Cours Administration Reseaux Sous Windows PDF

1
Université de NGOZI
Faculté des sciences et technologies
Département de Maths et Informatique
COURSD’ADMI NI
STRATION
DE
RESEAUX SOUS WINDOWS
Dispensé en 2éme licence Informatique
Par
Longin NTIRABAMPA
Maître Assistant et IT Mannager
Année académique 2007-2008
Période du 12 au 17 mai 2006

2
Plan du cours
Chap 1. RAPPEL ET GENERALITES
1. Définition
2. Description des couches réseau
3. Architecture des réseaux
4. Notion de protocole TCP/IP
Cha
pII
.SYSTEMED’
EXPLOI
TATI
ONWI
NDOWS
1. Généralités
2. Caractéristiques générales de windows
3. Mise en réseau windows
4. Présentationdeque lquess yst
ème sd’expl
oit
ati
onsus
uel
les
5. DNS, WINS ET DHCP
6. Architecture client-serveur
Chap III. ADMINISTRATION DES RESEAUX WINDOWS. : Cas de windows 2003

server
1. Généralités
1.1 Environnement Windows 2003 server

1.2 Active Directory
1..2.1Pr é
s e
ntationd’ Ac tiveDi rectory
1.2.2Le sobj etd’ Ac tiveDi rect
or y
1.2.3LeSc hémad’ Ac tiveDi re
ctory
1.2.4Lec atal
ogued’ Ac tiveDi rectory
1.3 Str
uc turelogi qued’ Ac tiveDi rectory
1.3.1 Les domaines
1.3.2 Le sunité sd’ orga nisati
ons
1.3.3 Arborescence
1.3.4 Les forêts
1.3.5 Les rôles des maîtres opérateurs
1.4 Str
uc turephy siqued’ Ac ti
veDi rec t
ory
1.4.1 Contrôleur de domaine
1.4.2 Sites et lien de sites
1.5 Mé thoded’ a dmi nistrationd’ unr éseau Windows 2003
1.5.1 Ut ilis
a t
iond’ Ac tiveDi r
ec t
ory
1.5.2 Le soutilsd’ admi nistrat
ion
1.6 Impl éme nta t
iond’ unes t
ructuredef orê
te tdedoma i
neAc t
iveDir
ect
ory
1.6.1 I nstal
lationd’ Ac tiveDi rectory
1.6.2 Implémentation du système DNS pour la prise en charged’
Ac t
iveDi
rec
tor
y
1.6.3 Les re l
atio nsd’ app r
o bat
ion

3
1.6.4 I
mpl
éme
nta
ti
ond
’un
est
ruc
tur
ed’
org
ani
sat
ion
2.Ge sti
onde sc omptesd’ utilisateurse
td’
ordi
nat
eur
s
2.1 Création de comptes utilisateur
2 . 1 . 1 . Pr és ent at iondescompt esd’ ut ilisat eur s

2 . 1 . 2 . Conventi on de nom des compt es utilisateurs
2 . 1 . 3 . Nomenclature de création de compte utilis ateur
2 . 1 . 4 . Mot de passe utilisateur
2 . 1 . 5 . Cr éat i ondecompt ed’ ut il is at
eur
2. 2.Cr éati ondecompt esd’ or di nat eur
2 . 1 . Pr ésent at i ondescompt esd’ or dinat eur s
2 . 2 . 2 . Cr éat iondecompt ed’ or di nat eur
2 . 3 . M o d i f i c a t i o n d e s p r o p r i é t é s d e s c o m p t e s d’ut i l isat eurset
d’ ordi nat eur s
2.4. Création de modèles de comptes utilisateur
2. 5.Act ivat i onetdésact ivat i ond’ uncompt eu t i l i s a t e u r
3. Gestion des groupes
3.1. Présentation des groupes
3 . 1 . 1 . Groupes sur un ordinateur local
3 . 1 . 2 . Groupes sur un contrôleur de domaine
3.4 . G r o u p e s p a r d é f a u t
3 . 4 . 1 . Groupes par défaut sur un serveur membre
3.4.2. G r o u p e s p a r d é f a u t d a n s A c t i v e D i r e c t o r y
3.5. Groupes système
4.Gest ion d’accèsaux ressources
4. 1.Cont rôl ed’ accès
4 . 1 . 1 . Les entités de sécurité
4 . 1 . 2 . Le S ID
4 . 1 . 3 . DACL - Discretionary Access Control List
4.2. Autorisations
4 . 2 . 1 . Autorisations standards
4 . 2 . 2 . Autorisations spécial es
4.3. Administration d e s accès aux dossiers partagés
4 . 3 . 1 Description d es dossiers part agés
4 . 3 . 2 . Partages administrati fs
4 . 3 . 3 . Création de dossiers partagés
4 . 3 . 4 . Publication des dossi ers partagés
4 . 3 . 5 . Autorisations sur les dossiers partagés
4 . 3 . 6 . Connexion à un dossier partagé
4.4. Administration d e s accès aux fichiers et dossiers NTFS
4 . 4 . 1 . Présentation de NTFS
4 . 4 . 2 . Autorisations sur les fichiers et dossiers NTFS
4.4.2.1. Autorisations sur les fichiers
4.4.2.2. Autorisations sur les dossiers
4 . 4 . 3 . Impact de la copie et du déplacement sur les autorisations NTFS
4 . 4 . 4 . Prés ent at iondel ’hér it ageNTFS
4 . 4 . 5 . Identification des autorisations effectives
4 . 4 . 6 . Cumul des autorisations NTFS et des autorisations de partage

4
5. I
mpl
ément
ati
ondel
’impr
essi
on
5. 1.Pr ésent ationdel ’impr essi ondansl af a m i l l e W i n d o w s S e r v e r

2003
5 . 1 . 1 . Ter mi nol ogi edel ’impres s i
on
5 . 1 . 2 . Fonct ionnementdel ’i
mpr ession
5. 1.2. 1.I mpr e ssionsa nsser
ve urd’i
mpression
5. 1.2. 2.I mpr e ssionave cserveurd’impr essi
on
5. 2.I nstal lat ionetpar taged’ impr i
mant es
5 . 2 . 1 . Imprimantes locales et imprimantes réseau
5.2.2. I ns t allat i
onetpar taged’ unei mpr i
mante
5. 3.Aut or i sat ionsd’ impr imant espar t
agées
5 . 4 . G e s t i o n despi l
ot esd’ impr imant es
6. Admi ni st rationdel ’i
mpr essi on
6. 1Changementdel ’empl acementduspoul eurd’ impr essi on
6. 2 Déf ini t iondespr ior it
ésd’ i
mpr i
mant es
6.3. Planification de la disponibilité d e s imprimantes

5
Chap 1.RAPPEL ET GENERALITE SUR LES RESEAUX
1. Définitions
Que signifie Réseau ?
Un réseau est :
- Lac onnexi
ondepl us i
e ursma chi nese ntree lle sdanslebutd’ é
changer
l’
inf ormati
on( Utilisat
e urse tappl i
ca ti
ons )
- Ensemble des machines oud’ inf rastruc t
urei nf ormati
qued’ uneorganisati
on
avec les protocoles qui sont utilisés (Internet).
- De s c r
ipt
iondel af açondontl e sma c hinesd’ uns i
tesontint
e r
connectés:
rése a uet
hernet,Toke nr i
ng,é toi le…
- Spécification du protocole qui est utilisé pour que les machines
communiquent :TCP/IP, NetBeui..
- Une nsembledema chine sgé r
épa runs ystèmed’ exploi
tati
onr és
eau: réseau
windows, réseau Unix ou Linux.
Pourquoi les réseaux ?
Besoi
nd’échangerl
’inf
ormati
ondema nièr
es i
mplee tr
api
de,e
ntre les
ut
il
isat
eursenré
s e
aulocald’abor
de tmondialensui
te.Pensera
uxcompt es
ba
ncaire
soul aréser
vati
ond’unec orr
espondanced’avi
on.
Pour arriver à se communiquer aisément, il faut définir des normes de

communication. On a ainsi arrivé à définir le modèle ISO basé sur un modèle à
7c ouc hes.Ildé c r
itlef
onctionne me ntd’ unr ése
auàc ommut at
iondepa quet
s .
C'est-à-dir
equel ’i
nfor
ma t
ione stf ragme nt éee npetitmor ceaux( paque t
s),
chaque paquet est envoyé séparément sur le réseau.
Chaque couc hedumodè lerepr ésenteunec at é

gor
iedupr oblèmequel ’on
rencontres urler éseau.Lor squ’onme tenpl aceunr éseau,ilsuf fi
tdet rouve r
une solution pour chacune des couches. Ainsi, on peut chercher une solution
pour une seule couche au lieu de tout repenser.
2. Description des 7 couches :
Couche Fonctionnalité
7 Application
6 Présentation
5 Session
4 Transport
3 Réseau
2 Liaison
1 Matérielle ou physique

6
Chaque couche a un rôle précis séparé des autres. Une couches peut communiquer
avec les couches directement adjacentes (la couche 2 pourra avoir des échanges avec
les couches 1 et 3). Ainsi, l'utilisation de l'ensemble de ces couches permet de réaliser
une suite de tâches qui, regroupées, permettent la communication.
Un message à envoyer parcourt les couches, de la couche 7 à la couche 1 qui
représente le support de transmission.
2.1 - L'encapsulation
Au cours de son passage, des informations relatives à chacune des couches sont
ajoutées à la couche en cours pour lui permettre d'effectuer la tâche qui lui incombe,
on appelle cela l'en-tête. Ces informations circulent avec le message à transmettre.
++++++++++++++++++++++
couche 7 | Info à transmettre |
++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++
couche 6 | en-tête couche 6 | Info à transmettre |
+++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++
couche 5 | en-tête 5 | en-tête 6 | Info à transmettre |
+++++++++++++++++++++++++++++++++++++++++++++
... et ainsi de suite ... jusqu'au paquet final
++++++++++++++++++++++++++++++++++++++++++++++
Couche 1 | en-tête 1 | ... | e-t 5 | en-tête 6 | Info |
+++++++++++++++++++++++++++++++++++++++++++++
chaque couche ajoute donc sa propre en-tête à l'information d'origine. Ce procédé

s'appelle l'encapsulation.
2.2 La couche physique ( couche 1)
S’ occ uperde spr oblème ss trict

e me ntma t
é r
ie l
sc'es
t-à-dire le support physique du réseau.
Il faut préciser toutes les caractéristiques:
 du câble :
- Son t ype( c oaxial,pa irestor s
a dées
…)
- Si le blindage est nécessaire
- Let ypedus i
gna lé l
e ctri
quee nvoyé(tension,i nt ens
ité…)
- Natures des signaux (carrés, sinusoïdal..)
- Limitation (longueur, nombre de station)
 Communications hertziennes :
- Fréquence,
- Type de modul ation( phase,a mplit
ude …)

7
2.3 La couche de liaison de données (couche 2)
2.3.1 - Les rôles de la couche 2
La couche liaison de données a pour rôle de transmettre les données de façon fiable
entre des équipements directement connectés.
Sur un réseau, il y a souvent plusieurs machines connectées, il faut alors pouvoir les
différencier les unes par rapport aux autres. Pour cela, nous allons les identifier
individuellement grâce à des adresses.
2.3.2 - L'adressage des machines
Pour la couche 2, ce sont les adresses MAC.
Les adresses MAC sont codées sur 6 octets, soit 48 bits donc 2^48 = ... plusieurs
milliers de milliards d'adresses possibles ! Elles sont la plupart du temps écrites par
octet sous forme hexadécimale, séparés par le caractère ":" Ce qui donne par exemple
3C:AB:35:48:FF:D2 qui est une adresse MAC. Nous pouvons ainsi identifier chaque
interface de machine individuellement. Il nous faut maintenant définir les règles qui
permettront aux machines de dialoguer. Pour cela nous allons définir un protocole.
2.3.3 - Le protocole Ethernet
Le protocole Ethernet définit le format des messages échangés. Le message de base

utilisé par Ethernet est la trame. La trame est composée d'une en-tête et d'une "charge
utile" contenant les informations à transmettre. L'en-tête Ethernet contient les
informations nécessaires au bon fonctionnement de la couche 2 qui pourront permettre
la transmission des informations. Nous y retrouvons notamment les adresses MAC des
machines participant au dialogue.
2.3.4 - Format d'une trame Ethernet
En se limitants aux informations qui nous intéressent, nous disons que la trame est
composée d'une en-tête contenant les informations du protocole Ethernet, et d'un
payload contenant les informations à transporter.
Trame Ethernet
++++++++++++++++++++-----------------------------
| En-tête Ethernet | Informations à transporter |
++++++++++++++++++++-----------------------------
Lec
ont
enudel
’en-tête Ethernet.
En-tête Ethernet
++++++++++++++++++++++++++++++++++++++++++++++++++++
| @ MAC source | @ MAC destination | Protocole sup |
++++++++++++++++++++++++++++++++++++++++++++++++++++

8
L'adresse MAC source est l'adresse de la machine qui envoi la trame.

L'adresse MAC destination est celle de la machine qui doit recevoir la trame.
Le protocole sup est le protocole utilisé par la couche supérieure (coche 3)
2.3.5 - Dialogue entre deux machines
Prenons l'exemple d'une machine A qui veut envoyer le message "Bonjour" à une
machine B située sur le même réseau. Il lui suffit de connaître l'adresse MAC de B
pour lui envoyer le message. Ainsi, en lui envoyant la trame suivante, elle devrait
pouvoir lui envoyer le message:
++++++++++++++++++++++++++++++++++------------------
| @MAC A| @MAC B | protocole sup | XXXXX | Bonjour |
++++++++++++++++++++++++++++++++++------------------
B reçoit la trame et voit que c'est son adresse MAC qui est en destination, elle lit donc
le reste des informations. Il s'agit des informations des couches supérieures
(XXXXX), et enfin, du message "Bonjour".
Nous avons donc réussi grâce à la couche 2 à faire dialoguer deux machines
connectées sur un même réseau.
Qu’ estcequis epa ssequa ndi lf

autf airec ommuni que rdeuxma chinesa ppa
rte
nantà
des réseaux différents ? La réponse est à chercher au paragraphe suivant.
2.4 La couche réseau (couche 3)
2.4.1 - Les rôles de la couche 3
La couche réseau a pour rôle d'acheminer les informations d'un réseau à un autre. C'est
ce que l'on appelle le routage. Les réseaux sont donc reliés entre eux par des machines
que l'on appelle routeurs. Ces routeurs vont donc recevoir les paquets sur un réseau, et
les renvoyer sur l'autre. Ils ont donc une connexion sur chaque réseau. Tous les
réseaux ne pouvant pas être reliés entre eux, il va souvent falloir passer par des
réseaux intermédiaires pour pouvoir envoyer un paquet d'un réseau à un autre.
(Ev ideme ntcommenouss omme sdansunc asder éseaul oc al,nousn’ al
lonspasl e
faire en TP)
La couche réseau a d'autres fonctionnalités auxquelles nous ne nous intéresserons pas
ici.
2.4.2 - Quelles adresses pour la couche 3 ?
2.4.2.1 - L'identification des machines
On sait que chaque machine du réseau est identifiée par une adresse (adresse IP) qui
lui est unique. Imaginez un énorme réseau comme Internet où chacune des machines
serait obligée de connaître l'ensemble des millions d'autres machines (et notamment
leurs adresses) et de savoir comment y accéder. Cela obligerait nos pauvres
ordinateurs à avoir des tables énormes contenant l'ensemble de ces informations. Cela

9
exigerait un temps de réponse énorme pour parcourir cette table.
Pour répondre à cette problématique, on a segmenté cet énorme réseau en différents

petits réseaux. Et c'est au sein de ces petits réseaux que l'on donne des adresses aux
machines pour leur envoyer l'information. Ainsi, il suffit de connaître l'adresse du
réseau pour envoyer l'information à une machine de celui-ci, et c'est à l'intérieur de ce
réseau que l'information sera redirigée vers la bonne machine.
C'est exactement la même chose que lorsque vous envoyez un paquet par la poste,
vous mettez le nom de la ville, le paquet arrive à la poste de la ville, et c'est elle qui
distribue le paquet à la bonne adresse.
On a ainsi la notion de masque qui se définit comme un séparateur entre la partie

réseau et la partie machine d'une adresse IP.
2.4.2.2 L’
adr
ess
eIP
IP signifie "Internet Protocol", protocole Internet. Cette notion sera développé plus loin.
2.4.3 - Pourquoi encore une adresse alors que nous avons déjà l'adresse MAC ?
Il est nécessaire de différencier les adresses de couche 2 et de couche 3, car l'adressage

au niveau de chacune de ces couches n'a pas le même rôle.
L'adressage MAC en couche 2 permet d'identifier les machines SUR UN MEME
RESEAU.
L'adressage IP en couche 3 permet d'adresser les machines SUR DES RESEAUX
DISTINCTS.
Les deux adresses sont indispensables. En effet, les adresses de couche 2 sont en
rapport avec le matériel réseau utilisé (le protocole de couche 2 est géré au niveau de
la carte connectée au réseau et non pas par le système d'exploitation comme les
couches supérieures) il est donc difficile de modifier les adresses MAC qui sont
censées être codées directement sur la carte réseau. Cela est notamment du au fait que
chaque adresse MAC doit être unique sous peine de conflit matériel, et que cette
adresse doit être accessible lors du boot d'une machine. Les adresses de couche 3
quant à elles demandent une certaine souplesse d'utilisation car on ne connaît pas à
priori l'adresse du réseau sur lequel une machine va se trouver. Il y a donc une
incompatibilité d'utilisation d'une adresse de couche 2 pour une adresse de couche 3,
et vice versa.
De plus, comme les protocoles réseau évoluent au fil du temps, il est nécessaire que
chaque couche soit indépendante des autres.
2.5. La couche 4 transport
La couche transport doit normalement permettre à la machine source à communiquer

directement avec la machine destinataire. On parle de communication de bout en bout
(end to end).

10
2.6 La couche 5 session.

Cette couche a pour rôle de transmettre cette fois-ci les informations de programme à
programmes.
2.7 La couche 6 présentation

On doit se préoccuper de la manière dont les données sont échangées entre les
applications.
2.8 La couche 7 applications

Dans la couche 7 on trouve normalement des applications qui communiquent ensembles
(
courrieré le
ctronique,t rans
fe r
tdefichi
er…) .
3. Architecture des réseaux
Câble en maille.
Chaque machine est reliée à toutes les autres par un câble.
Il exige beaucoup de câbles.
Câble en bus
Chaque machine est reliée par un câble appelé bus.
Si un machine tombe en panne, les machines qui sont au-delà ne sont plus alimenté

11
Câble en anneau
Chaque machine est reliée par une autre de façon à former un anneau.
Technique de câblages actuels
On utilise un câblage semblable à première vue à un câblage en étoile.
Chaque machine est reliée par un câble à un appareil appelé actif. Ce type de câblage
peut être utilisé dans une architecture réseau de type bus. L'élément actif recopie alors
l'information sur chacun des câbles.
Le matériel actif dont il est question ci -dessus se définit comme tout le matériel comportant un
équipement électronique chargé d'assurer la répartition des signaux entre les différentes
branches d'un réseau informatique.
Il s'agit principalement des hubs ou des switches. Par opposition, les câbles, les coffrets,
le sc ordonse tpa nne
auxdebr as
s ages….s ontr angésda nslac atégor ieduma t
érielpa ssif.

