système
Windows étant installé sur le disque dur.

B.salim 101
Procédure de création d’une disquette de
démarrage Windows

Pour créer une disquette de démarrage


Windows :

Insérez une disquette vierge dans le lecteur A.


Dans le menu Démarrer, cliquez sur
Explorateur Windows.
Dans l’Explorateur Windows, développez
Poste de travail.
Cliquez avec le bouton droit sur Disquette 3½
(A:) puis cliquez sur Formater.
Dans la boîte de dialogue Format 3 ½ Floppy
(A:), cliquez sur Formatage rapide, cliquez
sur Démarrer, puis cliquez sur OK.
Dans la boîte de dialogue Formatting 3 ½
Floppy (A:), cliquez sur OK, puis cliquez sur
Fermer.

Procédure de sauvegarde des fichiers de


démarrage

Pour sauvegarder les fichiers de démarrage


Windows Server 2003 sur la disquette de
démarrage Windows :
Dans l’Explorateur Windows, cliquez sur
Disque local (C:).
Dans le menu Outils, cliquez sur Options des
dossiers.
Sous l’onglet Affichage, désactivez la case à
cocher Masquer les fichiers protégés du
système d’exploitation (recommandé).
Dans la boîte Avertissement, cliquez sur Oui,
puis sur OK.
Copiez les fichiers suivants sur le lecteur A :
Boot.ini
Ntdetect.com
Ntldr
Si le fichier Bootsect.dos ou Ntbootdd.sys
réside dans la partition système, copiez-le
également sur la disquette de démarrage.

Ouvrez une invite de commandes, tapez attrib


.h .s .r a:\*.* et appuyez sur ENTRÉE.
Dans le menu Outils, cliquez sur Options des
dossiers.
Sous l’onglet Affichage, désactivez la case à
cocher Masquer les fichiers protégés du
système d’exploitation (recommandé), puis
cliquez sur OK.
Retirez la disquette du lecteur et appelez-la
Disquette de démarrage Windows.

Exercice 17: Récupération suite à une

B.salim 102
défaillance du serveur

Objectif

Dans cet exercice, vous allez apprendre à


procéder à une récupération suite à un
problème serveur en utilisant :
Mode sans échec
Dernière bonne configuration connue

Scénario

Vous êtes l’administrateur système d’une unité


d’organisation appartenant à un vaste réseau.
Vous installez un nouveau logiciel sur un
serveur. Au terme de l’installation, vous
redémarrez l’ordinateur. Après avoir ouvert
une session, vous constatez que l’ordinateur
fonctionne mal. Vous résoudrez ce problème à
l’aide de la dernière bonne configuration
connue et du mode sans échec.

Démarrer l’ordinateur à l’aide de la dernière


bonne configuration connue et du mode
sans échec

Ouvrez une session en tant qu’administrateur


avec le mot de passe P@ssw0rd.
Ouvrez la boîte de dialogue Exécuter, tapez
\MOC\2149\Practices\Mod07\install.bat et
cliquez sur OK.
Après le redémarrage de l’ordinateur, ouvrez
une session en tant qu’Administrateur.
Notez le fonctionnement inhabituel. Que fait
l’ordinateur ?
_____________________________________
_______________________
Quand l’ordinateur redémarre, utilisez la
dernière bonne configuration connue pour
démarrer Windows Server 2003.
Ouvrez une session en tant qu’administrateur.
Avez-vous corrigé le problème ? Pourquoi ?
_____________________________________
_______________________
Quand l’ordinateur redémarre, utilisez le mode
sans échec pour démarrer Windows Server
2003.
Ouvrez une session en tant qu’administrateur.
Avez-vous corrigé le problème ? Pourquoi ?
_____________________________________
_______________________
Dans le menu Démarrer, cliquez sur
Rechercher.
Dans la boîte de dialogue Résultats de la
recherche, recherchez tous les fichiers
bootme. Supprimez tous les fichiers bootme du

B.salim 103
dossier Windows.
Redémarrez l’ordinateur, puis ouvrez une
session en tant qu’administrateur. Que se
passe-t-il ?
_____________________________________
_______________________
Fermez la session, puis ouvrez une nouvelle
session. Le problème semble-t-il résolu ?
_____________________________________
_______________________

Atelier A : Gestion de la récupération en


cas d’urgence

Objectifs

À la fin de cet atelier, vous serez à même


d’effectuer les tâches suivantes :
Installer la console de récupération.
sauvegarder les données sur l’état du système
;
créer une disquette de démarrage Windows ;
procéder à une récupération suite à l’altération
d’un registre, à l’aide de la dernière bonne
configuration connue ;
procéder à une récupération suite à l’altération
d’un registre en restaurant les données sur
l’état du système ;
procéder à une récupération suite à l’altération
d’un fichier de démarrage en utilisant la
disquette de démarrage Windows.

Exercice 1 : Installation de la console de


récupération

Dans cet exercice, vous allez apprendre à


installer la console de récupération.

Tâches

nwtraders\administrateur
mot de passe : P@ssw0rd
Confirmer le mot de passe : P@ssw0rd
sauvegarde
sauvegarde

B.salim 104
Module 9 : Gestion de la récupération en
cas d’urgence

Exercice 1 : Comment sauvegarder les


données ?

Introduction

Vous pouvez vous servir de l’utilitaire de


sauvegarde pour faire des copies des données
les plus importantes de votre organisation et
des données sur l’état du système. Utilisez
l’Assistant Sauvegarde ou Restauration pour
sauvegarder ces fichiers sélectionnés. Avec
ASR, vous pouvez aussi sauvegarder tous les
fichiers, y compris les fichiers de programme
et les fichiers de données sur l’état du
système. Utilisez la commande ntbackup pour
créer un fichier de commandes et sauvegarder
les données sur l’état du système.

Procédure de sauvegarde des fichiers de


données ou des données sur l’état du
système avec l’utilitaire de sauvegarde

Pour sauvegarder des fichiers avec l’utilitaire


de sauvegarde

Dans le menu Démarrer, pointez


successivement sur Tous les programmes,
sur Accessoires, sur Outils système, puis
cliquez sur Utilitaire de sauvegarde.
Sur la page d’accueil de l’Assistant
Sauvegarde ou Restauration, cliquez sur le
lien Mode avancé.
Dans la boîte de dialogue Utilitaire de
sauvegarde, accédez à l’onglet Sauvegarder,

B.salim 105
puis au menu Tâche et cliquez sur Nouveau.
Sous Cochez les cases des lecteurs,
dossiers ou fichiers à sauvegarder,cliquez
sur la case en regard de chaque fichier ou
dossier que vous voulez sauvegarder, ou
cliquez sur la case en regard de System
State.
Dans la boîte Effectuer la sauvegarde vers,
effectuez une des opérationssuivantes :
Sélectionnez Fichier si vous voulez
sauvegarder les fichiers et les dossiers dans
un fichier.
Sélectionnez un lecteur de bandes.
Dans Nom du fichier ou média de
sauvegarde, effectuez une des opérations
suivantes :
Si vous sauvegardez les fichiers et les
dossiers dans un fichier, tapez le chemin et le
nom de ce fichier (.bkf) ou cliquez sur
Parcourir pour localiser un fichier.
Si vous sauvegardez les fichiers et les
dossiers sur une bande, choisissez la bande à
utiliser.
Pour sélectionner des options de sauvegarde,
cliquez sur Options dans le menu Outils, puis
sélectionnez les options, comme le Type de
sauvegarde et le Journal de sauvegarde.
Cliquez sur Démarrer, puis apportez les
modifications éventuellement nécessaires
dans la boîte de dialogue Informations sur la
sauvegarde.

Procédure de sauvegarde du système


d’exploitation et des données avec
l’Assistant Sauvegarde

Pour sauvegarder des fichiers avec l’Assistant


Sauvegarde ou Restauration

Dans le menu Démarrer, pointez


successivement sur Tous les programmes,
sur Accessoires, sur Outils système, puis
cliquez sur Utilitaire de sauvegarde.
Sur la page d’accueil de l’Assistant
Sauvegarde ou Restauration, cliquez sur
Suivant.
Sur la page Sauvegarder ou restaurer,
cliquez sur Sauvegarder des fichiers et des
paramètres, puis cliquez sur Suivant.
Sur la page Que voulez-vous sauvegarder ?,
cliquez sur Toutes les informations sur cet
ordinateur, puis cliquez sur Suivant.
Sur la page Type, nom et destination de la
sauvegarde, cliquez sur Parcourir.
Dans la boîte de dialogue Enregistrer sous,
dans Nom du fichier, tapez D:\Complete.bkf,

B.salim 106
puis cliquez sur Enregistrer.
Cliquez sur Suivant, puis sur Terminer.

Procédure de sauvegarde avec ASR

Pour stocker les fichiers de sauvegarde ASR


sur le disque

Dans le menu Démarrer, pointez


successivement sur Tous les programmes,
sur Accessoires, sur Outils système, puis
cliquez sur Utilitaire de sauvegarde.
Dans l’Assistant Sauvegarde ou Restauration,
cliquez sur Mode avancé.
Sous l’onglet Bienvenue !, cliquez sur
Assistant Récupération automatique du
système.
Dans la page Bienvenue !, cliquez sur
Suivant.
Dans la page Effectuer la sauvegarde vers,
sélectionnez Fichier dans la boîte Type du
média de sauvegarde, tapez C:\backup.bkf
dans la boîte Nom du fichier ou média de
sauvegarde, puis cliquez sur Suivant.
Cliquez sur Terminer puis, en réponse à
l’invite, insérez une disquette dans le lecteur A
et cliquez sur OK.
Quand un message vous invite à retirer la
disquette, cliquez sur OK, puis fermez toutes
les fenêtres.

Procédure de sauvegarde des données sur


l’état du système avec ntbackup

Pour sauvegarder des fichiers avec ntbackup

À l’invite de la ligne de commande, tapez :


ntbackup backup [systemstate] "@nom
fichier.bks " /J {"nom sauvegarde"}
[/P {"nom pool"}] [/G {"nom GUID"}] [/T { "nom
bande"}]
[/N {"nom média"}] [/F {"nom fichier"}] [/D
{"description jeu"}]
[/DS {"nom serveur"}] [/IS {"nom serveur"}]
[/A] [/V:{yes|no}]
[/R:{yes|no}] [/L:{f|s|n}] [/M {type sauvegarde}]
[/RS:{yes|no}]
[/HC:{on|off}] [/SNAP:{on|off}]

Exercice 2 : Sauvegarde des données

Objectif

Dans cet exercice, vous allez sauvegarder des


fichiers de données avec :

B.salim 107
l’utilitaire de sauvegarde ;
la commande ntbackup.

Scénario

Vous êtes l’administrateur système d’une unité


d’organisation appartenant à un vaste réseau.
Votre responsable compte sur vous pour
restaurer rapidement le dossier C:\MOC du
serveur départemental au cas où il serait
endommagé. La sauvegarde doit être stockée
sur D:\MOC.bkf.

Démarrage de l’utilitaire de sauvegarde


avec Exécuter en tant que

Démarrer l’utilitaire de sauvegarde via


Exécuter en tant que et sauvegarder un
dossier

Ouvrez une session sur le domaine en tant


que OrdinateurUser avec le mot de passe
P@ssw0rd (où Ordinateur est le nom de votre
ordinateur).
Ouvrez l’Explorateur Windows, puis le dossier
C:\Moc\2149\Practices\Mod03, puis supprimez
tous les fichiers swap.*
Dans le menu Démarrer, pointez
successivement sur Tous lesprogrammes,
sur Accessoires, sur Outils système, cliquez
sur Utilitaire de sauvegarde avec le bouton
droit, puis cliquez sur Exécuter en tant que.
Dans la boîte de dialogue Exécuter en tant
que, utilisez nwtraders\administrateur
comme nom de compte et le mot de passe
P@ssw0rd.
Cliquez sur Mode avancé, puis sur l’onglet
Sauvegarde, développez Disque local (C:),
puis cochez la case MOC.
Sauvegardez le dossier C:\MOC sur
D:\MOC.bkf.
Quand la sauvegarde est terminée, fermez
toutes les fenêtres.

Sauvegarde d’un dossier avec ntbackup

Sauvegarder un dossier avec ntbackup

Ouvrez une invite de commandes avec une


identité d’administrateur, à l’aide de la
commande runas.
Dans la fenêtre de commande, tapez :

B.salim 108
ntbackup backup C:\MOC /j ntbackup /f
d:\MOC2.bkf

Cette commande sauvegarde le dossier


C:\MOC sur D:\MOC2.bkf.

Quand la sauvegarde est terminée, fermez


toutes les fenêtres et fermez la session.

Exercice 3 : Comment planifier une


opération de sauvegarde ?

Introduction

Vous pouvez planifier des sauvegardes


régulières à l’aide de l’Assistant Sauvegarde
ou Restauration pour que vos données
archivées soient toujours à jour. Vous devez
avoir ouvert une session en tant
qu’administrateur ou opérateur de sauvegarde
pour planifier une opération de sauvegarde.

Procédure de planification d’une


sauvegarde avec l’Assistant Sauvegarde ou
Restauration

Pour planifier une opération de sauvegarde


avec l’Assistant Sauvegarde ou
Restauration

Ouvrez l’utilitaire de sauvegarde puis, sur la


page d’accueil de l’Assistant Sauvegarde ou
Restauration, cliquez sur le lien Mode avancé.
Dans la boîte de dialogue Utilitaire de
sauvegarde, accédez à Sauvegarder, puis au
menu Tâche et cliquez sur Nouveau.
Sous Cochez les cases des lecteurs,
dossiers ou fichiers à sauvegarder, cliquez
sur la case en regard de chaque fichier ou
dossier que vous voulez sauvegarder.
Dans la boîte Effectuer la sauvegarde vers,
effectuez une des opérations suivantes :
Sélectionnez Fichier si vous voulez
sauvegarder les fichiers et les dossiers dans
un fichier.
Sélectionnez un lecteur de bandes.
Pour sélectionner des options de sauvegarde,
cliquez sur Options dans le menu Outils, puis
sélectionnez les options, comme le type de
sauvegarde et le type de fichier journal.
Dans le menu Tâche, cliquez sur Enregistrer
les sélections pour enregistrer vos sélections
dans un fichier de sauvegarde.
Cliquez sur Démarrer, apportez les
modifications éventuellement nécessaires
dans la boîte de dialogue Informations sur la

B.salim 109
sauvegarde, puis cliquez sur Planification.
Dans la boîte de dialogue Définition des
informations de compte, entrez le nom
d’utilisateur et le mot de passe sous lesquels
vous voulez que la sauvegarde planifiée
s’exécute.
Dans la boîte de dialogue Options de travail
programmé, dans Nom de la tâche, tapez un
nom pour l’opération de sauvegarde planifiée
puis, sous l’onglet Données de planification,
cliquez sur Propriétés pour définir les
paramètres de date, d’heure et de fréquence
pour la sauvegarde planifiée.

Procédure de planification d’une


sauvegarde avec ntbackup

Pour planifier une sauvegarde avec ntbackup

Ouvrez le Bloc-notes.
Tapez la commande suivante : ntbackup
backup «C:» /j «Command line backup 1»/f
«d:\full.bkf»
Enregistrez le fichier sous le nom backup.bat.
Fermez le Bloc-notes.
Ouvrez une invite de commandes, puis tapez
la commande suivante : at 18:00
/every:M,T,W,TH,F backup.bat

Cette commande entraîne la sauvegarde du


lecteur C sur D:\full.bkf sur le serveur, à 18
heures chaque jour du lundi au vendredi.

Exercice 4: Planification d’une opération de


sauvegarde

Objectif

Dans cet exercice, vous allez planifier une


opération de sauvegarde avec l’Assistant
Sauvegarde ou Restauration.

Scénario

Vous êtes l’administrateur système d’une unité


d’organisation appartenant à un vaste réseau.
Votre responsable veut que vous planifiiez une
sauvegarde du dossier C:\MOC chaque soir à
23 heures 30. Vous voulez tester cette
opération pendant la journée pour vous
familiariser avec la planification des
sauvegardes.

Planifier une opération de sauvegarde avec


l’Assistant Sauvegarde

B.salim 110
Ouvrez une session sur le domaine en tant
qu’Administrateur avec le mot de passe
P@ssw0rd.
Démarrez l’utilitaire de sauvegarde.
Cliquez sur Mode avancé, puis sur Assistant
Sauvegarde.
Utilisez le tableau suivant pour sélectionner les
réponses appropriées.

Sur la page Assistant Sauvegarde


________________________

a. Ouvrez une invite de commandes avec


runas
b. runas /user:nwtraders\NomOrdinateurUser
cmd
c. Mot de passe : P@ssw0rd

Utilisez DSRM pour essayer de supprimer


l’ordinateur NomOrdinateur.
Dsrm
CN=NomOrdinateur,OU=Computers,OU=Nom
Ordinateur,
OU=Locations,DC=nwtraders,DC=msft

Vous devez obtenir le message d’erreur Accès


refusé.

Si NomOrdinateur ne figure pas dans l’unité


d’organisation
Locations/NomOrdinateur/Computers, placez-
le dans cet endroit.

à l’unité d’organisation appropriée.

Nom d’objet de stratégie de groupe :


NomOrdinateur Paramètres de sécurité

Exercice 3 : Déploiement d’un modèle


personnalisé à l’aide d’un objet de stratégie
de groupe

Dans cet exercice, vous allez importer un


modèle personnalisé dans un objet de
stratégie de groupe et déployer le modèle sur
votre ordinateur. Vous testerez ensuite votre
ordinateur pour déterminer si vous avez reçu

B.salim 111
l’objet.

Tâches

Modèle : NomOrdinateur Modèle de


serveur.inf

Exercice 2 : Test d’un modèle personnalisé

Dans cet exercice, vous allez comparer un


modèle de sécurité personnalisé à la stratégie
de sécurité actuelle de votre serveur.

Tâches

• Auditer les événements de connexion aux


comptes
• Auditer les événements de connexion

Activez les stratégies d’audit des


aboutissements et des échecs suivantes :
• Auditer la gestion des comptes
• Auditer l’accès aux objets
• Auditer les modifications de stratégie
• Auditer l’utilisation des privilèges
• Auditer les événements système

NomOrdinateur IT Datacenter Printer.

b. Nom du partage : NomOrdinateur Report


c. Port : LPT1
d. Fabricant et modèle : HP LaserJet 5si

Exercice 2 : Définition des priorités et de la


disponibilité des imprimantes

Dans cet exercice, vous allez définir les


priorités et la disponibilité des imprimantes.

Scénario

Le centre de données de votre ville imprime


les journaux d’événements sur l’imprimante de
votre serveur membre NomOrdinateur IT
Datacenter Printer. Ces journaux sont archivés
et ne sont pas utilisés le jour où les rapports
sont générés. Vous devez créer une autre
imprimante pour imprimer les rapports entre 18

B.salim 112
h et 6 h sur la nouvelle imprimante et le
personnel du service informatique peut
toujours imprimer sur l’imprimante existante.
L’imprimante que vous devez partager
s’appelle NomOrdinateur Report. Cette
imprimante est également connectée au port
LPT1. Affectez la priorité 50 à l’imprimante
NomOrdinateur IT Datacenter Printer et la
priorité 10 à l’imprimante NomOrdinateur
Report Printer. Vous pouvez conserver tous
les paramètres de sécurité par défaut de la
nouvelle imprimante et de l’imprimante
existante. Du fait que l’imprimante
NomOrdinateur Report Printer ne sera utilisée
que pour les rapports, vous n’avez pas à
implémenter un emplacement d’imprimante.

Tâches

Tableau des comptes des stagiaires

Compte de stagiaire
b. Supprimez le groupe Tout le monde

b. Dans le tableau des comptes des stagiaires,


recherchez votre compte de stagiaire, puis
créez une imprimante réseau dans Glasgow
avec
le port de périphérique d’impression,
l’emplacement et le nom d’imprimante
partagée figurant dans le tableau.

d’impression.

b. Dans \\glasgow, double-cliquez sur


Imprimantes et télécopieurs

Module 7 : Administration de l'impression

Exercice 1 : Procédure de changement de


l’emplacement du spouleur d’impression

B.salim 113
Introduction

Vous pouvez déplacer le dossier de spoule


pour améliorer les performances du serveur en
réduisant la fragmentation de la partition
d’amorçage ou vous pouvez déplacer les
fichiers spouleurs vers un autre emplacement
dont l’espace disque est plus élevé.

Procédure

Pour changer l’emplacement du dossier de


spoule :

Dans le menu Fichier de la fenêtre


Imprimantes et télécopieurs, cliquez sur
Propriétés du serveur.
Dans la boîte de dialogue Propriétés de
Serveur d’impression, dans le champ
Dossier du spouleur de l’onglet Avancé,
tapez le chemin et le nom du nouveau dossier
de spoule par défaut du serveur d’impression,
puis cliquez sur OK.
Arrêtez le spouleur et redémarrez-le.

Remarque : L’emplacement du dossier de


spoule change immédiatement et les
documents en attente d’impression ne sont
pas imprimés. Il est recommandé d’attendre
que tous les documents aient été imprimés
avant de déplacer le dossier du spouleur.

Exercice 2: Changement de l’emplacement


du spouleur d’impression

Objectif

Dans cette application pratique, vous allez


changer l’emplacement du spouleur
d’impression et vérifier qu’il a bien été déplacé.

Instructions

Avant de commencer cette application pratique


:
Connectez-vous au domaine en tant que
NomOrdinateurAdmin.
Assurez-vous que l’imprimante locale
NomOrdinateur IT Datacenter existe bien.

Scénario

Les ingénieurs système de Northwind Traders


ont remarqué que l’unité C du serveur
d’impression (qui contient le système

B.salim 114
d’exploitation) est fragmentée par les
imprimantes configurées sur le serveur
membre. Ils vous invitent à placer le dossier de
spoule dans la partition D afin que la partition
du système d’exploitation ne soit pas
fragmentée par le serveur d’impression. Vous
devez documenter l’emplacement actuel du
dossier de spoule et déplacer le spouleur vers
la partition D.

