Vous êtes sur la page 1sur 782

WINDOWS

SERVER 2008 ®

Volume 1
Installation et mise en réseau

Charlie Russel
Sharon Crawford

Adapté de l’américain par :


Bénédicte Volto et Véronique Warion
Les programmes figurant dans ce livre, et éventuellement sur la disquette ou le CD-ROM
d’accompagnement, sont fournis gracieusement sous forme de code source, à titre d’illustration.
Ils sont fournis en l’état sans garantie aucune quant à leur fonctionnement une fois compilés,
assemblés ou interprétés dans le cadre d’une utilisation professionnelle ou commerciale. Ils peuvent
nécessiter des adaptations et modifications dépendant de la configuration utilisée. Microsoft Press
ne pourra en aucun cas être tenu responsable des préjudices ou dommages de quelque nature que
ce soit pouvant résulter de l’utilisation de ces programmes.

Tous les efforts ont été faits pour fournir dans ce livre une information complète et exacte à la date
de la parution. Néanmoins, Microsoft Press n’assume de responsabilités ni pour son utilisation, ni
pour les contrefaçons de brevets ou atteintes aux droits de tierces personnes qui pourraient résulter
de cette utilisation.

Microsoft, Microsoft Press, Access, Active Directory, ActiveX, Aero, BitLocker, ESP, Excel,
Expression, Hyper-V, IntelliMirror, Internet Explorer, Jscript, MSDN, MS-DOS, OneNote,
Outlook, SharePoint, SQL Server, Visual Basic, Win32, Windows, Windows Logo, Windows
Media, Windows NT, Windows PoweShell, Windows Server, et Windows Vista sont soit des
®
marques déposées, soit des marques de Microsoft Corporation aux États-Unis ou/et d’autres
pays.
®
Copyright 2008 by Microsoft Corporation.

Original English language edition Copyright © 2008 by Charlie Russel and Sharon Crawford.
All rights published by arrangement with the original publisher, Microsoft Press, a division of
Microsoft Corporation, Redmond, Washington, U.S.A.
®
Titre U.S. : MICROSOFT WINDOWS SERVER 2008 - Administrator’s Companion
ISBN U.S. : 978-0-7356-2505-1

Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur


ou de ses ayants droit ou ayants cause est illicite selon le Code de la propriété intellectuelle
(Art L 122-4) et constitue une contrefaçon réprimée par le Code pénal. • Seules sont autorisées (Art
L 122-5) les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées
à une utilisation collective, ainsi que les analyses et courtes citations justifiées par le caractère
critique, pédagogique ou d’information de l’œuvre à laquelle elles sont incorporées, sous réserve,
toutefois, du respect des dispositions des articles L 122-10 à L 122-12 du même Code,
relatives à la reproduction par reprographie.

Édition et diffusion de la version française : Dunod


Distribution : Hachette Livre Distribution
Couverture : Agence SAMOA
Adapté de l’américain par : Bénédicte Volto et Véronique Warion
Mise en page : Arclemax
ISBN : 978-2-10-055201-6
Sommaire

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i

Partie I
Préparation

1 Présentation de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . .3


Une attente justifiée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Virtualisation du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Services de domaine Active Directory redémarrables . . . . . . . . . . . . 6
Stratégies de mots de passe granulaires . . . . . . . . . . . . . . . . . . . . . . . . 6
Outil d’extraction de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Passerelle des services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . 7
Terminal Services RemoteApp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Terminal Services Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Terminal Services Session Broker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Mode maintenance des services Terminal Server . . . . . . . . . . . . . . . . 8
Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Arrêt des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Autres fonctionnalités de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Randomisation du chargement de l’espace d’adressage . . . . . . . . . . 9
Chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Protection d’accès réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Versions de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Sommaire

2 Présentation des services d’annuaire . . . . . . . . . . . . . . . . . . . . . . . 13


Pourquoi des services d’annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Active Directory dans Microsoft Windows Server 2008 . . . . . . . . . . . . . . . . 15
Terminologie et concepts d’Active Directory . . . . . . . . . . . . . . . . . . . 16
Architecture Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Formats de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Modèle de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Mise en œuvre du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Modèle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Contextes d’attribution de noms et partitions . . . . . . . . . . . . . . . . . . 22
Catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3 Planification de l’espace de noms et des domaines . . . . . . . . . . . 25