12
4. PROTOCOLE TCP/IP
TCP/IP est un ensemble de logiciels développés au fil des années (à partir des années 70
déjà) qui constituent un "langage universel" de communication informatique à travers le
monde. Le protocole devait posséder les qualités suivantes :
1. une bonne reprise après panne

2. la capacité à gérer un taux élevé d'erreurs
3. une faible surcharge des données
4. la capacité de se prolonger sans difficultés dans des sous-réseaux
5. l'indépendance par rapport à un fournisseur particulier ou un type de réseau
TCP/IP est composé de deux protocoles distincts, IP et TCP.
4.1 Le protocole IP
Le Protocole Internet ou IP (Internet Protocol) est la partie la plus fondamentale dans un
réseau. Si vous voulez envoyer des données sur le réseau, vous devez les "emballer" dans
un paquet IP. Il faut savoir pour l'instant que ces derniers ne doivent pas être trop gros; la
plupart du temps, ils ne peuvent pas contenir toute l'information qu'on voudrait envoyer
sur Internet, et cette dernière doit par conséquent être fractionnée en de nombreux paquets
IP.
Les paquets IP, outre l'information, sont constitués d'un en-tête contenant l'adresse IP de
l'expéditeur (votre ordinateur) et celle du destinataire (l'ordinateur que vous voulez
atteindre), ainsi qu'un nombre de contrôle déterminé par l'information emballée dans le
paquet : ce nombre de contrôle, communément appelé en-tête de total de contrôle, permet
au destinataire de savoir si le paquet IP a été "abîmé" pendant son transport.
4.1.1. L’
adr
esseI
P
Une des choses les plus intéressantes du protocole est d'avoir attribué un numéro fixe (
comme un numéro de téléphone) à chaque ordinateur connecté sur le réseau ; ce numéro
est appelé l'adresse IP. Dans le cadre du standard actuel - IPV4 -, les adresses sont codés
sur 32 bits. Ainsi, tout ordinateur sur le réseau, attribuer une adresse de type a.b.c.d (où
a,b,c,d sont des nombres compris entre 0 et 255), par exemple 192.168.1.2 Dès ce
moment, vous êtes le seul sur le réseau à posséder ce numéro.
Pour le cas particulier du réseau Internet, un rapide calcul vous montre qu'il y a, en
théorie, un maximum de 2564 = 4'294'967'296 adresses possibles, ou, en d'autres termes,
d'ordinateurs directement connectables, ce qui est plus que suffisant même à l'échelle
mondiale (du moins à l'heure actuelle !). En fait, il y a beaucoup moins d'adresses que ce
nombre impressionnant, car de nombreux numéros IP ne sont pas autorisés ou sont utilisés
à des fins "techniques".
Enpr i
ncipea uni vea udel ’
ordina teur,l’adres seIPe stc odé eenbinaire( 4x8bi ts=32
bits). Par exemple,

13
202 15 170 1
11001010 00001111 10101010 00000001
Il est clair que pour nous les humains, il est plus facile de retenir 202.15.170.1 que
11001010000011111010101000000001 !
4.1.2. Sorte de réseau.
L'adressage a été structuré logiquement dans une architecture de réseaux et de sous-

réseaux. N'importe qui ne peut s'approprier librement une adresse IP : ces dernières sont
régies par un organisme international, l'InterNIC (Internet Network Information Center,
organisme Américain) , qui délivre les différentes adresses.(Ceci est valable dans le cas où
l’ordinateure stconne c t
és urI nter
net).Le sa dr
ess esIPs ontdivisé ee n4c lasses
dé t
ermi nées uivantl ’i
mpor tancedur és e au.
 Dans un réseau de classe A, l'InterNIC fixe les 8 premiers bits (dits bits de poids
fort) sous la forme 0xxxxxxx; les 24 autres bits sont laissés à l'administration de
l'acquéreur du réseau de classe A.
Dans un tel réseau, les adresses IP sont donc de type F.b.c.d où F (fixé par
L'InterNIC) va de 0 à 126. Le 127.0.0.0 est dite adresse de boucle, réservée pour des
fins techniques.
 Dans un réseau de classe B, l'InterNIC fixe les 16 premiers bits sous la forme
10xxxxxx yyyyyyyy, ce qui donne des réseaux de type F.G.0.0 où F (128-191) et G
(0 à 255) sont fixés par le NIC.
 Dans un réseau de classe C, l'InterNIC fixe les 24 premiers bits sous la forme
110xxxxx yyyyyyyy zzzzzzzz, ce qui donne des réseaux de type F.G.H.0 où F
(192-223), G et H (0-255) sont fixés par le NIC.
Résumé
Comme vous le voyez, la classe A permet de créer peu de réseaux, mais avec beaucoup
d'hôtes dans chaque réseau, La classe C faisant l'invers
 De plus, l'InterNIC n'attribue pas non plus certains réseaux qui sont laissés à des
fins privées. Ces plages d'adresses généralement non routées par les fournisseurs
d'accès, en d'autres termes des plages attribuables tout à fait légalement pour des

14
réseaux internes, vont
de 10.0.0.0 à 10.255.255.255
de 172.16.0.0 à 172.31.255.255
de 192.168.0.0 à 192.168.255.255
I
lestconsei
llé d’
uti
liserce t
ype d’
adr
esse en r
éseau l
ocal
.
Il est à noter que les adresses IP peuvent être donnée

manuellement ou dynamiquement avec le seveur DHCP (Dynamic
host Communication Protocol)
Il existe une autre adresse IP réservée : l'adresse de diffusion (broadcast). C'est la dernière
adresse du sous-réseau, dans notre cas 192.168.0.255. Il s'agit de l'adresse que vous
utilisez pour diffuser un message vers chaque ordinateur du sous-réseau concerné.
Finalement, vous devez réserver une adresse IP du routeur par défaut (gateway) : c'est
l'adresse "passerelle" qui permettra à des paquets IP de "quitter" votre sous-réseau.
4.2 Subdivision en sous-réseau
Comment un ordinateur transmet-il l'information (les paquets IP) à son destinataire ? Une
partie de la réponse se trouve dans le fonctionnement du protocole IP.
Généralement, un ordinateur ne peut transmettre directement un paquet IP qu'à un

ordinateur situé sur le même sous-réseau. Par exemple, un ordinateur possédant l'adresse
IP 192.168.0.2 pourra directement envoyer de l'information à un ordinateur "voisin"
d'adresse 192.168.0.20, mais il ne pourra pas le faire avec un ordinateur d'adresse
194.38.175.55. Pour simplifier, on dira en première approximation qu'un ordinateur ne
peut communiquer directement qu'avec un ordinateur possédant les trois premiers
nombres de l'adresse IP identiques. Cette remarque n'est malheureusement pas
théoriquement juste (même si en pratique, c'est assez souvent le cas pour des réseaux
simples). En fait, c'est le concept de masque de sous-réseau qui définit ce qu'un
ordinateur peut "voir" ou ne pas voir.
Le masque de sous-réseau que vous avez peut-être eu l'occasion d'utiliser, si vous utilisez
TCP/IP pour un réseau local, est 255.255.255.0. Ce masque veut dire que l'ordinateur
concerné peut "voir" (ou communiquer avec) tous les ordinateurs possédant les trois
premiers nombres de l'adresse IP identiques.
4.2.1 Le protocole TCT

Comme le protocole IP ne s'intéresse pas de savoir si le paquet a bien été reçu ou s'il a été
endommagé pendant le transfert, il a été crée ainsi le protocole TCP pour faire ce travail.
Le protocole de contrôle de transmission ou TCP (Transmission Control Protocol)
vérifie donc le bon acheminement d'un paquet IP. Cela se fait de la façon suivante :

15
admettons que A veuille transmettre un paquet IP à B. A envoie (un peu à l'aveugle) son
paquet IP à B. Tant que A ne recevra pas un accusé de réception de B lui indiquant que ce
dernier a bien reçu le paquet IP dans son intégrité, il renverra à intervalles réguliers le
même paquet IP à B. Il n'arrêtera d'envoyer ce paquet qu'à la confirmation de B. Ce
dernier agira ensuite de même s'il doit transmettre le paquet plus loin. Si B constate que le
paquet qu'il a reçu est abîmé , il n'enverra pas de confirmation, de manière à ce que A lui
renvoie un paquet "neuf".
L’adr
esseIPestassoc i
é eaunom del amac
hinegr
âceàunema
chi
nea
yantl
erôl
edeDNS
(Domain Name Service (voir plus tard)
Résumons en quelques points ce que nous avons vu sur les réseaux TCP/IP.
Chaque ordinateur sur Internet possède une adresse IP, par exemple 195.235.4.6
1. Les adresses IP définissent les termes de réseaux ou de sous-réseaux. C'est un

organisme international, l'Internic, qui attribue les différentes adresses ou les
différents réseaux (classe A, B, C). Ce sont ensuite les entreprises qui ont
acheté les réseaux qui peuvent les subdiviser en sous-réseaux grâce à
l'utilisation de masques de sous-réseaux adéquats.
2. De nombreuses adresses IP ne sont pas utilisées.
o L'Internic tout d'abord conserve des adresses utilisables à des fins
privées, par exemple les adresses de type 192.168.0.x
o L'administrateur d'un réseau doit toujours mettre de côté trois adresses
IP par sous-réseau : l'adresse de sous-réseau (par exemple
192.168.0.0), l'adresse de diffusion (par exemple 192.168.0.255) et
l'adresse du routeur par défaut.
3. Pour communiquer, l'ordinateur expéditeur fragmente l'information à envoyer
en de nombreux paquets IP qui contiennent, outre l'information, les adresses
IP de l'expéditeur et du destinataire ainsi qu'un en-tête de total de contrôle.
4. Les paquets IP ne peuvent être transmis directement qu'à un ordinateur du
même sous-réseau (défini par le masque de sous-réseau). Si l'ordinateur
destinataire ne peut être atteint, l'ordinateur expéditeur envoie le paquet IP à
l'adresse du routeur par défaut qui lui a été spécifié.
5. Le routeur est une machine qui fait transiter les paquets d'un réseau à un
autre (ou d'un sous-réseau à un autre) et qui utilise donc plusieurs adresses
IP (une sur chacun des sous-réseaux couverts). Par exemple, un routeur
possédant les deux adresses IP 196.129.0.1 et 197.160.40.91 peut faire
passer des paquets IP du réseau 196.129.0.0 au réseau 197.160.40.0, et
inversément.
6. Le protocole IP ne s'occupe que de l'acheminement des paquets IP. La
vérification du transfert de l'intégrité des données est effectuée par le
protocole TCP.
4.3. Les commandes IP Fréquent utilisées
PING : tester la connectivité réseau avec une adresse IP distante
ping -t <IP ou host>

L’option-t permet de fairedespi
ngsen cont
inuj
usqu’
àCt
rl-C.
TRACERT : affiche toutes les adresse IP intermédiaires par
lesquel l
espasse un paquetent re l
a machi ne localetl’
adresse IP
spécifiée

16
tracert <IP ou host>

tracert -d <IP ou host>
Pour tester la connectivité réseau et si la commande ping ne donne pas de réponse, il

convient de lancer cette commande pour voir à quel niveau le paquet ou la connectivité est
défaillante.
Pouraccél
érerl’affichage de l aliste desrout eurs,ilestut i
le d’appl
iquerl
a
commande -d qui évite la résolution inverse au niveau du DNS.
IPCONFIG : afficher ou rafraîchir la configuration réseau TCP/IP

ipconfig [/all] [/release [carte]] [/renew [carte]] [/flushdns] [/displaydns]
[/registerdns] [-a] [-a] [-a]
Cette commande exécutée sans option, af f
iche l’
adresse IP en cour s, l
e masque
réseau ainsi que la passerelle par défaut au niveau des interfaces connues sur la
machine.
/all affiche toute la configuration réseau y compris les serveurs DNS, WINS,
bail DHCP, etc ...
/renew Renouvelle la configuration DHCP de tous les cartes (si aucune carte
[carte] n'est spécifiée) ou d'une carte spécifique si le paramètre Carte est
inclus.
Pour spécifier un nom de carte, tapez celui qui apparaît quand vous
utilisez ipconfig sans paramètre.
/release Envoie un message DHCPRELEASE au serveur DHCP pour libérer la
[carte] configuration DHCP actuelle et annuler la configuration d'adresse IP de
toutes les cartes (si aucune carte n'est spécifiée) ou d'une carte
spécifique si le paramètre carte est inclus. Ce paramètre désactive
TCP/IP pour les cartes configurées de manière à obtenir
automatiquement une adresse IP.
Pour spécifier un nom de carte, tapez celui qui apparaît quand vous
utilisez ipconfig sans paramètre.
NETSTAT : af
ficherl’étatdel api l
eTCP/ IP locale à la machine
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervalle]
-a Affiche toutes les connexions et ports d'écoute. (Les connexions côté
serveur sont normalement inhibées).
-e Affiche les statistiques Ethernet. Peut être combinée avec l'option -s.
-n Affiche les adresses et les numéros de port sous forme numérique.
-p proto Montre les connexions pour le protocole spécifié par proto; proto peut être
tcp ou udp. Utilisé avec l'option -s pour afficher des statistiques par
protocole, proto peut être tcp, udp, ou ip.
-r Affiche le contenu de la table de routage.
-s Affiche les statistiques par protocole. Par défaut, des statistiques sur TCP,
UDP et IP sont visualisées; l'option -p peut être utilisée pour spécifier un
sous-ensemble du défaut.
intervalle Réaffiche les statistiques sélectionnées, avec une pause de "intervalle"
secondes entre chaque affichage. Appuyez sur Ctrl+C pour arrêter

17
l'affichage des statistiques.

TELNET
telnet <IP ou host>
telnet <IP ou host> <port TCP>
La façon la pl
usuti
led’ut
ili
serl
acommandet elnetestpourvér
ifi
ersiun ser
vice
quelconqueTCPt ournesurun ser
veurdi
stanten spéci
fi
antapr
èsl ’
adr
esseIPl e
numéro de port TCP.
Les ports les plus courants sont :

ftp (21), telnet (23), smtp (25), www (80), kerberos (88), pop3 (110), nntp (119) et nbt
(137-139). HOSTNAME : affiche le nom de la machine équivalent à la commande unix
du même nom
4.5. Passerelles.
C'est un élément qui permet d'interconnecter plusieurs réseaux de manière à permettre le
passage de l'information d'un réseau à l'autre. Il peut être un routeur ou un firwall.

18
ChapI
I.LESSYSTEMSD’
EXPLOI
TATI
ON
WINDOWS.
1 Généralités
Windows e stunega mmedes yst

èmed’ exploitationpr odui
tepa rMi cr
osof
t,
principalement destinées aux machines PC . C'est le remplaçant de MS-DOS.
Branche 16 bits
 Windows 1.0 : Novembre 1985
 Windows 2 : Décembre 1987
 Windows 2.10 pour 286 : Décembre 1987
 Windows 2.10 pour 386 : Décembre 1987
 Windows 2.11 ...
 Windows 3.0 : Mai 1990
 Windows 3.1 : Avril 1992
 Windows for Workgroups 3.1 : Octobre 1992
 Windows for Workgroups 3.11 : Novembre 1993.
Les premières versions de Windows étaient lancées depuis DOS et utilisaient le système
de fichiers de DOS : Windows n'être qu'une interface graphique sur un noyau DOS.
Cependant, Windows a immédiatement eu les fonctions d'un système d'exploitation,
notamment un format d'exécutable propre, la gestion des processus en multitâche
coopératif, la gestion de mémoire virtuelle, et des pilotes pour gérer l'affichage,
l'impression, le clavier, le son, etc.
Branche 32 bits
 Windows 95 : Août 1995

 Windows 98 : Juin 1998
 Windows 98 SE : Mai 1999
 Windows ME (Millennium Edition): Septembre 2000
Branche Windows NT
 Windows NT 3.1 : Août 1993

 Windows NT 3.5 : Septembre 1994
 Windows NT 3.51 : Juin 1995
 Windows NT 4.0 : Août 1996
 Windows 2000 : Février 2000
 Windows 2000 SP1 : Août 2000
 Windows 2000 SP2 : Mai 2001
 Windows XP : Octobre 2001
 Windows 2000 SP3 : Juillet 2002
 Windows XP SP1 : Septembre 2002

19
 Windows XP Édition Media Center : 2002

 Windows Server 2003 : Mai 2003
 Windows 2000 SP4 : Juillet 2003
 Windows XP Starter Edition : Août 2004
 Windows XP SP2 : Août 2004
 Windows XP Home Edition N (Windows XP Edition familiale) : Avril 2005
 Windows XP 64 : Avril 2005
 Windows XP Édition Media Center 2005 : Août 2005
 Windows Vista : novembre 2006 pour les entreprises ; 30 janvier 2007 pour le
grand public.
 Windows Server 2008 : février 2008
 Windows XP SP3 : sortie en avril 2008
 Windows Vista SP1 sortie en mars 2008)
 Windows Server 7, va succéder windows 2008 Attendu en 2010. Windows Seven:
Attendu pour 2010
La branche NT (Nouvelle Technologie), est une famille de systèmes d'exploitation re

développée à partir de zéro. Il est né du divorce de Microsoft et d'IBM sur le
développement du système d'exploitation OS/2. Windows NT a été développé pour
concurrencer les systèmes utilisés en entreprise.
Elle permet le multitâche préemptif, le multitheading un modèle d'exécution séparée
(chaque processus possède une zone de mémoire séparée, sans accès à celle des autres
processus).
Sa disponibilité pour le grand public a eu lieu avec la sortie de Windows XP, première
version familiale à être fondée sur cette branche unifiée après le succès de Windows 2000
dans sa version professionnelle.
NB
Un Service Pack (paquet de services, diminutif SP) est un ensemble de mises à jour,
corrections et/ou améliorations de logiciels livré sous forme d'un seul package installable
en une seule opération. De nombreux éditeurs tels que Microsoft publient un service pack
quand le nombre de correctifs individuels devient trop important.
En résumé :
Les systèmes d'exploitations de Microsoft se sépare en 2 parties, les systèmes pour amateurs et pour
professionnels.
Dans la gamme personnelle ou amateur, on retrouve:
 1995: Win95, premier système réellement graphique de Microsoft et sa version

suivante, Win95B qui gère la FAT 32.
 1998: Win98 qui intègre Internet Explorer. La version SE (Seconde édition) est une
amélioration, avec la version supérieure d'Internet Explorer 5.0 et quelques accessoires
supplémentaires comme le partage de connexion INTERNET.
 2000: Windows Millenium qui inclut certains fonctions de récupération.
Dans la gamme professionnelle, on retrouve:

20
 Windows NT
 Windows 2000
 Windows XP. Deux versions sont développées mais sur une base identique. La version
Pro accepte en plus de la version Home: la gestion de 2 microprocesseurs, un cryptage des
données et un partage de dossiers en réseaux par mots de passe pour 10 utilisateurs
simultanés maximum. Il n'y a aucune différence dans les autres fonctionnalités.
 Windows 64 bits (basé sur XP)
 Vista
Dans les versions serveurs:
 Version de Windows NT
 Versions de Windows 2000
 Windows 2003 serveur
Ils fonctionnent tous avec des PC compatibles (X86).
2. Les caractéristiques générales de WINDOWS.
2.1. Introduction.
Dans ce chapitre nous allons voir les différentes versions de Windows en détails. Les
quelques chapitres qui suivent vont généraliser quelques caractéristiques des successeurs
de Windows 3.X: Windows NT, 95/98/Me, 2000, XP, 2003 et Vista.
Nous verrons certains points comme la base de registre, les différents dossiers créés,
lespart
itions,...quie s tuneba sedef orma tionss url essy stè
me sd’exploitati
onwi ndows .

21
2.2 Les dossiers de windows.

Windows va utiliser 2 dossiers différents:
 le dossier c:\windows intègrant les fichiers et dossiers du système d'exploitation

 le dossier c:\programm Files intègre quant à lui les programmes. Il rassemble
les programmes accessoires fournis avec Windows (Notepad, calculette, ...) et les
programmes installés ultérieurement par les utilisateurs comme Word, Excel,
Ac cess,Powe rPoi
nt,..
.oud’ aut
res.
Suivant le système d'exploitation, le dossier (mes) documents (95/98/me, que

nous appellerons amateurs) ou un sous-dossier "documents and setting " (NT, 2000,
XP, 2003, Vista que nous appellerons professionnels) vont reprendre les profils
utilisateurs avec leurs documents. Le contenu du bureau dans les versions amateurs est
directement inclus dans le dossier Windows. Pour les versions professionnelles, il est
inclus comme sous-dossier du profil utilisateur.
Les versions amateurs (95/98) ne présent pas de sécurité. Ainsi par exemple, la
touche <ESC> permet de passer outre le login / mot de passe et l'accès à tous les dossiers
et programmes inclus sur le disque dur.
2.3. La base de registre

Une première particularité des versions Windows est la base de registre. Constituée de
divers fichiers, elle intègre la configuration du matériel et des logiciels. Elle a été
introduite à partir de Windows 95 en remplacement des fichiers win.ini et system.ini
utilisés en Windows 3.X, limités à 64 KB. Elle est utilisée pour configurer les paramètres
ma téri
e l
si nt
erne s( pr ocesse ur,…. )etl eslogiciels.
Pour accéder à la base du registre, taper en ligne de commande « regedit ».
(Démarrer -> exécuter). Cette commande est présente dans toutes les versions des
systèmes d'exploitation.
Attention, modifier des clés dans la base de registre peut entraîner des
disfonctionnements importants, voire une réinstallation du système.
2.3.1 Structure du registre.