Application pratique

Documenter l’emplacement actuel du


dossier de spoule
Dans le menu Fichier de la fenêtre
Imprimantes et télécopieurs, cliquez sur
Propriétés du serveur.
Dans la boîte de dialogue Propriétés de
Serveur d’impression, cliquez sur l’onglet
Avancé.
Documentez l’emplacement actuel du dossier
de spoule :
_____________________________________
_______________________

Créer un dossier de spoule sur l’unité D

Créez le dossier Spool sur l’unité D (par


exemple : D:\Spool).
Créez le sous-dossier Printers dans le dossier
D:\Spool (par exemple : D:\Spool\Printers).

Changer l’emplacement du dossier de


spoule

Placez le dossier de spoule dans


D:\Spool\Printers.

Arrêter et redémarrer le spouleur

Cliquez successivement sur Démarrer et


Exécuter, tapez cmd, puis cliquez sur OK.
À partir d’une invite de commandes, tapez net
stop spooler.
À partir d’une invite de commandes, tapez net
start spooler.

Vérifier si les fichiers spouleurs sont


envoyés vers le dossier D:\Spool\Printers

Dans la fenêtre Imprimantes et télécopieurs,


cliquez avec le bouton droit sur
NomOrdinateur IT Datacenter Printer, puis
cliquez sur Suspendre l’impression. Si
l’impression est déjà suspendue, l’option
Suspendre l’impression ne figure pas dans

B.salim 115
la liste. Passez à l’étape suivante.
Cliquez avec le bouton droit sur
NomOrdinateur IT Datacenter Printer, puis
cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, cliquez
sur Imprimer une page de test.
Dans la zone de message, cliquez sur OK.
Dans la boîte de dialogue Propriétés, cliquez
sur OK.
Cliquez successivement sur Démarrer et
Exécuter, tapez D:\Spool\Printers, puis
cliquez sur OK.
Vérifiez que deux fichiers ont été créés, puis
fermez toutes les fenêtres.

Exercice 3 : Procédure de définition des


priorités d’imprimantes

Introduction

Des priorités d’imprimantes sont souvent


utilisées lorsque deux imprimantes aux moins
impriment sur un même périphérique
d’impression. Pour définir des priorités
d’imprimantes, procédez comme suit.

Procédure

Pour définir différentes priorités pour différents


groupes :

Dans la fenêtre Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante à
définir, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, dans le
champ Priorité de l’onglet Avancé, tapez le
niveau de priorité, sachant que 1 désigne le
niveau de priorité le plus bas et 99 le niveau
de priorité le plus élevé.
Cliquez sur OK.
Cliquez sur Ajouter une imprimante pour
ajouter une deuxième imprimante logique pour
la même imprimante physique.
Dans la zone Priorité de l’onglet Avancé,
définissez une priorité supérieure à celle de la
première imprimante logique.

Exercice 4 : Définition des priorités


d’imprimantes

Objectif

Dans cette application pratique, vous allez


définir des priorités d’imprimantes.

Instructions

B.salim 116
Avant de commencer cette application pratique
:
Connectez-vous au domaine en tant que
NomOrdinateurAdmin.

Scénario

Northwind Traders teste les priorités


d’imprimantes qui seront utilisées
ultérieurement lors de la planification de la
disponibilité des imprimantes. Vous devez
créer deux imprimantes utilisant le port LPT2.
Appelez-les Printer1 et Printer2. Printer1 aura
la priorité 1 et Printer2 la priorité 99. Vous
appliquerez la sécurité par défaut à
l’imprimante Printer1. Vous supprimerez
ensuite le groupe Tout le monde pour Printer2
et accorderez l’autorisation d’impression au
groupe DL NWTraders IT Personnel Print pour
Printer2.

Application pratique

Définir la priorité de Printer1

Ouvrez la fenêtre Imprimantes et télécopieurs,


puis créez une imprimante à l’aide des
informations suivantes :
Port : LPT2
Pilote : HP LaserJet 5si
Nom de l’imprimante : Printer1
Nom du partage : Printer1
Autorisations de l’imprimante partagée :
Accorder l’autorisation d’impression au groupe
Utilisateurs authentifiés
Priorité de l’imprimante : 1

Définir la priorité de Printer2

Ouvrez la fenêtre Imprimantes et télécopieurs,


puis créez une imprimanteà l’aide des
informations suivantes :
Port : LPT2
Pilote : HP LaserJet 5si
Nom de l’imprimante : Printer2
Nom du partage : Printer2
Autorisations de l’imprimante partagée :
Supprimer le groupe Tout le monde
Accorder l’autorisation d’impression au groupe
DL NWTraders IT Personnel Print
Priorité de l’imprimante : 99

Exercice 5 : Procédure de planification de


la disponibilité des imprimantes

B.salim 117
Introduction

Pour planifier la disponibilité d’une imprimante,


procédez comme suit.

Procédure

Pour planifier la disponibilité d’une


imprimante :

Dans la fenêtre Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante à
configurer, puis cliquez sur Propriétés.
Dans l’onglet Avancé de la boîte de dialogue
Propriétés, cliquez sur Disponible de.
Dans les deux champs situés à droite de
Disponible de, tapez les heures de début et
de fin, par exemple 18:00 et 06:00, puis
cliquez sur OK.

Exercice 6 : Planification de la disponibilité


des imprimantes

Objectif

Dans cette application pratique, vous allez


configurer la disponibilité des imprimantes.

Instructions

Avant de commencer cette application pratique


:
Connectez-vous au domaine en tant que
NomOrdinateurAdmin.
Vérifiez que les imprimantes Printer1 et
Printer2 sont associées au port LPT2.

Scénario

Northwind Traders teste les priorités


d’imprimantes qui seront utilisées
ultérieurement lors de la planification de la
disponibilité des imprimantes. Vous devez
configurer la disponibilité des imprimantes
Printer1 et Printer2. Printer1 sera disponible
entre 00 h et 6 h tandis que Printer2 sera
disponible aux heures d’impression par défaut.

Application pratique

Configurer la planification d’impression de


Printer1

L’imprimante Printer1 doit être disponible entre


00 h et 6 h.

B.salim 118
Vérifier que Printer2 est disponible 24 h/24
Ouvrez la boîte de dialogue Propriétés de
Printer2 et vérifiez que l’imprimante est
toujours disponible.

Exercice 7 : Procédure de configuration


d’un pool d’impression

Introduction

Des pools d’imprimantes sont très souvent


utilisés dans les services nécessitant
d’imprimer de gros volumes de documents.
Pour configurer un pool d’impression,
procédez comme suit.

Procédure

Pour configurer un pool d’impression :

Dans la fenêtre Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante
que vous utilisez, puis cliquez sur Propriétés.
Dans l’onglet Ports de la boîte de dialogue
Propriétés, cochez la case Activer le pool
d’imprimante.
Cochez la case associée à chaque port auquel
sont connectées lesimprimantes à placer dans
le pool, puis cliquez sur OK.

Remarque : Les imprimantes que vous placez


dans un pool doivent être du même type et
utiliser le même pilote d’imprimante.

Exercice 8 : Configuration d’un pool


d’impression

Objectif

Dans cette application pratique, vous allez


configurer un pool d’impression.

Instructions

Avant de commencer cette application pratique


:
Connectez-vous au domaine en tant que
NomOrdinateurAdmin.

B.salim 119
Scénario

Northwind Traders teste l’implémentation des


pools d’imprimantes. Vous devezcréer une
imprimante qui imprime sur le port LPT1 ou
LPT2 et la configurer pour l’utiliser dans un
pool d’impression. L’imprimante s’appelle
PrntPool1 et utilise le pilote d’imprimante HP
LaserJet 5si.

Application pratique

Créer une imprimante à utiliser dans un


pool d’impression

Ouvrez la fenêtre Imprimantes et télécopieurs,


puis créez une imprimante à l’aide des
informations suivantes :
Port : LPT1
Pilote : HP LaserJet 5si
Nom de l’imprimante : PrntPool1
Nom du partage : PrntPool1
Autorisations de l’imprimante partagée :
Accorder l’autorisation d’impression au groupe
Utilisateurs authentifiés
Configurez l’imprimante PrntPool1 pour
l’utiliser dans un pool d’impression avec les
ports suivants :
LPT1
LPT2
Atelier A : Administration de l’impression

Objectifs

À la fin de cet atelier, vous serez à même


d’effectuer les tâches suivantes :
installer des imprimantes ;
créer un pool d’impression ;
définir la priorité des imprimantes et en
planifier la disponibilité.

Instructions

Avant de commencer l’atelier :


Connectez-vous au domaine en tant que
NomOrdinateurAdmin.
Assurez-vous que l’imprimante locale
NomOrdinateur IT Datacenter Printer a bien
été créée sur le port LPT1.

Exercice 1 : Création de pools d’impression

Dans cet exercice, vous allez installer des


imprimantes et créer un pool d’impression.

B.salim 120
Scénario

Le siège de Londres a besoin de l’aide de tous


les administrateurs système. Northwind
Traders fusionne avec Contoso, Ltd. À la suite
de cette acquisition, un grand nombre
d’imprimantes doivent être configurées dans
des pools d’impression au bureau de Londres.
Ce bureau à besoin de vous pour configurer
les nouvelles imprimantes sur le serveur
d’impression Glasgow.
Pour vous aider à créer ces nouvelles
imprimantes, les ingénieurs système vous ont
fourni un tableau qui répertorie les
imprimantes que chaque administrateur
système doit créer et des informations
spécifiques sur les imprimantes. Vous devez
vous connecter en tant que
NomOrdinateurAdmin. Tous les périphériques
d’impression sont des HP LaserJet 5si et
toutes les imprimantes se trouvent sur
l’ordinateur distant Glasgow. Le groupe de
domaine local DL NWTraders Legal Personnel
Print doit être le seul à disposer de
l’autorisation d’impression sur ces
imprimantes.

Tâches

Tableau des comptes des stagiaires

Compte de stagiaire

b. Accordez l’autorisation Gestion


d’imprimantes au groupe DL NWTraders IT
Personnel Print.
c. Supprimez le groupe Tout le monde.

Accordez l’autorisation Gestion d’imprimantes


au groupe DL NWTraders IT Personnel Print.
Supprimez le groupe Tout le monde.

b. Dans \\glasgow, double-cliquez sur


Imprimantes et télécopieurs
.

Fermez Sites et services Active Directory.

Définir l’emplacement des imprimantes sur


l’ordinateur du stagiaire

Définissez l’attribut Emplacement de

B.salim 121
l’imprimante Sales et IT Datacenter sur
l’ordinateur du stagiaire en vous reportant à
l’étape 4.

Tableau des sous-réseaux d’imprimantes

Ville
Ouvrez Sites et services Active Directory.
Dans l’arborescence de la console,
développez Sites et Subnets.
Utilisez le numéro de sous-réseau de l’étape 1.
Notez l’attribut Emplacement de chaque sous-
réseau de votre ville en utilisant l’attribut
Emplacement de l’objet sous-réseau de
chaque imprimante de votre ville.

Nom du partage
d’imprimante
Exercice 4 : Procédure de gestion des
accès aux imprimantes

Introduction

Vous devez changer les autorisations des


imprimantes partagées lorsque
l’environnement du réseau change.

Procédure

Pour gérer l’accès aux imprimantes en


accordant ou en refusant des autorisations sur
une imprimante :

Dans le dossier Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante
pour laquelle vous voulez définir des
autorisations, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, sous
l’onglet Sécurité, effectuez l’une des
opérations suivantes :
Pour changer ou supprimer les autorisations
d’un utilisateur ou d’un groupe, cliquez sur le
nom de l’utilisateur ou du groupe sous Noms
d’utilisateurs ou de groupes.
Pour accorder des autorisations à un nouvel
utilisateur ou à un nouveau groupe, cliquez sur
Ajouter. Dans la boîte de dialogue
Sélectionnez Utilisateurs, Ordinateurs ou
Groupes, tapez le nom de l’utilisateur ou du
groupe auquel vous voulez accorder des
autorisations, puis cliquez sur OK.
Sous Autorisations, activez la case à cocher
Autoriser ou Refuser de chaque autorisation
à accorder ou refuser.

Remarque : Pour afficher ou changer les

B.salim 122
autorisations implicites des autorisations
Imprimer, Gestion d’imprimantes et Gestion
des documents, cliquez sur Avancé.
Exercice 5 : Administration des accès aux
imprimantes à l’aide d’autorisations
d’imprimantes partagées

Objectif

Dans cette application pratique, vous allez


effectuer les tâches suivantes :

définir les autorisations d’impression qui


permettent à un groupe de gérer les
documents
définir les autorisations d’impression qui
permettent à un groupe de disposer des
autorisations Opérateur d’impression.

Instructions

Avant de commencer cette application pratique


:

Ouvrez une session sur le domaine en utilisant


le compte NomOrdinateurAdmin.
Vérifiez que l’imprimante NomOrdinateur Sales
Printer existe.

Scénario

Un ingénieur système vous demande de


modifier les autorisations d’impression de
l’imprimante du service Ventes. Vous devez
définir les autorisations d’impression pour
permettre uniquement aux utilisateurs du
service Ventes d’utiliser l’imprimante et au
personnel informatique de la gérer.

Application pratique

Modifier les autorisations d’impression

Définissez les autorisations de NomOrdinateur


Sales Printer comme suit :
Accordez l’autorisation Imprimer au groupe DL
NWTraders Sales Personnel Print.
Accordez les autorisations Gestion
d’imprimantes au groupe DL NWTraders IT
Personnel Print.
Supprimez le groupe Tout le monde.

Exercice 6 : Procédure d’installation des


pilotes d’imprimantes

Introduction

B.salim 123
Si vous gérez un serveur d’impression, vous
recevez occasionnellement des mises à jour
de pilotes des fabricants des périphériques
d’impression. Ces mises à jour contiennent
généralement des correctifs, mais il convient
de les tester soigneusement avant de les
installer sur le serveur d’impression.

Procédure d’installation des nouveaux


pilotes ou des mises à jour des pilotes

Pour installer de nouveaux pilotes ou des


mises à jour de pilotes :

Dans le dossier Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante
dont vous voulez changer le pilote, puis
cliquez sur Propriétés.
Dans l’onglet Avancé de la boîte de dialogue
Propriétés, cliquez sur Nouveau pilote.
Dans la page de bienvenue de l’Assistant
Ajout de pilote d’imprimante, cliquez sur
Suivant.
Procédez de l’une des manières suivantes :
Sélectionnez le fabricant et le modèle
d’imprimante appropriés si le nouveau pilote
ou la mise à jour du pilote ne figure pas dans
la liste.
Cliquez sur Disque fourni si le pilote ne figure
pas dans la liste ou si le fabricant vous a
envoyé un nouveau pilote ou une mise à jour
du pilote sur CD ou disquette. Tapez le chemin
d’accès au pilote, puis cliquez sur OK.
Cliquez sur Suivant, puis suivez les
instructions qui s’affichent pour terminer
l’installation du pilote.

Remarque : Pour installer de nouveaux pilotes


ou des mises à jour de pilotes, vous devez
vous connecter à votre ordinateur en tant que
membre du groupe Administrateurs. Si vous
utilisez Windows 2000 Professionnel, vous
pouvez installer les nouveaux pilotes ou les
mises à jour des pilotes en tant que membre
du groupe Utilisateurs avec pouvoir, selon les
composants demandés par le pilote.

Si le pilote que vous voulez utiliser existe sur


le serveur d’impression, vous pouvez l’installer
en le sélectionnant dans la liste Pilote.

Procédure de suppression de pilotes


d’imprimantes

Pour supprimer des pilotes d’imprimantes :

B.salim 124
Dans le menu Fichier du dossier Imprimantes
et télécopieurs, cliquez sur Propriétés du
serveur.
Sous Pilotes d’imprimante installés dans
l’onglet Pilotes de la boîte de dialogue
Propriétés de Serveur d’impression,
sélectionnez le pilote à supprimer, puis cliquez
sur Supprimer.
Dans la boîte de message, cliquez sur Oui.

Exercice 7 : Procédure d’ajout de pilotes


d’imprimantes pour d’autres systèmes
d’exploitation clients

Introduction

Si vous partagez une imprimante avec des


utilisateurs qui utilisent Windows 95, Windows
98 ou Windows NT 4.0, vous pouvez installer
d’autres pilotes d’imprimantes sur votre
ordinateur pour que les utilisateurs puissent se
connecter à l’imprimante sans recevoir un
message leur demandant d’installer les pilotes
qui ne figurent pas sur leurs systèmes. Les
pilotes se trouvent sur le CD de support
Windows Server 2003. Les pilotes
d’imprimantes pour
Microsoft Windows NT version 3.1 et Microsoft
Windows NT version 3.5 ne sont pas inclus,
mais peuvent être disponibles auprès du
fabricant du périphérique d’impression.

Procédure

Pour ajouter les pilotes d’imprimantes des


autres versions Windows :

Dans le dossier Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante
dont vous voulez ajouter d’autres pilotes, puis
cliquez sur Propriétés.
Dans l’onglet Partage de la boîte de dialogue
Propriétés, cliquez sur Pilotes
supplémentaires.
Dans la boîte de dialogue Pilotes
supplémentaires, activez les cases à cocher
des environnements et des systèmes
d’exploitation supplémentaires, puis cliquez
sur OK.

Exercice 8 : Gestion des pilotes


d’imprimantes

B.salim 125
Objectif

Dans cette application pratique, vous allez


installer des pilotes d’imprimantes.

Instructions

Avant de commencer cette application pratique


:

Connectez-vous au domaine en utilisant le


compte NomOrdinateurAdmin.
Vérifiez que l’imprimante NomOrdinateur Sales
Printer existe.

Scénario

Vous avez découvert que le service Ventes de


l’unité d’organisation de votre ville utilise des
clients Windows 98 et Windows NT 4.0. Le
chef du service Ventes vous informe que le
personnel de son service a besoin de pilotes
d’imprimantes pour se connecter aux
imprimantes du serveur d’impression. Vous
devez ajouter les pilotes Windows 98 et
Windows NT 4.0 à NomOrdinateur Sales
Printer pour que les clients installent
automatiquement les pilotes appropriés.

Application pratique

Installer les pilotes d’imprimantes pour


d’autres systèmes d’exploitation

Installez les pilotes d’imprimantes de


NomOrdinateur Sales Printer pour des
systèmes d’exploitation suivants :
Windows 98
Windows NT 4.0

Exercice 9 : Procédure de configuration


des emplacements d’imprimantes

Introduction

Pour définir les emplacements d’imprimantes,


vous devez disposer des droits d’accès
Lecture/Écriture sur les sites Active Directory
et les objets sous-réseau pour pouvoir créer
des objets sous-réseau, définir l’emplacement
des objets sous-réseau et associer les objets
sous-réseau à des sites. Lorsque vous
affectez des emplacements à des
imprimantes, vous devez faire correspondre
l’emplacement de l’imprimante avec
l’emplacement de l’objet sous-réseau.

B.salim 126
Tâches exécutées par l’ingénieur système

Lorsque l’ingénieur système a vérifié que le


réseau répond aux conditions requises pour
l’implémentation des emplacements
d’imprimantes et qu’il existe une convention
d’affectation de noms, il doit exécuter les
tâches suivantes pour configurer les
emplacements d’imprimantes :
Activation de la recherche d’emplacement
d’imprimante en utilisant une stratégie de
groupe. La recherche d’emplacement
d’imprimante complète le champ de recherche
Emplacement lorsque l’utilisateur recherche
une imprimante dans Active Directory. La
valeur qui figure dans le champ de recherche
est identique à celle définie dans l’attribut
Emplacement de l’objet sous-réseau qui
correspond au sous-réseau IP de l’ordinateur
de l’utilisateur.
Création d’un objet Sous-réseau dans Active
Directory. Si l’objet sousr éseau n’existe pas,
utilisez les sites et services Active Directory
pour le créer.
Définition de l’attribut Emplacement de l’objet
sous-réseau. Affectez à cet attribut la
convention d’affectation de noms que vous
avez créée pour les noms d’emplacements
d’imprimantes.

Remarque : Pour définir la valeur de l’attribut


Emplacement de l’objet sousréseau, dans
Sites et services Active Directory, cliquez avec
le bouton droit sur l’objet sous-réseau, puis
cliquez sur Propriétés. Dans l’onglet
Emplacement, notez le nom de
l’emplacement qui correspond à l’objet sous-
réseau, puis cliquez sur OK.

Tâches exécutées par l’administrateur


système

La tâche suivante est la seule tâche que doit


exécuter l’administrateur système pour
configurer des emplacements d’imprimantes :
Définition de l’attribut Emplacement des
imprimantes. Pour chaque imprimante, ajoutez
aux propriétés de l’imprimante l’attribut
Emplacement du sous-réseau IP de
l’imprimante. Utilisez le nom d’emplacement
d’imprimante que vous avez utilisé pour
l’emplacement de l’objet sousréseau. Lorsque
vous installez une nouvelle imprimante, vous
pouvez définir l’attribut Emplacement en
utilisant l’Assistant Ajout d’imprimante.

B.salim 127
Exercice 10 : Procédure de définition de
l’emplacement des imprimantes

Introduction

Avant de définir l’attribut Emplacement d’une


imprimante, vous devez déterminer les deux
éléments suivants :
L’adresse IP de l’imprimante pour déterminer
l’attribut Emplacement de l’objet sous-réseau
Après avoir déterminé le nom d’emplacement
approprié, vous pouvez l’ajouter à l’attribut
Emplacement de l’imprimante. Si vous
configurez une nouvelle imprimante,
l’ingénieur système vous fournit un document
du périphérique d’impression, qui indique
l’adresse IP et le pilote à utiliser. Si vous
ajoutez le nom d’emplacement à une
imprimante existante, vous pouvez déterminer
l’adresse IP du périphérique d’impression en
vous reportant au port TCP/IP qu’utilise
l’imprimante.
Emplacement du sous-réseau

Procédure d’identification de l’adresse IP


d’une imprimante existante

Pour déterminer l’adresse IP d’une imprimante


existante :

Dans le dossier Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante
pour laquelle vous voulez définir l’attribut
Emplacement, puis cliquez sur Propriétés.
Dans l’onglet Ports de la boîte de dialogue
Propriétés, cliquez sur le port TCP/IP utilisé
par l’imprimante, puis sur Configurer le port.
Dans la boîte de dialogue Configuration du
moniteur de port TCP/IP standard, notez
l’adresse IP qui figure dans la zone Nom
d’imprimante ou adresse IP, puis cliquez sur
OK.
Dans la boîte de dialogue Propriétés, cliquez
sur Fermer.