Analyser les besoins en termes de conventions de noms . . . . . . . . . . . . . . 25
Arborescences et forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Définir une convention de nommage . . . . . . . . . . . . . . . . . . . . . . . . . 27
Déterminer la résolution de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Planifier une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Domaines et unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Concevoir une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . 34
Indications sur la sécurité du domaine . . . . . . . . . . . . . . . . . . . . . . . . 35
Créer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Planifier plusieurs domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Planifier un espace de noms contigu . . . . . . . . . . . . . . . . . . . . . . . . . 37
Déterminer le besoin d’une forêt à plusieurs arborescences . . . . . . 37
Créer la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4 Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Fonctionnement de l’informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Identifier les besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Élaborer un cahier des charges précis . . . . . . . . . . . . . . . . . . . . . . . . . 41
Anticiper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Analyser les systèmes existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Documenter le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Sommaire

Élaborer un schéma directeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45


Définir les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Évaluer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Partie II
Installation et configuration

5 Démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Configuration système minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Concevoir un environnement de déploiement . . . . . . . . . . . . . . . . . . . . . . . 53
Choisir une méthode d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Automatiser le déploiement d’un serveur . . . . . . . . . . . . . . . . . . . . . 61
Installer et configurer les services de déploiement Windows . . . . . 63
Ajouter des images supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . 69
Dépanner des installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Échec du démarrage à partir d’un point
de distribution du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Fichier corrompu lors de l’installation . . . . . . . . . . . . . . . . . . . . . . . . . 74
Impossibilité de trouver un disque dur . . . . . . . . . . . . . . . . . . . . . . . . 75
Erreurs STOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

6 Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . 77


Mettre la matrice à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Éléments communs à mettre à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Phases préalables à la mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Support matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Support logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Préparer les domaines et les ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Mettre les clients à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Effectuer la mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 87
Niveaux fonctionnels de forêt et de domaine . . . . . . . . . . . . . . . . . . 92
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Sommaire

7 Configuration d’une nouvelle installation . . . . . . . . . . . . . . . . . . . 93


Vue d’ensemble des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Première ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configurer le matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Configurer les informations de base sur l’ordinateur . . . . . . . . . . . . . . . . . . 97
Définir le fuseau horaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configurer le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Définir le nom de l’ordinateur et le domaine . . . . . . . . . . . . . . . . . 101
Paramètres de mises à jour et des rapports d’erreurs . . . . . . . . . . . . . . . . . 104
Activer les mises à jour et l’envoi de rapports d’erreurs . . . . . . . . . 104
Obtenir des mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Personnaliser le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Ajouter la fonctionnalité Windows PowerShell . . . . . . . . . . . . . . . . 111
Activer le Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configurer le Pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Quitter l’Assistant Tâches de configuration initiales . . . . . . . . . . . . . . . . . . 117
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

8 Installation des rôles de serveurs et des fonctionnalités . . . . . . 119


Définition des rôles de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Ajouter et supprimer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Ajouter un rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Supprimer un rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Ajouter et supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Ajouter des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Ajouter et supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Ajouter des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

9 Installation et configuration de Server Core . . . . . . . . . . . . . . . . 147


Avantages d’une installation Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Installer Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Sommaire

Configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150


Installer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Gérer un ordinateur Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Exploiter WinRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Exploiter Terminal Services RemoteApp . . . . . . . . . . . . . . . . . . . . . . 162
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

10 Gestion des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165


Planifier le déploiement d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Convention de dénomination pour les imprimantes . . . . . . . . . . . 166
Convention de dénomination pour les emplacements . . . . . . . . . 167
Créer un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Activer le suivi des emplacements des imprimantes . . . . . . . . . . . . . . . . . . 169
Migrer des serveurs d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Exploiter l’Assistant Migration d’imprimante . . . . . . . . . . . . . . . . . . 172
Utiliser la ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Installer des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Déployer des imprimantes via la Stratégie de groupe . . . . . . . . . . . . . . . . 176
Ajouter PushPrinterConnections via la Stratégie de groupe . . . . . 177
Gérer les tâches d’impression à partir de Windows . . . . . . . . . . . . . . . . . . 179
Arrêter temporairement des tâches d’impression . . . . . . . . . . . . . . 179
Annuler des tâches d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Redémarrer une tâche d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 179
Changer la priorité d’une tâche d’impression . . . . . . . . . . . . . . . . . 180
Déplacer des tâches d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Gérer des imprimantes en ligne de commandes . . . . . . . . . . . . . . . . . . . . . 181
Définir les options de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Modifier les priorités de groupes et la disponibilité
des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Spécifier une page de séparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Modifier le spoulage d’impression par imprimante . . . . . . . . . . . . . . . . . . 186
Spouler l’impression des documents
pour qu’elle se termine plus rapidement . . . . . . . . . . . . . . . . . . . . . 186
Imprimer directement sur l’imprimante . . . . . . . . . . . . . . . . . . . . . . 186
Conserver les documents non conformes . . . . . . . . . . . . . . . . . . . . 186
Imprimer d’abord les documents présents
dans le spouleur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Conserver les documents imprimés . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Modifier le spoulage sur un serveur d’impression . . . . . . . . . . . . . . . . . . . . 187
Sommaire