Le registre est organisé selon une structure hiérarchique semblable à la structure
des dossiers et des fichiers enregistrés sur disque communément appelé structure
d’arbr e.
On distingue les clés, les ruches et les valeurs.
r
Les clés prédéfinies (sous-abr
e)a
nal
oguea
udos
sie
rra
cined’
undi
sques
onta
unombr
e
de 5 .

22
1. HKEY_CLASSES_ROOT regroupe des paramètres spécifiques aux programmes

comme les extensions de fichiers, icônes spécifiques, menus contextuels, fichiers
communs (dll par exemple), licence
2. HKEY_CURRENT_USER est spécifique à chaque utilisateur (profil). Il reprend
les configurations claviers, curseurs souris, raccourcis vers des lecteurs réseaux, ...
3. HKEY_LOCAL_MACHINE regroupe les paramètres de configuration de la
machine. Ils sont définis pour la plupart à l'installation de Windows. On retrouve
les pilotes des composants hardwares internes (processeur, ...) et externes,
paramètres de désinstallation des logiciels, ...
4. HKEY_USERS reprend la liste et paramétrage des profils de tous les utilisateurs.
5. HKEY_CURRENT_CONFIG reprend le profil matériel de l'ordinateur au
démarrage comme la résolution écran, pilotes de périphériques à charger, .... C'est
une copie de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware
Profiles\Current
Une ruche est un ensemble discret de clés, de sous-clés et de valeurs. Chaque ruche
correspond à un fichier du registre et à un fichier .log situé dans
\racine_wint\System32\Cionfg . Le fichier .log est utilisé pour enregistrer les
modi fi
c ati
onsa ppor tée saur egistree ta ssurerl’int égritédec el
ui -ci. Chaque ruche peut
contenir des sous-clés.
Les valeurs sont analogues aux fichiers dans la mesure où elles se situent en fin de la
hiérarchie. Une entrée de valeur est composée de trois parties : la valeur elle-même
(ou paramètre de configuration), son non et son type de données.
2.3.2 Types de données du registre
On en distingue :
 REG_SZ gère une chaîne de caractères, c'est le plus courant.

 REG_BINARY, type de données binaires. Ce sont des suites d'octets qui peuvent
éventuellement être cryptés

23
 REG_DWORD, codés sur 4 octets. Elles peuvent être introduites en décimal ou en

hexadécimal.
 REG_EXPAND_SZ, chaîne de caractères contenant une variable. Dans l'exemple

ci-dessous, %systemroot% représente le dossier d'installation de Windows
(typiquement WINNT).
 REG_MULTI_SZ, plusieurs chaînes de caractères liés, séparés par le caractère

Null (0 en code Ascii) et terminée par le même caractère.
 REG_FULL_RESOURCE_DESCRIPTOR (depuis XP), tableaux imbriqués, sert
à stocker des ressources utilisés par les périphériques.
2.3.3 Sauvegarde et restauration de la base de registre

 2000 / XP: utiliser la commande regedit et importer / exporter dans le menu
registre
XP et Milleniums. Dans démarrer -> Programmes -> accessoires ->Outils système -

>Restauration du système. Cet outils permet de revenir à un point de récupération
précédant ou de créer un point de sauvegarde. A chaque nouvelle installation de logiciel
ou périphérique, un point de restauration est créé.

24
2.4. Outils de base del

agest
iondel
’
ordi
nat
eur
.
La gestion de l'ordinateur se fait par le panneau de configuration disponible à partir
du menu Démarrer. Toutes les versions de Windows n'ont pas les mêmes icônes. On
retrouve:
 Affichage: permet de modifier les propriétés de l'écran

 Ajout/suppression de matériel permet d'ajouter un nouveau périphérique interne
ou externe. Avec les fonctionnalités plug and Play de Windows, cette fonction est
peu utilisée.
 Ajout/suppression de programme: permet d'ajouter ou de supprimer un logiciel,
des composantes de Windows.
 Connexion et accès à distance permet de paramétrer les communications réseaux.
 Systèmes reprend les propriétés du matériel.
 Son et multi-média reprend tout ce qui a un rapport avec le son.
 Polices: reprend les polices intégrées sous Windows. Même si cette fonction est
peu utilisée en pratique, vous pouvez insérer de nouvelles polices dans ce dossier.
2.5. Multi-utilisateur.
Chacun de ces systèmes d'exploitation accepte le multi-utilisateur. Il y a néanmoins
une grosse différence de gestion :
Les séries amateurs gèrent les utilisateurs via un seul fichier présent dans le dossier
Windows au format pwl (utilisateur.pwl). En supprimant ce fichier, vous supprimer le
profil utilisateur. Par contre, vous avez l'accès aux fichiers du disque durs, y compris à
ceux qui sont créés sur le bureau d'un utilisateur particulier. La touche <ESC> permet de
passer outre la demande de login. Par contre, cette méthode ne permet pas d'accéder aux
ressources réseau externes (accès sur le serveur).
Dans les systèmes d'exploitation professionnels, ils est impossible d'accéder aux
ressources de l'ordinateur sans login et mot de passe. Les utilisateurs sont également repris
par groupe. L'administrateur est le plus haut niveau.
2.6. Microsoft Management Console.

La MMC (abréviation de Microsoft Management Console) est utilisée dans les
versions Pro et serveurs (même si cette possibilité est implantée en XP Home et Vista
Familial mais avec des options très limitées). Windows 95 / 98 / millenium n'utilisent pas
cette possibilité.
Elle permet d'ajouter ou de supprimer des composants logiciels enfichables. Ces
logiciels optionnels permettent par exemple d'interdire l'accès au panneau de
configuration complet, d'empêcher l'installation de programmes, la modification des
paramètres réseaux, de supprimer des fichiers de certains dossiers, ... ou même (en
versions serveurs) de gérer les droits des groupes et utilisateurs locaux. Nous en parlerons
principalement dans les versions serveurs sous 2000 et 2003

25
2.7. Les partitions.

On a les partitions ci-après :
 Partition FAT 16 ( FAT file allotion table ) avec windows 95
 Partition VFAT: adaptation de la FAT 16 pour accepter les noms de fichiers longs et
caractères accentués, à Partir de Windows 95.
 Partition FAT32 de win95 B et suivant sauf NT 4. Si théoriquement, il n'y a quasiment
pas de limitations de taille de partitions, la commande FDISK de Windows 98 n'accepte
pas de disques durs de 60 GB. Millenium les accepte mais ne permet pas de partitionner
le disque dur.
 Partition NTFS ( New Technology File System). El lea ppa ruea ve cl ’OSNTe te stplus
stable. Cette partition permet de définir une sécurité des fichiers sur disque (gestion des
droits).
 A ces partitions est associé un système de fichiers, FAT ou NTFS
2.8. Chois du type de partition.

En Win9x, l'utilisation de partitions FAT 32 est obligatoire, NTFS n'est pas reconnu.
Par contre pour les systèmes d'exploitation Win2000 et supérieur (XP, 2003 et Vista), il
est nettement préférable d'utiliser le NTFS. Un partage en réseau de dossiers en NTFS
permet de toute façon à des stations configurées en Win9X de lire les fichiers.
Par contre, les partitions NTFS permettent:
 sécurité des accès aux dossiers utilisateurs pour chaque utilisateur. Sauf s'il est
administrateur, un utilisateur standard ne peut accéder aux dossiers et fichiers d'un
autre utilisateur s'il n'y est pas autorisé.
 Mise en place de Quota par utilisateur ou pour les utilisateurs d'un même groupe.
 Accès plus rapide aux fichiers
 Partition de plus grande tailles..
 Les versions 2000, XP, 2003, Vista refusent de créer des partitions en FAT
supérieures à 32 GB.
3. Mise en réseau windows
3.1 Introduction.
Une des caractéristiques des systèmes d'exploitations Windows actuels est de pouvoir
partager des ressources entre plusieurs ordinateurs via une connexion réseau. Les
ressources partagées peuvent-être des dossiers et des fichiers ou des périphériques.
Les périphériques les plus couramment partagés sont les imprimantes et les modems
(partage de connexion Internet sous Windows). D'autres sont également possibles comme
un scanner, disques durs externes ou sauvegardes sur bandes.
Le partage de ces ressources nécessite des règles, des autorisations. Si dans le cas
d'un partage d'imprimante, ça ne pose que peu de problèmes, c'est nettement plus
problématique dans le cas des dossiers contenant des fichiers.

26
3.2. Types de réseaux sous Windows
Dans le cas des réseaux Microsoft, deux techniques sont utilises: les groupes de
travail et les domaines. Le fonctionnement est nettement différents, notamment au
niveau de la centralisation des noms d'utilisateurs / mots de passe.
Un groupe de travail est un groupe logique d'ordinateurs organisés en réseau qui

partagent des ressources telles que des fichiers et des imprimantes. Un groupe de travail
est désigné sous le nom de réseau poste à poste parce que tous les ordinateurs du groupe
de travail peuvent partager les ressources d'égal à égal ou encore comme des homologues,
sans serveur dédié. L'accès aux données d'un autre ordinateur peut selon la configuration,
demander ou non un mot de passe suivant le paramétrage de chaque dossier.
L’ a
va ntagedec ettemé thodeestlaf acil
itédemi seenoe uvr e.Vouss élec t
ionne zle
dossier et avec le menu contextuel, sélectionnez la commande partage. Suivant la version
de Windows, vous pouvez accepter toutes les connexions, entrer un mot de passe en
lecture ou en lecture/écriture (Windows 95/98/Me) ou créer des autorisations utilisateur +
mot de passe, éventuellement "tout le monde". Cette solution est utilisée par les versions
professionnelles de Windows (NT, 2000, XP Pro, Vista Business). XP Home et Vista
familial n'autorisent pas un partage par mot de passe. Dans le cas d'XP Pro, seuls 10
utilisateurs peuvent se connecter simultanément sur un ordinateur.
Par contre, l'utilisation d'un domaine nécessite un système d'exploitation serveur.

Cette solution n'est donc pas pour un petit réseau familial mais pour un réseau
d'entreprise. Un ordinateur partage ses ressources avec plusieurs stations qui se
connectent. Les utilisateurs sont repris directement sur le serveur. Lorsqu'un utilisateur
démarre un ordinateur (quel qu'il soit), il doit entrer un nom d'utilisateur et un mot de
passe. La station vérifie alors si l'utilisateur est autorisé à se connecter sur le serveur (en
fait sur le domaine géré par le serveur). Plusieurs serveurs peuvent être présents sur le
réseaux. S'ils sont dans le même domaine, l'utilisateur peut se connecter sur tous les
serveurs.
Le principal défaut d'un groupe de travail est le manque de centralisation des
utilisateurs. Dans le cas d'un serveur de domaine (NT, 2000 ou 2003), l'utilisateur et son
ordinateur sont créés sur le serveur. Cette solution utilise deux notions distinctes:
 le nom de domaine (DNS - Domaine Name Service) permet de nommer

chaque serveur suivant un nom suivi d'une extension, identique à celle des sites
Internet.
 Active Directory service est un annuaire reprenant l'ensemble des
ressources utilisables sur le réseau: utilisateurs, ordinateurs, disques partagés,
imprimantes et périphériques réseaux (s'ils sont compatibles). Les serveurs
nommés en DNS doivent obligatoirement faire partie d'un annuaire Active
Directory. Ce dernier peut reprendre plusieurs serveurs.
Pour démarrer son PC, un utilisateur entre son login et son mot de passe et le domaine
(ce dernier est automatique). S'il change son mot de passe, il est directement changé dans
la base de donnée Active Directory. Si un utilisateur change d'ordinateur (définitivement

27
ou temporairement), il entre les mêmes codes de connexion et retrouve les mêmes

ressources.
Ce n'est pas le seul avantage. A la connexion, le serveur va lui renvoyer également
son bureau Windows. Bref, quelque soit l'ordinateur sur lequel il travaille, il retrouve
exactement le même environnement de travail (son profil).
Active Directory permet d'autres paramétrages comme les horaires d'accès, la
suppression temporaire ou définitive des droits d'accès, des niveaux d'utilisateurs plus
spécifiques, ... Ceci est impossible en groupe de travail.
Les deux solutions (groupe de travail et domaine) peuvent être éventuellement
mélangées: quelques stations partageant leurs ressources en groupe de travail
(WorkGroup) sans pouvoir se connecter sur le serveur, d'autres utilisant le serveur de
domaine et ayant accès aux autres PC avec ou non un mot de passe. Cette solution peut
être utilisée pour un partage d'imprimante par exemple.
Pr
4. é
sent
ati
ondeque
lque
ssys
tèmed’
expl
oit
ati
onwi
ndowsus
uel
Nousa
llonsome
ttr
ece
uxde95,98Mee
tNTpourl
asi
mpl
era
isonqu’
ils
onte
n
disparition.
4.1. Famille Windows 2000
Windows 2000 est le successeur de NT 4.0. il existe en 4 versions, une version

utilisateur et 3 versions réseaux quasiment identiques sauf pour le nombre de processeurs
supportés et le clustering (équilibrage de charge entre serveurs réseaux).
- Windows 2000 professionnel
C'est la version standard pour entreprise, appelée PRO. Cette version est dédiée aux
ordinateurs standards et permet de se connecter sur des noms de domaines. Les
fonctionnalités rajoutées à NT sont le plug and play et surtout l'intégration des ports USB
1.1 (version 2.0 avec un pilote spécifique). Ceci permet l'utilisation direct de disques dur
externes ou de clés USB. Il intègre également un nouveau système de partitions NTFS,
avec cryptage optionnel des fichiers sur le disque dur.
Sans permettre toutes les fonctions d'administration des versions supérieures, la
version Pro reprend néanmoins quasiment toutes les possibilités des autres, à part la
gestion des noms de domaine.
Configuration minimale:
 Pentium 133 Mhz ou plus

 32 MB minimum, 64 MB recommandé, 4 GB maximum
 Disque dur de 2 GB avec 640 MB de libre minimum
- Windows 2000 Server
A la fois serveur de fichier, d'impression et d'application et plate forme d'application

Internet. Par rapport à la version standard, Win2000 Server intègre les services
d'annuaires Active Directory pour la centralisation des utilisateurs, des groupes, des
services de sécurité et ressources réseau.

28
Dédié aux petites et moyennes entreprises, cette version accepte jusque 4 processeurs
Configuration minimale:
 Pentium 133 Mhz ou plus

 64 MB minimum, 128 MB recommandé, 4 GB maximum
 Disque dur de 2 GB avec 1 GB de libre minimum
- Windows 2000 Advanced Server
Equivalant à la version Serveur standard, cette version intègre le clustering de serveur

à 2 voies et une application du RAID mais avec 2 serveurs distincts.
Ici le mot RAID désigne une technologie permettant de stocker des données sur de
disques durs multiples, en général de manière redondante, afin d'améliorer la sécurité des
données ( tolérance aux pannes, l'intégrité des données) ou la performance de
l'ensemble.
RAID (Redundant Array of Inexpensive Disks) signifie « matrice redondante de disques

bons marchés ». Aujourd'hui, le mot est devenu l'acronyme de Redundant Array of
Independent Disks, ce qui signifie « matrice redondante de disques indépendants ».
- Windows 2000 Datacenter Server
Version haut de gamme dédiée aux grandes entreprises, cette version s'adapte
également comme système d'exploitation pour les hébergements Internet.
4.2. Windows XP
Windows XP (pour eXPérience) est sorti en 2001. Il reprend quasiment la même
structure que Windows 2000. Il n'y a pas de versions serveurs, fonction dédiée à Windows
2003. Deux versions sont proposées, la version Home pour amateurs et la version Pro
pour professionnels.
I
lexi
sted’
aut
resve
rsi
onquipr
ése
nte
ntpe
ud’
int
érê
t:
 XP tablette PC (sorti en 2002)

 XP 64 bits (sorti en 2003).
 La version Windows XP Édition Media Center, aussi appelée MCE,
(2002) intègre, outre Media Player, divers outils multimédia comme regarder la
télévision. Elle n'est livrée qu'en OEM.
Windows XP pro et HOME EDITION sont équivalentes au niveau administration et

fonctionnalités.

29
La version Pro reprend
 bi-processeur.
 Partage réseau de dossiers par mot de passe (limitation à 10 utilisateurs
extérieurs maximum), en home, une fois un dossier partagé, il est accessible à tous
les autres ordinateurs du réseau.
 Cryptage des fichiers
 Bureau à distance (accès complet à partir d'un autre ordinateur)
 Mise en cache des dossiers et fichiers hors connexion réseau
 Service d'installation à distance de logiciels
Les deux versions XP Home et Pro nécessitent les mêmes ressources minimum, pour
la version de base, plus pour les versions SP1 et SP2
 Un PC équipé d'un processeur cadencé à 233 MHz minimum (300 MHz

recommandé).
 128 Mo de mémoire Ram minimum recommandé (64 Mo minimum requis ; risque
de nuire aux performances et à certaines fonctionnalités) ;
 1,5 Go d'espace libre sur le disque dur ;
 Carte graphique VGA (640 X 480) minimum
 Un lecteur de CD-ROM ou DVD, aucune version sur disquette n'est disponible
(heureusement)
XP a présenté des problèmes et des failles de sécurité rendant ainsi le système

d’exploitati
oni nopé r
antdef açons atisfaisant.C’ aia insiqueMi cr
os of tai nt
rodui
tle
s
services pack.
Le service pack 1 est sorti en 2002 et corrige différents problèmes et failles de

sécurité (c'est un euphémisme).
Le service Pack 2, sorti en 2004, modifie le fonctionnement du système
d'exploitation au niveau piratage et sécurité. XP SP2 inclut en plus un centre de sécurité
qui vérifie si les mises à jour automatique sont activées, la présence d'un logiciel anti-
virus et inclus un pare-feu (uniquement en entrée). Il exécute en même temps une
vérification approfondie du numéro de licence
Le service pack 3 est annoncé prochaineme nt(de va itappa raî
trea umoi sd’ avril) .
4.2.Windows vista
Windows Vista contient de nouvelles fonctionnalités. Les plus significatives d'entre elles
sont, le renouveau de l'interface graphique, une fonction de recherche plus développée, de
nouveaux outils de création multimédia, la configuration réseau permet la gestion de
l’IPv6a veclac ompa tibilitédeI Pv4… Vistae stdisponi blee nve rsion64bi tsoue n
version 32 bits.Pour les développeurs, Vista introduit la version 3 du .NET Framework qui
a pour objectif de faciliter la programmation d'applications avec le Windows API
(interface de programmation).
Le premier objectif, dont le résultat reste à démontrer, de Microsoft avec Vista est
d'obtenir une meilleure sécurité pour le système.

30
- Configuration matérielle requise
Windows Vista nécessite un matériel récent et performant pour fonctionner pleinement.