Procédure d’identification de
l’emplacement du sousréseau

Pour identifier l’emplacement du sous-réseau :

Dans l.arborescence de la console Sites et


services Active Directory, développez Sites,
puis Subnets.
Cliquez avec le bouton droit sur le réseau qui
correspond à l’adresse IP du périphérique

B.salim 128
d’impression, puis cliquez sur Propriétés.
Consultez l’onglet Emplacement, puis notez
l’attribut Emplacement de l’objet sous-réseau.
Cliquez sur OK.

Procédure de définition de l’attribut


Emplacement de l’imprimante

Pour définir l’attribut Emplacement de


l’imprimante :

Dans le dossier Imprimantes et télécopieurs,


cliquez avec le bouton droit sur l’imprimante
pour laquelle vous voulez définir l’attribut
Emplacement, puis cliquez sur Propriétés.
Dans la zone Emplacement de l’onglet
Général de la boîte de dialogue Propriétés,
tapez l’emplacement de l’imprimante ou
cliquez sur Parcourir pour le rechercher.
Décrivez plus précisément l’emplacement de
l’imprimante que l’emplacement du sous-
réseau. Pour l’emplacement de sous-réseau
US/NYC, par exemple, vous pouvez entrer
l’emplacement d’imprimante
US/NYC/Floor42/Room4207.

Exercice 11 : Procédure de recherche des


imprimantes

Introduction

La recherche d’imprimante est utilisée chaque


fois que l’utilisateur interroge Active Directory.
Pour lancer une requête, l’utilisateur clique sur
Démarrer, sur Rechercher, puis sur
Rechercher Imprimantes. Il peut également
cliquer sur Rechercher une imprimante dans
l’annuaire dans l’Assistant Ajout d’imprimante
pour ouvrir la boîte de dialogue Rechercher
Imprimantes.
Si la recherche d’imprimante est active, le
système identifie d’abord l’emplacement
physique de l’ordinateur client dans
l’organisation. Au cours de cette opération, la
zone Emplacement de la boîte de dialogue
Rechercher Imprimantes contient le
message Vérification en cours. Une fois
l’emplacement identifié, il apparaît dans la
zone Emplacement.
Si l’emplacement ne peut pas être identifié, ce
champ reste vide.
Lorsque l’utilisateur clique sur Rechercher,
Active Directory affiche la liste de toutes les
imprimantes qui correspondent à la requête de
l’utilisateur et qui figurent dans le même
emplacement que ce dernier. L’utilisateur peut

B.salim 129
changer la valeur de la zone Emplacement en
cliquant sur Parcourir.
Supposons que l’organisation se trouve dans
un bâtiment comportant plusieurs étages et
que chaque étage correspond à un sous-
réseau. Si un utilisateur situé au premier étage
ne parvient pas à trouver une imprimante
couleur au premier étage, il peut remplacer
l’emplacement par Organisation 1/Étage 2 ou
même Organisation 1 pour augmenter
l’étendue de la recherche.

Remarque : La zone Emplacement n’est pas


automatiquement disponible pour les
utilisateurs Windows 95, Windows 98 ou
Windows NT 4.0 ne disposant pas d’un client
de service d’annuaire.

Procédure

Pour rechercher une imprimante locale :

Dans le dossier Imprimantes et télécopieurs,


cliquez sur Ajouter une imprimante.
Sur la page de bienvenue de l’Assistant Ajout
d’imprimante, cliquez sur Suivant.
Sur la page Imprimante réseau ou locale,
cliquez sur Une imprimante réseau ou une
imprimante connectée à un autre
ordinateur, puis sur Suivant.
Dans la page Spécifiez une imprimante,
connectez-vous à l’imprimante appropriée en
procédant de l’une des trois manières
suivantes :
Recherchez l’imprimante dans Active Directory
en procédant comme suit :

Remarque : Si l’utilisateur n’est pas connecté


à un domaine qui exécute Active Directory,
cette méthode ne peut pas être utilisée.

Cliquez sur Rechercher une imprimante


dans l’annuaire, puis sur Suivant. Si
nécessaire, changez l’emplacement
d’imprimante par défaut qui figure dans la zone
Emplacement en cliquant sur Parcourir, puis
en choisissant l’emplacement approprié.
Dans la boîte de dialogue Rechercher
Imprimantes, cliquez sur Rechercher.
Dans la liste qui s’affiche, cliquez sur
l’imprimante à laquelle vous voulez vous
connecter, puis cliquez sur OK.
Tapez le nom de l’imprimante ou recherchez-le
en procédant comme suit :
Cliquez sur Connexion à cette imprimante.
Dans la zone Nom, tapez le nom de

B.salim 130
l’imprimante sous la
forme \
\Nom_Serveur_impression\Nom_imprimante_
partagée, puis cliquez sur Suivant.
- ou -

Recherchez-la dans le réseau en cliquant sur


Suivant. Dans la zone Imprimantes
partagées de la page Parcourir à la
recherche d’une imprimante, recherchez
l’imprimante, puis cliquez sur Suivant.

Pour vous connecter à une imprimante sur


Internet ou dans un intranet, procédez comme
suit :
Cliquez sur Se connecter à une imprimante
sur Internet ou sur un réseau domestique
ou d’entreprise.
Dans la zone URL, tapez l’URL de
l’imprimante sous la forme
http://NomServeurImpression/Imprimantes,
puis cliquez sur Suivant.
Suivez les instructions qui s’affichent pour
terminer la connexion à l’imprimante. L’icône
de l’imprimante apparaît dans le dossier
Imprimantes et télécopieurs.

Exercice 12 : Implémentation
d’emplacements d’imprimantes

Objectif

Dans cette application pratique, vous allez


implémenter des emplacements
d’imprimantes.

Instructions

Avant de commencer cette application pratique


:
Connectez-vous au domaine en utilisant le
compte NomOrdinateurAdmin.
Vérifiez que l’imprimante NomOrdinateur Sales
Printer existe.
Vérifiez que l’imprimante NomOrdinateur IT
Datacenter Printer existe.

Scénario

Vous venez d’apprendre que les


administrateurs système de Northwind Traders
ont fini de tester la recherche d’emplacements
d’imprimantes. Ils vous demandent de définir
la valeur de l’attribut Emplacement des

B.salim 131
imprimantes de votre ville.

Application pratique

Déterminer l’attribut Emplacement de vos


imprimantes

Dans le tableau des sous-réseaux


d’imprimantes ci-dessous, notez le nom de
partage de l’imprimante et le numéro de sous-
réseau de chaque imprimante de votre ville.
(Exemple : Bonn Sales Printer,
192.168.61.0/24)

Nom du partage d’imprimante

Module 6 : Implémentation de l’impression

Exercice 1 : Procédure d’installation et de


partage d’une imprimante locale

Introduction

Pour installer et partager une imprimante


locale, utilisez l’Assistant Ajout d’imprimante
situé dans le dossier Imprimantes et
télécopieurs. Vous pouvez également ajouter
et configurer les ports d’imprimante dans cet
assistant.
L’assistant vous demande d’installer un pilote
d’imprimante si nécessaire ou de remplacer le
pilote existant.
Il permet également de vous connecter à une
imprimante partagée distante et d’installer son
interface logicielle sur votre ordinateur en
supposant que vous voulez disposer d’un
contrôle local et que vous disposez des
autorisations appropriées. Si vous procédez
ainsi, la procédure d’impression ignore le
serveur d’impression de l’imprimante distante
en traitant les travaux d’impression localement
et en envoyant la sortie à une imprimante
distante.

B.salim 132
Installation d’une imprimante connectée au
port parallèle (LPT) de votre ordinateur :

Connectez l’imprimante au port approprié de


votre ordinateur conformément à la
documentation du fabricant de l’ordinateur et
vérifiez qu’elle est prête à imprimer.

Connectez l’imprimante à votre ordinateur.


Dans le dossier Imprimantes et télécopieurs du
Panneau de configuration, cliquez sur Ajouter
une imprimante.
Sur la page de bienvenue de l’Assistant Ajout
d’imprimante, cliquez sur Suivant.
Dans la page Imprimante réseau ou locale,
cliquez sur Imprimante locale connectée à
cet ordinateur.
Activez la case à cocher Détection et
installation automatique de l’imprimante
Plug-and-Play, puis cliquez sur Suivant.
Selon l’imprimante que vous installez, le
message Nouveau matériel détecté ou
l’Assistant Matériel apparaît pour signaler que
l’imprimante a été détectée et que l’installation
a commencé.
Suivez les instructions qui s’affichent pour
terminer l’installation.
L’icône de l’imprimante est ajoutée au dossier
Imprimantes et télécopieurs.

Installation sans le mode Plug and Play

Si vous n’êtes pas parvenu à installer


l’imprimante en mode Plug and Play ou que
l’imprimante est connectée au port série
(COM) de l’ordinateur :

Dans le dossier Imprimantes et télécopieurs du


Panneau de configuration, cliquez sur Ajouter
une imprimante.
Sur la page de bienvenue de l’Assistant Ajout
d’imprimante, cliquez sur Suivant.
Dans la page Imprimante réseau ou locale,
cliquez sur Imprimante locale connectée à
cet ordinateur.
Désactivez la case à cocher Détection et
installation automatique de l’imprimante
Plug-and-Play afin de ne pas attendre la fin
d’une nouvelle recherche d’imprimante, puis
cliquez sur Suivant.
Suivez les instructions qui s’affichent pour
terminer l’installation de l’imprimante en
sélectionnant un port d’imprimante, le fabricant
et le modèle de l’imprimante et en tapant le
nom de l’imprimante.

B.salim 133
Partage d’une imprimante locale

Dans Windows Server 2003, l’Assistant Ajout


d’imprimante partage l’imprimante et la publie
par défaut dans le service d’annuaire Active
Directory® si vous n’activez pas la case à
cocher Ne pas partager cette imprimante de
la page Partage d’imprimante de l’Assistant
Ajout d’imprimante.

Exercice 2 : procédure d’installation et de


partage d’une imprimante réseau

Introduction

Dans les grandes entreprises, la plupart des


périphériques d’impression disposent d’une
interface réseau. Ces périphériques
d’impression présentent divers avantages.
Vous disposez d’une plus grande souplesse
dans le choix du lieu d’installation des
imprimantes. En outre, les connexions réseau
transfèrent les données plus rapidement que
les câbles des imprimantes.

Procédure d’installation d’une imprimante


réseau

Pour installer une imprimante réseau :

Dans le dossier Imprimantes et télécopieurs,


cliquez sur Ajouter une imprimante.
Sur la page de bienvenue de l’Assistant Ajout
d’imprimante, cliquez sur Suivant.
Dans la page Imprimante réseau ou locale,
cliquez sur Imprimante locale connectée à
cet ordinateur.
Désactivez la case à cocher Détection et
installation automatique de l’imprimante
Plug-and-Play, puis cliquez sur Suivant.
Lorsque l’Assistant Ajout d’imprimante vous
demande de sélectionner le port d’imprimante,
cliquez sur Créer un nouveau port.
Dans la liste, cliquez sur le type de port
approprié et suivez les instructions qui
s’affichent. Par défaut, seuls Port local et Port
standard TCP/IP apparaissent dans la liste.

Procédure de partage d’une imprimante


réseau

Pour partager une imprimante réseau :

B.salim 134
Dans le dossier Imprimantes et télécopieurs,
cliquez avec le bouton droit sur l’imprimante à
partager, puis cliquez sur Partager.
Dans l’onglet Partage, cliquez sur Partager
cette imprimante, puis tapez le nom de
l’imprimante partagée. Si vous partagez
l’imprimante avec des utilisateurs qui utilisent
un matériel ou un système d’exploitation
différent, cliquez sur Pilotes
supplémentaires. Cliquez sur l’environnement
et le système d’exploitation des autres
ordinateurs, puis sur OK pour installer les
pilotes correspondants. Si vous êtes connecté
à un domaine Windows 2000 ou Windows
Server 2003, vous pouvez permettre aux
autres utilisateurs d’accéder à l’imprimante
dans le domaine en cliquant sur Lister dans
l’annuaire pour publier l’imprimante dans
Active Directory.
Cliquez sur OK ou bien sur Fermer si vous
avez installé les autres pilotes.

Exercice 3 : Application pratique :


Installation et partage d’imprimantes

Objectif

Instructions

Dans cette application pratique, vous allez


installer et partager une imprimante locale et
une imprimante réseau.
Avant de commencer cette application pratique
:

Connectez-vous au domaine en tant que


NomOrdinateurAdmin.

Scénario

En tant qu’administrateur système, vous devez


configurer le serveur Windows Server 2003
comme serveur d’impression d’un périphérique
d’impression connecté localement et d’un
périphérique d’impression connecté au réseau.
Le service Vente de l’unité d’organisation de
votre ville se trouve au premier étage du
bâtiment 1 et dispose d’un périphérique
d’impression réseau qui doit être configuré. Le
service informatique dispose d’un périphérique

B.salim 135
d’impression connecté au port local LPT1 du
serveur.

Remarque : L’ordinateur du stagiaire n’est pas


connecté à un serveur d’impression. Cette
application pratique simule la création d’un
service d’impression. Aucune page de test
d’impression n’étant générée, vous recevez un
message d’erreur d’impression si vous tentez
d’imprimer une page de test.

Application pratique

Créer une imprimante connectée à un port


LPT1

Créez une imprimante HP LaserJet 5si sur le


port LPT1, appelezla NomOrdinateur IT
Datacenter Printer, puis partagez-la sous le
même nom.

Créer une imprimante à partir d’un


périphérique d’impression dans un sous-
réseau

Créez une imprimante locale HP LaserJet 5si


sur un port standard TCP/IP. Recherchez le
nom de votre ordinateur dans le tableau ci-
dessous et utilisez le port et le nom
d’imprimante partagée figurant en regard. Le
périphérique d’impression HP LaserJet 5si
utilise une carte réseau générique et un pilote
HP LaserJet 5si.

Ville
dans le dossier partagé

connexion.

Accordez l’autorisation Contrôle total à


GLASGOW\Administrateurs
Copier l’héritage de toutes les autorisations
NTFS

Nom de serveur : Glasgow


Chemin du dossier : D:\NomOrdinateur
Accounting
Nom du partage : NomOrdinateur Accounting
Autorisations de dossier partagé :
Accordez l’autorisation Contrôle total à DL
NWTraders Accounting Personnel Full Control
Accordez l’autorisation Contrôle total à
GLASGOW\Administrateurs

B.salim 136
Exercice 3 : Configuration des accès du
personnel du service Accounting

Dans cet exercice, vous allez configurer les


accès du personnel du service Accounting
(Comptabilité).

Scénario

Le service Accounting de Northwind Traders a


besoin d’un dossier partagé pour ses
stratégies et ses procédures pour que les
employés du service puissent modifier les
documents partagés.
La plupart des employés du service utilisent
des ordinateurs portables. Ils n’ont besoin que
d’un accès hors connexion aux stratégies et
aux procédures, qu’ils ouvrent depuis le
dossier partagé.
Vous devez créer des groupes et configurer la
sécurité, les paramètres hors connexion et les
autorisations pour le personnel du service
Accounting.

Tâches

connexion.

Accordez l’autorisation Contrôle total à


GLASGOW\Administrateurs
Copiez l’héritage de toutes les autorisations
NTFS

Nom de serveur : Glasgow


Chemin du dossier : D:\NomOrdinateur
Marketing
Nom du partage : NomOrdinateur Marketing
Autorisations de dossier partagé :
Accordez l’autorisation Contrôle total à DL
NWTraders Marketing Personnel Full Control
Accordez l’autorisation Contrôle totalà
GLASGOW\Administrateurs

Exercice 2 : Configuration des accès du


personnel du service Marketing

Dans cet exercice, vous allez configurer les


accès du personnel du service Marketing.

Scénario

Le service Marketing de Northwind Traders a


besoin d’un dossier partagé qui doit contenir

B.salim 137
les fichiers d’un catalogue électronique. Des
centaines de fichiers seront modifiés tous les
trimestres et le personnel du service Marketing
a besoin d’un accès hors connexion à tous les
fichiers du catalogue. Vous devez créer un
dossier partagé, configurer la sécurité et définir
les paramètres hors connexion pour le
personnel du service Marketing.

Tâches

Accordez l’autorisation de lecture à DL


Manufacturing Personnel Read
Accordez l’autorisation Contrôle total à
GLASGOW\Administrateurs
Copiez l’héritage de toutes les autorisations
NTFS

Nom de serveur : Glasgow


Chemin du dossier : D:\NomOrdinateur
Manufacturing
Nom du partage : NomOrdinateur
Manufacturing
Autorisations de dossier partagé :
Accordez l’autorisation Contrôle total à DL
NWTraders Manufacturing Managers Full
Control
Accordez l’autorisation de lecture à DL
NWTraders Manufacturing Personnel Read
Supprimez le groupe Tout le monde

Tester les autorisations NTFS

Ouvrez une session en tant que HRUser avec


le mot de passe P@ssw0rd.
Essayez d’accéder à
\\NomOrdinateur\Public\Accounting. Vous ne
devriez pas pouvoir accéder à ce dossier. Si
vous parvenez à accéder au dossier, vérifiez
qu’aucune autorisation NTFS n’a été donnée
aux utilisateurs authentifiés sur le dossier
Accounting.
Essayez de vous connecter à
D:\Public\Accounting. Vous ne devriez pas
pouvoir accéder au dossier. Si vous parvenez
à y accéder, vérifiez qu’aucune autorisation
NTFS n’a été donnée aux utilisateurs
authentifiés sur le dossier Accounting.
Connectez-vous à \\NomOrdinateur\Public\HR.
Vous devriez pouvoir accéder au dossier HR.

B.salim 138
Si vous ne pouvez pas accéder au dossier,
vérifiez que le groupe DL NWTraders
Personnel HR Full Control dispose de
l’autorisation Contrôle total sur le dossier HR.
Connectez-vous à D:\Public\HR. Vous devriez
pouvoir accéder à ce dossier. Si vous ne
pouvez pas accéder au dossier, vérifiez que le
groupe DL NWTraders HR Personnel Full
Control dispose de l’autorisation Contrôle total
NTFS sur le dossier HR.

Exercice 9 : Procédure d’identification des


autorisations effectives sur les fichiers et
les dossiers NTFS

Introduction

Effectuez la procédure suivante pour afficher


les autorisations effectives sur les fichiers et
les dossiers.

Procédure

Pour afficher les autorisations effectives sur


les fichiers et les dossiers, procédez comme
suit :
Dans l’Explorateur Windows, cliquez avec le
bouton droit sur le fichier ou dossier dont vous
voulez afficher les autorisations effectives, puis
cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, cliquez
sur Paramètres avancés dans l’onglet
Sécurité.
Dans la boîte de dialogue Paramètres de
sécurité avancé, cliquez sur Sélectionner
dans l’onglet Autorisations effectives.
Dans la zone Entrez le nom de l’objet à
sélectionner de la boîte de dialogue
Sélectionnez Utilisateur, Ordinateur ou
Groupe, tapez le nom de l’utilisateur ou du
groupe, puis cliquez sur OK. Les cases à
cocher actives dans la boîte de dialogue
Paramètres de sécurité avancé indiquent les
autorisations effectives de l’utilisateur ou du
groupe sur le fichier ou le dossier.

Exercice 10 : Identification des


autorisations effectives sur les fichiers et
les dossiers NTFS

Objectif

Dans cette application pratique, vous allez


identifier les autorisations effectives NTFS.

Instructions

B.salim 139
Avant de commencer cette application pratique
:

Connectez-vous au domaine en tant que


NomOrdinateurAdmin.

Scénario

Le chef du service des Ressources Humaines


de votre ville vous demande de lui indiquer si
son service dispose de l’autorisation de créer
des documents dans le
dossier \\NomOrdinateur\Public\HR, ainsi que
l’autorisation dont dispose l’utilisateur
TelemarketingUser sur le dossier HR.

Application pratique

Déterminer les autorisations effectives du


chef de service des Ressources Humaines

Accédez au dossier
\\NomOrdinateur\Public\HR.
Déterminez les autorisations effectives du
compte d’utilisateur HRManager.
Notez les autorisations les plus élevées
accordées à HRManager

Le compte d’utilisateur du chef de service


doit disposer de l’autorisation Contrôle
total.
_____________________________________
_______________________
_____________________________________
_______________________

Déterminer les autorisations effectives de


l’utilisateur TelemarketingUser

Accédez au dossier
\\NomOrdinateur\Public\HR.
Déterminez les autorisations effectives du
compte d’utilisateur TelemarketingUser.
Notez les autorisations les plus élevées de
l’utilisateur TelemarketingUser.

Le compte d’utilisateur TelemarketingUser


ne doit pas avoir d’autorisations sur le
dossier HR.
_____________________________________
_______________________
_____________________________________
_______________________

Exercice 11 : Procédure d’identification des

B.salim 140
autorisations effectives résultant de la
combinaison des autorisations de dossier
partagé et des autorisations NTFS

Introduction

Utilisez l’Explorateur Windows pour afficher les


autorisations effectives sur les dossiers
partagés. Pour déterminer les autorisations
effectives, vous devez en premier lieu
déterminer les autorisations NTFS maximales
et les autorisations de dossier partagé, puis
comparer les autorisations.

Procédure d’identification des


autorisations NTFS maximales

Pour déterminer les autorisations NTFS


maximales d’un utilisateur sur un fichier d’un
volume NTFS, procédez comme suit :

Dans l’Explorateur de Windows, recherchez le


fichier ou le dossier dont vous voulez afficher
les autorisations.
Cliquez avec le bouton droit sur le fichier ou le
dossier, puis sur Propriétés.
Dans la boîte de dialogue Propriétés, cliquez
sur Paramètres avancés dansl’onglet
Sécurité.
Dans la boîte de dialogue Paramètres de
sécurité avancés, cliquez sur Sélectionner
dans l’onglet Autorisations effectives.
Dans le champ Entrez le nom de l’objet à
sélectionner de la boîte de dialogue
Sélectionnez Utilisateur, Ordinateur ou
Groupe, entrez le nom d’un utilisateur ou d’un
groupe, puis cliquez sur OK. Les cases à
cocher actives indiquent les autorisations
NTFS maximales d’un utilisateur ou d’un
groupe sur un fichier ou un dossier.

Procédure d’identification des


autorisations maximales sur un dossier
partagé

Pour déterminer les autorisations maximales


d’un utilisateur sur un dossier partagé,
procédez comme suit :

Ouvrez la boîte de dialogue Propriétés du


dossier partagé.
Recherchez les autorisations maximales dont
dispose l’utilisateur sur le dossier partagé en
déterminant à quel groupe l’utilisateur
appartient.

B.salim 141
Procédure d’identification des
autorisations effectives

Pour déterminer les autorisations effectives sur


un dossier partagé, procédez comme suit :

Comparez les autorisations NTFS maximales


avec les autorisations maximales de dossier
partagé.
L’autorisation la plus restrictive de l’utilisateur
entre l’autorisation NTFS maximales et les
autorisations de dossier partagé est
l’autorisation effective.

Exercice 12 : Procédure d’utilisation de la


mise en cache hors connexion

Introduction

Effectuez les procédures suivantes pour


administrer les accès aux fichiers partagés en
utilisant la mise en cache hors connexion.

Procédure en utilisant Gestion de


l’ordinateur

Pour définir les paramètres hors connexion en


utilisant Gestion de l’ordinateur :

Dans Gestion de l’ordinateur, développez


Dossiers partagés, puis cliquez sur Partages
dans l’arborescence de la console.
Dans le volet d’informations, cliquez avec le
bouton droit sur la ressource partagée dont
vous voulez définir les paramètres hors
connexion, puis cliquez sur Propriétés.
Dans l’onglet Général de la boîte de dialogue
Propriétés, cliquez sur Paramètres hors
connexion.
Dans la boîte de dialogue Paramètres hors
connexion, sélectionnez l’option appropriée,
puis cliquez sur OK.

Procédure en utilisant l’Explorateur


Windows

Pour définir les paramètres hors connexion en


utilisant l’Explorateur Windows :

Dans l’Explorateur de Windows, cliquez avec


le bouton droit sur le dossier partagé ou le
lecteur dont vous voulez définir l’accès hors
connexion, puis cliquez sur Partage et
sécurité.

B.salim 142
Dans l’onglet Partage de la boîte de dialogue
Propriétés, cliquez sur Paramètres hors
connexion.
Dans la boîte de dialogue Paramètres hors
connexion, sélectionnez l’option appropriée,
puis cliquez sur OK.

Utilisation d’une ligne de commandes

Pour définir les paramètres hors connexion à


l’aide de la commande net share :

Ouvrez une invite de commandes.


Pour définir la mise en cache manuelle, tapez
net share NomDossierPartagé
/cache:manual
Pour définir la mise en cache des documents,
tapez net share NomDossierPartagé
/cache:documents
Pour définir la mise en cache des
programmes, tapez net share
NomDossierPartagé /cache:programs
Pour indiquer qu’un dossier partagé ne doit
pas être mis dans le cache, tapez net share
NomDossierPartagé /cache:none

Exercice 13 : Utilisation de la mise en


cache hors connexion

Objectif

Dans cette application pratique, vous allez


créer un dossier partagé et utiliser différentes
options de mise en cache.

Instructions

Avant de commencer cette application pratique


:

Connectez-vous au domaine en tant que


NomOrdinateurAdmin.

Scénario

Le service des Ressources Humaines vous


demande de configurer un dossier partagé qui
contienne des données sensibles. Northwind
Traders ne veut pas que ces données soient
mises en cache sur aucun ordinateur de
bureau ou ordinateur portable du personnel du
service des Ressources Humaines.

Application pratique : Création d’un dossier


partagé sans mise en cache

B.salim 143
Créer un dossier partagé sans mise en
cache des documents ou des programmes

Créez un dossier partagé sur votre ordinateur


avec les paramètres suivants :
• Emplacement du dossier : D:\
• Nom du dossier : HR Confidential
• Nom du partage : HR Confidential
Définissez les autorisations de dossier partagé
comme suit :
• Accordez l’autorisation Contrôle total à DL
NWTraders HR Personnel Full Control.
• Supprimez le groupe Tout le monde.
Définissez les autorisations NTFS comme
suit :
• Supprimez toutes les autorisations NTFS
héritées.
• Accordez l’autorisation Contrôle total à DL
NWTraders HR Personnel Full Control.
• Accordez l’autorisation Contrôle total à
NomOrdinateur\Administrateurs.
Affectez la valeur Les fichiers ou
programmes de la ressource partagée ne
seront pas disponibles hors connexion aux
paramètres hors connexion.

Scénario

La stratégie de l’entreprise a changé et stipule


à présent que tous les ordinateurs de bureau
et tous les ordinateurs portables ne doivent
avoir que des partitions NTFS et que tous les
ordinateurs portables du personnel du service
des Ressources Humaines doivent utiliser la
fonction EFS de NTFS. Votre équipe de
sécurité informatique signale au personnel du
service des Ressources Humaines qu’il peut
désormais copier toutes les données sensibles
pour les utiliser hors connexion.

Application pratique : Activation de la mise


en cache manuelle des documents

Activer la mise en cache manuelle des


documents

Activez la mise en cache manuelle des


documents dans le dossier confidentiel des
Ressources Humaines en affectant la valeur
Seuls les fichiers et programmes spécifiés
par les utilisateurs seront disponibles hors
connexion aux paramètres hors connexion.

Scénario

Le service des Ressources Humaines utilise

B.salim 144
une application personnalisée basée sur
Microsoft Visual Basic® qui ne contient qu’un
seul fichier exécutable. Pour des raisons de
performance, vous voulez que ce fichier soit
lancé depuis le disque dur local. Toutefois,
cette application est parfois mise à jour et vous
voulez qu’elle soit automatiquement
redéployée après sa mise à jour. Vous décidez
de placer cette application sur le serveur dans
l’unité d’organisation de votre ville, puis utilisez
la mise en cache des programmes qui
optimise les performances.

Application pratique : Activation de la mise


en cache automatique des programmes

Créer un dossier partagé pour le service


des Ressources Humaines

Créez un dossier partagé avec les paramètres


suivants :
• Emplacement du dossier : D:\
• Nom du dossier : HR App
• Nom du partage : HR App
Définissez les autorisations de dossier partagé
comme suit :
• Accordez l’autorisation de modification à DL
NWTraders HR Personnel Change.
• Supprimez le groupe Tout le monde.
Définissez les autorisations NTFS comme
suit :
• Accordez l’autorisation de modification à DL
NWTraders HR Personnel Change.
• Accordez l’autorisation Contrôle total à
NomOrdinateur\Administrateurs.
Affectez les valeurs Tous les fichiers et les
programmes ouverts par les utilisateurs à
partir de la ressource partagée seront
automatiquement disponibles hors
connexion et Optimisé pour les
performances aux paramètres hors
connexion.

Atelier A : Administration des accès aux


ressources

Objectifs

À la fin de cet atelier, vous serez à même


d’effectuer les tâches suivantes :

créer des groupes ;


configurer la sécurité NTFS ;
configurer la sécurité des dossiers partagés ;
configurer les paramètres hors connexion.

B.salim 145
Instructions

Avant de commencer cette application pratique


:

Connectez-vous au domaine en tant que


NomOrdinateurAdmin.
Vérifiez que CustomMMC contient Gestion de
l’ordinateur (Glasgow).

Exercice 1 : Configuration des accès du


personnel du service Manufacturing

Dans cet exercice, vous allez configurer les


accès du personnel du service Manufacturing
(Production).

Scénario

Les directeurs de Manufacturing de l’unité


d’organisation de votre ville ont besoin d’un
dossier partagé pour des milliers de
documents de spécifications. Ces documents
ne changent pas souvent, mais les directeurs
doivent pouvoir ajouter, modifier et supprimer
des documents. Ils veulent que le personnel
de Manufacturing puisse accéder aux
documents en lecture seule, sans modifier ou
supprimer des fichiers et qu’il dispose de
l’autorisation de modification. Le personnel de
Manufacturing n’a pas d’ordinateur portable et
n’a pas besoin d’accès hors connexion aux
documents. Vous devez configurer la sécurité,
les paramètres hors connexion et les
autorisations du personnel de Manufacturing.

Tâches

Exercice 1 : Procédure de création d’un


dossier partagé

Introduction

Lorsque vous créez un dossier partagé, vous


lui donnez un nom de dossier partagé et vous
entrez un commentaire pour décrire le dossier
et son contenu.
Vous pouvez aussi limiter le nombre
d’utilisateurs ayant accès au dossier, accorder
des autorisations et partager un même dossier
plusieurs fois.

B.salim 146
Procédure en utilisant Gestion de
l’ordinateur

Pour créer un dossier partagé en utilisant


Gestion de l’ordinateur :

Dans Gestion de l’ordinateur, développez


Dossiers partagés, puis cliquez sur Partages
dans l’arborescence de la console.
Dans le menu Action, cliquez sur Nouveau
partage.
Suivez les étapes de l’Assistant Partage de
dossier.

Procédure en utilisant l’Explorateur


Windows

Pour créer un dossier partagé dans


l’Explorateur Windows, procédez comme suit :

Dans l’Explorateur Windows, cliquez avec le


bouton droit sur le dossier, puis cliquez sur
Partage et sécurité.
Dans l’onglet Partage de la boîte de dialogue
Propriétés, définissez les options répertoriées
dans le tableau suivant.

Option Description

Partager ce dossier Cliquez pour partager


le dossier.
Nom du partage Entrez le nom que les
utilisateurs distants vont utiliser pour
se connecter au dossier partagé.
Le nom de dossier partagé
par défaut correspond au nom du
dossier. Cette option est obligatoire.
Description Entrez la description
facultative du dossier partagé. Vous
pouvez utiliser ce commentaire pour
indiquer le contenu du
dossier partagé.
Nombre maximal d’utilisateurs Entrez
le nombre d’utilisateurs qui peuvent se
connecter
simultanément au dossier partagé.
Cette option n’est pas
nécessaire si vous cliquez sur
Maximum autorisé. Les
systèmes d’exploitation Windows
actuels prennent en
charge jusqu’à 10 connexions
simultanées.
Autorisations Cliquez pour définir les
autorisations sur le dossier partagé,
qui ne s’appliquent que lors des accès

B.salim 147
via le réseau. Cette
option n’est pas obligatoire. Par
défaut, le groupe Tout le
monde dispose de l’autorisation de
lecture sur tous les
nouveaux dossiers partagés.

Remarque : Certains ordinateurs clients qui se


connectent à un dossier partagé ne voient
qu’un nombre limité de caractères.

Utilisation d’une ligne de commandes

La commande net share crée, supprime ou


affiche des dossiers partagés. Pour créer un
dossier partagé avec cette commande :

Ouvrez une invite de commandes.


Tapez net share
NomDossierPartagé=Unité:Chemin

Valeur Description

NomDossierPartagé=Unité:Chemin Il s’agit
du nom de réseau du dossier partagé et de
son
chemin absolu.

Exercice 2 : Procédure de publication d’un


dossier partagé

Introduction

La publication d’informations sur les


ressources du réseau dans Active Directory
facilite leur recherche par les utilisateurs. Vous
pouvez publier des informations sur les
imprimantes et les dossiers partagés en
utilisant Gestion de l’ordinateur ou Utilisateurs
et ordinateurs Active Directory.

Procédure de publication d’un dossier


partagé sous la forme d’un objet Serveur

Pour publier un dossier partagé sous la forme


d’un objet Serveur :

Dans Gestion de l’ordinateur, développez


Dossiers partagés, puis cliquez sur Partages
dans l’arborescence de la console.
Cliquez avec le bouton droit sur un dossier
partagé, puis sur Propriétés.
Dans l’onglet Publier de la boîte de dialogue
Propriétés, activez la case à cocher Publier

B.salim 148
ce partage dans Active Directory, puis
cliquez sur OK.

Procédure de publication d’un dossier


partagé dans une unité d’organisation

Pour publier un dossier partagé dans une unité


d’organisation, procédez comme suit :

Dans Utilisateurs et ordinateurs Active


Directory, dans l’arborescence de console,
cliquez avec le bouton droit sur le dossier dans
lequel vous voulez ajouter le dossier partagé,
pointez sur Nouveau, puis cliquez sur Dossier
partagé.
Dans le champ Nom de la boîte de dialogue
Nouvel objet. Dossier partagé, tapez le nom
de dossier que doivent utiliser les clients.
Dans le champ Chemin réseau, tapez le nom
UNC à publier dans Active Directory, puis
cliquez sur OK.

Exercice 3 : Procédure de définition des


autorisations sur un dossier partagé

Introduction

Effectuez la procédure suivante pour définir les


autorisations sur un dossier partagé.

Procédure en utilisant Gestion de


l’ordinateur

Pour définir des autorisations sur un dossier


partagé en utilisant Gestion de l’ordinateur,
procédez comme suit :

Dans Gestion de l’ordinateur, développez


Dossiers partagés, puis cliquez sur Partages
dans l’arborescence de la console.
Dans le volet d’informations, cliquez avec le
bouton droit sur le dossier partagé sur lequel
vous voulez définir des autorisations, puis
cliquez sur Propriétés.
Dans l’onglet Autorisations du partage de la
boîte de dialogue Propriétés, procédez de
l’une des manières suivantes :
Cliquez sur Ajouter pour autoriser un
utilisateur ou un groupe à utiliser un dossier
partagé. Dans la boîte de dialogue
Sélectionnez Utilisateurs, Ordinateurs ou
Groupes, sélectionnez ou tapez le nom de
l’utilisateur ou du groupe, puis cliquez sur OK.
Cliquez sur Supprimer pour annuler l’accès à
un dossier partagé.
Dans la boîte de dialogue Autorisations,

B.salim 149
activez la case à cocher Autoriser ou Refuser
pour définir des autorisations individuelles pour
l’utilisateur ou le groupe sélectionné, puis
cliquez sur OK.

Procédures en utilisant l’Explorateur


Windows

Pour définir les autorisations sur un dossier


partagé en utilisant l’Explorateur Windows,
procédez comme suit :

Dans l’Explorateur Windows, cliquez avec le


bouton droit sur le dossier partagé sur lequel
vous voulez définir les autorisations, puis
cliquez sur Partage et sécurité.
Dans l’onglet Partage de la boîte de dialogue
Propriétés, cliquez sur Autorisations.
Dans la boîte de dialogue Autorisations,
procédez de l’une des manières suivantes :
Cliquez sur Ajouter pour autoriser un
utilisateur ou un groupe à utiliser un dossier
partagé. Dans la boîte de dialogue
Sélectionnez Utilisateurs, Ordinateurs ou
Groupes, sélectionnez ou tapez le nom de
l’utilisateur ou du groupe, puis cliquez sur OK.
Cliquez sur Supprimer pour annuler l’accès à
la ressource partagée.
Dans la boîte Autorisations, activez la case à
cocher Autoriser ou Refuser pour définir des
autorisations individuelles pour l’utilisateur ou
le groupe sélectionné.

Exercice 4 : Procédure de connexion à un


dossier partagé

Introduction

Après avoir créé un dossier partagé, les


utilisateurs peuvent y accéder via le réseau.
Les utilisateurs peuvent accéder au dossier
partagé sur un autre ordinateur en utilisant
Favoris réseau, la fonction Connecter un
lecteur réseau ou la commande Exécuter du
menu Démarrer.

Procédure en utilisant Favoris réseau

Pour vous connecter à un dossier partagé en


utilisant Favoris réseau, procédez comme
suit :

Ouvrez Favoris réseau et double-cliquez sur


Ajout d’un Favori réseau.
Dans la page Bienvenue de l’Assistant Ajout
d’un Favori réseau, cliquez sur Suivant.

B.salim 150
Dans la page Où voulez-vous créer cet
emplacement réseau ?, cliquez sur
Choisissez un autre emplacement réseau,
puis sur Suivant.
Dans la page Quelle est l’adresse de cet
emplacement réseau ?, tapez le chemin UNC
du dossier partagé ou cliquez sur Parcourir.
Si vous cliquez sur Parcourir, développez
Tout le réseau.
Développez Réseau Microsoft Windows.
Développer le domaine et le serveur auxquels
vous voulez vous connecter.
Cliquez sur le dossier partagé à ajouter, puis
sur OK.
Cliquez sur Suivant.
Dans la page Quel nom voulez-vous
attribuer à cet emplacement ?, tapez le nom
de l’emplacement de réseau, puis cliquez sur
Suivant.
Dans la page Fin de l’assistant Ajout d’un
Favori réseau, cliquez sur Terminer.

Procédure avec Lecteur réseau

Pour associer une lettre et une icône à un


dossier partagé, définissez une unité de
réseau. Cela facilite la référence à
l’emplacement d’un fichier dans un dossier
partagé. Vous pouvez aussi sélectionner des
lettres de lecteur pour accéder aux dossiers
partagés pour lesquels vous ne pouvez pas
utiliser un chemin UNC, tels que le dossier
d’une ancienne application.
Pour vous connecter à un dossier partagé en
utilisant Favoris réseau, procédez comme
suit :

Cliquez avec le bouton droit sur Favoris


réseau, puis cliquez sur Connecter un
lecteur de réseau.
Dans la zone Lecteur de la boîte de dialogue
Connecter un lecteur réseau, sélectionnez
l’unité à utiliser.
Dans le champ Dossier, tapez le nom du
dossier partagé auquel vous voulez vous
connecter ou cliquez sur Parcourir.
S’il s’agit d’un dossier partagé qui sera
fréquemment utilisé, activez la case à cocher
Se reconnecter à l’ouverture de session
pour vous connecter automatiquement au
dossier partagé dès que vous ouvrez une
session.

Procédure en utilisant la commande


Exécuter

B.salim 151
Lorsque vous utilisez la commande Exécuter
du menu Démarrer pour vous connecter à une
ressource du réseau, aucune lettre de lecteur
n’est nécessaire.
Ainsi, vous pouvez vous connecter au dossier
partagé un nombre illimité de fois,
indépendamment des lecteurs disponibles.

Cliquez sur Démarrer, puis sur Exécuter.


Dans la boîte de dialogue Exécuter, tapez un
chemin UNC, puis cliquez sur OK. Lorsque
vous entrez le nom du serveur, la liste des
dossiers partagés disponibles apparaît.
Windows Server 2003 vous donne la
possibilité de choisir l’une des entrées en
fonction des dossiers partagés disponibles.

Exercice 5 : Administration des accès aux


dossiers partagés

Objectif

Dans cette application pratique, vous allez


créer un dossier partagé, accorder des
autorisations de lecture et de contrôle total à
deux groupes différents, puis tester les
autorisations.

Instructions

Avant de commencer cette application pratique


:

Connectez-vous au domaine en tant que


NomOrdinateurAdmin.
Vérifiez que CustomMMC contient Gestion de
l’ordinateur (Local).

Scénario

On vous demande de créer un dossier partagé


pour le service des Ressources Humaines. Le
service a besoin d’un dossier partagé sur
lequel les employés du service doivent avoir
l’autorisation Contrôle total et ceux du service
Accounting doivent disposer de l’autorisation
de lecture. Vous devez créer le dossier
partagé avec les autorisations nécessaires aux
services des Ressources Humaines et
Comptabilité.

Application pratique

B.salim 152
Créer un dossier partagé

En utilisant Gestion d’ordinateur, créez un


dossier partagé sur votre ordinateur avec les
paramètres suivants :
Emplacement du dossier : D:\
Nom du dossier : HR Reports
Sécurité :
Accordez l’autorisation Contrôle total à DL
NWTraders HR Personnel Full Control.
Accordez l’autorisation de lecture à DL
NWTraders Accounting Managers Read.
Supprimez le groupe Tout le monde.

Tester les autorisations lecture du dossier


partagé

Ouvrez une session en tant que


AccountingManager avec le mot de passe
P@ssw0rd.
Connectez-vous au dossier
partagé \\NomOrdinateur\HR Reports.
Essayez de créer un fichier texte dans le
dossier HR Reports. Normalement vous ne
pouvez pas créer de fichier texte dans le
dossier partagé.

Tester l’autorisation de contrôle complet


sur le dossier partagé

Ouvrez une session en tant que HRUser avec


le mot de passe P@ssw0rd.
Connectez-vous au dossier
partagé \\NomOrdinateur\HR Reports.
Essayez de créer un fichier texte dans le
dossier HR Reports. Normalement vous devez
avoir accès au dossier partagé.

Exercice 6 : Procédure de copie et


d’annulation des autorisations héritées

Introduction

Effectuez la procédure suivante pour copier ou


annuler les autorisations héritées.

Procédure

Pour copier ou annuler les autorisations


héritées, procédez comme suit :

Dans l’Explorateur de Windows, cliquez avec


le bouton droit sur le fichier ou sur le dossier
sur lequel vous voulez modifier les
autorisations héritées, puis cliquez sur
Propriétés.

B.salim 153
Dans la boîte de dialogue Propriétés, cliquez
sur Paramètres avancés dans l’onglet
Sécurité.
Dans la boîte de dialogue Paramètres de
sécurité avancé, désactivez la case à cocher
Permettre aux autorisations héritées du
parent de se propager à cet objet et aux
objets enfants. Cela inclut les objets dont
les entrées sont spécifiquement définies
ici.
Dans la boîte de dialogue Sécurité, cliquez
sur l’une des options suivantes :
Cliquez sur Copier pour copier les entrées
d’autorisation précédemment appliquées du
parent vers l’objet.
Cliquez sur Supprimer pour supprimer les
entrées d’autorisation qui étaient
précédemment appliquées à partir du parent et
ne conserver que les autorisations affectées
explicitement.
Dans la boîte de dialogue Paramètres de
sécurité avancé, cliquez sur OK.
Dans la boîte de dialogue Propriétés, cliquez
sur OK.