Selon Microsoft, les ordinateurs pouvant faire tourner Windows Vista sont classés sous 2
appellations : Vista Capable et Vista Premium Ready.
 Les ordinateurs Vista Capable doivent avoir un processeur d'au moins 800 MHz,
512 Mo de RAM et une carte graphique supportant DirectX 9. Ce type d'ordinateur
ne sera pas capable de supporter toutes les caractéristiques graphiques de Vista.
 Vista Premium Ready : Il s'agit d'ordinateurs avec un processeur d'au moins 1 GHz,
1 Go de RAM, et une carte graphique gérant DirectX 9 disposant d'au moins 128
Mo de mémoire et supportant le nouveau driver d'affichage Windows. À noter
que la puissance de la carte graphique aura un impact direct sur les performances et
la fluidité de l'affichage lorsque les effets de transparence, très gourmands en
ressources, sont activés.
- Les différentes versions

 Windows Vista Starter
 Windows Vista Édition Familiale Basique
 Windows Vista Édition Familiale Premium :
 Windows Vista Professionnel :
 Windows Vista Entreprise :
 Windows Vista Édition Intégrale :
4.4 Windows 2003

Windows 2003 est une version uniquement serveur. Elle remplace les versions
équivalentes de Windows 2000 sur les-quelles elle se base. Comme son prédécesseur, il
est multi-tâches et multi-thread.
Windows 2003 est développé en version 32 bits et en version 64 bits.
Ce système peut être utilisé comme station de travail.
- Versions Serveurs 2003
Comme pour Windows 2000, on retrouve la version standard à 4 processeurs, la

version entreprise à 8, Data Center à 32 et Advanced server à 64.
Deux Services Pack sont sortis depuis la version de départ
 Service Pack 1 intègre un pare-feu et le blocage des pop-up dans Internet explorer
6 (intégré), fonctionnalités identiques à XP SP2
 Service Pack 2, sorti début 2007, intègre de nouvelle méthode de gestion des
utilisateurs

31
5. DNS, WINS et DHCP.
5.1 DNS
Un serveur DNS (Domain Name Service) permet de résoudre les noms de domaines sur
Internet. Il relie l'adresse IP d'un serveur avec son nom de domaine. Dans un réseau local,
il permet aux clients de résoudre les noms d'ordinateurs repris dans l'espace de noms
privés en vue de traduire une adresse IP en un nom facile à mémoriser. Il est facile
d’ accéde ràunor dina t
e urs uivantson nom et pas par son adresse IP. Au moins un serveur
DNS doit exister sur le réseau.
5.2 WINS .
Le Serveur WINS ( Windows Internet Naming Service ) est un serveur de nom

NetBIOS (un nom NetBIOS est l'identifiant d'une machine dans un réseau utilisant le
protocole Net bios (Network Basic Input/Output System)) qui enregistre vos noms
NetBIOS et les traduits en adresse IP. C'est l'équivalant de DNS pour les adresses IP
(uniquement TCP/IP). Il est utilisé sous Windows 2000 (2003) server pour assurer la
connexion de stations fonctionnant par exemple sous Windows NT.
Remarque: Les serveurs DNS et WINS peuvent cohabiter ou installés
individuellement suivant la configuration du réseau. A partir de windows 2000, Microsoft
cons ei
ld’ util
iserDNSa ulieudeWI NS
5.3 DHCP
Il permet de configurer le serveur en DHCP (Dynamic host configuration protocol)
pour la distribution automatique et dynamique d'adresses IP aux stations. Un seul serveur
peut coexister sur le réseau (uniquement sur réseaux TCP/IP).
6. Architecture client-serveur.
L'architecture client/serveur désigne un mode de communication entre plusieurs
ordinateurs d'un réseau qui distingue un ou plusieurs postes clients du serveur. Chaque
logiciel client peut envoyer des requêtes à un serveur. Un serveur peut être spécialisé
en serveur d'applications, de fichiers, de terminaux, ou encore de messagerie
électronique.
Caractéristiques d'un serveur :
 il est initialement passif (ou esclave, en attente d'une requête) ;

 il est à l'écoute, prêt à répondre aux requêtes envoyées par des clients ;
 dès qu'une requête lui parvient, il la traite et envoie une réponse.
Caractéristiques d'un client :
 il est actif le premier (ou maître) ;

 il envoie des requêtes au serveur ;
 il attend et reçoit les réponses du serveur.

32
Le client et le serveur doivent bien sûr utiliser le même protocole de communication. Un

serveur est généralement capable de servir plusieurs clients simultanément.
Un autre type d'architecture réseau est le poste à poste (ou peer-to-peer en anglais), dans
lequel chaque ordinateur ou logiciel est à la fois client et serveur. (voir workgroup)

33
ChapIII.Administration de windows 2003
L’administration windowss’ occupeessent

iel
lemen t d e s
problèmes post installation.
1. Généralités
1.1.L’ envi
ronnementdeWi
ndows2003
Server
Dans un environnement réseau sous windows et en particulier sous windows 2003 server , on distingue un
certain nombre de rôles :
 Les serveurs contrôleurs de domaines : Ce sont des serveurs sur lesquels on a installé Active
Directorye tquis ’oc cupe ntdel ’authe nt i
fi
cationde sut il
isateursda nsundoma i
ne .
 Les serveurs de fichiers : Ce sont des serveurs qui permettent de créer un espace de stockage
partagé sur le réseau. Ils mettent ainsi une partie de leur espace disque disponible sur le réseau.
 Le sserv eur sd’ impr ession:Ils permettent de partager une imprimante sur un réseau et de gérer
lafiled’ at
te nted’ i
mpr es s
iondec e l
le-ci.
 Le ss e rveur s d’ appl icati
o ns : I ls pe rme ttent à une a ppl i
c a
tion d’ util
iserl es yst
ème
d’exploitation c ommes uppor ta fin d’ en utiliserl esc ompos antsdege s
ti
on ( e x :s erveurde
messagerie, de base de donné e s
,…) .
1.2 Active Directory
1.
2.1.Pr
ésent
ati
ond’
Act
iveDi
rect
ory
Active Dir ectory( serviced’ annuaire
)pe rmetdec ent
ra l
ise
r,des t
ructur
e r
,d’ organisere tde
contrôler les ressources réseau dans les environnements Windows 2003. La structure Active
Directory pe rme tunedé légation del ’administr
ati
on tr
è sfinepouvantê tr
edé finie par types
d’objets.
I
lpe
rme
tauxut
il
isa
teur
sdel
oca
lis
er,degé
rere
td’
uti
li
serf
aci
leme
ntl
esr
ess
our
ces
.
Il permet également de réaliser la gestion des objets sans liens avec la disposition réelle ou les
protocoles réseaux employés. Active Direct oryor ga nisel’annua iree ns ections,c equipe rme tde
suivreledé ve l
oppe mentd’unes oc iét
éa llantdeque lque sobj etsàde smi lli
onsd’ objets.
Combiné aux stratégies de groupes, Active directory permet une gestion des postes distants de
façon complètement centralisée.
1.
2.2.Les Obj
etsd’
Act
iveDi
rect
ory
Active Directory stocke des informations sur les objets du réseau. Il existe plusieurs types
d’
obj ets:
 Groupe
 Uni t
éd’ or gani
s at
ion

34
 Contact
 Imprimantes
 Utilisateur
 Ordinateur
 Dossier partagé
 Lien du site
 Site
 Domaine
Las
truc
tur
ed’
Act
iveDi
rec
tor
yes
thi
érar
chi
que
,el
les
edé
compos
ecommes
uit:
 Objet : représente une ressource du réseau qui peut-être par exemple un

ordinateur ou un compte utilisateur.
 Classe : de scriptions tr ucturell
ed’ obje t
st el
sl esc ompt e sd’ utilisateurs,
ordinateurs, domaines, ou unités organisationnelles.
 Unité organisationnelle (OU) : conteneur utilisé pour organiser les objets
d’undomai neàl ’ i
ntér ieurdegr oupe sadmi ni
s t
r atifslogiques tels les
ordinateurs, les imprimantes, les comptes d’ util
isat eurs,le sfichie rs
partagé s,l e
sappl icati
onse tmê med’ aut resuni tésor ganis ationne lle
s.
 Domai ne:Ledomai nec ontientl ’
e nsembl ede sobj etsd’ unr éseaue tl es
informat ionsde sobj etsqu’ i
lcont ient.Undomai nee stsé cur is
é ,c ’
estàdi r
e
quel ’ac cè sauxobj e t
se stlimi t
éparde sACL( Ac c essCont rolLi st)
.Le sACL
contiennent les permissions, associées aux objets, qui déterminent quels
utili
sat eur souque l
st ype sd’ uti
lisateur spe uventyac céder. Dans Windows
2003, toutes les stratégies de sécurité et les configurations (telles les droits
admi ni str atifs)nes et r ansme ttentpasd’ undomai neàl ’aut re.
L’ admi nist rateurdedomai nepe utdé termi nerl ess tratégie suni que me ntà
l’i
nt érieurdes onpropre domaine.
 Arbre : c ’e s
tungr oupe me ntouunar r angeme nthi érarchi qued’ unou
plusieurs domaines Windows 2003 qui partagent des espaces de noms contigus
(pare xe mpl e:bi .udp.or g,f r.
yohoo. com) .Tousl e sdomai ne sd’ unmê mear br
e
partagent le même schéma commun (la définition formelle de tous les objets qui
pe uve ntê t ree nregis t
ré sdansunear chitectured’ Ac ti
veDi re c
tor y)e t
partagent un catalogue commun.
 Forêt : c ’e stungr oupe me ntouunar range menthi érar chiqued’ unou
plusieurs arbres qui ont des noms disjoints (par exemple :
labor atoi re .
mi c r
os f
t .
or ge tsupinf o.com) .Tousl esar br esd’ unef orêt
partagent le même schéma commun et le même catalogue, mais ont des
struc tur esdenomsdi fférent es
.Le sdomai nesd’ unef orêtf onc tionne nt
indépendamment les uns des autres, mais les forêts permettent la
communi c ationd’ undomai neàl ’aut re.
 Sites : combi naisond’ uneoupl us ieursI Pdes ous -réseaux connectés par des

35
liensàhaut sdé bits.Ilsnefontpaspar tied’ une spac edenommaged’ Ac ti

ve
Directory, et ils contiennent seulement les ordinateurs, les objets et les
connexions nécessaires pour configurer la réplication entre sites. Ils
pe rmett
entd’ intégr erlatopol ogiephysiquedur éseaudansAc ti
veDi r e
ctory.
Chaque objet pos s ède un e nsembl e d’ at
tr
ibut sr egroupa nt diverses informations
permet
tantpare xempl e d’ effe
ctuerde srecherche spr écis
e sda nsl ’annua ire( tr
ouve r
l’
emplacementphy siqued’ uneimpr ima nte
,l enumé rodet éléphoneoul ’
a dre ss
ed’ un
uti
li
sat
eur,lesyst
è med’ exploitat
iond’ uns e
rveur…) .
1.2.3. Schéma Active Directory
Lesché
maAc ti
veDirec
toryst
oc kel adé
fini
ti
ondet
ousl
esobj
etsd’
Act
iveDi
rec
tor
y(e
x:
nom,pré
nom pourl
’obj
etuti
li
sateur).
Iln’yaqu’ uns euls
chémapourl ’
ens embl edel afor
êt,c
equipe
rme
tunehomogé
néi
téde
l
’ e
ns embl
ede s domaines.
Le schéma comprend deux types de définitions :
 Le sc l
assesd’ obj e ts:Dé critlesobj et
sd’ Ac tiveDi rectoryqu’ ile stposs i
bledec r é
er.
Cha quec lass
ee stunr egroupe me ntd’attribut s.
 Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs
classes (ex : Description).
Leschémae stst
oc kéda nsl aba sededonnée
sd’
Act
iveDi
rec
tor
ycequipe
rme
tde
smodi
fi
cat
ions
dynamiques exploitables instantanément.
1.2.4. Catalogue global
Le catalogue global contient une partie des attributs les plus utilisés de tous les objets Active
Directory.Ilcontienta ussil esinforma tionsné cessairespourdé termi nerl ’
empl ac ementdet out
objetdel ’
annua ir
e.
Lec
ata
loguegl
oba
lpe
rme
tauxut
il
is
ate
ursd’
eff
ect
uer2t
âche
simpor
tant
es:
 Trouver des informations Active Directory sur toutes la forêt, quel que soit
l’empla ceme ntdec esdonné es
.
 Utiliserde si nforma tionsd’
appart
ena nceàde sgr oupe suni ver se
lspourouvr i
rune
session sur le réseau.
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue
global et peut ainsi traiter les requêtes qui lui sont destinées. Le premier contrôleur de domaine
inst
alléa us eind’ unef orê te sta ut
oma t
ique me nts erveurdec at
a l
oguegl oba l
.I lestpos sibl
ede
configur erd’ aut r
esc ont rôleursdedoma inee nt a ntques e rveurdec ataloguegl obala fi
n de
réguler le trafic.
1.2.5. Protocole LDAP
LDAP( Lightwe ightDi rectoryAc c essProt ocol)e s

tunpr
otoc
oledus
ervi
ced’
annua
ireut
il
isé
pour interroger et mettre à jour Active Directory.
Chaqueobj etdel’a nnuai

reesti
dent
if
iéparunes
éri
edecompos
antsquic
ons
ti
tuentsonc
hemin
d’
a ccèsLDAP a us ein d’
Acti
ve Dir
ect
ory(CN=Loï
c THOBOIS,OU=Direct
ion,DC=la
bo-
microsoft, DC=lan).

36
 DC : Composant de domaine (lan, com, labo-micr

osof
t,…)
 OU : Unit
éd’ or
ga nisat
ion(cont i
e ntdesobj ets)
 CN : Nom usuelounom c ommun( Nom del ’obj
et)
Le
sche
minsd’
acc
èsLDAPc
ompr
enne
ntl
esé
léme
ntss
uiva
nts:
 Les noms uniques : l enom uni quei

denti
fieledomai
nedansle
quelestsi
tuél’obje
t,
ains
iques onc hemi nd’ accèscomple
t(ex:CN=Br a
him NEDJIMI,OU=Di rect
ion,
DC=labomicrosoft, DC=lan)
 Les noms uniques relatifs : pa r
ti
edunom uniquequipe
rmetd’i
denti
fi
erl’obj
et
dans son conteneur (ex : Brahim NEDJIMI).
1.3.St
ruct
urel
ogi
qued’
Act
ive Directory
Las
tr
uct
urel
ogi
qued
’Ac
ti
veDi
rec
tor
yof
fr
eun
emé
tho
dee
ffi
cac
epo
urc
onc
evo
iru
neh
iér
arc
hie
.
Le
scompos
ant
slogi
que
sdel
ast
ruc
tur
ed’
Act
iveDi
rec
tor
ysontl
ess
uiva
nts:
1.3.1. Les Domaines
Un domaine qui est une unité de base de la structure Active Directory, est un ensemble
d’or
dinateurse t
/oud’ utili
sate ur
squipa rtage ntunemê meba sededonné esd’ annuair
e .Un
domaine a un nom unique sur le réseau.
Dans un environnement Windows 2000/2003, le domaine sert de limite de sécurité. Lerôl

ed’ une
li
mitedes éc uri
téestderestrei
ndr elesdroit
sd’ unadmi nist
ra teuroudet outa ut
r eut il
is
ate
ura vec
pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement
promuspui ssentéte
ndreleursdr oit
sàd’ autr
esdomaines.
Dans un domaine Windows 2000/2003, tous les serveurs (contrôleurs de domaine) possèdent une
copi
edel ’annuai
red’ ActiveDi r
ec tory.Chaquec ontrôl
eurdedoma inee stcapabl
eder ecevoirou
dedupl i
que rlesmodi ficati
onsdel ’
e ns
embl edes e
shomol ogue sdudoma i
ne.L’ ensembl ede s
domaines (de même arborescence) forme une forêt.
2.LesUni
1.3. tésd’
organi
sat
ion
Uneuni téd’ orga nisa

tione stunobj etc onte neurut ili
sépouror ga ni
serlesobje
tsausei
nd’ un
doma ine.I lpe utc ontenird’ autresobj et
sc ommede sc ompt esd’ util
isa
teur
s,desgr
oupes,des
ordina teurs,desi mpr imantesa i
ns iqued’ autresunitésd’ or ganisa
tion.
Le suni tésd’ or ganisat
ion pe rme t
tentd’ orga nis
erde f açon logi que lesobje
tsde l
’annuai
re
(ex : représentation physique des objets ou représentation logique).
Les uni
tés d’or
ganis
ati
on pe r
me t
tent a
us s
i de fac
ili
terla dél
égat
ion de pouvoi
rselon
l
’orga
nisa
tiondesobjet
se tdec ont
rôle
rl’envir
onne
me ntdesut
il
is
ateur
setordi
nateur
sgrâ
ceà
l
’appl
ica
tiondestr
até
giesdegroupe(GPO).

37
1.3.3 Les Arborescences
Le premier domaine installé est le domaine racine de la forêt. Au fur et à mesure que des
doma ine sl uisonta jouté s,c e
laformel as tr
uc t
uredel
’arborescenceoul as t
ruct
uredel aforêt
,
selon les exigences pour les noms de domaine.
Une arborescence est un ensemble de domaines partageant un espace de nom contigu. Par
exemple, supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine
martinique.supinfo.lan (les deux domaines enfant et le domaine parent ont la chaîne de caractère
supinfo.lan en commun).
Lar elationd’ appr oba ti one

ntr
eundoma
inee
nfa
nte
tsondoma
ineparent est de type
bidirectionnel transitif.
Uner e l
ati
onbi directi
onnell
epe r
me tàde uxdoma inesdes ’approuvermutue
lle
me nt
.Ai nsil e
domaine A approuve le domaine B et le domaine B approuve le domaine A.
On dispose de trois domaines nommés A, B et C. A approuve B et B approuve C. La relation
d’a
ppr obat
iont ransiti
veimpl i
quedoncqueAa pprouveC.

38
1.3.4. Les forêts
Une forêt estune nsembl ededoma ines( oud’ar

bor esc
enc es
)n’ ayantpa sl emêmenom c
ommun
mais partageant un schéma et un catalogue global commun. Par exemple, une même forêt peut
rassembler deux arborescences différentes comme laboms.com et supinfo.lan.
Pardé faut,l esr elationsentrel e sarbor escence soul esdoma i

nesa useind’ uneforêts ontdes
rel
a ti
onsd’ a
ppr obation bidirectionnelles transitives. Il est possible de créer manuellement des
rel
a ti
onsd’ approba tione nt
rede uxdoma iness i
tué sda nsde uxf orêtsdiffér
entes.Depl usWi ndows
Server 2003 propose un niveau fonctionnel permettant de définir des relations d’ a
ppr obati
ons
entre différentes forêts.
5.Lesr
1.4. ôlesdemaî
tresd’
opér
ati
on
Avec Windows NT 4.0, les contrôleurs de domaine suivent un schéma maître/esclave. Ainsi on
distingue les contrôleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles
en lecture/écriture et les contrôleurs de domaine secondaires ou BDC (Backup Domain Controler)
uniquement accessibles en lecture.
Dansundoma ineWi ndows2000/ 2003,c

ett
enotionn’exis
teplus,onpa r
ledecontr
ôleur
sde
domaine multi-maîtres. En ef
fet
,lesmodifi
cat
ionsd’Acti
veDi re
ctor
ype uve
ntêtr
ef aî
tessur
n’i
mpor t
eque lc ontrôle urdedoma i
ne.Cepe
ndant,i
le xi
stedesexcept
ionspourl
esquel
lesles

39
modifications sont réalisées sur un contrôleur de domaine spécifiques. Ces exceptions sont
nommé esr ôl
esdema ît
red’ opér
a t
ionetsonta unombr edec inq:
 Contrôleur de schéma : C’ estles eulc ont rôleurdedoma i neha bilitéàmodi f

ie re
tà
mettre à jour le schéma.
 Maî tred’ attribut ionde snomsdedomai ne:I lpe rme td’ ajouteroudes upprimerun
domaine dans une forêt.
 Emulateur PDC : Il ajoute la compatibilité avec les BDC sous Windows NT 4.0. Il gère
également le processus de verrouillage des comptes utilisateurs, les changements de mots
de passe et toutes les modifications faites sur des objets de stratégie de groupe.
 Maî tred’ ident if
icate urrelatifoumaî treRI D :I ldi str
i buede spl agesd’ide nt
if
ica
teur
s
relatifs (RID) à tous les contrôleurs de domaine afin de générer les identificateurs de
sécurité (SID)..
 Maî tred’ i
nf ras t
ruc ture:Il permet de me ttreàj ourle sé vent uellesréférencesd’unobjet
da nsl esautresdoma inesl
or squec e tobj ete stmodi fié( dépl aceme nt,suppr ess
ion,…) .
Les deux premiers rôles sont assignés au niveau de la forêt et les trois derniers au niveau du
domaine. Ainsi pour chaque domaine crée dans une forêt, il faut définir le ou les contrôleurs de
doma i
nequia ur ontlesrôlesé mul at
eurPDC,ma ît
reRI De tma ît
red’ i
nf rastructure.
Pa
rdé
fautl
epr
emi
erc
ont
rôl
eurdedoma
ined’
unenouve
llef
orê
tcumul
ele
sci
nqr
ôle
s.
uct
1.4. Str urePhysi
qued’
Act
iveDi
rect
ory
Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure
physi
que pe rme td’ optimi s
e rlesé change sd’ infor ma ti
onse ntrel esdi ffére nt
scontrôleursde
domaine et ce en fonction des débits assurés par les réseaux qui les connectent.
1.4.1. Contrôleurs de domaine
Un contrôleur de domaine est un ordinateur exécutant Windows 2003 Server (ou win200 server)
quis t
oc ke un r épli
qua de l ’annua ir
e.I la ss
urel a propagat
ion desmodi ficati
ons faites sur
l’
annuaire.I la s
surel ’
authent i
ficati
one tl’ouve r
turedess ess
ionsde sutili
sateurs,ainsiquel es
rec
herche sda nsl’annuai
re.
Undoma inepe utpos séderunoupl usi

eurscontr
ôleur
sdedomai
ne.Danslec
asd’unesoci
été
se
constituée de plusieur nt
itésdi s pe r
séesgéogra
phiqueme
nt,ona
urabe
s oi
nd’
uncontr
ôle
urde
domaine dans chacune de ses entités.
1.4.2. Sites et liens de sites
Uns iteestunecombi
nai
sond’u
no uplus
ieu
rsso
usrés
eauxconne
cté
se ntr
eeuxparunel
ia
iso
nà haut
débit f
iable(li
ais
onLAN).Défini
rdessit
esper
metàAc t
iveDirect
oryd’opt
imis
erladupli
cat
ion
etl’authenti
fi
cati
onaf
ind’e
xploit
era
umi euxl
esli
ais
onsl
e spl
usrapides.