Exercice 7 : Procédure d’administration des


accès aux fichiers et aux dossiers en
utilisant les autorisations NTFS

Introduction

Effectuez la procédure suivante pour changer


les autorisations standard et spéciales sur les
fichiers et les dossiers.

Procédure de modification des


autorisations standard

Pour changer les autorisations standard,


procédez comme suit :

Dans l’Explorateur de Windows, cliquez avec


le bouton droit sur le fichier ou dossier sur
lequel vous voulez définir des autorisations,
puis cliquez sur Propriétés.
Dans l’onglet Sécurité de la boîte de dialogue
Propriétés, procédez de l’une des manières
suivantes :
Pour accorder des autorisations à un groupe
ou à un utilisateur qui n’apparaît pas dans la
zone Noms d’utilisateurs ou de groupes,
cliquez sur Ajouter. Dans le champ Entrez les
noms des objets à sélectionner de la boîte
de dialogue Sélectionnez Utilisateurs,
Ordinateurs ou Groupes, tapez le nom du
groupe ou de l’utilisateur auquel vous voulez

B.salim 154
accorder des autorisations, puis cliquez sur
OK.
Pour changer ou annuler les autorisations d’un
groupe ou d’un utilisateur, cliquez sur le nom
du groupe ou de l’utilisateur dans la zone
Noms d’utilisateurs ou de groupes, puis
effectuez l’une des opérations suivantes :
Pour accorder ou refuser une autorisation,
activez la case à cocher Autoriser ou Refuser
dans la zone Autorisations pour.
Pour supprimer le groupe ou l’utilisateur de la
zone Noms d’utilisateurs ou de groupes,
cliquez sur Supprimer.

Procédure de modification des


autorisations spéciales

Pour changer les autorisations spéciales :

Dans l’Explorateur de Windows, cliquez avec


le bouton droit sur l’objet sur lequel vous
voulez définir des autorisations spéciales, puis
cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, cliquez
sur Paramètres avancés dans l’onglet
Sécurité.
Dans la boîte de dialogue Paramètres de
sécurité avancé, effectuez l’une des
opérations suivantes :
Pour accorder des autorisations spéciales à un
groupe ou un utilisateur supplémentaire,
cliquez sur Ajouter. Dans la zone Entrez le
nom de l’objet à sélectionner de la boîte de
dialogue Sélectionnez Utilisateurs,
Ordinateurs ou Groupes, tapez le nom de
l’utilisateur ou du groupe, puis cliquez sur OK.
Pour consulter ou changer les autorisations
spéciales d’un groupe ou d’un utilisateur,
cliquez sur le nom du groupe ou de
l’utilisateur, puis sur Modifier.
Activez ou désactivez la case à cocher
Autoriser ou Refuser dans la boîte de
dialogue Entrée d’autorisation.
Dans la liste déroulante Appliquer à, cliquez
sur les dossiers ou les sousdossiers auxquels
vous voulez appliquer les autorisations.
Pour définir la sécurité afin que les sous-
dossiers et les fichiers n’héritent pas de ces
autorisations, désactivez la case à cocher
Appliquer ces autorisations uniquement
aux objets et/ou aux conteneurs faisant
partie de ce conteneur.
Cliquez sur OK, puis de nouveau sur OK dans
la boîte de dialogue Paramètres de sécurité
avancé.

B.salim 155
Remarque : Pour supprimer un groupe ou un
utilisateur et ses autorisations spéciales,
cliquez sur le nom du groupe ou de
l’utilisateur, puis sur Supprimer.
Si le bouton Supprimer n’est pas disponible,
désactivez la case à cocher
Permettre aux autorisations héritées du
parent de se propager à cet objet et aux
objets enfants. Cela inclut les objets dont
les entrées sont spécifiquement définies
ici, puis cliquez sur Copier ou Supprimer.

Exercice 8 : Administration des accès aux


fichiers et aux dossiers en utilisant les
autorisations NTFS

Objectif

Dans cette application pratique, vous allez


administrer les accès aux fichiers et aux
dossiers en utilisant les autorisations NTFS.

Instructions

Avant de commencer cette application pratique


:

Connectez-vous au domaine en tant que


NomOrdinateurAdmin.

Scénario

Northwind Traders vous demande de créer le


dossier Public pour les services Comptabilité
et Ressources Humaines. Tous les employés
doivent pouvoir accéder au même dossier
partagé et naviguer vers le dossier approprié
pour leur permettre d’exécuter leurs tâches.
Vous devez créer les dossiers représentés
dans le schéma ci-dessous et configurer le
dossier partagé et les autorisations NTFS:

Application pratique

B.salim 156
Partager le dossier Public

Créez et partagez le dossier D:\Public.


Configurez le groupe Utilisateurs authentifiés
pour lui affecter l’autorisation de modification
sur le dossier D:\Public.
Supprimez le groupe Tout le monde.

Créer les dossiers conformément au


schéma

Créez le dossier D:\Public\Accounting.


Créez le dossier D:\Public\HR.

Définir les autorisations NTFS

Supprimez toutes les autorisations héritées


dans les dossiers suivants et n’appliquer les
autorisations qu’au dossier. N’autorisez pas
les sous dossiers à hériter des autorisations.

Dossier
G NomOrdinateur Marketing Personnel à DL
NomOrdinateur Marketing Personnel Read et
DL NomOrdinateur Marketing Personnel
Modify.
b. Effectuez les opérations précédentes pour
chaque groupe de domaine local de personnel.

G NomOrdinateur Marketing Managers à DL


NomOrdinateur Marketing Managers Read et
DL NomOrdinateur Marketing Managers
Modify.
b. Effectuez les opérations précédentes pour
chaque groupe de domaine local de directeurs.

• DL NomOrdinateur Marketing Managers


Read
• DL NomOrdinateur Marketing Personnel
Read
• DL NomOrdinateur HR Managers Read
• DL NomOrdinateur HR Personnel Read
• DL NomOrdinateur Marketing Managers
Modify
• DL NomOrdinateur Marketing Personnel
Modify
• DL NomOrdinateur HR Managers Modify
• DL NomOrdinateur HR Personnel Modify

utilisés pour les autorisations de lecture seule


et de modification dans l’unité d’organisation
Locations/NomOrdinateur/Groups.

B.salim 157
b. Effectuez de nouveau toutes les opérations
des étapes précédentes pour chaque groupe
de personnel global.

b. Effectuez de nouveau les opérations


précédentes pour les groupes suivants :
• G NomOrdinateur Marketing Personnel
• G NomOrdinateur HR Managers
• G NomOrdinateur HR Personnel

Exercice 5 : Recherche et activation de


comptes d’utilisateurs

Dans cet exercice, vous allez activer des


comptes d’utilisateurs et des comptes
d’ordinateurs dans l’unité d’organisation de
votre ville.

Scénario

Les ingénieurs système de NorthWind Traders


ont importé des comptes d’utilisateurs pour
l’ensemble du domaine nwtraders. Les
administrateurs système sont chargés de
rechercher les comptes d’utilisateurs dotés
d’un attribut Ville correspondant à leur nom
d’ordinateur
(NomOrdinateur) et de les activer pour que les
utilisateurs puissent se connecter.

Tâches

Recherchez : Computers
Champ : Nom de l’ordinateur (antérieur à
Windows 2000)
Condition : Commence par
Valeur : les trois premières lettres du nom de
votre ordinateur

Exercice 4 : Recherche et déplacement de


comptes d’ordinateurs

Dans cet exercice, vous allez rechercher des


comptes d’ordinateurs dont le nom contient les
trois premières lettres du nom de votre
ordinateur et les déplacer dans votre unité
d’organisation NomOrdinateur/Computers.

B.salim 158
Scénario

Les ingénieurs système de NorthWind Traders


ont importé des comptes d’ordinateurs pour
l’ensemble du domaine nwtraders. Les
administrateurs système sont chargés de
rechercher les comptes d’ordinateurs
contenant les trois premières lettres de leur
NomOrdinateur et de les transférer vers le
dossier Computers de leur unité d’organisation
NomOrdinateur.

Tâches

l’emplacement suivant

Recherchez : Utilisateurs, contacts et


groupes
Champ : Ville
Condition : Égale exactement
Valeur : NomOrdinateur

Exercice 3 : Recherche et déplacement de


comptes d’utilisateurs

Dans cet exercice, vous allez rechercher des


comptes d’utilisateurs dans votre ville et les
déplacer dans l’unité d’organisation
NomOrdinateur/Users.

Scénario

Les ingénieurs système de NorthWind Traders


ont importé des comptes d’utilisateurs pour
l’ensemble du domaine nwtraders. Les
administrateurs système sont chargés de
rechercher les comptes d’utilisateurs dotés
d’un attribut Ville correspondant à leur
NomOrdinateur et de les transférer vers le
dossier Users de leur unité d’organisation
NomOrdinateur.

Tâches

Ajoutez les cinq comptes d’ordinateurs


suivants :

01NomOrdinateurLap,
02NomOrdinateurLap,
03NomOrdinateurLap,
04NomOrdinateurLap,
05NomOrdinateurLap

B.salim 159
Ajoutez les cinq comptes d’ordinateurs
suivants :
01NomOrdinateurDesk,
02NomOrdinateurDesk,
03NomOrdinateurDesk,
04NomOrdinateurDesk,
05NomOrdinateurDesk

Nom, Prénom Ville

Brown, Robert Acapulco


Browne, Kevin F. Acapulco
Byham, Richard A. Auckland
Calafato, Ryan Auckland
Berg, Karen Bangalore
Berge, Karen Bangalore
Barnhill, Josh Bonn
Barr, Adam Bonn
Altman, Gary E. III Brisbane
Anderson, Nancy Brisbane
Chapman, Greg Caracas
Charles, Mathew Caracas
Bonifaz, Luis Casablanca
Boseman, Randall Casablanca
Ackerman, Pilar Denver
Adams, Jay Denver
Connelly, Peter Khartoum
Conroy, Stephanie Khartoum
Barreto de Mattos, Paula Lima
Bashary, Shay Lima
Arthur, John Lisbon
Ashton, Chris Lisbon
Bankert, Julie Manila
Clark, Brian Manila
Burke, Brian Miami
Burlacu, Ovidiu Miami
Chor, Anthony Montevideo
Ciccu, Alice Montevideo
Casselman, Kevin A. Moscow
Cavallari, Matthew J. Moscow
Cornelsen, Ryan Nairobi
Cox, Brian Nairobi
Alberts, Amy E. Perth
Alderson, Gregory F. (Greg) Perth
Benshoof, Wanida Santiago
Benson, Max Santiago
Bezio, Marin Singapore
Bischoff, Jimmy Singapore
Carothers, Andy Stockholm
Carroll, Matthew Stockholm
Cannon, Chris Suva
Canuto, Suzana De Abreu A. Suva
Combel, Craig M. Tokyo

B.salim 160
Con, Aaron Tokyo
Bradley, David M. Tunis
Bready, Richard Tunis
Abolrous, Sam Vancouver
Acevedo, Humberto Vancouver

Exercice 2 : Création de comptes


d’ordinateurs

Dans cet exercice, vous allez créer 10


comptes d’ordinateurs.

Scénario

Vous attendez la livraison de cinq nouveaux


ordinateurs portables et de cinq ordinateurs de
bureau dans votre emplacement. Un
consultant doté d’un compte d’utilisateur dans
le domaine va ajouter ces ordinateurs au
domaine. La stratégie de sécurité de
Northwind Traders prévoit que les ordinateurs
portables et les ordinateurs de bureau doivent
être administrés par les administrateurs de
l’unité d’organisation de la ville.

Tâches

Numéro de téléphone : 555-2469


Gestionnaire : NomOrdinateurUser

Créez les comptes des utilisateurs figurant


dans le tableau suivant qui correspondent à la
ville de votre entreprise, à l’aide des
paramètres suivants :
Prénom : Prénom
Nom : Nom
Nom d’ouverture de session de l’utilisateur :
les trois premières lettres du prénom et les
trois premières lettres du nom
Nom d’ouverture de session de l’utilisateur
(antérieur à Windows 2000) : les trois
premières lettres du prénom et les trois
premières lettres du nom
Mot de passe : P@ssw0rd
Désactivez le compte d’utilisateur.

Exercice 5 : Activation et désactivation des


comptes d’utilisateurs et des comptes

B.salim 161
d’ordinateurs

Objectif

Dans cet exercice, vous allez désactiver puis


réactiver un compte d’utilisateur et un compte
d’ordinateur.

Instructions

Avant de commencer cette application pratique


:

Ouvrez une session sur le domaine en utilisant


le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande
Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin
(exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs
et ordinateurs Active Directory.

Scénario

La stratégie de sécurité de Northwind Traders


stipule que les comptes des employés qui
prennent un congé prolongé doivent être
désactivés pendant leur absence. C’est l’une
des tâches qui vous incombent. Vous devez
créer un compte dans l’unité d’organisation IT
Test, désactiver le compte et ouvrir une
session en tant qu’utilisateur pour vérifier que
ce compte est désactivé.

Application pratique : Désactivation d’un


compte d’utilisateur

Créer un compte d’utilisateur désactivé

Créez un compte d’utilisateur avec les


paramètres suivants :
Unité d’organisation : IT Test
Nom de l’utilisateur : NomOrdinateurDisabled
Mot de passe : P@ssw0rd
Le compte est désactivé
Décochez la case à cocher L’utilisateur doit
changer le mot de passe à la prochaine
ouverture de session.

Tester le compte d’utilisateur désactivé

Essayez d’ouvrir une session en tant que


nouvel utilisateur pour vérifier que la
connexion est impossible.

Scénario

B.salim 162
Vous venez de désactiver un compte
d’utilisateur et vous avez vérifié que l’utilisateur
ne peut pas ouvrir de session. Vous souhaitez
à présent vérifier qu’il n’y a pas d’autres
problèmes au niveau du compte et vous devez
donc l’activer et ouvrir une session pour vous
assurer que le compte d’utilisateur est bien
activé.

Application pratique : Activation d’un


compte d’utilisateur

Activer le compte d’utilisateur

Activez le compte d’utilisateur qui dispose des


paramètres suivants :
Unité d’organisation : IT Test
Nom de l’utilisateur : NomOrdinateurDisabled

Tester le compte d’utilisateur activé

Ouvrez une session avec le compte


d’utilisateur NomOrdinateurDisabled pour
vérifier que vous pouvez vous connecter.
Ouvrez la session avec le mot de passe
P@ssw0rd.

Scénario

Un ingénieur système s’inquiète du fait qu’un


utilisateur non autorisé essaie d’utiliser un
ordinateur de type kiosk après les heures de
bureau. L’ingénieur système vous demande de
désactiver le compte d’ordinateur jusqu’à ce
qu’il puisse examiner les fichiers journaux de
l’ordinateur. Vous devez désactiver le compte
d’ordinateur.

Application pratique : Désactivation d’un


compte d’ordinateur

Créer un compte d’ordinateur désactivé

Créez un compte d’ordinateur désactivé avec


les paramètres suivants :
Unité d’organisation : IT Test
Nom de l’ordinateur : NomOrdinateurKiosk
Le compte est désactivé.

Scénario

L’ingénieur système découvre que l’agent de


sécurité de nuit a essayé de se connecter à
l’ordinateur kiosk sans compte de domaine.
L’agent de sécurité a été averti qu’il ne devait

B.salim 163
pas tenter de s’y connecter. L’ingénieur
système veut que vous activiez l’ordinateur
kiosk de votre ville.

Application pratique : Activation d’un


compte d’ordinateur

Activer le compte d’ordinateur

Activez le compte d’ordinateur qui dispose des


paramètres suivants :
Unité d’organisation : IT Test
Nom de l’ordinateur : NomOrdinateurKiosk

Application pratique : Utilisation d’une


ligne de commandes

Désactiver un compte d’utilisateur à l’aide


de la commande dsmod

Désactivez un compte d’utilisateur dans l’unité


d’organisation IT Test à l’aide de la commande
dsmod.

Exemple : Dsmod user "cn=London user,ou=it


test,dc=nwtraders, dc=msft" -disabled yes
Activer un compte d’utilisateur à l’aide de
la commande dsmod

Activez un compte d’utilisateur dans l’unité


d’organisation IT Test à l’aide de la commande
dsmod.

Exemple : Dsmod user "cn=London user,ou=it


test,dc=nwtraders, dc=msft" -disabled no

Exercice 6 : Réinitialisation d’un mot de


passe utilisateur

Objectif

Dans cette application pratique, vous allez


réinitialiser le mot de passe d’un compte
d’utilisateur pour que ce dernier puisse se
connecter au domaine.

Instructions

Avant de commencer cette application pratique


:

Ouvrez une session sur le domaine en utilisant


le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande
Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin

B.salim 164
(exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs
et ordinateurs Active Directory.

Scénario

Vous apprenez qu’un utilisateur de votre ville a


récemment oublié son mot de passe. Vous
avez suivi la stratégie d’entreprise et vérifié
que l’utilisateur est bien la personne qu’il
prétend être. Vous devez réinitialiser le mot de
passe de son compte et demander à
l’utilisateur de modifier son mot de passe la
prochaine fois qu’il se connecte.

Application pratique

Réinitialiser le compte d’utilisateur

Sous Utilisateurs et ordinateurs Active


Directory, recherchez le compte
NomOrdinateurUser dans l’unité d’organisation
Users.
Réinitialisez le mot de passe à P@ssw0rd1 et
obligez l’utilisateur à modifier son mot de
passe lors de la prochaine connexion.
Fermez tous les programmes et fermez la
session.

Tester le nouveau mot de passe

Ouvrez une session en tant que


NomOrdinateurUser avec le mot de passe
P@ssw0rd1.
Remplacez le mot de passe par P@ssword2.

Exercice 7 : Recherche de comptes


d’utilisateurs et de comptes d’ordinateurs

Objectif

Dans cet exercice, vous allez rechercher :

des comptes d’utilisateurs par nom ;


des comptes d’ordinateurs par nom ;
des comptes désactivés ;
des comptes d’ordinateurs par ville ;
des comptes d’utilisateurs et des comptes
d’ordinateurs à l’aide de la commande
dsquery.

Instructions

Avant de commencer cette application pratique


:

B.salim 165
Ouvrez une session sur le domaine en utilisant
le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande
Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin
(exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs
et ordinateurs Active Directory.

Scénario

Les ingénieurs système importent en bloc les


comptes d’utilisateurs dans le conteneur
Users. Ils vous demandent de vérifier que tous
les comptes d’utilisateurs des Directeurs
commerciaux ont été importés avec succès
dans Active Directory.

Application pratique : Recherche de


comptes d’utilisateurs par nom

Rechercher des comptes d’utilisateurs par


nom

Recherchez les comptes d’utilisateurs :


dans le conteneur Users du domaine
NWTraders ;
avec une description de Sales Manager.

Votre recherche doit renvoyer environ 24


comptes d’utilisateurs du type Directeur
commercial.

Scénario

Les ingénieurs système importent en bloc les


comptes d’ordinateurs dans le conteneur
Computers. Ils vous demandent de vérifier que
tous les comptes d’ordinateurs de votre ville
ont été importés dans Active Directory.
La convention d’attribution de noms utilisée
pour importer en bloc des comptes
d’ordinateurs prévoit d’indiquer les trois ou
quatre premières lettres de la ville, suivies de
Ordinateur et d’un nombre séquentiel, par
exemple, CasaOrdinateur2005.

Application pratique : Recherche de


comptes d’ordinateurs par nom

Rechercher des comptes d’ordinateurs par


nom

Recherchez un compte d’ordinateur :


dans le conteneur Computers du domaine
NWTraders ;

B.salim 166
avec un nom d’ordinateur qui correspond aux
trois premières lettres de votre ville.

Votre recherche doit renvoyer 101 comptes


d’ordinateurs environ.

Scénario

Les ingénieurs système importent en bloc les


comptes d’ordinateurs dans le conteneur
Computers. Ils vous demandent de vérifier que
tous les comptes d’ordinateurs de votre ville
ont été importés dans Active Directory. La
convention d’attribution de noms utilisée pour
importer en bloc les comptes d’ordinateurs
consiste à utiliser les trois ou quatre premières
lettres de la ville, suivies de Ordinateur et d’un
nombre séquentiel, par exemple
CasaOrdinateur2005.

Application pratique : Recherche de


comptes désactivés

Rechercher des comptes désactivés

Recherchez les comptes d’utilisateurs :


dans le domaine NWTraders ;
avec une description qui commence par
Sales ;
qui sont désactivés (N’activez pas les
comptes).

Votre recherche doit renvoyer environ 240


comptes d’utilisateurs désactivés.

Scénario

Les ingénieurs système importent en bloc les


comptes d’ordinateurs dans le conteneur
Computers. Ils vous demandent de vérifier que
tous les comptes d’ordinateurs de votre ville
ont été importés dans Active Directory.
La convention d’attribution de noms utilisée
pour importer en bloc les comptes
d’ordinateurs consiste à utiliser les trois ou
quatre premières lettres de la ville, suivies de
Ordinateur et d’un nombre séquentiel, par
exemple CasaOrdinateur2005.

Application pratique : Recherche de


comptes d’ordinateurs par ville

Rechercher des comptes d’ordinateurs par


ville

Recherchez les comptes d’ordinateurs :

B.salim 167
dans le conteneur Computers du domaine
NWTraders ;
avec un nom d’ordinateur qui correspond aux
trois premières lettres de votre ville.

Votre recherche doit renvoyer 101 comptes


d’ordinateurs environ.

Application pratique : Recherche de


comptes d’utilisateurs et de comptes
d’ordinateurs à l’aide de la commande
dsquery

Rechercher tous les utilisateurs à l’aide de


leur prénom

À l’invite de commandes, tapez Dsquery


user .name utilisateur*.

Rechercher tous les ordinateurs à l’aide


des trois premières lettres "lon"

À l’invite de commandes, tapez Dsquery


computer .name lon*

Exercice 8 : Création de requêtes


sauvegardées

Objectifs

Dans cette application pratique, vous allez


créer une requête sauvegardée pour un
compte d’utilisateur.

Instructions

Avant de commencer cette application pratique


:

Ouvrez une session sur le domaine en utilisant


le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande
Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin
(exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs
et ordinateurs Active Directory.

Scénario

Vous constatez que vous êtes souvent à la


recherche des mêmes informations.
Vous voulez enregistrer des requêtes pour
l’avenir. Créez une requête sauvegardée pour
un compte d’utilisateur. La requête
sauvegardée doit avoir les propriétés

B.salim 168
suivantes :
elle s’appelle NomOrdinateur User Account ;
elle est enregistrée dans le conteneur Users
du domaine NWTraders ;
la valeur de la ville correspond au nom de
votre ordinateur.

Application pratique

Créer une requête sauvegardée

Dans la console Utilisateurs et ordinateurs


Active Directory, cliquez avec le bouton droit
sur Requêtes sauvegardées, puis cliquez sur
Nouveau et sur Requête.
Dans la boîte de dialogue Nouvelle requête,
créez une requête avec les paramètres
suivants :
Nom : NomOrdinateur User Accounts
Description : NomOrdinateur User Accounts
Cliquez sur Définir la requête.
Dans la zone Rechercher, cliquez sur
Utilisateurs, contacts et groupes.
Dans l’onglet Avancé, cliquez sur Champ,
pointez sur Utilisateur et cliquez sur Ville.
Vérifiez que Commence par figure dans la
zone Condition.
Dans la zone Valeur, tapez NomOrdinateur et
cliquez sur Ajouter.
Cliquez sur OK pour fermer la boîte de
dialogue Rechercher Utilisateurs, contacts
et groupes.
Cliquez sur OK pour fermer la boîte de
dialogue Nouvelle requête.
Cliquez avec le bouton droit sur la requête,
puis cliquez sur Actualiser pour actualiser la
requête sauvegardée.

Atelier A : Administration des comptes


d’utilisateurs et des comptes d’ordinateurs

Objectifs

À la fin de cet atelier, vous serez à même


d’effectuer les tâches suivantes :

créer des comptes d’utilisateurs et des


comptes d’ordinateurs ;
déplacer des comptes d’utilisateurs et des
comptes d’ordinateurs dans une nouvelle unité
d’organisation ;
activer des comptes d’utilisateurs.

Mise en place de l’atelier

Pour cet atelier :

B.salim 169
Ouvrez une session sur le domaine en utilisant
le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande
Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin
(exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs
et ordinateurs Active Directory.
L’unité d’organisation
Locations/NomOrdinateur/Computers/Desktop
s doit exister.
L’unité d’organisation
Locations/NomOrdinateur/Computers/Laptops
doit exister.

Exercice 1 : Création de comptes


d’utilisateurs

Dans cet exercice, vous allez créer deux


comptes d’utilisateurs.

Scénario

Vous avez reçu une liste d’utilisateurs à


ajouter dans Active Directory. Dans la liste,
recherchez les utilisateurs qui possèdent un
bureau dans votre ville et ajoutez-les dans
l’unité d’organisation appropriée dans l’unité
d’organisation de votre ville.

Tâches

Scénario

Vous devez créer des comptes pour l’équipe


de télémarketing de Northwind Traders. Le
taux de rotation du personnel de cette équipe
est élevé. Pour des raisons de sécurité,
Northwind Traders ne souhaite pas renommer
et réutiliser les comptes d’utilisateurs. Vous
devez créer un modèle de compte d’utilisateur
qui réponde aux besoins de l’équipe de
télémarketing.

Application pratique : Copie d’un modèle


de compte d’utilisateur

Copier le modèle de compte d’utilisateur

Copiez le compte NomOrdinateurTemplate qui


disposera des paramètres suivants.

Paramètre
Telemarketing Personnel
(appartenance au groupe)

B.salim 170
téléphone à Domicile
Pays/région États-Unis d’Amérique Instructions spécifiques2. Activer tous les
comptes d’utilisateurs désactivésInstructions spécifiques1. Créer des groupes locaux
pour les équipes suivantes dans l’unité d’organisationa. Marketing Managers
(Directeurs du service Marketing)Auckland Miami Sales Printer Miami
192.168.141.0/24 Miami Miami IT Datacenter Printer 192.168.139.0/24 Moscow
Sales Printer Moscou 192.168.181.0/24 Perth Sales Printer Perth 192.168.31.0/24
Perth Perth IT Datacenter Printer 192.168.29.0/24 Instructions
spécifiquesInstructions spécifiques1. Ouvrir la console Utilisateurs et
ordinateursOuvrez la console Utilisateurs et ordinateurs Active Directory2.
Rechercher les imprimantes de l’emplacement London(le résultat de la recherche
peut varier en fonction du nombre de stagiaires).a. Dans la racine de
nwtraders.msft, recherchez les imprimantes de l’emplacement London/Build
2.MontevideoAdmin 192.168.5.18 MoscowAdmin London/Build 2/Fl 1 192.168.5.24
Exec Printer 24 NairobiAdmin London/Build 2/Fl 1 London/Build 2/Fl 1 192.168.5.8
London/Build 3 Exec Printer 08 Exec Printer 10 SingaporeAdmin 192.168.3.10
London/Build 2/Fl 1 Legal Printer 10 StockholmAdmin 192.168.5.17
StockholmAdmin 192.168.3.17 London/Build 2/Fl 1 Legal Printer 17 Exec Printer
16 London/Build 2/Fl 1 192.168.5.22 TokyoAdmin Dans le tableau des comptes des
stagiaires, recherchez votre compte d’administrateur et créez deux ports de
périphérique d’impression en fonction du tableau.4. Activer le pool d’impression et
ajouter un port àa. Activez le pool d’impression.Port du périphérique d’impression
AcapulcoAdmin 192.168.3.26 192.168.3.27 London/Build 2/Fl 1/Room 01 Legal Pool
1 BangaloreAdmin 192.168.3.28 192.168.3.29 BonnAdmin 192.168.3.32 192.168.3.33
London/Build 2/Fl 1/Room 04 Legal Pool 4 CaracasAdmin 192.168.3.34 192.168.3.35
London/Build 2/Fl 1/Room 05 192.168.3.36 192.168.3.37 London/Build 2/Fl 1/Room
06 Legal Pool 6 DenverAdmin 192.168.3.38 192.168.3.39 London/Build 2/Fl 1/Room
07 Legal Pool 7 KhartoumAdmin 192.168.3.40 192.168.3.41 London/Build 2/Fl
1/Room 08 ManilaAdmin 192.168.3.46 192.168.3.47 London/Build 2/Fl 1/Room 11
Legal Pool 11 MiamiAdmin 192.168.3.48 192.168.3.49 London/Build 2/Fl 1 Room 12
MontevideoAdmin 192.168.3.50 192.168.3.51 London/Build 2/Fl 1 Room 13
192.168.3.52 192.168.3.53 London/Build 2/Fl 1 Room 14 Legal Pool 14 Legal Pool 16
London/Build 2/Fl 1 Room 17 192.168.3.60 192.168.3.61 StockholmAdmin
London/Build 2/Fl 1 Room 21 192.168.3.68 192.168.3.69 Legal Pool 22
VancouverAdmin London/Build 2/Fl 1 Room 23 Instructions spécifiques1. Créez
une imprimante locale.Impression entre 18 h et 6 h.3. Définissez la priorité de
l’imprimantePriorité : 50Nom du modèle de sécurité : NomOrdinateur Modèle de
serveur 2. Activer les stratégies d’audit. Définissez les propriétés suivantes pour les
journaux d’événements :4. Enregistrer le modèle. Instructions spécifiques3.
Vérifier les résultats de l’analyse de la stratégieEntourer O si la configuration de
l’ordinateur correspond à celle de la base de données. Entourez N si la configuration
de l’ordinateur est différente de celle de la base de données.4. Vérifier les résultats
de l’analyse du journal desEntourer O si la configuration de l’ordinateur
correspond à celle de la5. Mettre à jour les paramètres de stratégie de groupe.
Exécutez gpupdate /force.6. Analyser la stratégie de sécurité de l’ordinateur local.
Exécutez Analyser l’ordinateur maintenant dans Configuration et analyse de la
sécurité. 7. Vérifier les résultats de l’analyse. Entourer O si la configuration de

B.salim 171
l’ordinateur correspond à celle de la base de données. Entourez N si la configuration
de l’ordinateur est différente de celle de la base de données.8. Vérifier les résultats
de l’analyse du journal desEntourer O si la configuration de l’ordinateur
correspond à celle de la base de données. Entourez N si la configuration de
l’ordinateur est différente de celle de la base de données.Instructions spécifiques1.
Effectuer l’audit d’une unité d’organisation. Auditez l’unité d’organisation
Locations/NomOrdinateur2. Essayer de supprimer un compte d’ordinateur avec un
compte non autorisé. 3. Filtrer le journal de sécurité de London. Outil : Gestion de
l’ordinateur (London)Sélectionnez Que voulez-vous sauvegarder ? Sauvegarder les
fichiers sélectionnés, les lecteurs ou les données réseau Éléments à sauvegarder
Développez Poste de travail, Enregistrer dans : Nouveau volume Dernière étape de
l’Assistant Sauvegarde Cliquez sur Avancé Type de sauvegarde Normale Options de
sauvegarde Options de sauvegarde Remplacer les sauvegardes existantes
Programmation de la sauvegarde Quand voulez-vous exécuter la 2. Installer la console
de récupération.a. Insérez le CD-ROM Windows Server 2003 dans le lecteur.Démarrer
l’Assistant Sauvegarde et sauvegarder les données sur l’état du système. a. Dans la
boîte de dialogue Exécuter, tapez ntbackupInstructions spécifiques1. Formater une
disquette. a. Insérez une disquette dans le lecteur.2. Copier les fichiers de démarrage
de Windowsa. Dans l’Explorateur Windows, développez Disque local (C:).Instructions
spécifiquesQue se passe-t-il quand l’ordinateur redémarre ?Instructions spécifiques1.
Ouvrir une session sur votre ordinateur.a. Ouvrez l’Explorateur Windows, accédez à3.
Procéder à une récupération suite à l’altération d’un registre, avec Dernière bonne
configuration connue.a. Arrêtez, puis redémarrez l’ordinateur.4. Procéder à une
récupération suite à l’altération d’un registre, en restaurant les données sur l’état du
système à l’aide du clavier.a. Ouvrez une session sur le domaine avec le compte de
l’administrateur.Ouvrez une session sur le domaine avec le compte de
l’administrateur.2. Installer le logiciel. À partir de l’Explorateur Windows, accédez
àQue devez-vous faire pour récupérer de cette situation d’urgence ?a. Insérez la
disquette de démarrage Windows dans le lecteur A, puis redémarrez l’ordinateur.
b. Ouvrez une session sur le domaine avec le compte de l’administrateur.
c. Utilisez l’Explorateur Windows pour copier le fichier a:\boot.ini sur C:\.
d. Retirez la disquette de démarrage Windows.
e. Arrêtez, puis redémarrez l’ordinateur.
C:\MOC\2149\Labfiles\Lab07 puis double-cliquez sur inst_03.bat.

Exercice 6 : Récupération suite à l’altération d’un fichier de démarrage

Dans cet exercice, vous allez procéder à une restauration rendue nécessaire par l’altération d’un
fichier boot.ini.

Tâches

b. Ouvrez le menu Démarrer en appuyant sur les touches _____ + ______.


c. Utilisez les touches de direction pour sélectionner Exécuter, puis ouvrez la boîte de dialogue
Exécuter en appuyant sur ______.
d. Dans la boîte de dialogue Exécuter, tapez ntbackup et appuyez sur ________.
e. Dans la boîte de dialogue Assistant Sauvegarde ou Restauration,
utilisez la touche _______ pour sélectionner Mode avancé, puis appuyez sur ________.
f. Dans la fenêtre de l’Utilitaire de sauvegarde, utilisez les touches _____ + ____ pour sélectionner
Restaurer et gérer le média.

B.salim 172
g. Dans la page Restaurer et gérer le média, utilisez la touche ______ pour mettre en surbrillance
Fichier dans l’arborescence, puis
servez-vous de la touche _______ pour ouvrir l’arborescence.
h. Quand l’arborescence est ouverte, utilisez la touche ______ pour traverser l’arborescence jusqu’à
ce que vous accédiez à l’entrée
SysState.bkf, puis utilisez la touche ______ pour afficher la case à cocher System State.
i. Quand cette case est affichée, mettez-la en surbrillance avec la touche______, puis utilisez la
touche _______ pour la cocher.
j. Lancez le processus de restauration du système en appuyant sur la touche ______, puis appuyez
deux fois sur la touche ______ pour
confirmer votre choix.
k. Quand le processus de restauration est terminé, fermez la boîte de dialogue Restauration en
cours en appuyant sur la touche _______, puis redémarrez l’ordinateur.

Utiliser les touches suivantes pour naviguer


dans le programme de sauvegarde :
ALT + TAB
CTRL + ÉCHAP
TAB
ENTRÉE
CTRL + TAB
ESPACE
Haut
Bas
Droite
Gauche

b. Appuyez sur F8 pour ouvrir le menu d’options avancées de Windows.


c. Sélectionnez Dernière bonne configuration connue pour résoudre ce problème.
d. Ouvrez une session sur le domaine avec le compte de l’administrateur.
Le problème est-il résolu ?

C:\MOC\2149\Labfiles\Lab07 puis double-cliquez sur inst_04.bat.


b. Quand l’ordinateur redémarre, ouvrez une session sur le domaine en tant qu’administrateur.

Exercice 4 : Récupération suite à l’altération d’un registre (première partie)

Dans cet exercice, vous allez rétablir le fonctionnement d’un ordinateur qui ne répond pas. Ce
problème est dû à l’installation d’un logiciel qui a modifié le registre.

Tâches

b. Dans le menu Outils, cliquez sur Options des dossiers.


c. Sous l’onglet Affichage, désactivez la case à cocher Masquer les fichiers protégés du système
d’exploitation (recommandé).
d. Utilisez l’Explorateur Windows pour copier les fichiers suivants sur la disquette :
• Boot.ini
• Ntdetect.com
• Ntldr

B.salim 173
e. Si le fichier Bootsect.dos ou Ntbootdd.sys réside dans la partition
système, copiez-le également sur la disquette.
f. Ouvrez une invite de commandes et tapez attrib .h .s .r a:\*.*
g. Dans le menu Outils, cliquez sur Options des dossiers.
h. Sous l’onglet Affichage, cochez la case Masquer les fichiers protégés du système
d’exploitation (recommandé).
i. Retirez la disquette et appelez-la « Disquette de démarrage Windows ».

Server 2003 sur le disque.

b. En utilisant l’Explorateur Windows, formatez la disquette.

Exercice 3 : Création d’une disquette de démarrage Windows

Dans cet exercice, vous allez créer une disquette de démarrage Windows.

Tâches

b. Cliquez sur Mode avancé et démarrez l’Assistant Sauvegarde.


c. Sélectionnez l’option Ne sauvegarder que les données sur l’état du système.
d. Sur la page Type, nom et destination de la sauvegarde, accédez à C:\MOC\2149\Labfiles\Lab07.
e. Utilisez SysState en tant que nom de fichier.
f. Fermez toutes les fenêtres quand la sauvegarde est terminée.

Exercice 2 : Sauvegarde des données sur l’état du système

Dans cet exercice, vous allez utiliser l’Assistant Sauvegarde pour sauvegarder sur le lecteur C
les données sur l’état du système.

Tâches

b. Fermez l’écran de bienvenue.


c. Ouvrez une invite de commandes et accédez au dossier I386 du CD-ROM Windows Server 2003.
d. À l’invite, tapez winnt32 /cmdcons et appuyez sur ENTRÉE.
e. Suivez les instructions à l’écran pour installer la console de récupération.
f. Retirez le CD-ROM Windows Server 2003 du lecteur.

sauvegarde ? Ultérieurement
Nom de la tâche : MOC3
Cliquez sur Planification
(D:) Nom du fichier : MOC3.bkf
développez Disque local (C:), puis
sélectionnez MOC
Filtrez la stratégie de sécurité pour :
• Types d’événements : Audit des échecs
• Source de l’événement : Security
• Catégorie : Accès au service d’annuaire
• Utilisateur : NomOrdinateurUser

Supprimez les entrées d’audit héritées.


Supprimez toutes les entrées d’audit non héritées.
Auditez le groupe Tout le monde.
Auditez les accès Suppr. des objets Ordinateur ayant échoué
Appliquez la stratégie à Cet objet et tous les objets enfants

B.salim 174
Exercice 4 : Configuration et test des audits de sécurité des unités
d’organisation

Dans cet exercice, vous allez configurer et tester les audits de sécurité des unités d’organisation.

Scénario

Northwind Traders veut configurer la sécurité dans les unités d’organisation


Locations/NomOrdinateur pour contrôler le groupe G IT Admins. Vous devez configurer et tester
l’audit des tentatives de suppression de comptes d’utilisateurs et d’ordinateurs qui échouent.

Tâches

• Taille maximale du journal des applications ( O / N )


• Taille maximale du journal de sécurité ( O / N )
• Durée de stockage du journal de sécurité( O / N )
• Durée de stockage du journal système ( O / N )

événements.

• Auditer les événements de connexion aux comptes ( O / N )


• Auditer la gestion des comptes ( O / N )
• Auditer les événements de connexion ( O / N )
• Auditer l’accès aux objets ( O / N )
• Auditer les modifications de stratégie ( O / N )
• Auditer l’utilisation des privilèges ( O / N )
• Auditer les événements système ( O / N )

base de données. Entourez N si la configuration de l’ordinateur est différente de celle de la base de


données.
• Taille maximale du journal des applications ( O / N )
• Taille maximale du journal de sécurité ( O / N )
• Durée de stockage du journal de sécurité ( O / N )
• Durée de stockage du journal système ( O / N )

événements.

• Auditer les événements de connexion aux comptes ( O / N )


• Auditer la gestion des comptes ( O / N )
• Auditer les événements de connexion ( O / N )
• Auditer l’accès aux objets ( O / N )
• Auditer les modifications de stratégie ( O / N )
• Auditer l’utilisation des privilèges ( O / N )
• Auditer les événements système ( O / N )

d’audit.

Définissez une taille maximale de 99 840 Ko pour le journal des applications.


Définissez une taille maximale de 99 840 Ko pour le journal de sécurité.

B.salim 175
Stockez le journal de sécurité pendant 7 jours.
Stockez le journal système pendant 7 jours

Module 8 : Implémentation de modèles d’administration et d’une


stratégie d’audit

Exercice 1 : Procédure d’attribution des droits utilisateur

Introduction

B.salim 176
En général, les administrateurs ajoutent des utilisateurs ou des groupes à des groupes prédéfinis
disposant déjà de droits. Il peut arriver qu’un groupe prédéfini accorde trop ou trop peu de droits
à un utilisateur ; dans ce cas, vous devez attribuer des droits manuellement.

Procédure

Pour attribuer des droits utilisateur :

Cliquez sur Démarrer, sur Exécuter, tapez mmc et appuyez sur ENTRÉE.
Cliquez Console.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur
Ajouter.
Dans la boîte de dialogue Ajout d’un composant logiciel enfichable autonome, double-cliquez
sur Éditeur d’objets de stratégie de groupe.
Cliquez sur Terminer pour fermer l’Assistant.
Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d’un composant logiciel enfichable
autonome.
Cliquez sur OK pour fermer la boîte de dialogue Ajouter/Supprimer un composant logiciel
enfichable.
Développez Stratégie Ordinateur local, Configuration ordinateur, Paramètres Windows,
Paramètres de sécurité, puis Stratégies locales.
Cliquez sur Attribution des droits utilisateur.
Ajoutez ou supprimez un groupe pour un droit utilisateur, selon les besoins.

Exercice 2 : Attribution de droits utilisateur

Objectif

Dans cette application pratique, vous effectuerez les tâches suivantes :


retirer le droit d’ouverture de session locale du groupe Utilisateurs et vérifier que le droit
utilisateur a été supprimé ;
attribuer au groupe Utilisateurs le droit d’ouvrir une session locale et vérifier si le droit utilisateur a
été attribué.

Instructions

Avant de commencer cette application pratique :


Connectez-vous au domaine en utilisant le compte NomOrdinateurAdmin.
Ouvrez CustomMMC.

Scénario

Les ingénieurs système veulent tester les droits utilisateur en empêchant les utilisateurs d’ouvrir
une session locale sur votre ordinateur. Une fois le test effectué, vous allez attribuer aux
utilisateurs le droit d’ouvrir une session locale.
Application pratique

Supprimer le droit d’ouvrir une session locale au groupe Utilisateurs

Supprimez le groupe Utilisateurs de la stratégie d’ordinateur local suivante : Configuration


ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Attribution des droits
utilisateur/Permettre l’ouverture d’une session locale
Fermez tous les programmes et fermez la session.

Vérifier que le droit a été supprimé

B.salim 177
Ouvrez une session sous le nom NomOrdinateurUser Vous ne devriez pas pouvoir ouvrir une
session.

Attribuer le droit d’ouvrir une session locale au groupe Utilisateurs

Ouvrez une session sous le nom NomOrdinateurAdmin.


Ajoutez le groupe Utilisateurs à la stratégie d’ordinateur local suivante : Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Attribution des droits
utilisateur/Permettre l’ouverture d’une session locale
Fermez tous les programmes et fermez la session.

Vérifier que le droit a été attribué

Ouvrez une session sous le nom NomOrdinateurUser Vous devriez pouvoir ouvrir une session.

Exercice 3 : Procédure de création d’un modèle de sécurité personnalisé


Introduction

Si les modèles prédéfinis ne répondent pas à vos besoins de sécurité, vous devez créer des
modèles personnalisés.