40
Ene ffet,lesdi fférentss i

te sd’ unee ntr
eprisesontsouve ntr el
iése ntr
e se uxpa rdes liaisons bas
débit et dont la fiabilité est faible (liaisons WAN). La création de liens de sites permet de prendre
en compte la topologie physique du réseau pour les opérations de réplication. Un lien de site avec
des paramètres spécifiques. Ces paramètres peuvent prendre en compte le coût de la liaison, la
pla nifi
cationa ins iquel ’interva l
ledet empse ntr
edeuxr éplications.
Da nsl ’exe mpl ec i
-contre, on dispose de deux sites : Paris et Martinique. Ces deux sites sont
reliés par une liaison WAN propos antuneba ndepassantede128kb/ s.Al ’intérieurdus itePa r
is,
les contrôleurs de domaine sont interconnectés entre eux par le biais d ’unc ommu tat
e urg i
gabit
(avec une bande passante de 1000 Mb/s).
En créant un lien de site, il est possible forcer la réplication entre l

esd
euxs
it
esàs
’ef
fec
tue
rto
ute
s
les 90 minutes uniquement entre 20 heures et 6 heures.
La réplication Active Directory peut utiliser deux protocoles différents :

 RPC (Remote Procedure Call) pour les liaisons intra-site et intersites (ce protocole
est aussi appelé RPC sur IP)
 SMTP (Simple Mail Transfer Protocol) pour les liaisons inter site (selon certaines
conditions énoncées ci-dessous)
Attention, SMTP ne peut pas être utilisé pour répliquer une partition de domaine ! Par contre on
peut utiliser SMTP entre deux sites pour répliquer la partition de configuration, la partition de
schéma et les partitions de domaines partielles stockées sur les serveurs de catalogue global.
Dansl ’exe mplec i

-dessus, on ne peut pas utiliser le protocole SMTP entre le site PARIS et le site
MARTINIQUE si les quatre contrôleurs de domaine hébergent le même domaine Active
Directory. En effet la synchronisation de la partition de domaine entre le contrôleur de domaine de
la Martinique et les contrôleurs de domaine de Paris est impossible avec SMTP.
En revanche si le contrôleur de domaine de la Martinique héberge le domaine martinique.lan et

ceux de Paris le domaine paris.lan, on peut tout à fait utiliser SMTP pour la réplication intersites

41
1.5. Méthodesd’
admi
nist
rat
iond’
unr
éseauWi
ndows2003
1.Ut
1.5. il
isat
iond’
Act
iveDi
rect
orypourl
agest
ioncent
ral
isée
Ac ti
veDi r
e c
torype rme tàuns e uladmi nistrateurdec ent
raliserlage sti
one tl’a dmi nistrationde s
ressources du réseau. Comme il contient des informations sur tous les objets et leurs attributs, la
recherched’ informa t
ionssef
a i
ts url
’ ensembl edel afor êt
.
Acti
veDi rectorype rme ta ussid’or gani serle
sobj e
tsdef a
çonhiér
arc
hiquegrâc
ea uxc
onteneur
s
comme les unités organisationnelles, les domainesoul e
ss i
tes
.Iles
ta i
nsipos
sibl
ed’appl
ique
r
cer
tai
nspa ramè tr
e sàune nsembl ed’ or dinat
eursetd’ut
il
isat
eurs
.
2.Lesout
1.5. il
sd’
admi
nist
rat
iond’
Act
iveDi
rect
ory
L’admi nis
trationdus ervi ced’ annua ireAc ti
veDi rectorys epa sseparlebi ai
s de différentes
consoles MMC :
 Utilisateurs et ordinateurs Active Directory : C’ estlec ompo s
an tlep l
u su t
ilis
ép our
ac céd eràl ’an n uaire.I
lp er
me td egé rerlescomp t
esd ’
util
isa
teurs
, l
esc omp tesd ’
ord ina
teurs
,
les fichiers et les imprimantes partagés ,lesun i
tésd ’o r
ganisa
tion…
 Sites et Services Active Directory : Ce composant permet de définir des sites, des liens de
sites et de paramétrer la réplication Active Directory.
 Domaines et approbations Active Directory : Ce composant permet de mettre en place les
rela t
ion sd ’ap pro bat
ionse tl ess uffixesUPN.I lp roposea ussid ’augme nterl en iveau
fo nction neld ’u nd oma i
neo ud ’unef o r
êt.
 Schéma Active Directory : Ce composant permet de visualiser les classes et les attributs de
l’an nua ir
e.Po urp o u
v oi
ra cc éder à la console Schéma Active Directory, il faut dans un
premier temps enregistrer une DLL. Pour cela, il vous faut ouvrir une invite de commande
et taper la commande : regsvr32 schmmgmt.dll
 Gestion des Stratégies de Groupe : Ce composant permet de centra liserl’admi nist
rat
ion
des s tratégied eg r
ouped ’un ef orêt,d evérif
ierler és ul
tatd’unestra
tégied eg roup eo ub i
en
encore d ec o mp arerlesp aramè t
resd ede u
xs t
ratégi e
sd eg r
o up
e .Cec omp osantn ’
estpas
disponible sur le CD-ROM de Windows 2003 Server, il doit être téléchargé sur le site de
Microsoft.
 ADSI Edit : Cec omp osan tp erme td ev i
su al
iserl ’arbor
escenceLDAPr éelled us er
v i
ce
d’ ann uaire.El lep euts’avéreru til
ep ou rli
reo umo di
fi e
rc er
tai
nsatt
ributsouc er
tainso bj
etsde
l’an nua i
re.El lep ermetau s
sid ’
a t
tr
ib uerdesp ermi s
sio nssurlesobjet
sd el ’
a nnuair
ea ve
cu ne
granularité plus fine. En outre, elle se révèle quasi indispensable pour développer une
ap plica t
iona c céd antauxd o nn éesc ontenuesd ansl’an nuair
e.Ce t
tecon sol
ed oi
tê t
rei ns
tall
ée
avec les outils de support situés sur le CD-ROM de Windows 2003 Server.
En complément des divers composants logiciels enfichables énumérés ci-dessus, divers outils sont mis à la
di
sp os
it
iondel ’admi nist
ra t
eurpourg ér erAc tiveDi rect
o ry:
 Lpc.exe : Cet outi

lp e r
me td ’env
oyerma nue
lle
me ntdesr
equ êt
esLDAPv ersn’imp or
tequel
ann ua i
reLDAP( Ac t
iveDi r e
ctor
y,NDS, OpenLDAP, …).Ilpeutêtreut
il
isépourv ér
ifi
erla
con ne ct
ivi
tée ntr
eu n ema chineetl’annua
ireo ubienpo urlist
erd esinformati
onsb ien
spécifiquesd ansu nep ar
tied el’annu
air
e.LPCa f
fic
hel’i
ntégrali
téd e
sd onnéeséchangées
entrel epostecliente tleserviced’annua
ire
.Ilestdi
sponi
blea v
e clesout
il
sd esupportsit
ués
sur le CD-ROM de Windows 2003 Server.
 Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils en ligne de commande
perme tt
entrespect
iv eme ntd ’a
joute
r,demo di
fi
er,desuppr
ime r,delist
eroud edé p
lacerdes
obje tsdansl ’a
n n
ua ire.Il
ss ontut
ili
sésdansdesscri
ptsaf
ind ’automati
sercertai
nestâches
administrativement lourdes.
 Ldifde : L’o ut
ilenl i
g ned ec omma nd
eLDI FDE( LDAPDa taInte
rchangeForma tDirect
ory

42
Ex port)p ermetd’imp orterd e sd onnée sàp art

ird’unfi
chiertex t
ev ersAc t
i v
eDirec
tor
you
bien d ’export
erdesd o nnéesàp a r
tird’Ac tiveDi r
ect
oryversu nfichi
e rte
xte.
 Csvde : L’ outi
lenl igned ec o mma ndeCSVDEe stuti
li
sép ourimp o
r t
erdesc ompte
s
d’u t
ilisat
e ur
sàp art
ird ’unf i
c hiertextev e r
sAc tiv
eDi r
ectory.
 WSH : WSHp ourWi ndowsSc ript
sHo ste stu
ne nvi
ronneme ntperme tt
antd ’e
xéc
uterd
es
scripts en VBS ou en JScript.sur une plateforme Windows 9x ou NT.
1.6.I
mpl émentati
ond’ unest ructur
edef
orêtet
de domaine Active Directory
Undoma i
nedés
ignel’
uni
téadmi
nist
rat
ivedeba
s ed’
unréseauWi ndows2000/ 2003.
Lepr
e mie
rdomained’
unenouve
llef
orêtcr
éédansActi
ve Directory représente le domaine racine
del
’ense
mbledelafor
êt.
Lacr
éati
ond’ undomained’
effec
tueàl’ai
dedelac ommandedcpromo.L’a
s s
ist
antd’i
nst
all
ation
d’
Acti
veDi r
e ct
oryvousgui
dea lorsda
nsl ac
réat
iond’unnouveaudomai
neouda nslacré
ation
d’
uncontr
ôleurdedoma i
nesuppl
é ment
air
edansundoma i
neWindows2000/2003exist
ant
.
1.I
1.6. nst
all
ati
ond’
Act
iveDi
rect
ory
1.6.1.1. Les pré requis pour installer Active Directory
Voici la configuration requise pour pouvoir installer Active Directory :
 Un ordinateur exécutant Windows 2003 Standard Edition, Enterprise Edition ou

Da tacen t
erEd i
tio
n.Attention ,lese rvic
ed ’
annu air
eAc t
iveDirect
o r
ynep
eutpasê t
re
installé sur Windows 2003 Server Web Edition.
 250Mod’ e s
paceli
bres urunepa rti
tionou un volume NTFS
 Les paramètres TCP/IP configuré pour joindre un serveur DNS
 Un serveur DNS faisant autorité pour gérer les ressources SRV
 Des privilèges administratifs suffisants pour créer un domaine
1.6.1.
2.Lepr
ocessusd’
inst
all
ati
ond’
Act
iveDi
rect
ory
L’
ass
ist
antd’
ins
tal
lat
ionr
éal
isedi
ver
sest
âche
ssuc
ces
sive
s:
 Démarrage du protocole de sécurité et définition de la sécurité

 Création des partitions Active Directory, de la base de données et des fichiers
journaux
 Création du domaine racine de la forêt
 Création du dossier SYSVOL
 Conf i
gur at
iondel ’appa r
tena
nceausi
teduc ont r
ôleurdedoma i
ne
 Ac tivationdel asé curi t
ésurlese
rvi
ced’a nnua ir
ee tsurl esdos si
e rsde
réplication de fichiers.
 Activation du mot de passe pour le mode de restauration

43
1.6.1.3. Les étapes post installation
Unef
oisquel
’ins
tal
lat
iond’
Ac t
iveDir
ect
oryt
ermi
née,ilf
autvé
rifi
erl
apr
ése
ncee
tlebon
f
onct
ionne
mentduservic
ed’a
nnuair
e.Cel
apass
eparplusi
eur
sétapes:
 Contrôler la création du dossier SYSVOL et de ses partages

 Véri
f i
erl apr é sencedel aba sededonné esd’ annua i
ree
tde sfi
chi
ersj
our
naux
 Contrôler la structure Active Directory par défaut
 Ana
lys
erl
esj
our
nauxd’
évè
neme
nts
1.6.2. Implémentation du système DNS pour la prise en

char ged’ ActiveDi rectory
Les infrastructures Windows 2000/2003 intègrent le système DNS (Domain Name Service) et le
serviced’ annua ireActiveDirector
y.
Ces deux éléments sont liés: En effet, le système DNS est un pré requis pour installer Active
Directory. Ces deux composants utilisent la même structure de noms hiérarchique afin de
représenterl esdoma inesetl e
sor dina t
e urss ousf ormed’ objet
sAc ti
veDi re
ctoryoubi ensous
formededoma inesDNSe td’enregist
re me ntder essour ces
.
1.6.2.1. Le rôle du Système DNS dans Active Directory
Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active
Directory :
 Résolution de noms : l es yst

èmeDNSr ésoutl e snomsd’ hôtesena dressesI P.Pa r
exemple, un ordinateur nommé labo-1 désirant se connecter à un autre ordinateur
nommé labo-2e nverrauner equêtea us erveurDNSquil uir enverral ’
adr es
seI Pde
labo-2. Le système DNS peut aussi effectuer une résolution de nom inversée, c'est-à-
direfour nirlenom d’ hôteàpa rt
irdel ’adresseIPquil uie stcommuni quée.
 Convention de dénomination : Active Directory emploie les conventions de
dénomination du système DNS. Ainsi, microsoft.supinfo.com peut être un nom de
domaine DNS et/ou un nom de domaine Windows 2000.
 Loc ali
s ati
on de sc ompos antsphys i
que sd’ Ac ti
veDi rectory : Le système DNS
identi
fiel esc ontr
ôle ursde doma ine parr appor ta ux s ervicess pécif
i quesqu’ ils
propos entc ommel ’
a uthentif
ica
tiond’ unec onne xionoul ar e c
herched’ informa ti
ons
dansAc t
iveDi r
ect
or y.Lor sdel ’ouvertured’ unes ession,unema chine cliente doit
s’adresseràunc ontrôleurdedoma ine,seulc apabl edel ’authe nt
ifi
er.Les ys tè
meDNS
pourral uifournirl’e
mpl acementdel ’undec esc ontrôleursdedoma ine.
1.6.2.2 Les enregistrements de ressources crées lors

del ’
instal
lati
ond’ ActiveDirectory
Lorsdel ’
inst
allationd’ Ac ti
veDi r
ector
y,l astructuredel az oneDNSder e
cherc
hedirec
tee s
t
modifiée.Unc erta i
nnombr edes ousdoma inesetd’ enregi
str
eme nt
sderess
ource
ssontaj
outés
.Il
convient de vérifier la présence de ces enregistrementsàl af i
n du pr
ocess
usd’ins
tal
lat
ion
d’ActiveDi r
ectory.
Les sous domaine _tcp, _udp et _sites contiennent les enregistrements SRV faisant références à
tous les contrôleurs de domaine de la forêt.

44
Ce sont ces enregistrements qui permettent aux ordinateursc li

entsdec onna î
trel ’emplaceme nt
des contrôleurs de domaine. De plus ces enregistrements sont aussi utilisés par le processus de
réplications.
Le sous domaine _msdcs permet notamment de trouver les contrôleurs de domaine ayant un rôle
dema îtred’opération (exemple : émulateur PDC).
3.Lesr
1.6. elat
ionsd’
appr
obat
ion
Lesr elationsd’ appr oba tionspe rmettentàun ut i
lisateurd’ un domainedonnéd’ accéde
ra ux
ressour c
e sdes ondoma ine,ma i
sa ussid’ autresdoma ine s(l
esdoma inesapprouvé
s).Lesrel
ations
d’appr oba ti
onss edi ffére ncie
ntdepa rleurt ype( transiti
founont rans
iti
f)etdeparleurdir
ection
(unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).
1.6.3.
1.Tr
ansi
ti
vit
édel
’appr
obat
ion
Soient trois domaines distincts reliés entres eux par les deux relations suivantes :
 Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut

accéder à toutes les ressources du domaine A et du domaine B.
 Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B peut
accéder à toutes les ressources du domaine B et du domaine C.
Silesde uxr e l
a ti
onsd’ approba t
ionsdeA àB e tdeB àC s ontt ra
nsit
ives,al
orsl
edoma i
neA
approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut
accéder à toutes les ressources du domaine A, du domaine B et du domaine C.
Silesde uxr elati

onsd’ approba
tionsdeAàBe tdeBàCnes ontpa stransit
ive
s,a l
orsledoma ine
A n’appr ouvepa sledoma ineC.Da nsc
eca
sdefigur
e,un utilisateur du domaine A ne peut pas
accéder aux ressources du domaine C.

45
3.
1.6. 2.Di
rect
iondel
’appr
obat
ion
Lor sdel ac réat

iond’ uner ela
tion
d’a ppr obat i
onma nuell
es ousWi ndows
Se rve r2003,t roisdirectionsd’approbati
ondi ff
érent ess ont
utilisables.
Sivousa ve zconf i
guréuner elati
ond’a pproba t
ionuni di rectionne ll
e
entrante entre le domaine A et le domaine B, alors les utilisateurs du
domaine A peuvent être authentifiés dans le domaine B.
Sivousa vezc onfigur éuner elationd’ approbation
unidirectionnelle sortante entre le domaine A et le
domaine B, alors les utilisateurs du domaine B
peuvent être authentifiés dans le domaine A.
Siv ou sa ve zc onfi
g uréu ner ela
ti
ond ’
appr
o bati
o n
bidirectionnelle entre le domaine A et le domaine B,
alors les utilisateurs de chaque domaine peuvent être
authentifiés dans les deux domaines.
1.6.3.3. Les relations

d’appr obat i
ons
Approbation racine/arborescence
Lorsqu’unenouve ll
ea rbores cencee stc réea us e
ind ’uneforêt
,u n erel
ati
o n
d’approbat
ionb idirectionnelle transitive lie automatiquement cette nouvelle
arborescence au domaine racine de la forêt.
Dans exemple ci-c ontr

e,l
’ar
bor
escencesupi
nfo.
lane
stli
éeàlaboms.
lan,
le doma i
ne r aci
ne de l a for
ê t
, par le biai
s d’une rel
ati
on
racine/arborescence.
Approbation parent-enfant
Une approbation parent-enfant est une relation

d’ap probationb idi
recti
onnelle transitive. Elle est
automa t
ique me ntc r
é éelorsqu’unnouve audoma i
ne
est ajouté à une arborescence.
Da ns l ’exempl ec i-contre, on ajoute le sous

domaine paris.supinfo.lan à l ’
intérieurdud omaine
supinfo.lan. Les deux domaines sont automatiquement
reliés par une relation parent-enfant. Ainsi les
utilisateurs du domaine supinfo.lan peuvent être
authentifiés dans le domaine paris.supinfo.lan et
vice-versa.