Procédure de personnalisation d’un modèle prédéfini

Pour personnaliser un modèle de sécurité prédéfini :

Dans une console Microsoft Management Console (MMC), ajoutez le composant logiciel
enfichable Modèles de sécurité.
Dans l’arborescence de la console, développez Modèles de sécurité, puis double-cliquez sur le
chemin d’accès au dossier par défaut (racine_système\security\templates).
Dans le volet d’informations, cliquez avec le bouton droit sur le modèle prédéfini à modifier, puis
cliquez sur Enregistrer sous.
Dans la boîte de dialogue Enregistrer sous, entrez un nouveau nom de fichier de modèle de
sécurité, puis cliquez sur Enregistrer.
Dans l’arborescence de la console, double-cliquez sur le nouveau modèle de sécurité pour
afficher les stratégies de sécurité, puis naviguez jusqu’à ce que l’attribut de sécurité à modifier
apparaisse dans le volet d’informations.
Dans le volet d’informations, cliquez avec le bouton droit sur l’attribut de sécurité, puis cliquez sur
Propriétés.
Dans la boîte de dialogue Propriétés, activez la case à cocher Définir ce paramètre de
stratégie dans le modèle, effectuez les modifications appropriées, puis cliquez sur OK.
Dans l’arborescence de la console, cliquez avec le bouton droit sur le nouveau modèle de
sécurité, puis cliquez sur Enregistrer.

Procédure de création d’un modèle de sécurité

Pour créer un modèle de sécurité :

Dans une console MMC, ajoutez le composant logiciel enfichable Modèles de sécurité.
Dans l’arborescence de la console, développez Modèles de sécurité, cliquez avec le bouton
droit sur le chemin d’accès au dossier par défaut (racine_système\security\templates), puis
cliquez sur Nouveau modèle.
Dans la zone Nom du modèle de la boîte de dialogue racine_système\security\templates,
entrez le nom et la description du modèle, puis cliquez sur OK.

B.salim 178
Dans l’arborescence de la console, double-cliquez sur le nouveau modèle de sécurité pour
afficher les stratégies de sécurité, puis naviguez jusqu’à ce que l’attribut de sécurité à modifier
apparaisse dans le volet d’informations.
Dans le volet d’informations, cliquez avec le bouton droit sur l’attribut de sécurité, puis cliquez sur
Propriétés.
Dans la boîte de dialogue Propriétés, activez la case à cocher Définir ce paramètre de
stratégie dans le modèle, effectuez les modifications appropriées, puis cliquez sur OK.
Dans l’arborescence de la console, cliquez avec le bouton droit sur le nouveau modèle de
sécurité, puis cliquez sur Enregistrer.

Exercice 4 : Procédure d’importation d’un modèle de sécurité

Introduction

Lorsque vous importez un modèle de sécurité sur un ordinateur local, vous pouvez appliquer les
paramètres du modèle à l’ordinateur local. Lorsque vous importez un modèle de sécurité dans un
objet de stratégie de groupe, les paramètres du modèle sont appliqués aux ordinateurs qui se
trouvent dans les conteneurs auxquels l’objet de stratégie de groupe est lié.

Procédure d’importation d’un modèle sur un ordinateur local

Pour importer un modèle de sécurité sur un ordinateur local :

Ouvrez Configuration et analyse de la sécurité.


Dans l’arborescence de la console, cliquez avec le bouton droit sur Configuration et analyse de
la sécurité, puis cliquez sur Importer un modèle.
(Facultatif) Pour supprimer tous les modèles existants dans la base de données, activez la case
à cocher Effacer cette base de données avant d’importer.
Dans la boîte de dialogue Modèle d.importation, cliquez sur un fichier de modèle, puis sur
Ouvrir.
Répétez cette procédure pour chaque modèle à fusionner dans la base de données.

Procédure d’importation d’un modèle dans un objet de stratégie de groupe, sans la


console Gestion des stratégies de groupe

Pour importer un modèle de sécurité dans un objet de stratégie de groupe lorsque la console
Gestion des stratégies de groupe n’est pas installée :

Ouvrez Utilisateurs et ordinateurs Active Directory ou Sites et services Active Directory dans le
menu Outils d’administration.
Éditez l’objet de stratégie de groupe approprié.
Développez Configuration ordinateur, puis Paramètres Windows.
Cliquez avec le bouton droit sur Paramètres de sécurité, puis cliquez sur Importer une
stratégie.
Cliquez sur un modèle, puis sur Ouvrir. Les paramètres du modèle sont appliqués à l’objet de
stratégie de groupe et lors du redémarrage de l’ordinateur.

Procédure d’importation d’un modèle dans un objet de stratégie avec la console Gestion
des stratégies de groupe

Pour importer un modèle de sécurité dans un objet de stratégie de groupe lorsque la console
Gestion des stratégies de groupe est installée :

Dans Gestion des stratégies de groupe, éditez l’objet de stratégie de groupe approprié.
Développez Configuration ordinateur, puis Paramètres Windows.

B.salim 179
Cliquez avec le bouton droit sur Paramètres de sécurité, puis cliquez sur Importer une
stratégie.
Cliquez sur un modèle, puis sur Ouvrir. Les paramètres du modèle sont appliqués à l’objet de
stratégie de groupe et lors du redémarrage de l’ordinateur.

Exercice 5 : Utilisation de modèles de sécurité pour protéger les


ordinateurs

Objectif

Dans cette application pratique, vous effectuerez les tâches suivantes :


créer un modèle de sécurité ;
importer un modèle de sécurité vers un objet de stratégie de groupe.

Instructions

Avant de commencer cette application pratique :


Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (Exemple : LondonAdmin).
Ouvrez une invite de commandes avec la commande Exécuter en tant que. Dans le menu
Démarrer, cliquez sur Tous les programmes, puis Accessoires et cliquez sur Invite de
commandes et tapez runas /user:nwtraders\NomOrdinateurAdmin cmd, puis cliquez sur OK.
Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd et appuyez sur Entrée.

Application pratique : Création d’un modèle personnalisé sur un ordinateur local

Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir

Pour vérifier que NWTraders\G IT Admins n’est pas membre du groupe Utilisateurs avec pouvoir,
tapez net localgroup "utilisateurs avec pouvoir" à l’invite de commandes.
Aucun membre ne doit figurer sous Membres.
Dans une installation par défaut du système d’exploitation, le groupe Utilisateurs avec pouvoir ne
doit pas contenir de membres.
Laissez l’invite de commandes ouverte.

Créer le modèle de sécurité NomOrdinateur

Dans CustomMMC, ajoutez le composant logiciel enfichable Modèles de sécurité.


Dans l’arborescence de la console Modèles de sécurité, cliquez avec le bouton droit sur
C:\WINDOWS\security\templates, puis cliquez sur Nouveau modèle.
Dans la zone Nom du modèle de la boîte de dialogue C:\WINDOWS\security\templates, entrez
NomOrdinateur, puis cliquez sur OK.

Éditer le modèle de sécurité personnalisé NomOrdinateur

Dans l’arborescence de la console Modèles de sécurité, développez NomOrdinateur, puis cliquez


sur Groupes restreints.
Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe.
Dans la boîte de dialogue Ajouter un groupe, entrez Utilisateurs avec pouvoir, puis cliquez
sur OK.
Dans la boîte de dialogue Utilisateurs avec pouvoir Propriétés, dans Membres de ce groupe,
cliquez sur Ajouter des membres.
Dans la boîte de dialogue Ajouter un membre, tapez NWTRADERS\G IT Admins, puis cliquez
sur OK.

B.salim 180
Dans la boîte de dialogue Utilisateurs avec pouvoir Propriétés, cliquez sur OK.
Dans l’arborescence de la console, cliquez avec le bouton droit sur NomOrdinateur, puis cliquez
sur Enregistrer.

Importer et appliquer le modèle de sécurité personnalisé NomOrdinateur

Dans CustomMMC, ajoutez le composant logiciel enfichable Configuration et analyse de la


sécurité.
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur
Ouvrir une base de données.
Dans la zone Nom de fichier, entrez NomOrdinateur et cliquez sur Ouvrir.
Dans la boîte de dialogue Modèle d.importation, cliquez sur NomOrdinateur.inf, puis cliquez sur
Ouvrir.
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur
Configurer l’ordinateur maintenant.
Dans le message, cliquez sur OK.
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Voir
le fichier journal.
Dans le volet d’informations de Configuration et analyse de la sécurité, vérifiez que le groupe
NWTRADERS\G IT Admins a été ajouté au groupe Utilisateurs avec pouvoir en recherchant
l’entrée suivante : +

Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir

Pour vérifier que NWTraders\G IT Admins est membre du groupe Utilisateurs avec pouvoir, tapez
net localgroup "utilisateurs avec pouvoir" à l’invite de commandes.
NWTraders\G IT Admins doit figurer sous Membres.
Laissez l’invite de commandes ouverte.

Supprimer le modèle de sécurité personnalisé importé

A l’invite de commandes, tapez net localgroup "utilisateurs avec pouvoir" /delete "g it
admins"
Laissez l’invite de commandes ouverte.

Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir

Pour vérifier que NWTraders\G IT Admins n’est pas membre du groupe Utilisateurs avec pouvoir,
tapez net localgroup "utilisateurs avec pouvoir" à l’invite de commandes.
Aucun membre ne doit figurer sous Membres.
Laissez l’invite de commandes ouverte.
Application pratique : Importation d’un modèle personnalisé dans un objet de stratégie de
groupe

Importer un modèle de sécurité dans un objet de stratégie de groupe

Dans Gestion des stratégies de groupe, créez un objet de stratégie de groupe appelé
NomOrdinateur Utilisateurs restreints.
Liez l’objet de stratégie de groupe NomOrdinateur Utilisateurs restreints à l’unité d’organisation
Locations/NomOrdinateur/Computers.
Éditez l’objet de stratégie de groupe NomOrdinateur Utilisateurs restreints.
Importez la stratégie de sécurité personnalisée NomOrdinateur.inf.

Déplacer votre compte d’ordinateur NomOrdinateur

Recherchez votre compte d’ordinateur NomOrdinateur dans le domaine nwtraders.msft.

B.salim 181
Déplacez votre compte d’ordinateur NomOrdinateur vers l’unité d’organisation
Locations/NomOrdinateur/Computers.
À l’invite de commandes, tapez gpupdate /force
Si vous êtes invité à fermer la session, tapez N et appuyez sur ENTRÉE.

Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir

Pour vérifier que NWTraders\G IT Admins est membre du groupe Utilisateurs avec pouvoir, tapez
net localgroup "utilisateurs avec pouvoir" à l’invite de commandes.
NWTraders\G IT Admins doit figurer sous Membres.
Fermez l’invite de commandes.

Exercice 6 : Procédure de test de la sécurité de l’ordinateur

Introduction

Vous aurez de temps à autre besoin d’analyser un ordinateur pour identifier les paramètres de
sécurité d’un serveur qui diffèrent des paramètres de sécurité d’un modèle de sécurité de base.
Pour ce faire, utilisez l’outil Configuration et analyse de la sécurité.

Procédure

Pour analyser la sécurité à l’aide de l’outil Configuration et analyse de la sécurité :

Dans une console MMC, ajoutez le composant logiciel enfichable Configuration et analyse de la
sécurité.
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur
Ouvrir une base de données.
Dans la boîte de dialogue Ouvrir une base de données, sélectionnez un fichier de base de
données existant ou entrez un nom unique pour créer une nouvelle base de données, puis
cliquez sur Ouvrir. Les bases de données existantes contiennent déjà des paramètres importés.
Si vous créez une base de données, la boîte de dialogue Modèle d.importation s’affiche.
Sélectionnez une base de données, puis cliquez sur Ouvrir.
Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur
Analyser l’ordinateur maintenant.
Dans la boîte de dialogue Effectuer l’analyse, choisissez l’emplacement du fichier journal de
l’analyse, puis cliquez sur OK.
Dans l’arborescence de la console, développez Configuration et analyse de la sécurité.
Parcourez les paramètres de sécurité dans l’arborescence de la console et comparez les
colonnes Paramètre de base de données et Paramètre de l’ordinateur dans le volet
d’informations.

Exercice 7 : Test de la sécurité de l’ordinateur

Objectif

Dans cette application pratique, vous effectuerez les tâches suivantes :


créer un modèle de sécurité personnalisé ;
comparer les paramètres de sécurité de votre ordinateur aux paramètres du modèle de sécurité
personnalisé.

Instructions

Avant de commencer cette application pratique :

B.salim 182
Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (Exemple : LondonAdmin).

Scénario

Vous êtes administrateur système chez Northwind Traders. Vous devez implémenter les
paramètres de sécurité suivants sur les serveurs membres :
Les mots de passe doivent contenir au minimum 10 caractères.
Une boîte de dialogue, qui informe les utilisateurs que les accès non autorisés sont interdits, doit
s’afficher lors de la procédure d’ouverture de session.
Le service d’alerte, configuré pour démarrer manuellement, doit être désactivé.

Application pratique : Création de modèles de sécurité

Créer un modèle de sécurité personnalisé

Dans le composant logiciel enfichable Modèle de sécurité, modifiez les stratégies suivantes dans
le modèle securews :
Affectez la valeur 10 au paramètre Stratégies de comptes/Stratégie de mot de
passe/Longueur minimale du mot de passe.
Affectez la valeur Accès autorisé uniquement au paramètre Stratégies locales/Options de
sécurité/Ouverture de session interactive : contenu du message pour les utilisateurs
essayant de se connecter.
Affectez la valeur NomOrdinateur au paramètre Stratégieslocales/Options de
sécurité/Ouverture de session interactive : titre du message pour les utilisateurs essayant
de se connecter.
Affectez la valeur Désactivé au paramètre Services système/Avertissement.
Enregistrez le modèle de sécurité personnalisé sous NomOrdinateurSecure.

Scénario

Maintenant que vous avez configuré le modèle et les paramètres de stratégie appropriés, vous
devez analyser la sécurité pour créer une base pour les prochaines analyses et vérifier la
configuration actuelle.

Application pratique : Test de la sécurité de l’ordinateur

Importer et effacer la base de données initiale de configuration et d’analyse de la sécurité


actuelle

Dans Configuration et analyse de la sécurité, importez le modèle NomOrdinateurSecure et videz


la base de données.

Analyser la sécurité

Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur
Analyser l’ordinateur maintenant.
Dans la boîte de dialogue Effectuer l’analyse, cliquez sur OK.
Dans Configuration et analyse de la sécurité, développez Stratégies locales, puis cliquez sur
Options de sécurité.
Notez l’Ouverture de session interactive : contenu du message pour les utilisateurs
essayant de se connecter et Ouverture de session interactive : titre du message pour les
utilisateurs essayant de se connecter.

B.salim 183
Dans le volet d’informations, notez les paramètres système signalés par un drapeau rouge. Le
drapeau rouge indique que les paramètres du modèle de sécurité sont différents des paramètres
de l’ordinateur actuel.

Exercice 8 : Procédure d’activation d’une stratégie d’audit

Introduction

Vous pouvez activer une stratégie d’audit de deux manières, selon que l’ordinateur se trouve
dans un groupe de travail ou dans un domaine.

Procédure d’activation d’une stratégie d’audit sur un ordinateur local

Pour activer une stratégie d’audit sur un ordinateur local :

Dans le menu Outils d’administration, cliquez sur Stratégie de sécurité locale.


Dans l’arborescence de la console, développez Stratégies locales, puis double-cliquez sur
Stratégie d’audit.
Dans le volet d’informations, double-cliquez sur la stratégie à activer ou désactiver.
Effectuez l’une des opérations suivantes ou les deux, puis cliquez sur OK:
Pour auditer les événements qui aboutissent, activez la case à cocher Réussite.
Pour auditer les événements n’ayant pas abouti, activez la case à cocher Échec.

Supposons que vous avez activé les cases à cocher Réussite et Échec pour les événements
d’ouverture de sessions. Si l’utilisateur réussit à ouvrir une session sur le système, cette action
est consignée comme un événement ayant abouti. Si l’utilisateur tente d’accéder à une unité du
réseau et échoue, la tentative est consignée comme événement ayant échoué.

Remarque : Si vous êtes membre d’un domaine et qu’une stratégie est définie au niveau du
domaine, les paramètres du niveau remplacent les paramètres de la stratégie locale.

Procédure d’activation d’une stratégie d’audit sur un domaine ou une unité d’organisation

Pour activer une stratégie d’audit sur un domaine ou une unité d’organisation :

Dans Gestion des stratégies de groupe, créez ou accédez à un objet de stratégie de groupe lié
à une unité d’organisation et modifiez-le.
Dans l’arborescence de la console, naviguez jusqu’à Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies locales/Stratégie d’audit.
Dans le volet d’informations, double-cliquez sur la stratégie à activer ou désactiver.
Effectuez l’une des opérations suivantes ou les deux, puis cliquez sur OK:
Pour auditer les événements qui aboutissent, activez la case à cocher Réussite.
Pour auditer les événements n’ayant pas abouti, activez la case à cocher Échec.

Exercice 9 : Procédure d’activation de l’audit des fichiers et des dossiers

Introduction

L’activation de l’audit permet de détecter et d’enregistrer des événements liés à la sécurité, tels
que les tentatives d’accès à un fichier ou un dossier confidentiel. Lorsque vous auditez un objet,
une entrée est consignée dans le journal de sécurité chaque fois que quelqu’un ou quelque
chose accède à l’objet d’une certaine manière.

B.salim 184
Une fois que vous avez activé l’audit, vous pouvez suivre les utilisateurs qui accèdent à certains
objets et analyser les violations de sécurité. Le journal d’audit indique qui a effectué les actions et
qui a essayé d’effectuer des actions non autorisées.

Procédure

Pour activer l’audit des fichiers et des dossiers :

Dans l’Explorateur Windows, recherchez le fichier ou le dossier à auditer.


Cliquez avec le bouton droit sur le fichier ou le dossier, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, cliquez sur Paramètres avancés dans l’onglet Sécurité.
Dans l’onglet Audit de la boîte de dialogue Paramètres de sécurité avancé, effectuez l’une des
opérations suivantes :
Pour activer l’audit sur un nouvel utilisateur ou un nouveau groupe, cliquez sur Ajouter. Dans la
zone Entrer le nom de l’objet à sélectionner, tapez le nom de l’utilisateur ou du groupe, puis
cliquez sur OK.
Pour afficher ou modifier l’audit d’un groupe ou d’un utilisateur, cliquez sur le nom approprié, puis
cliquez sur Modifier.
Pour désactiver l’audit d’un groupe ou utilisateur, cliquez sur le nom approprié, puis cliquez sur
Supprimer.
Dans Accès, cliquez sur Réussite, Échec ou sur les deux, en fonction du type d’accès à auditer.
Si vous voulez empêcher des objets enfants d’hériter de ces entrées d’audit, activez la case à
cocher Appliquer ces entrées d’audit aux objets et/ou aux conteneurs à l’intérieur de ce
conteneur uniquement.

Exercice 10 : Activation de l’audit des fichiers et des dossiers

Objectif

Dans cette application pratique, vous allez activer l’audit des fichiers et des dossiers.

Instructions

Avant de commencer cette application pratique :


Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que le dossier D:\HR Reports a été créé et partagé lors d’une application pratique ou
d’un atelier précédent.

Scénario

Le chef du service Ressources Humaines vous signale que des fichiers sont supprimés. Le chef
du service Ventes veut identifier l’utilisateur qui supprime des fichiers. Vous devez activer l’audit
du dossier HR Reports sur votre serveur.

Application pratique

Créer un objet de stratégie de groupe qui active une stratégie d’audit

Outil : Gestion des stratégies de groupe


Nom d’objet de stratégie de groupe : NomOrdinateur Stratégie d’audit
Lien d’objet de stratégie de groupe vers l’emplacement suivant :
Locations/NomOrdinateur/Computers

B.salim 185
Activez l’audit des événements qui échouent et qui aboutissent de la stratégie de sécurité
suivante : Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies
locales/Stratégie d’audit/Auditer l’accès aux objets

Vérifier l’emplacement du compte d’ordinateur

Vérifiez que votre ordinateur se trouve dans l’unité d’organisation


Locations/NomOrdinateur/Computers. Si ce n’est pas le cas, recherchez-le et placez-le dans
cette unité d’organisation.
À l’invite de commandes, tapez gpupdate /force
Si vous êtes invité à fermer la session, tapez N et appuyez sur ENTRÉE.

Auditer le dossier HR Reports

Utilisez le composant logiciel enfichable Gestion de l.ordinateur pour effectuer l.audit du dossier
D:\HR Reports selon les critères suivants :
Auditez le groupe G NWTraders HR Personnel.
Auditez Réussite . Suppression de sous-dossier et fichier.
Auditez Ce dossier, les sous-dossiers et les fichiers.
Empêchez les objets enfants d’hériter de ces entrées d’audit.

Exercice 11 : Procédure d’activation de l’audit des objets Active Directory

Introduction

Lorsque vous activez l’audit d’une unité d’organisation, vous auditez l’événement généré lorsque
l’utilisateur accède à un objet Active Directory associé à des autorisations. Par défaut, l’audit
contrôle les événements qui aboutissent dans l’objet de stratégie de groupe Default Domain
Controllers Policy et il n’est pas défini pour les postes de travail et les serveurs auxquels il ne
s’applique pas.

Remarque : Par défaut, seuls les membres du groupe Administrateurs disposent de privilèges
leur permettant de configurer l’audit. Vous pouvez déléguer la configuration de l’audit des
événements de serveur à un autre compte d’utilisateur en attribuant le droit d’administration de
l’audit et du journal de sécurité dans Stratégie de groupe.

Procédure de délégation d’un compte pour l’audit

Pour permettre à des personnes autres que les administrateurs de gérer et d’afficher les journaux
d’audit sur un serveur membre, vous devez tout d’abord déléguer ce droit à un utilisateur ou à un
groupe. Pour ce faire :

Dans l’arborescence de la console Éditeur d’objets de stratégie de groupe, naviguez vers :


Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies
locales/Attribution des droits utilisateur
Cliquez sur Gérer le journal d.audit et de sécurité.
Dans le menu Action, cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés de Gérer le journal d.audit et de sécurité, activez la case
à cocher Définir ces paramètres de stratégie, puis cliquez sur Ajouter un utilisateur ou un
groupe.
Entrez le nom de l’utilisateur ou du groupe approprié, puis cliquez sur OK.
Cliquez sur OK.