46
Approbation raccourcie
Uneappr
obat
ionraccourci
ee stuner el
ationd’ a
pprobat
ionpart
iel
lementt
ransit
ive.El
ledoi
tê t
re
déf
ini
emanuel
lementainsiques adi rect
ion.Le sre
lati
onsd’a
pprobati
onraccourci
epermet
tentde
ré
duir
ele
ssautsdel’
authentification Kerberos.
En e f
fet
,s iun utili
sat
eurdu doma i
nema r
ti
nique.supinfo.
la ns ouha
ites’authenti
fi
erda nsle
domaine mail.laboms.lan, il doit passer par deux approbations parent/enfant et par une
approbation r
a ci
ne/
arb
orescence.L’app
robationrac
courcie permet doncd’accé
lér
e rl’
a ut
hent
ifi
cat
ion
inter-domaine.
Approbation externe
Une approbation externe est une relation

d’approba t
ionn o ntransiti
v e.Elled oitêt
rec
réé
e
manuellement et peut avoir une direction
unidirectionnelle ou bidirectionnelle.
L’appr
oba ti
one xternepe rmetder elierde s
domaines appartenant à deux forêts distinctes.
Approbation de domaine
Une approbation de domaine est une relation

d’appr obat
ion dont l a t r
ans i
tivit
é e tl a
direction doivent être paramétrées par
l’
a dmi nis
tra
teur.
L’appr
oba t
iondedoma inepe r
me tder
eli
erun
domaine sous Active Directory avec un
domaine Kerberos non Microsoft.
Approbation de forêt
Une approbation de forêt permet de relier

l
’i
ntégralit
éde sdoma i
ne sdede uxf or êts.
Les approbations de forêt sont non transitives

et leurs directions doivent être définies
manuellement. Les deux forêts doivent
impérativement utiliser le niveau fonctionnel
def or êtWi ndowsSe rver2003.I
ln’
yapa sde
transitivité entre les forêts.
1.6.4. Implémentation d'une structure d'unité d'organisation
1.6.4.1. Création et gestion d'unités d'organisation

1.6.4.1.1. Présentation de la gestion des
unités d'organisation
Lac
réa
tione
tlage
sti
ond’
uni
tésd’
orga
nis
ati
onpa
sse
ntpa
rqua
trepha
sest
rèsi
mpor
tant
es:
 La planification : C’
estl
apha
sel
apl
usi
mpor
tant
eca
rc’
estàc
emome
ntquevousa
lle
z

47
déterminer le système hiérarchique des objets les uns par rapport aux autres. Ce système
hiérar
chiques eral’épi
nedor saledevot resys tèmea dmi nistra
tif
.Vousde vezpr évoira uss
i
la nomenclature de nom des UO à ce niveau.
 Le déploiement : C’
estl
aphas
edecr
é a
tiondesunit
ésd’
orga
nisat
ions
urleserve
ur,e
lle
comprenda uss
il aphasededé
plac
ementdesobjet
sdansl
esunit
ésd’or
gani
sat
ion.
 La maintenance : C’ e
stlapha s
e d’
expl
oit
ati
on desuni
tésd’
organi
sati
on unef
ois
qu’
ell
ess ont en pr oducti
on. Cel
ac ompre
nd toute
sl e
s modif
icat
ions l
iéesaux
modif
ica
tionscourant
e sd’or
gani
sat
iondel’
ent
repr
ise
.
 La suppression : Tous les objets dans Active Directory occupent un certain espace sur le
disque ainsi que sur le réseau lors des réplications.
1.6.4.1.2 Méthodes de création et de gestion des

Af
indepouvoi
rcr
éervosuni
tésd’
orga
nis
ati
on,qua
tremé
thode
ssontàvot
redi
spos
it
ion:
 L’outi
lUt i
li
sat
eursetordinateurs Active Directory : Cet outil graphique est le
moyen le pl
usrapi
depourcr
éeruneu ni
téd ’or
ganisat
ion.Ilat
teintrapideme ntceslimites
l
orsqu
el ’ondési
recr
éerpl
usd’unec i
nquantainedec ompt e.
 Les outils en ligne de commande (dsadd, dsmod, drrm) : Ces outils permettent via
li
gnedec omma ndeouvi as
cri
ptba t
chdec r
éerdesuni t
ésd’ organisation.
Exemple :
dsadd ou "ou= SUPINFO Training Center, dc=supinfo, dc=lan" -u Administrateur -
p*
 L’outilLDI FDE:Ce tout

ilpermetdef
air
edel ’
import et de la modification en masse à
parti
rd’ unfic
hiert ext
e.Laplupar
tdesmoteur
sLDAPpe r me tt
e ntd’
e xpor t
erve rsce
format. Exemple :
dn: OU=Labo-Cisco,DC=supinfo, DC=lan
changetype: delete
dn: OU=Labo-Microsoft, DC=supinfo,

DC=lan changetype: add
objectClass: organizationalUnit
 Les scripts VBS : Ce ssc

ript
spermet
tentdef
air
edel ’ i
mportd’ uni
tés
d’organisationena jouta
ntdescondi
ti
onspourlac r
éationdece sUO.
Exemple :
Set objDom = GetObject("LDAP://dc=supinfo,dc=lan")
Set objOU = objDom.Create("OrganizationalUnit", "ou=Salle
A") objOU.SetInfo
1.6.4.2. Délégation du contrôle administratif des

Active Directory est un système intégrant la sécurisé : seuls les comptes ayant reçu les
permissions adéquates peuvent effectuerde sopé r
a ti
onss urc esobjet
s( ajout,modi fic ati
on,…)
.

48
Les administrateurs, en charge de cette affectation de permissions peuvent aussi déléguer des
t
âche sd’admi nistrationàde sutili
s at
e ursoude sgr oupesd’utilis
ate ur
s.
1.6.4.2.1. Sécurité des objets

Da nsAc tiveDi re ctory,c haqueobj etestsé curisé,cequis ignifi
equel ’ac
cèsachacund’euxest
cautionnépa rl’
e xistenc edepe rmi ssionse nc es ens .
Ac haqueobj ete sta ssociéunde scripteurdes écur i
téuni quequidé f
initl
esaut
ori
sati
onsd’acc
è s
nécessaires pour lire ou modifier les propriétés de cet objet.
Enc equic onc e
r nel ar estr
icti
ond’ accè sauxobj etsouàl e urspropri
étés
,ledes
cri
pteurcont
ientl a
DACL( Di scre
tiona ryAc cessCont rolLi s
t)e te nc equic onc er
nel ’
audit
,lede
scri
pteurcont
ient la
SACL (System Access Control List).
Lec ontrôl
ed’ accèsda nsAc ti
veDi r
ectoryr e
posenons eulements
url
esdescr
ipteursdes écur
ité
desobj ets
,ma isa ussis url ese ntit
ésdes écur
ité(pare xempl
euncompted’ ut
ilisa
teurouun
compte de machine), et les identificateurs de sécurité (SID, dont le fonctionnement est
globalement identique à celui sous NT 4.0 et Windows 2000).
Active Directory étant organisé hiérarchiquement, il est possible de définir des permissions sur un
conteneur et de voir ces permissions héritées à ses sous conteneurs et à ses objets enfants (si on le
souha i
te)
.Gr âceàc el
a,l ’administrateurn’ aurapa sàa ppli
que rlesmê me spe rmi ssi
onsobj etpa r
objet,li
mi t
a nta i
nsil ac hargedet rava i
l,e tleta uxd’ erreurs.
Da nslec a soùl ’ondé finirait des permissions spécifiques pour un objet et que ces dernières
entrent en conflit avec des permissions héritées, ce seront les permissions héritées qui seront
appliquées. Dans certains cas, on ne souhaite pas que des permissions soient héritées, il est alors
possibledebl oque rcethé rita ge.Pa rdéfaut,lorsdel acréationd’ unobj et,l ’
hé r
itagee sta ct
i vé.
Par conséquent, une DACL correspondant aux permissions du conteneur parent est créée pour cet
objet.Lor sdubl oc agedel ’hé rit
age ,ondé finitune nouvelle DACL qui sera soit copiée depuis la
DACL du parent, soit vierge.
1.6.4.2.2. Délégation de contrôle
Ilestpos siblededé l
éguerunc er
tai
nni ve
aud’adminis
tra
tiond’
objet
sActiveDir
ect
oryà
n’impor teque luti
lis
ateur,groupe.
Ainsi, vous pourrezparexe mpledéléguerce
rta
insdroit
sadminis
tra
tif
sd’uneuni
té
organi sa
tionnelle(ex:c r
éationd’obj
e t
sdanscett
eUO)àunut i
li
sate
ur.
L’unde spr incipauxa va nt agesqu’ offrec ettef onct

ionnali
tédedé légationdec ontrôlee stqu’ i
l
n’estpl usné cessair
ed’ a ttri
bue rde sdr oit
sd’ administ
rati
oné tendusàunut i
li
sateurl or s
qu’ile s
t
néces sair
edepe rmettr
eàunut ili
sateurd’ effectuercert
ainestâches .
SousNT4,s il’ons ouha itaitqu’ unut ili
s at
e urda nsundoma i
negè rele scompt e
sd’ uti
lis
ateurs
pour son groupe, il fallait le mettre dans le groupe des Opérateurs de comptes, qui lui permet de
gérer tous les comptes du domaine.
Ave cAc t
iveDi r
ectory,i ls uff
iradec l
ique za vecl ebout ondr oits url ’UO da nsl aquell
eon
souha iteluidé l
éguerl’a dmi ni s
trat
iond’ unet â c
hee tdes él
ectionne rDé léguerlec ontrôle.
On pourra définir quelques paramètres comme les comptes concernés par cette délégation et
letypededé lé gation,da nsnotrec as,«Cr éer,supprime re tgére
rdesc ompt esd’util
isateur
» (On peut affiner en déléguant des tâches personnalisées comme par exemple uniquement
ledroitder éini t
ialiserlesmot sdepa sses urlesobje tsdec ompted’
ut i
lisa
teurdel ’UO,…

49
2 . Gest
ion descompt
esd’
uti
lisat
euretd’
ordinateur
2.1. Création d e s comptes utilisateur
2 . 1 . 1 . Pr
ésent
ati
ondescompt
esd’
uti
lis
ateur
s
Le sCompt esd’ util
isat
eurspe rme tt
e nta uxut i
li
sateursd’ accédera uxre
ssourcesdur é
sea
u.
Ils sont associés à un mot de passe et fonctionnent dans un environnement défini
(machine locale ou domaine).
Unuti
li
sat
eurdi
sposantd’uncomptededomainepourr
as’a
uthenti
fi
ers
urt
out
esl
es
mac
hinesdudomaine(saufre
str
ict
ionexpl
ici
tedel’
admini
str
ateur
).
Unut il
isateurdi sposantd’unc
ompt
eloc
alnepour
ras
’aut
hent
if
ierques
url
ama
chi
ne
où est déclaré le compte.
Compte local : Le si nforma t

ionsdeCompt esd’ util
isat
eurssont stockées localement sur
les machines hébergeant les ressources réseau. Si une modification doit être apportée à un
compte, celle-ci devra être répercutée manuellement sur toutes les machines où le compte
existe.
Compte de domaine : Les informations de comptes sont centralisées sur un serveur, dans
l’
annuair
ede sobj e t
sdur é
seau.Siunemodi
fi
c a
tiondoitê
trea
pporté
eàunc
ompt
e,e
lledoi
têt
ree
ffe
ctué
e
uniquement sur le serve
urquiladif
fus
eraàl
’ensembledudomaine
.
2 . 1 . 2 . Convention de nom des comptes utilisateurs

On distingue quatre méthodes pour nommer un compte utilisateur :
 Lenom d’ ouvertur
edes e
ss i
on(logi
n):thoboi_l
 Lenom d’ ouvertur
edes e
ss i
onpré-windows : ESI\thoboi_l
 Lenom d’ uti
li
s at
eurprincipal:thoboi_l@esi-supinfo.lan
 Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan
Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut pas
contenir de caractères spéciaux comme : " / \ [ ] : ; | = , + * ? < >.
2 .1 .3. Nomenclature de création de compte utilisateur

Un login doit obligatoirement être unique dans son domaine. Ainsi il est nécessaire
dans une grosse entreprise de créer une nomenclature de création de login prenant en
compt ede spa rt
ic ul
a r
itésdenomsc ommel esme mbr esd’ unemê mef ami ll
et ravailla
nt
dansl ’
entrepr i
sepa re xe mple.
Ilpe utêt
rei nt é
res
santa
uss
id’
ide
nti
fi
err
api
deme
ntl
elogi
nde
sempl
oyé
ste
mpor
air
es(
ex
: T_thoboi_l).
Une fois le compte cré

é,ilsuf
f itdel
epl
ace
rda
nsl
’uni
téd’
orga
nis
ati
onc
orr
esponda
nt
audé parteme ntdel ’ut
il
isat
eur.

50

Al ac réationd’unut ilisateur,ilestpossibledes péci f
ierunc
ert
ainnombr
ede
propriétés concernant la gestion des mots de passe :
 L’ut ili
sateurdoi tc hange rdemotdepas seàl apr ochaineouve r t
ur ede
session : cette option permet de définir un mot de passe temporaire lors de la
créationd’ unc ompt eoudel ar é ini
ti
alisat
iondumotdepa ss
ee td’obl iger
ensuitel’utilisateur à le modifier.
 L’uti
lisate urnepe utpasc hange rdemotdepas se:cette option
permet de bloquer la fonctionnalité de modification de mot de passe.
 Lemotdepas sen’ expi r ejamai s:particulièrement utile pour les comptes de

service, cette optionpe rme tdes ’assure
rquel ec ompt ee nque stionnes oi
tpa s
assujetti aux règles de stratégie de compte.
 Le compte est désactivé : Permet de désactiver un compte sans le supprimer.
2 . 1 . 5 . Cr
éat
iondecompt
ed’
uti
lis
ateur
Lac ré
ationd’ unut i
lisat
eurs efai
tvial ’
outilgraphiqued’ a dmi
nist
rat
ionUtilisateurs et
ordinateurs Active Directory ouàl ’ai
dedel ’
out i
lenl i
gnedec omma ndedsadd user
(dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn FirstName] [-ln
LastName] [-display DisplayName] [-pwd {Password|* }).
2.
2.Cr
éat
iondecompt
esd’
ordi
nat
eur
2 . 2 . 1 . Pr
ésent
ati
ondescompt
esd’
ordi
nat
eur
s
Unc ompted’or
dina
teurn’ existequeda nsune nvironne mentdedoma ine,ilperme t
d’i
denti
fi
erchaqueordinateur qui a accès à la base de comptes Active Directory
not
amme ntpourl’a
uthe nt
ificationde sut il
is ateurs.
Lesc ompt esd’ ordinateurs ontpa rti

cul i
ère mentut i
lespourl as é curi
tée tl a ge s
tion
centralisée : ainsi on va pouvoir utiliser ces comptes pour configurer des audits, IPSec, le
déploiement de l ogiciels,l
ess t
ratégi esdes éc ur
it
é,….

Al ac réationd’unut ilisateur,ilestpossibledes péci f
ierunc
ert
ainnombr
ede
propriétés concernant la gestion des mots de passe :
 L’ut ili
sateurdoi tc hange rdemotdepas seà la prochaine ouverture de
session : cette option permet de définir un mot de passe temporaire lors de la
créationd’ unc ompt eoudel aré i
nitialisat
iondumotdepa ss
ee td’obl iger
ensuitel’utilisateuràl emodi fier.

51
 L’uti
lisate urnepe utpasc hange rde mot de passe : cette option
permet de bloquer la fonctionnalité de modification de mot de passe.
 Lemotdepas sen’ expi r ejamai s:particulièrement utile pour les comptes de

service,c e
tteopt ionpe rme tdes ’assure
rquel ec ompt ee nque stionnes oi
tpa s
assujetti aux règles de stratégie de compte.
 Le compte est désactivé : Permet de désactiver un compte sans le supprimer.
2 . 1 . 5 . Cr
éat
iondecompt
ed’
uti
lis
ateur
Lac ré
ationd’ unut i
lisat
eurs efai
tvial ’
outilgraphiqued’ a dmi
nist
rat
ionUtilisateurs et
ordinateurs Active Directory ouàl ’ai
dedel ’
out i
lenl i
gnedec omma ndedsadd user
(dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn FirstName] [-ln
LastName] [-display DisplayName] [-pwd {Password|* }).
2.
2.Cr
éat
iondecompt
esd’
ordi
nat
eur
2 . 2 . 1 . Pr
ésent
ati
ondescompt
esd’
ordi
nat
eur
s
Unc ompted’or
dina
teurn’ existequeda nsune nvironne mentdedoma ine,ilperme t
d’i
denti
fi
erchaqueordinateur qui a accès à la base de comptes Active Directory
not
amme ntpourl’a
uthe nt
ificationde sut il
is ateurs.
Lesc ompt esd’ ordinat

e urs ontpa rt
iculièreme ntuti
lespourl
as écurit
ée tla ge stion
centralisée : ainsi on va pouvoir utiliser ces comptes pour configurer des audits, le
déploiement de logiciels, les stratégies de sécurité,
….
2 . 2 . 2 . Création de compte d’
ordi
nat
eur
Lac réationd’ unc ompted’ ordi
na t
eurs efaitvial’out
ilgraphi
qued’admi
nist
rat
ion
Utilisateurs et ordinateurs Active Directory ouàl’aidedel’out
ilenl
ignede
commande dsadd computer.
Unea ut
repos sibilit
és ’
offreàvouspourc réerunc ompt
ed’ ordina teurestdelec
rée
rà
partir du client lorsque celui-ci se joint au domaine. Dans ce cas, le compte
d’or dinateure stc réédansl ec ont ene urComput er.
2.3. Modification des propriétés des comptes

d’uti
lisateuretd’ ordinateur
Une fois le compt ecré é,iles tpossibled’enmodi fierlespr opri
étés
.Lapre
mièreut
ili
té
est de mettre à j
ourle sinfor ma ti
ons ,lasecondee std’ accéderàde spr
opr
iét
ésquine
sont pas disponibles lors de la procédure de création de compte.

52
Les différentes modifications qui vont être apportées aux comptes peuvent avoir plusieurs
utilités :
 Faciliter la recherche : l edé pa rt
e ment,lebur eau,…
 Permettre de centraliser des informations liées au compte : le téléphone,
l’ema i
l,…
Afin de modifier ces propriétés, il vous s uf f

itd’ util
iserl’
out ilgraphiqued’ admi nist
rat
ion
Utilisateurs et ordinateurs Active Directory e td’aff
iche rlespr opriété
sdel ’obj
ete n
double-cliquant dessus. Il est à noter que dans ce mode graphique il est possible de
sélectionner plusieurs utilisateurs afin de réaliser des modifications en "masse".
Uneautr
es ol
uti
onc
ons
ist
eàut
il
ise
rl’
out
ile
nli
gnedec
omma
ndedsmod [user |
computer]
2.4. Création de modèles de comptes utilisateur

Un modèle de compte est un compte utilisateur générique contenant les informations
commune sàtousl escompt e saya ntlemê mer ôleda nsl ’e
ntr
epr i
s e
.Unef oiscemodè le
decompt ecré
é( enutil
isantl amê mepr océ durequen’ importeque lcompt eutilisateur )
,il
suf
firadel edupliqueràc ha quec ré ati
ond’ unnouve auc ompte correspondant au rôle.
Ainsi le nouveau compte créé, héritera des propriétés du modèle.
Pourde srai
sonsdes éc
uritéile stné c essai
rededé sa ct
iverl ’ensemblede smodè lesde
compt eafi
nqu’ i
lsnesoient pas utilisés pour entrer dans le système. De plus il est
cons eill
éd’ident
ifie
rlesmodè lesdec ompt epa runel et
tres i
gnific
ativee ndé butdenom
(ex : M_<nom_du_modele>)
Lor squ’unmodè ledecompt ee stdupl iqué,t outesl espropr iétésnes ontpa sc opi é e
s.
2.
5.Act
ivat
ionetdésact
ivat
iond’
uncompt
e
utilisateur
Cha quec
ompt eut il
isateurbéné fi
cied’ unident
if
iantuniqueinte
rne,àAc
tiveDir
ect
ory
ouàl abaseSAM,quipe r
me tdel ’ide nti
fi
e r
.Cetidenti
fianta
ppeléSIDes
tuti
li
sé
notamment par le système de sécurité de Windows 2003.
Lor squel’ons uppr imeunc ompt ee tquel ’onr ecréec ec ompt e,mê mea vecde s
informations strictement identiques, celui-ci se voit affecter un nouveau SID. Il perd
ainsil’ensembl edes onc ontextedes éc urit
é .
Af ind’ évite
rd’ avoiràre c
onf igur erl
’e ns
embl ede sdr oit set autorisations du compte
utilisat
eur ,i
le stconseil
lédet oujoursdé sact
ive rlesc ompt e sutilisateur(l’utili
sat
eurne
pour rapl usl’util
ise
r)da nsunpr e miertemps.Apr èsvé ri f
ication,s ilas uppres s
ionpe uts
e
faire dans de bonnes conditions, vous pouvez la réaliser.
L’ act
ivat
ione tladésactivat
ions efai
tvi
al’
out
ilgr
aphi
qued’
admini
st
rat
ionUtilisateurs
et ordinateurs Active Directory ouàl
’ai
dedel’
outi
lenli
gnedecomma ndedsmod
user UserDN -disabled {yes|no}.

53
3. Gestion des groupes

3.1. Présentation des groupes
Le sgroupe spermett
entdesi
mplif
ierlages
ti
ondel’accè sde sutili
sateursa uxre ssource sdu
réseau. Les gr
oupespermett
entd’
affect
erenuneseulea ctionuner essour c eàune ns embl e
d’util
isa t
eursaulieuderépét
erl’
acti
onpourchaque utilisateur. Un utilisateur peut être
me mbr edepl usie
ursgroupes
.Ilyade uxempla
ceme ntsoùl ’
onpe utt rouve rlesgr oupe s:
3 . 1 . 1 . Groupes sur un ordinateur local
I
lspe rme t
tentd’accorderde spe rmiss ionsunique me ntauni veaudel amac
hine.Dansle
casd’ unema chi
nenon-r eliéeàundoma ine,i
le stpos s
ibl
ed’ i
nclureuni
quementl
es
comptes locaux. Les groupe sloc auxsontc réé
sàl ’ai
dedel’out i
lGe st
iondel’
ordinat
eur,
puis dans le composant enfichable Utilisateurs et groupes locaux
3.1.2. Groupes sur un contrôleur de domaine

Il
ss ontut i
lisabl essurl ’ens emblede sma chinesdudoma i
nee tperme tt
entd’ a voirune
gestion centralisée de la hiérarchie des groupes. Ils peuvent contenir des utilisateurs du
doma i
nee tmê med’ a utresdoma ine s.
Lesgr oupe
sdedoma inesontc r
éésàl ’aidedel ’out
ild’a
dminist
rat
ionUtilisateurs et
ordinateurs Active Directory etce lada nsn’ i
mpor t
equel
leunitéd’organisation
présenteouàl ’
a idedel ’
outilenl i
gnedec ommandedsadd group GroupDN -samid
SAMName -secgrp yes | no -scope l | g | u.
3.2. Gestion des groupes
3.3.1. St
rat
égi
ed’
uti
lis
ati
on des groupes dans un domaine
unique
La stratégie recommandée pour les groupes globaux et locaux dans un domaine unique est
la suivante :
 Aj outezlescompt e
sd’ ut
ilisateura uxgroupe sgl obaux.
 Ajoutez les groupes globaux à un autre groupe global (dans le c asd’ un
environnement natif).
 Ajoutez les groupes globaux à un groupe de domaine local.
 Affectez les autorisations sur les ressources au groupe de domaine local.
3.3.2. St
rat
égi
ed’
uti
li
sat
ionde
sgr
oupe
sdansun
environnement à domaines multiples
 Dans chaque domaine, ajoutez aux groupes globaux des comptes
d’
utili
sateur
sa yantlamê mef onc ti
on.

54
 Imbriquez des groupes globaux dans un seul groupe global pour intégrer les
utili
sateurs .Ce t
teét
apen’ estut
ileques ivousgé rezungr andnombr e
d’util
isateurs.
 Imbriquez des groupes globaux dans un groupe universel.
 Aj outezlesgr oupe
sunive rs
elsauxgr oupe sdedoma inel ocalpourgé rerl ’
a c
cès
aux ressources.
 Affectez aux groupes de domaine local des autorisations appropriés sur les
ressources.
c
3.3.3. Modifiat
iondel
’ét
endued’
ungr
oupe
Dansc e r
ta i
nsc
as,i
lpe
utê
treut
il
edemodi
fi
erl
’ét
endued’
ungr
oupeda
nsAc
tive
Directory.
Groupe global vers universel : Ce

cin’
estpos
sibl
eques
ilegr
oupen’
estpa
slui
-
mêmeme mbred’ ungroupe global.
Groupe global vers domaine local : I ln’ estpaspos si

bledemodi f
ierdirectementun
groupe global vers un groupe de domaine local. Pour réaliser cette modification, il est
obligatoire de modifier le groupe global en groupe universel, puis en groupe de domaine
local.
Groupe de domaine local vers universel : Ce

cin’
estpos
sibl
eques
ilegr
oupe
n’
estpaslui-même me mbr ed’ ungr oupededoma i
neloca
l.
Groupe universel vers global : Ce

cin’
estpos
sibl
eques
ilegr
oupen’
estpa
slui
-
mêmeme mbred’ ungroupe universel.
Groupe universel vers domaine local : Auc

unel
imi
tat
ionn’
exi
steda
nsc
eca
s.
3.4. Groupes par défaut

Les groupes par défaut possèdent des droits et des autorisations prédéfinis qui
permettentdef acil
iterlami see npl ac ed’
une nvironne me nts é
curisé.Ai nsiun certain
nombre de rôles courants sont directement applicables en rendant membre du groupe
pardéfautadéqua tl’uti
li
sa t
euràquil ’
onsouha itedonne rdesdroits ou autorisations.
Ces groupes et les droits qui leurs sont associés sont créés automatiquement.
3 .4 .1 . Groupes par défaut sur un serveur membre

Les groupes par défaut sur un serveur membre sont stockés dans la base de compte locale
de la machine et sont visibles via le composant enfichable Utilisateurs et groupes
locaux del ac ons oled’ admi nistra t
ionGe st
iondel ’ordinateur.I l
ss ontc r
é és
automa ti
que me ntl orsdel ’i
ns tall
a ti
ondeWi ndows2003.
Voi
cil
esr
ôle
setl
espr
opr
iét
ésdec
ert
ainsd’
ent
ree
ux:

55
Pleins pouvoirs sur le serveur.

Administrateurs Lor squ’uns erve uresta joutéa udoma ine ,legroupe
Admins. du
Invités Unpr ofiltempor a
iree stc r
éépourl ’ut i
lis a
teurque
l’
onpl ace
Peut créer des comptes utilisateurs et les gérer.
Utilisateurs avec pouvoir Peut créer des groupes locaux et les gérer.
Peut créer des ressources partagées.
Utilisateurs Peut lancer des applications, utiliser les imprimantes.
Opé
rat
eur sd’ impr e
ssi
on Peutgé r
e rlesimpr ima ntese tl esf il
e sd’ a t
tent
e s
Cert
ainsgr oupe spa rdé
fautnesontdisponi ble squel orsqu’uns ervice précis est installé
comme les services DHCP et WINS qui installent les groupes par défaut
Administrateurs DHCP, Utilisateurs DHCP, Utilisateurs WINS.
3.4.2. G r o u p e s p a r d é f a u t d a n s A c t i v e D i r e c t o r y
Les groupes par défaut dans Active Directory sont stockés dans la base Active Directory et
sont visibles via l
aconsoled’ admi nistrationUt i
lisateursetordina teursAc tiveDi rectory
dans les conteneurs Builtin et Users. Ils sont créés automatiquement lors de
l’
ins t
a l
lationd’ Acti
veDi rectory.
Voici les rôlese

tle
spr
opr
iét
ésdec
ert
ainsd’
ent
ree
ux:
Les membres de ce groupe peuvent gérer les comptes

Opérateurs de compte
utilisateurs.
Les membres de ce groupe peuvent administrer les
Opérateurs de serveur
serveurs du
Contrôleurs de domaine Ce groupec ont
ientt ousl esc ompt e
sd’ ordinateursde s
contrôleurs de domaine.
Invités du domaine Le sme mbr esdec egr oupevontbé néfi
c i
e rd’unpr ofi
l
temporaire.
Contient tout les utilisateurs du domaine. Tous les
Utilisateurs du domaine
utilisateurs
Ordinateurs du domaine Ce groupe contient tous les ordinateurs du domaine
Administrateurs du domaine Ce groupe contient les utilisateurs administrateurs du
Ce groupe contient les admi nistr
ateur
sdel ’entreprise.
Admi nistrateur sdel’e
ntr e
pri
se
Permet
Ce groupe contient les utilisateurs capables de faire
Administrateurs du schéma
des
3.5. Groupes système

Les groupes systèmes sont des groupes dont les membres sont auto-gérés par le système.
Ces groupes sont pa
rticulièreme ntutil
e sdansl ecasd’affectationsd’ autorisations .
Anonymous Logon Représente les utilisateurs qui ne ce sont pas

Tous les utilisateurs se retrouvent automatiquement
Tout le monde
dans ce
Réseau Regroupe les utilisateurs connectés via le réseau.
Utilisateurs authentifiés Regroupe les utilisateurs authentifiés.
Créateur propriétaire Repré sentel ’utili
sate urquie s
tpr opriét
ai r
edel ’obj
et.

56
4.Gest
ion d’
accèsaux ressources
4.
1.Cont
rôl
ed’
accès
Les ystèmedec ontrôled’ accèsdansWi ndows2003e stba sésurt r
oisc ompos ant
s
qui permettent la définition du contexte de sécurité des éléments du système.
Ces trois éléments sont :
 Les entités de sécurité

 Le SID
 DACL –Discretionary Access Control List
4 .1 .1. Les entités de sécurité

Lese ntitésdes écur i
tépeuventêt
reuncompt
eut
il
is
ate
ur,d’or
dina
teurouun
groupe. Ils permettent d’
aff
ect
erl’
accè
sàunobj
etenlerepré
sent
ant dans le
système informatique.
4 .1 .2. Le SID
Toutes les entités de sécurité sont identifiées dans le système par un numéro unique appelé
SID.
CeSI De stliéàlavi edel ’

obje t,ainsisil’ons upprimeungr oupee tqu’onl er e créec e
même groupe juste après (même nom, mêmes propriétés), celui-ci se verra attribuer un
nouveau SID.
L’ensembl edesdé finit
ionsdes é curi
téé tantba s
ésurc eSI D,l e
sac
c èsdonné sa u
groupe supprimé ne seront pas transférés au nouveau groupe.
4 . 1 . 3 . DACL - Discretionary Access Control List

Le
sDACLs
onta
ssoc
iée
sàc
haqueobj
ets
url
eque
lonvadé
fini
runc
ont
rôl
ed’
acc
ès.
Le
sDACLs
ontc
ompos
éesd’
ACE(
Acc
essCont
rolEnt
ry)quidé
fini
sse
ntl
esa
ccè
sàl
’obj
et.
Les ACE se composent de la façon suivante :

 LeSI Ddel ’enti
téàquil ’onvadonne rouref
userunac
cès
.
 Lesi nf
ormationss url ’accès(ex:Le ct
ure,Ec
rit
ure,…)
 Lesi nf
ormationsd’ héri
tage.
 L’indic
ateurdet yped’ ACE( Aut or i
serouref
user)
.
Ac haquet ent ati

ved’ acc èsàuner
ess
our
ce,c
ett
eli
stes
erapa
rcour
uea
findedé
ter
mine
rsil
’ac
tion
voulue peut être réalisée.

57
4.2. Autorisations
4 .2 .1. Autorisations standards
Lesa ut
ori
sat
ionspe
rmett
entdefi
xerl
enivea
ud’ac
cèsqu’
ontlese ntitésdes écurit é
(pouruncompteuti
li
sat
eur,gr
ouped’
uti
li
sat
eur
souordi
nat
eur) sur une ressource.
Lesres
sour
cesuti
li
santcesyst
èmed’
aut
oris
ati
onspourrégule
rle
ursa
ccè
ssont
mult
ipl
es(Regi
str
e,Fichi
ers
,Impr
imant
es,Act
iveDire
ctory,…)
4 .2 .2. Autorisations spéciales

Les autorisations standards sont limitées aux actions de base sur un objet (ex : Lecture,
Modi fier,Cont r
ôleTot al,…) .Aus sipourpouvoi rgra nulerdef aç onpluspr éc is
el es
autorisations, vous avez accès via le bouton « Avancé » à une liste étendue
d’autorisa t
ions .
4.3. Administration d e s accès aux dossiers partagés

4 . 3 . 1 Description des dossiers partagés
Lepa rt a
ged’
undos
sie
rpe
rme
tder
endr
edi
sponi
blel
’ens
embl
edes
onc
ont
enuvi
ale
réseau.
Pardéf
a ut
,lor
sdelac réati
ond’unpa
rta
ge,l
egr
oupe«Toutl
emonde»bé
néf
ici
e
del’
autori
sati
on« Lecture ».
Ile stpos
sibl
edec ache rl
epa r taged’ undos siere na jout
a ntlec aract
ère«$»àl afi
ndu
nom. Pour pouvoir y accéder, il sera obligatoire de spécifier le chemin UNC complet
(\\nom_du_serveur\nom_du_partage$).
4 .3 .2. Partages administratifs

Windows 2003 crée automatiquement des partages administratifs. Les noms de ces
partages se terminent avec un caractère $ qui permet de cacher le partage lors de
l'exploration par le réseau. Le dossier système (Admin$), la localisation des pilotes
d'impression( Print$)a insiquel aracinedec haquevolume( c$,d$,…)constituent autant de
partages administratifs.
Seuls les membres du groupe « Administrateurs » peuvent accéder à ces partages en
accès Contrôle Total.

58
4 .3 .3. Création de dossiers partagés
Sur des machines Windows 2003 Server en mode autonome ou serveur membre, seuls
les membres des groupes « Administrateurs » et « Utilisateurs avec pouvoirs » peuvent
créer des dossiers partagés.
Sur des machines contrôleurs de domaine Windows 2003 Server, seuls les
membres des groupes « Administrateurs » et « Opérateurs de serveurs » peuvent
créer des dossiers partagés.
Pour pouvoir créer un partage vous avez trois possibilités :
 L’out i
ld’ admi nistrati
onGe stiondel ’ordi nat
euràl’a
ideducomposa
nt
logiciel enfichable « Dossiers partagés ».
 L’expl or a
teurpa rl ebiai
sdume nuc ontext ue
ldetouslesdos
sie
rsde
l’ar
bor e scence.
 La commande NET SHARE (net share NomDossierPartagé=Unité:Chemin).
4 .3 .4. Publication des dossiers partagés

Grâce à Active Directory, il est possible aux utilisateurs de retrouver un partage du
domaine en faisant une recherche sur des mots clés.
Pour mettre en place cette fonctionnalité, il suffit de créer un objet « Dossier partagé » à
l’aidedel aconsole « Utilisateurs et ordinateurs Active Directory » et de spécifier lors de
sa création, le chemin UNC (Universal Naming onvention) pe rmettantd’ac céde r
phy sique me ntàc epartage( l’objetAc ti
veDi rector yn’ étantqu’ unr accourc iversl a
ressource physique).
Ile staus s
ipos sibled’automa t i
serc et t
etâc hee nc ocha ntl’option«Publ ierc epa r t
age
dans Active Di r
ector
y»àl ’
a i
dedel ’outi
ld’ admi ni st
ration«Ge st
iondel ’ordi nateur»
et du composant enfichable « Dossiers Partagés » directement sur le serveur qui
héberge la ressource.
Suite à la publication, rien ne vous empêche si le serveur hébergeant le partage de fichier

tombe en panne demodi f
ierl eraccourc
idel ’obj etAc ti
veDi rect
orypourl ef air
epoi nte r
vers un nouveau serveur accueillant le partage temporairement. Les utilisateurs ne
perdent donc pas la trace de leurs ressources.
4 .3 .5. Autorisations sur les dossiers partagés

Chaque dossier partagé peut être protégé par une ACL qui va restreindre son accès
spécifiquement aux utilisateurs, groupes ou ordinateurs qui y accèdent via le réseau.
I
lexi
stet
roi
sni
vea
uxd’
aut
ori
sat
ions:
 Le cture:Pe rme td’ af

fic herlesdonné ese td’ e
xéc uterl eslogicie l
s.
 Modi fi
er:Compr endt out eslespr opriétésdel ’autoris a
tionl ectureave cl a
possibilité de créer des fichiers et dossiers, modifier leurs contenus et supprimer
leurs contenus.
 Cont rôlet otal:Compr endt out esl espr opriétésdel ’a utorisat
ionModi fi
erave c

59
la possibilité de modifier aux travers le réseau les autorisations NTFS des

fichiers et dossiers.
Lestroisni ve auxd’ autor is

ationssont disponibles en « Autoriser » ou en « Refuser » en
sachant que les autorisations de refus sont prioritaires.
Pour affecter des autorisations de partage, vous avez deux solutions :
 Al’
aidedel ’outild’admi nist
ration«Ge st
iondel’
ordina
teur»etdu
composant enfichable « Dossiers Partagés ».
 Al’
aidedel ’explorateurda nsle spropr ié
tésdudossi
erparta
gé.
4 .3 .6. Connexion à un dossier partagé

Af
inqu’
unc
lie
ntpui
ssea
ccé
deràundos
sie
rpa
rta
gé,pl
usi
eur
smoy
enss
ontdi
sponi
ble
s:
 Favoris réseau : Permet de créer des raccourcis vers les partages désirés.
 Lec teurr ésea u:Pe rme td’ ajouterl edos si
erpart
agédi recteme ntda nsl epos
te
de travail en lui attribuant une lettre.
 Exé cuter:Pe rme td’ accéde rponc t
ue l
lementàlare
ss ourcee ns pécifiant
simpl eme ntl ec he mi nUNCd’ acc èsàl aressour
ce.
4 . 4 . A dm i n i s t r a t io n d e s a c c è s a u x f i c h i e r s e t d o s s i e r s
NTFS
4 . 4 . 1 . Présentation de NTFS
NTFS est un système de fichiers qui offre les avantages suivants :
 Fiabilité : NTFS est un système de fichiers journalisé. En cas de problème, ce
journal sera utilisé pour analyser les parties du disque qui ont posé problème (cela
é viteles candiskdel ’i
nté gr
a l
itédudi squequel ’ona va i
ts ousWi ndows98) .
 Sécurité : Le système NTFS prend en charge le cryptage de fichiers avec EFS.
EFSpe rme td’éviterdesprobl
ème sc ommel ’espi onnagei ndus t
riele ne mpê chant
l’
exploi tationde sdonné e
smêmesil edisquedure stvolé
.NTFSpe rmeta ussil
’ut
ili
sat
ion
d’
aut
ori
sat
ionsNTFSquipe
rme
tte
ntder
est
rei
ndr
el’
acc
èsa
uxdonné
esdel
apartition.
 Gestion du stockage : NTFS permet la compression de données transparente pour tous les fichiers
st
ocké ssurl aparti
tion.Ilpermetauss il’i
mpléme nt ationdel age s
tiondequot a
spourrestreindrede
f
açonl ogiquel ’
espa cedontpeutbé né fi
cierun utilisateur sur une partition.
L’uti
lis
ati
on de s y stèmes de fi
chi
ersc omme FAT e tFAT32 e strec
ommandée
uniquement pour faire du dua
lboote nt
redess ystèmesWi ndows2003etd’
aut
res
syst
ème sd’expl
oitat
iont el
squeDOS6. 22,Win3.1 ou Win 95/98.
L’ut
ilitaire convert.exe permet de convertir de façon irréversible les partitions FAT et
FAT32 vers NTFS. Pour revenir à la case départ, il faut reformater.

60
4.4.2. Autorisations sur les fichiers et dossiers

NTFS
Les autorisations NTFS permettent de définir les actions que vont pouvoir effectuer les
utilisateurs, groupes ou ordinateurs sur les fichiers.
4.4.2.1. Autorisations sur les fichiers

 Contrôle total : Dispose de toutes les autorisations de Modification avec la
prise de possession et la possibilité de modifier les autorisations du fichier.
 Modification : Permet de modifier, supprimer, lire et écrire les fichiers.
 Lecture et exécutions : Pe rme tdel irelesf i
chie rse td’exé cuterlesa pplica t
ions.
 Ecriture : Pe r
me td’é craserlef ic hier,dec hange rs esa t
tribut setd’a ffi
che rl e
propriétaire.
 Lecture : Pe rmetdel irel efichie r,d’a f
fichers esa ttri
buts ,sonpr opr iétai
ree tse
s
autorisations.
4.4.2.2. Autorisations sur les dossiers
 Contrôle total : Dispose de toutes les autorisations de « Modification » avec la

prise de possession et la possibilité de modifier les autorisations du dossier.
 Modification : Dispose de toutes les autorisations de « Ecriture » avec la
possibilité de supprimer le dossier.
 Lecture et exécutions : Pe r
me td’ a ff
icherlec ont enududos si
ere td’exé cut erl
es
applications.
 Ecriture : Permet de créer des fichiers et sous-dossiers, de modifier ses
attri
but se td’a f
ficherlepr opr i
é taire.
 Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propriétaire
et autorisations du dossier.
 Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.
4.4.3. Impact de la copie et du déplacement sur

les autorisations NTFS
Toutes les opérations de copie héritent des autorisations du dossier cible. Seul le
déplacement vers la même partition permet le maintien des autorisations.
Les fichiers déplacés depuis une partition NTFS vers une partition FAT perdent leurs
attributs et leurs descripteurs de sécurité.
Lesa ttr
ibutsdef ichi
erspe nda ntl acopi e/
dé placeme ntd’unf i
chie ràl
’i
nté
rie
urd’
une
partition ou entre deux partitions sont gérés de la façon suivante :
 Copi eràl ’intérieurd’ unepa rtit
ion:Cr éeunnouve auf ichi eride
nti
quea
ufi
chi
er
original. Il hérite des permissions du répertoire de destination.
 Déplaceràl ’i
ntérieurd’ unepa rt
iti
on:Nec r
éepa sunnouve auf i
chier.Ilya
seulement une mise à jour des pointeurs du dossier. Garde les permissions
appliqué
esàl ’
originea ufichier.