B.salim 186
Procédure d’activation de l’audit d’une unité d’organisation

Pour activer l’audit d’une unité d’organisation :

Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’unité
d’organisation à auditer, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, cliquez sur Paramètres avancés dans l’onglet Sécurité.
Pour afficher les propriétés de sécurité, vous devez cliquer sur Fonctionnalités avancées dans
le menu Affichage de Utilisateurs et ordinateurs Active Directory.
Dans l’onglet Audit de la boîte de dialogue Paramètres de sécurité avancé, effectuez l’une des
opérations suivantes :
Pour activer l’audit sur un nouvel utilisateur ou un nouveau groupe, cliquez sur Ajouter. Dans la
zone Entrer le nom de l’objet à sélectionner, tapez le nom de l’utilisateur ou du groupe, puis
cliquez sur OK.
Pour désactiver l’audit d’un groupe ou d’un utilisateur, cliquez sur le nom correspondant, cliquez
sur Supprimer, puis cliquez sur OK. Passez le reste de cette procédure.
Pour afficher ou modifier l’audit d’un groupe ou d’un utilisateur, cliquez sur le nom correspondant,
puis cliquez sur Modifier.
Dans la zone Appliquer à, cliquez sur l’emplacement dans lequel l’audit doit avoir lieu.
Sous Accès, indiquez les actions à auditer en activant les cases à cocher appropriées :
Pour auditer les événements qui aboutissent, activez la case à cocher Réussite.
Pour arrêter l’audit des événements qui aboutissent, désactivez la case à cocher Réussite.
Pour auditer les événements qui échouent, cochez la case Échec.
Pour arrêter l’audit des événements qui échouent, décochez la case à cocher Échec.
Pour arrêter l’audit de tous les événements, cliquez sur Effacer tout.
Si vous voulez empêcher des objets enfants d’hériter de ces entrées d’audit, activez la case à
cocher Appliquer ces entrées d’audit aux objets et/ou aux conteneurs à l’intérieur de ce
conteneur uniquement.

Procédure d’activation de l’audit d’une unité d’organisation

Exercice 12 : Activation de l’audit d’une unité d’organisation

Objectifs

À la fin de cette application pratique, vous serez à même de configurer une stratégie d’audit qui
contrôle la création et la suppression d’objets dans une unité d’organisation.

Instructions

Avant de commencer cette application pratique :

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


Ouvrez CustomMMC avec la commande Exécuter en tant que en utilisant
Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Scénario

Un utilisateur ajoute et supprime des objets utilisateur, ordinateur et groupe dans votre unité
d’organisation NomOrdinateur. Vous voulez configurer une stratégie d’audit qui contrôle la
création et la suppression (réussies ou non) de ces objets dans votre unité d’organisation
NomOrdinateur.

B.salim 187
Application pratique

Activer l’audit de l’unité d’organisation NomOrdinateur

Activez l’audit selon les critères suivants :


Auditez le groupe Tout le monde.
Auditez l’unité d’organisation NomOrdinateur et tous les objets enfants.
Auditez les propriétés d’accès suivantes des événements qui aboutissent et qui échouent :
créer des objets account ;
suppression des objets account ;
créer des objets Ordinateur ;
suppression des objets Ordinateur ;
créer des objets Groupe ;
suppression des objets Groupe.

Exercice 13 : Procédure de gestion des informations des journaux

Introduction

La taille d’un fichier journal est proportionnelle à la quantité d’informations de sécurité que vous
collectez. Vous avez besoin d’un fichier journal pour suivre les événements de sécurité qui se
sont produits depuis le dernier archivage des événements.

Procédure d’utilisation de Gestion de l’ordinateur

Pour administrer les informations contenues dans les fichiers journaux de sécurité à l’aide de
Gestion de l’ordinateur :

Dans l’arborescence de la console Gestion de l’ordinateur, développez Outils système et


Observateur d’événements.
Cliquez avec le bouton droit sur un fichier journal, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés, vous pouvez effectuer les opérations suivantes :
définir la taille maximale du journal ;
définir le type de remplacement des informations ;
nettoyer le fichier journal.

Procédure d’utilisation d’un objet de stratégie de groupe

Pour administrer les informations des fichiers journaux de sécurité à l’aide d’un objet de stratégie
de groupe :

Modifiez un objet de stratégie de groupe.


Dans l’arborescence de la console Éditeur d’objets de stratégie de groupe, développez
Configuration ordinateur, Paramètres Windows, Paramètres de sécurité et Journal des
événements.
Définissez la valeur des paramètres de stratégie de groupe suivants :
Taille du journal
Empêcher le groupe d’invités locaux d’accéder au journal
Durée de stockage du journal
Méthode de conservation du journal

Exercice 14 : Procédure de visualisation des événements des journaux de


sécurité

B.salim 188
Introduction

Les journaux de sécurité peuvent devenir assez volumineux, ce qui peut rendre difficile la
visualisation des journaux ou la recherche de types d’événements.
Vous pouvez configurer un filtre sur le journal pour afficher des types d’événements spécifiques
ou certains événements d’utilisateurs ou de groupes.

Procédure de filtrage des journaux de sécurité Procédure d’affichage

Pour filtrer les journaux de sécurité :

Dans l’arborescence de la console Observateur d’événements, cliquez avec le bouton droit sur
Sécurité, puis Propriétés, puis l’onglet Filtrer.
Dans la boîte de dialogue Propriétés de sécurité, définissez les critères de filtrage, puis cliquez
sur OK.

Pour afficher les journaux de sécurité :

Dans l’arborescence de la console Observateur d’événements, cliquez sur Sécurité.


Le volet d’informations répertorie les événements de sécurité individuels.

Pour afficher d’autres informations sur un événement spécifique, double-cliquez sur l’événement
dans le volet d’informations.

Exercice 15 : Gestion des informations des fichiers journaux

Objectif

Dans cette application pratique, vous effectuerez les tâches suivantes :


configurer les propriétés des journaux de sécurité ;
afficher les événements des journaux de sécurité.

Instructions

Avant de commencer cette application pratique :


Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

Scénario

L’équipe de sécurité du réseau de Northwind Traders vous demande de définir les propriétés de
journal de sécurité ci-dessous sur votre serveur NomOrdinateur :
La taille maximale du journal doit être de 30 016 Ko.
Le type de remplacement à appliquer est Ne pas remplacer les événements (nettoyage
manuel du journal).

Les membres de l’équipe vous demandent également de vérifier le journal de sécurité pour savoir
si la consignation des événements de sécurité est activée sur le dossier D:\HR Reports.

B.salim 189
Application pratique

Configurer les propriétés du journal de sécurité

Changez la taille maximale du journal en définissant 30 016 Ko.


Changez le type de remplacement en sélectionnant l’option Ne pas remplacer les événements
(nettoyage manuel du journal).

Vérifier si la consignation des événements de sécurité est activée sur le dossier D:\HR
Reports

Créez un filtre de journal de sécurité pour filtrer les types d’événements suivants :
Événements qui aboutissent et qui échouent
Sécurité
Accès aux objets
Parcourez le journal de sécurité pour identifier les événements qui ont abouti et ceux qui ont
échoué pour le dossier D:\HR Reports.

Atelier A : Gestion des paramètres de sécurité


Objectifs

À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :
créer un modèle de sécurité personnalisé ;
tester la configuration de votre ordinateur par rapport au modèle de sécurité personnalisé ;
déployer un modèle personnalisé en utilisant un objet de stratégie de groupe ;
configurer et tester l’audit de sécurité des unités d’organisation.

Instructions

Avant de commencer cette application pratique :


Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que CustomMMC dispose des composants logiciels enfichables suivants :
Modèles de sécurité
Gestion des stratégies de groupe
Configuration et analyse de la sécurité
Utilisateurs et ordinateurs Active Directory
Gestion de l’ordinateur (Local)
Gestion de l’ordinateur (London)

Exercice 1 : Création d’un modèle personnalisé

B.salim 190
Dans cet exercice, vous allez créer un modèle de sécurité personnalisé.

Scénario

L’équipe de sécurité a fini de tester la sécurité de Northwind Traders. Elle vous a fourni les
caractéristiques que vous devez utiliser pour créer le modèle de sécurité personnalisé
NomOrdinateur Modèle de serveur.

Tâches

NomOrdinateur Report.

b. Dans le tableau des comptes des stagiaires, recherchez votre compte de stagiaire, puis
cliquez sur le second port de périphérique
d’impression figurant dans le tableau.

l’imprimante.

b. Combien y a-t-il d’imprimantes dans l’emplacement London/Build 2/FL 1/ ?


____________________
Votre réponse peut varier en fonction du nombre d’étudiants dans la classe.
c. Dans la racine de nwtraders.msft, recherchez les imprimantes de l’emplacement London.
d. Combien y a-t-il d’imprimantes dans l’emplacement London ?
____________________
Votre réponse peut varier en fonction du nombre d’étudiants dans la classe.
e. Dans la racine de nwtraders.msft, recherchez les imprimantes dans tout l’annuaire en cliquant
sur Parcourir, puis sur Tout l’annuaire.
f. Combien y a-t-il d’imprimantes dans tout l’annuaire ?
____________________
Votre réponse peut varier en fonction du nombre d’étudiants dans la classe.

Active Directory.

Exercice 2 : Recherche d’imprimantes réseau avec des emplacements

Dans cet exercice, vous allez définir des emplacements d’imprimantes.

Scénario

Votre équipe vient d’installer un grand nombre d’imprimantes pour le siège de l’entreprise. Vous
devez confirmer que les imprimantes ont été configurées pour pouvoir utiliser la recherche
d’emplacements d’imprimantes.

Tâches

Atelier A : Implémentation de l’impression

B.salim 191
Objectifs

À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :

installer des imprimantes ;


définir des emplacements d’imprimantes.

Instructions

Avant de commencer, connectez-vous au domaine en utilisant le compte NomOrdinateurAdmin.

Exercice 1 : Installation d’imprimantes

Dans cet exercice, vous allez installer des imprimantes.

Scénario

Le siège de Londres a besoin de l’aide de tous les administrateurs système. Northwind Traders
vient de mettre à jour tous les périphériques d’impression de Londres et fait appel à vous pour les
configurer sur le serveur d’impression Glasgow. Pour vous aider à créer ces nouvelles
imprimantes, les ingénieurs système vous ont fourni un tableau qui répertorie les imprimantes
que chaque administrateur système doit créer et des informations spécifiques relatives à chaque
imprimante.
Tous les périphériques d’impression sont des HP LaserJet 5si, et toutes les imprimantes se
trouvent sur l’ordinateur distant nommé Glasgow. Vous devez définir les autorisations pour que :
DL NWTraders Legal Personnel Print dispose de l’autorisation Imprimer sur l’imprimante Legal ;
Le groupe Utilisateurs authentifiés dispose de l’autorisation Imprimer sur l’imprimante Exec ;
DL NWTraders IT Print dispose de l’autorisation Gestion d’imprimantes sur les deux imprimantes.

Tâches

b. Marketing Personnel (Personnel du service Marketing)


c. HR Managers (Directeurs RH)
d. HR Personnel (Personnel RH)

Locations/NomOrdinateur/Groups.

Module 4 : Administration des groupes

Exercice 1 : Création de groupes

Objectif

Dans cette application pratique, vous allez créer des groupes globaux et locaux à l’aide de la
console Utilisateurs et ordinateurs Active Directory. Vous vous servirez de l’outil de ligne de
commandes dsadd pour créer les groupes globaux.

Instructions

Avant de commencer cette application pratique :

B.salim 192
Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.
Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.

Scénario

En tant qu’administrateur système, vous devez créer plusieurs groupes pour le service
Comptabilité. Ces groupes vont servir à regrouper les comptes et à affecter des groupes aux
ressources.

Application pratique

Créer des groupes à l’aide de la console Utilisateurs et ordinateurs Active Directory

Créez les groupes globaux suivants dans l’unité d’organisation


Locations/NomOrdinateur/Groups :
G NomOrdinateur Accounting Managers
G NomOrdinateur Accounting Personnel
Créez les groupes de domaine local suivants dans l’unité d’organisation
Locations/NomOrdinateur/Groups :
DL NomOrdinateur Accounting Managers Full Control
DL NomOrdinateur Accounting Managers Read
DL NomOrdinateur Accounting Personnel Full Control
DL NomOrdinateur Accounting Personnel Read

Application pratique : Utilisation de la ligne de commandes

Créer des groupes à l’aide de la ligne de commandes dsadd

Créez le groupe global suivant dans l’unité d’organisation IT Test :


G NomOrdinateurTest

Exemple : C:\>dsadd group "cn=G London Test,ou=it test,dc=nwtraders,dc=msft" -secgrp yes


-scope g -samid "G London Test"

Créez le groupe de domaine local suivant dans l’unité d’organisation IT Test :


DL NomOrdinateurTest
Exemple : C:\>dsadd group "cn=DL London Test,ou=it test,dc=nwtraders,dc=msft" -secgrp yes
.scope L -samid "DL London Test"
Exercice 2 : Administration de l’appartenance à un groupe

Objectifs

Dans cette application pratique, vous allez ajouter des utilisateurs à un groupe global.

Instructions

Avant de commencer cette application pratique :

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.
Vérifiez que les groupes suivants figurent dans l’unité d’organisation
Locations/NomOrdinateur/Groups :

B.salim 193
Groupes globaux :
G NomOrdinateur Accounting Managers
G NomOrdinateur Accounting Personnel

Scénario

Northwind Traders commence à mettre en oeuvre des groupes globaux. Dans ce contexte, vous
devez retrouver tous les membres du service Comptabilité de l’unité d’organisation de votre ville
et les ajouter au groupe G NomOrdinateur Accounting Personnel.

Lancer une recherche personnalisée portant sur le personnel du service


Comptabilité

Recherchez les utilisateurs avec l’attribut de ville NomOrdinateur (exemple : London) et l’attribut
de service Accounting.

Cette recherche doit renvoyer environ 10 utilisateurs. Un des utilisateurs est le chef du service
Accounting.

Application pratique

Ajouter les utilisateurs au groupe G Accounting Personnel

Sélectionnez tous les utilisateurs renvoyés par la recherche précédente.


Cliquez avec le bouton droit sur la sélection, puis cliquez sur Ajouter à un groupe.
Ajoutez les utilisateurs au groupe G NomOrdinateur Accounting Personnel.

Exercice 3 : Ajout de groupes globaux à des groupes de domaine local

Objectif

Dans cet exercice, vous allez ajouter des groupes globaux aux groupes de domaine local.
Instructions

Avant de commencer cette application pratique :

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.
Vérifiez que les groupes suivants figurent dans l’unité d’organisation
Locations/NomOrdinateur/Groups :
Groupes globaux :
G NomOrdinateur Accounting Managers
G NomOrdinateur Accounting Personnel

Groupes de domaine local :


DL NomOrdinateur Accounting Managers Full Control
DL NomOrdinateur Accounting Managers Read
DL NomOrdinateur Accounting Personnel Full Control
DL NomOrdinateur Accounting Personnel Read

Scénario

B.salim 194
Northwind Traders met en oeuvre une stratégie C G DL A et vous demande d’ajouter des
groupes globaux aux groupes de domaine local.

Application pratique

Ajouter des groupes globaux aux groupes de domaine local

Ajoutez le groupe global G NomOrdinateur Accounting Managers au groupe DL NomOrdinateur


Accounting Managers Full Control.
Ajoutez le groupe global G NomOrdinateur Accounting Managers dans le groupe DL
NomOrdinateur Accounting Managers Read.
Ajoutez le groupe global G NomOrdinateur Accounting Personnel au groupe DL NomOrdinateur
Accounting Personnel Full Control.
Ajoutez le groupe global G NomOrdinateur Accounting Personnel au groupe DL NomOrdinateur
Accounting Personnel Read.

Exercice 4 : Modification de l’étendue et du type d’un groupe

Objectif

Dans cette application pratique, vous allez effectuer les tâches suivantes :

remplacer l’étendue de groupe globale par l’étendue de groupe locale de domaine ;


convertir un groupe de sécurité en groupe de distribution.

Instructions

Avant de commencer cette application pratique :

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple :LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.

Scénario

Les responsables du service informatique de Northwind Traders vous demandent de créer une
procédure pour remplacer l’étendue globale par locale de domaine d’un groupe de sécurité. Vous
devez créer tous les groupes test dans l’unité d’organisation IT Test.

Application pratique : Modification de l’étendue d’un groupe

Créer un groupe de sécurité global

Dans l’unité d’organisation IT Test, créez le groupe de sécurité global NomOrdinateur Test de
l.étendue d.un groupe.

Documenter la procédure de conversion du groupe global en groupe de domaine local


________________________________________________________________
________________________________________________________________
________________________________________________________________

B.salim 195
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________

Scénario

Les responsables du service informatique de Northwind Traders vous demandent de tester la


fonctionnalité de Active Directory qui permet de convertir un groupe de sécurité en groupe de
distribution. Ils veulent que vous convertissiez le groupe de sécurité que vous avez créé en
groupe de distribution.

Application pratique : Modification du type d’un groupe

Convertir un groupe de sécurité global en groupe de distribution

Transformez le groupe de sécurité NomOrdinateur Test de l.étendue d.un groupe en groupe de


distribution.

Exercice 5 : Affectation d’un responsable à un groupe

Objectif

Dans cette application pratique, vous allez effectuer les tâches suivantes :

créer un groupe local ;


affecter un responsable au groupe, qui peut modifier les appartenances au groupe ;
tester les propriétés du responsable du groupe.

Instructions

Avant de commencer cette application pratique :

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.
Scénario

Vous devez créer le groupe G NomOrdinateur Sales Strategy pour le service Vente. Le
propriétaire de ce groupe sera le directeur des ventes de l’unité d’organisation de votre ville.

Application pratique

Créer un groupe local dans l’unité d’organisation de votre ville

Créez le groupe local G NomOrdinateur Sales Strategy dans l’unité d’organisation


Locations/NomOrdinateur.
Fermez la session.

Tester les propriétés du responsable du groupe

Ouvrez une session en utilisant le compte NomOrdinateurUser.

B.salim 196
Ouvrez CustomMMC et essayez d’ajouter un utilisateur au groupe G NomOrdinateur Sales
Strategy. Normalement, vous ne pouvez pas ajouter d’utilisateur à ce groupe.
Fermez CustomMMC.
Ouvrez CustomMMC (n’utilisez pas la commande Exécuter en tant que).
Dans Utilisateurs et ordinateurs Active Directory, accédez à votre unité d’organisation, puis
double-cliquez sur G NomOrdinateur Sales Strategy.
Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Membres. Notez que vous ne pouvez
pas ajouter d’utilisateurs parce que le bouton Ajouter n’est pas disponible.
Fermez CustomMMC.

Définir NomOrdinateurUser comme responsable de G NomOrdinateur Sales Strategy

Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte


Nwtraders\NomOrdinateurAdmin.
Dans Utilisateurs et ordinateurs Active Directory, accédez à votre unité d’organisation, puis
double-cliquez sur G NomOrdinateur Sales Strategy.
Dans l’onglet Géré par de la boîte de dialogue Propriétés, ajoutez le compte d’utilisateur
NomOrdinateurUser.
Activez la case à cocher Le gestionnaire peut mettre à jour la liste des membres.
Fermez CustomMMC.

Tester les propriétés du responsable du groupe

Dans Utilisateurs et ordinateurs Active Directory, accédez à votre unité d’organisation, puis
double-cliquez sur G NomOrdinateur Sales Strategy.
Dans l’onglet Membres de la boîte de dialogue Propriétés, ajoutez le compte d’utilisateur
User0001.
Fermez toutes les fenêtres et CustomMMC.

Atelier A : Création et administration des groupes


Objectifs

À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :

créer des groupes locaux et des groupes globaux de domaine ;


nommer des groupes selon une convention d’attribution de noms ;
ajouter des membres aux groupes.

Avant de commencer cet atelier :

Ouvrez une session sur le domaine en utilisant le compte NomOrdinateurUser.


Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que. Utilisez le compte
d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
Vérifiez que CustomMMC contient Utilisateurs et ordinateurs Active Directory.

B.salim 197
Exercice 1 : Création et administration des groupes

Dans cet exercice, vous allez créer des groupes locaux et des groupes globaux de domaine,
ajouter des membres aux groupes et inclure les groupes dans d’autres groupes.

Scénario

Les concepteurs d’Active Directory viennent de créer la convention d’attribution de noms. Ils vous
donnent une liste d’équipes de Northwind Traders pour lesquelles vous devez créer des groupes.
Certains groupes ont déjà été créés dans l’unité d’organisation de votre ville et vous devez donc
déterminer si les groupes existants satisfont à la convention d’attribution de noms et contiennent
les utilisateurs et groupes appropriés. Vous devez ensuite ajouter les utilisateurs appropriés aux
groupes locaux correspondants. Enfin, vous devez ajouter les groupes locaux appropriés aux
groupes de domaine local correspondants. Tous les groupes doivent être créés dans l’unité
d’organisation Locations/NomOrdinateur/Groups.
Les équipes suivantes de Northwind Traders ont besoin de groupes :
Directeurs du marketing
Personnel du service Marketing
Directeurs RH
Personnel RH
Les concepteurs d’Active Directory ont créé la convention d’attribution de noms suivante pour les
groupes :
La première partie du nom définit l’étendue du groupe (exemple : G pour groupe global et DL
pour groupe de domaine local).
La seconde partie du nom définit l’unité d’organisation de la ville à laquelle le groupe appartient
(exemple : London).
La troisième partie du nom indique pour qui le groupe est créé (exemple : Directeurs des ventes
ou Personnels des ventes).
Si le groupe est un groupe de domaine local, la dernière partie du nom du groupe définit les
autorisations maximales du groupe (exemple : Lecture seule ou Contrôle total).

Tâches

B.salim 198