61
 Déplacer vers une autre partition : Crée un nouveau fichier identique à

l’
origi
na letdé trui
tlef ichi e
ror i
gi nal.Lenouve aufichierhé ri
tede s
permissions du répertoire de destination.
4 .4 .4. Pr
ése
ntat
iondel
’hé
rit
ageNTFS
Sur le système de fichiers NTFS de Windows 2003, les autorisations que vous accordez à
un dossier parent sont héritées et propagées à tous les sous-dossiers,e tlesf ichier
squ’ i
l
contient. Tous les nouveaux fichiers et dossiers créés dans ce dossier hériteront aussi de
ces permissions.
Pardéf
aut
,tout
eslesa
utori
sationsNTFSd’
undos
sie
rcr
éés
eronthéritées par les
doss
ier
setfi
chi
ersqu’
ilcontiendra.
Il est possible de bloquer cet héritage (pour des raisons de sécurité) afin que les
permissions ne soient pas propagées aux dossiers et aux fichiers contenus dans le
dossier parent.
Pourbl oquerl’
hé ritage des permissions, afficher les propriétés du dossier, allez dans
l’
ongletSé curi
té,pui scliquez sur le bouton « Paramètres avancés » désactiver la case à
cocher « Permettre aux autorisations
héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets
dont les entrées sontspécifiquement définies ici.».
Dans la nouvelle fenêtre, cliquez sur Copier si vous souhaitez garder les
autorisations précédemment héritées sur cet objet, ou alors cliquez sur Supprimer
afin de supprimer les autorisations héritées et ne conserver que les autorisations
explicitement spécifiées.
4 .4 .5. Identification des autorisations effectives

Lorsque vous accordez des autorisations à un utilisateur, à un groupe ou à un
f
utilisateur, il est parfois difi
cil
edes’yr etrouve ra ve cpa re xempl el e
sgroupes
auxquels un utilisateur peut appartenir et les autorisations héritées.
Lor squel ’ondé finitde sautorisations,i le

stposs iblequ’ unmê meut i
lisat
e ur
obtienne plusieurs autorisations différentes car il est membre de différents
groupes.
Da nsc ec as,lesa utor i
sati
onss ec umul e nteti
le nr ésult
el’a
utorisationsl aplusf
ort
e(e
x:
lecture + contrôle total contrôle total).
Lors
qu’unuti
li
sat
eurnes etrouvepa sda nsl aDACLdel ’
obj
et,i
ln’
aauc
unea
utorisation
des
sus.C’e
stuneautorisation « Refuser » implicite.
Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.
Les autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans
TOUS les cas (ex : contrôle total + refuser lecture La lecture sera bien refusée).

62
Lepr opriét
a ireal apos sibi
li
téd’
aff
ect
erl
esautor
isat
ionsqu’
ildési
resurt
ousle
s
fichiers dont il est le pr
oprié
tai
remêmesiiln’
apa sd’aut
ori
sat
ionscontr
ôlet
otal
dessus.
I
lestpos sibl
edevé rif
ierle spe rmi ssionse ffe
cti
ve sd’ unut i
lisa t
euràl ’ a
idedel
’ongl
et
Autorisations effectives de la fenêtre de paramètres de sécurité avancé.
4.4.6. Cumul des autorisations NTFS et des autorisations de

partage
Lor squ’unut il
isat
eure stsuje ta uss
ibi ena uxa utor i
sationsNTFSqu’ auxa utorisationsde
partage, ses pe rmissionseffec tivess’obt i
enne nte nc ombi nantleni ve a uma ximum
d’aut orisationsindé pendamme ntpourl esautorisationsNTFSe tpourl esa utori
sationsde
partage (ex : Lecture pour les autorisations de partage et modification pour les
autorisations NTFS). Une fois les deux autorisations définies, il suffit de prendre la plus
restrictive des deux. Exemple :Partage –lecture + NTFS –contrôle total lecture et
inversement
Partage –contrôle total + NTFS –lecture lecture
5. I
mpl
ément
ati
ondel
’impres
sion
5.
1.Présentati
ondel ’impr essi
ondansl
a
famile Windows Server 2003
5 . 1 . 1 . Ter
minol
ogi
edel
’impr
ess
ion
 Piloted’ impr essi
on:Logi c ielpe rme tt
a ntd’ impl éme ntersur
l’
or dinateurl elangagedec ommuni cationdel ’impr i
ma nt
e.
 Tâc hed’ impr essi
on:Toutdoc ume nt qui est envoyé pour être imprimé.
 Serve urd’ impr es
sion:Or di nateurc entr ali
sa ntl est â
c hesd’impr essi
one tgérant
lafiled’ attented’impre ssion.I lcont ientl epi loted’ impr i
ma ntepr opr
eàc ha
cun
despé r
iphé riquesd’impr es sionconnectés. Ce pilote est disponible dans la
version de chacun des clients qui vont utiliser le serveur pour demander des
tr
ava uxd’ impr e
ssion(Wi ndows95,98,NT,2000,2003,…) .
 Impr ima nte:C’ estl’i
nt erfac elogicie l
lequ’ ilyae ntrelepé ri
phé r
ique
d’impr essione tWi ndows .Conc rèteme nt,l ef il
ed’ a t
tentedupé r
iphéri
que
d’impr ession( ànepa sc onf ondrea ve cvot reEps onou votre Canon).
 Spoul eurd’impre ssion:Les pouleurd’ impressi

one stc hargéder ece voir ,
st
oc kere td’envoy erve rslebonpé ri
phé ri
qued’ i
mpr ession,lest âche s
d’impr essi
on.
 Filed’ at
tented’impr e ssi
on:C’ e s
tl’ens embledestâche sd’ i
mpr essionda nsleurs
ordred’ arr
ivée.
 Port Imprimante : Interface logique de communication avec le périphérique
d’impr essi
on.
 Périphé r
iqued’ i
mpr ession:C’ estlepé ri
phé r
iquephy sique réalisant les tâches
d’impr essi
on( c’
e stvotre Epson, votre ca non,…) .

63
5 . 1 . 2 . Fonc
tionnementdel
’impr
ess
ion
I
lexi
stede
uxmé
thode
sda
nsune
nvi
ronne
mentWi
ndows2003d’
impr
ime
r:
5.
1.2.
1.I
mpr
ess
ions
anss
erv
eurd’
impr
ess
ion
Dans ce cas, les di
ff
érent
scl
ient
sseconne
ctentdi
rec
tementàl
’i
mpr
ima
nter
ése
au(
cet
te
imprimante doit ê t
reéqui
péed’unec
a r
teré
seauint
égrée
).
Inconvénients de cette méthode:
 Cha cunde sc l
ie nt
shé be rge nts apr opr efiled’a t
tent e,impos sibledec onnaît
re
sa position par rapport aux autres clients.
 Le sme ssagesd’ erreurs ontr etour né sunique me ntve rslec l
ie ntdontl atâche
d’impr essione s tenc ours.
 Le spouling est réalisé sur le client et non pas sur le serveur ce qui engendre une
charge de travail supplémentaire sur le client.
5.
1.2.
2.I
mpr
ess
ionav
ecs
erv
eurd’
impr
ess
ion
Da nsc ecas,l
esdiffé
re ntsclientsseconne ctentviauns erveurd’impr e ss
i onquipe
ut
être lui-même connecté à une imprimante réseau ou directement relié au
pé ri
phé r
iqued’impression.
Avantages de cette méthode:
 Le serveur gère la distribution des pilotes aux clients.

 Laf i
led’a tt
entee stuni quepourt ousl e sc l
ientsquipe uve
ntdoncvoi rde
faç one f
fec t
ivel eurpos iti
onda nsl afiled’ att
e nte.
 Le sme ssage sd’ err
e ursontr e t
ourné ss urt ousl
es clients dont la tâche
d’impr es si
one stenc ours.
 Certains traitements sont transmis et réaliser directement par le serveur
d’impr es si
on.
5.
2.I
nst
alat
ionetpar
taged’
impr
imant
es
5 . 2 . 1 . Imprimantes locales et imprimantes réseau

Une imprimante locale est une imprimante qui va être directement reliée au serveur
d’
impr e
ss i
onpa runcâble de type USB ou parallèle (LPT)
Unei
mpr i
manter
ése
aues
tunei
mprimant
equivaê t
rere l
iéea us erve
urd’i
mpress i
onvi
a
l
’i
nfr
ast
ruct
ureré
sea
uetl
amiseenpla
ced’unprotocole réseau comme TCP/IP.

64
5.2.2. I
nst
alat
ionetpar
taged’
unei
mpr
imant
e
Vousde veza voirlesprivi
lègesd’Admi nist
rat
eura f
ind’aj
outerunei mpri
manteàvotre
ser
veur.L’ a
ssist
a ntd’Ajoutd’impr i
ma ntevousgui dependanttoutleproc
essusquivous
permett
radedé f
inirquelpér i
phériqued’ impressi
one s
tdisponi
ble,surquelportphy
sique
lepéri
phé r
iqued’ impressi
one stbranché ,quelpil
oteutil
iser
,ainsiquelenom du
péri
phériqued’ i
mpr es
s i
ons ouslequelils er
ac onnusurleréseau.
unei
Dans le cas d’ mpri
ma nter
ése
au,i
les
tné
ces
sai
redec
rée
runpor
tTCP/
IPa
vec
l
’adresseI Pdel ’
impri
ma nteré
sea
u.
Lepa r
taged’unei mpri
ma nt
esef aitdansl e
smê mesconditi
onsquel’
ajoutd’une
impri
ma nte,c’estàdi
requ’ilf
a utêtreAdmi ni
str
ate
ur.Unc li
cdroi
tsurl’impri
ma nt
e,
puisPropri
é t
és,làilf
autchois
irl’ongletPa rta
ge.Choisirl
enom departagede
l’
imprimantes urleré
seau,etensuiteajoutertouslespi
lotesnéc
essa
iresauxc l
ient
squi
vontutil
ise
rc ett
eimprimante(enc li
qua ntsur‘Pil
otessupplé
mentai
res
’)
5.
3.Aut
ori
sat
ionsd’
impr
imant
espar
tagées
I
lexi
stet
roi
sni
vea
uxd’
aut
ori
sat
ionspourdé
fini
rle
sac
cèsd’
unei
mpr
ima
ntepa
rta
gée:
 I
mpr es
sion:L’ ut
il
isa
teurpeutimprimerdesdocume nts.
 Gest
ionde sdocuments:L’util
isat
eurnepeutpas imprimer mais il peut gérer
complèt
eme ntlafi
led’at
tentedel’impr
essi
on.
 Gest
iond’impr i
mantes:Perme tdemodifi
erle
sa utori
sati
onsde
l
’impri
ma nte,degére
rlafiled’att
entee
td’impri
me r
.
Le principe de gestion de cette ACL est identique à la gestion des ACL du système de
fichiers NTFS.
5.4. Ges
tiondespi
lot
esd’
impr
imant
es
Windows 2003 Server offre le téléchargement automatique des pilotes pour les

65
clients qui tournent sous Windows 2003, Windows XP, Windows 2000, Windows
NT 4, Windows NT 3.51 et Windows 95/98
Cela est transmis au client via le partage administratif admin$ sur le serveur
d’
impr
ess
ion.
6. Admi
nis
trat
iondel
’impr
ess
ion
6.
1.Changementdel
’empl
acementdu
s
poul
eurd’
impress
ion
Lespouleurd’
impr
ess
ione
stune
xéc
utable prenant en charge la gestion de
l
’i
mpr es
sion.
Il effectue notamment les taches suivantes :
Gesti
ondel ’
e mpl
ace
me ntdespil
otesimprimant
es.
Récupér
ationdesdocume nts
,stockageetenvoiàl’
imprimant
e.
Pla
nifi
cati
ondut r
availd’impress
ion.
Par défaut
,lespouleurd’
impressionsetrouvedanslerépe
rtoi
resy
s t
èmeà
l’
empl acement
%SystemRoot%\System32\Spool\Printers.
Il peut être nécessaire de changer son emplacement pour des questions de

pe rforma nc esoud’ espace
disque.
Ene ffet,l ’accèsa uxf ichierssystème et au répertoire du spouleur simultanément réduit les
performances du serveur car la tête de lecture du disque va faire des allers-retours
incessants. De plus, des problèmes de fragmentation de fichiers pourraient apparaître sur
le disque au vu des écritures multiples.
Le déplacement du fichier du spouleur est aussi utile dans le simple cas de la saturation du
disque dur qui le contient. Il est aussi intéressant de pourvoir définir des quotas (en terme
de taille de fichier et non en terme de nombre d’ impr e
ssions)e nut ilisantl afonctionna li
té
dequot a sdus ystè medef ichiersNTFS.Pourc elailestindispe nsabled’ i
s olerlesfichiers
du spouleur sur un volume dédié. Pourf inir,unes i
mpl eimpl éme nt ationd’ uns ystèmede
disques durs à tolérance de pannes incite à déplacer les fichiers du spouleur. En prenant en
compt el ’ens embl edec esc ons i
dé r
a t
ions ,ile stcons ei
llédedé placerl esf ichie
rsdu
spouler sur un disque dédié possédant son propre contrôleur de disques.
Une fois la décision prise, il suffitd’a llerda nslepa nne audec onfigur a t
ion«I mpr ima ntes
et télécopieurs », puis dans le menu fichier et de cliquer sur « Propriétés de Serveur
d’impr ession» .Ens uitedans«Ava ncé» ,demodi fierlechamp«Dos s i
erdus pouleur» .
Une fois la modification effectuée, il vous suffit de redémarrer le spouleur (NET STOP
SPOOLER et NET START SPOOLER). I le strecomma ndéquel e stra vauxd’ impr ession
en cours soient finis avant de déplacer les fichiers du spouleur.

66
6.
2.Déf
ini
tiondespr
ior
itésd’
impr
imant
es
Le spr ioritésd’impr es si
onsontfi
xé e
se ncré
a ntplusieur
simprimanteslogique squi
pointent vers le même pé ri
phéri
qued’ i
mpressione tenleurassi
gnantindividue lleme ntde s
priorités. L’ éc
hellede spr i
ori
tésvade1( laplusfaible,pardéfa
ut)à99, la plus forte. Il
faut ensuite limiter via l
’ongl
etsécuri
tél’
uti
lisat
iondec hac
unede simprima ntesa uxbons
utilisateurs. Pourme ttr
ee npla
celesprior
ité
sd’ unei mprimante
,ilsuffi
tdes ere ndreda ns
l’ongl etAva ncé,pui sder empli
rlazone‘Priorit
é’a veclavale
urvoulue.
6.3. Planification de la disponibilité d e s

imprimantes
Afindepouvoi rre l
a yerunc er
tainnombr ed’ i
mpr essionsàde spla geshor airespr é c
ise
s
(des gros travaux d’impr e
ssionquel ’
ons ouha i
teréalise
rlanui t),ilestpossible de
spéc i
fierda nslespr opri
étésdel ’
impr ima nt eunepl agehorairededi sponibilitéqui
permettra à tous les documents envoyés à cette imprimante (et ce, quelque soit le
moment de la journée) de pouvoir être réalisés uniquement pendant la plage horaire de
disponi bilit
édel ’impr imante.
Il est conseillé lors de la mise en place de la planification de la disponibilité de

l’imprimantedec r
é erdeuximpr i
ma nt
espoi nta
ntverslemê mepé riphériqued’i
mpr e ss
ion
etder estr
eindr el’accèsdec et
teimpr i
ma nte àl
’ai
dedel ’
ongl etsécuri
té.
6.
4.Conf
igur
ati
ond’
unpoold’
impr
ess
ion
Sivousa vezdegr ossescharge
sd’ impr
essi
on,vouspouve zut i
liserunoupl usi
e urs
pé ri
phé riquesd’ impre ss
ionident
iquespournef ai
requ’unei mpr ima ntel ogi
que.C’ es
t
le Print Pooling (Pool d’i
mpressi
on).Lepoold’impressionnec ompor tepa s
né cessaireme ntquede spé r
iphéri
quesd’i
mpre s
sionlocaux, il peut aussi comporter des
pé ri
phé riquesd’ impre ss
ionmuni sdecar
te(interf
ace)résea u.
Quandunt r avai
ld’ i
mpr e
ssi
onse r
aréc
epti
onné par le serveur, alors, il sera envoyé au
premier périphérique d’
impres
sionquise
radisponi ble .
Pourc réerunpoold’ impre

ssi
on,ilfa
utserendredansl’onglet«Por t» ,pui sc lique rsurl a
case « Activer le poold’i
mpri
ma nte»etilner
estepl
usqu’àchoisir sur quels ports sont connectés
les périphériques d’
impr
ess
ion.
Références :
 Cours de support de Microsoft Windows NT, septembre 1997
 www..laboratoire-microsoft.org
 www.supinfo.com
 www.ybet.be
 www.ens-lyon.fr

Cours Administration Reseaux Sous Windows PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Administration Reseaux Sous Windows PDF

Transféré par

Droits d'auteur :

Formats disponibles

1

Dispensé en 2éme licence Informatique

Année académique 2007-2008

Période du 12 au 17 mai 2006

Chap III. ADMINISTRATION DES RESEAUX WINDOWS. : Cas de windows 2003

1.1 Environnement Windows 2003 server

Période du 12 au 17 mai 2006

2 . 1 . 1 . Pr és ent at iondescompt esd’ ut ilisat eur s

Période du 12 au 17 mai 2006

5. 1.Pr ésent ationdel ’impr essi ondansl af a m i l l e W i n d o w s S e r v e r

Année académique 2007-2008

Période du 12 au 17 mai 2006

Chap 1.RAPPEL ET GENERALITE SUR LES RESEAUX

Que signifie Réseau ?

Pourquoi les réseaux ?

Pour arriver à se communiquer aisément, il faut définir des normes de

Chaque couc hedumodè lerepr ésenteunec at é

2. Description des 7 couches :

Année académique 2007-2008

Période du 12 au 17 mai 2006

... et ainsi de suite ... jusqu'au paquet final

chaque couche ajoute donc sa propre en-tête à l'information d'origine. Ce procédé

2.2 La couche physique ( couche 1)

S’ occ uperde spr oblème ss trict

Année académique 2007-2008

Période du 12 au 17 mai 2006

2.3 La couche de liaison de données (couche 2)

2.3.1 - Les rôles de la couche 2

2.3.2 - L'adressage des machines

Pour la couche 2, ce sont les adresses MAC.

2.3.3 - Le protocole Ethernet

Le protocole Ethernet définit le format des messages échangés. Le message de base

2.3.4 - Format d'une trame Ethernet

Année académique 2007-2008

Période du 12 au 17 mai 2006

L'adresse MAC source est l'adresse de la machine qui envoi la trame.

2.3.5 - Dialogue entre deux machines

Qu’ estcequis epa ssequa ndi lf

2.4 La couche réseau (couche 3)

2.4.1 - Les rôles de la couche 3

2.4.2 - Quelles adresses pour la couche 3 ?

2.4.2.1 - L'identification des machines

Période du 12 au 17 mai 2006

exigerait un temps de réponse énorme pour parcourir cette table.

Pour répondre à cette problématique, on a segmenté cet énorme réseau en différents

On a ainsi la notion de masque qui se définit comme un séparateur entre la partie

Il est nécessaire de différencier les adresses de couche 2 et de couche 3, car l'adressage

2.5. La couche 4 transport

La couche transport doit normalement permettre à la machine source à communiquer

Année académique 2007-2008

Période du 12 au 17 mai 2006

2.6 La couche 5 session.

2.7 La couche 6 présentation

2.8 La couche 7 applications

Chaque machine est reliée à toutes les autres par un câble.

Il exige beaucoup de câbles.

Année académique 2007-2008

Période du 12 au 17 mai 2006

Technique de câblages actuels

On utilise un câblage semblable à première vue à un câblage en étoile.

Année académique 2007-2008

Période du 12 au 17 mai 2006

1. une bonne reprise après panne