Optimiser les performances du serveur d’impression . . . . . . . . . . . . . . . . . 187


Déplacer le dossier du spoulage d’impression . . . . . . . . . . . . . . . . . 188
Gérer les pilotes d’imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Créer des pools d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Se préparer en cas d’échec du serveur d’impression . . . . . . . . . . . . . . . . . 190
Dépanner les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Côté serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Côté client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

11 Gestion des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . 197


Généralités sur les groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Affecter des étendues de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Planifier les unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Créer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Déplacer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Supprimer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . 202
Planifier une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Déterminer les noms des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Groupes globaux et de domaine local . . . . . . . . . . . . . . . . . . . . . . . 203
Groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Mettre une stratégie de groupe en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Créer des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Supprimer des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Ajouter des utilisateurs à un groupe . . . . . . . . . . . . . . . . . . . . . . . . . 205
Gérer les groupes par défaut et les droits utilisateur . . . . . . . . . . . . . . . . . 208
Groupes locaux intégrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Groupes de domaine local prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . 210
Groupes globaux prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Définir les droits utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Affecter des droits utilisateur à un groupe . . . . . . . . . . . . . . . . . . . . 217
Créer des comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Nommer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Options des comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Créer un compte utilisateur de domaine . . . . . . . . . . . . . . . . . . . . . 221
Créer un compte utilisateur local . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Configurer les propriétés d’un compte utilisateur . . . . . . . . . . . . . 222
Tester les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Sommaire

Gérer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224


Localiser un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Désactiver et activer un compte utilisateur . . . . . . . . . . . . . . . . . . . 225
Supprimer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Déplacer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Renommer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Réinitialiser le mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Déverrouiller un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Dossiers de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Créer des dossiers de base sur un serveur . . . . . . . . . . . . . . . . . . . . 228
Donner accès aux dossiers de base aux utilisateurs . . . . . . . . . . . . 229
Profils utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Profils locaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Profils itinérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Profils obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Affecter un script d’ouverture de session
à un profil utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

12 Gestion des ressources de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 239


Autorisations de partage et autorisations de fichiers . . . . . . . . . . . . . . . . . 240
Autorisations de partage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Autorisations de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Autorisations NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Signification des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Fonctionnement des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Configurer les autorisations de dossiers . . . . . . . . . . . . . . . . . . . . . . 247
Attribuer des autorisations aux fichiers . . . . . . . . . . . . . . . . . . . . . . . 247
Configurer des autorisations spéciales . . . . . . . . . . . . . . . . . . . . . . . 248
Notion de propriété et son fonctionnement . . . . . . . . . . . . . . . . . . 250
Dossiers partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Gestion du partage et du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Ligne de commandes : Net Share . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Publier des partages dans Active Directory . . . . . . . . . . . . . . . . . . . 256
Système de fichiers distribués . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Terminologie DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Configuration minimale sur le serveur d’espaces de noms . . . . . . 260
Configuration minimale sur le client de l’espace de noms . . . . . . 260
Sommaire

Réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261


Installer Gestion du système de fichiers distribués DFS . . . . . . . . . 263
Créer ou ouvrir une racine d’espace de noms . . . . . . . . . . . . . . . . . 264
Ajouter des serveurs d’espaces de noms . . . . . . . . . . . . . . . . . . . . . 266
Ajouter des dossiers DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Modifier les paramètres avancés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Sauvegarder et restaurer les cibles de dossiers DFS . . . . . . . . . . . . 270
Exploiter Réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

13 Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281


Nouveautés de Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Composants de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Objets de la stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Ordre de mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Ordre d’héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Créer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 284
Modifier un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . 284
Supprimer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . 285
Localiser un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . 285
GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Préférences de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 288
Utiliser les préférences de la stratégie de groupe
pour Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Configurer les options communes . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Utiliser les préférences de la stratégie de groupe
pour le Panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Déléguer des autorisations sur les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Déléguer l’autorisation de créer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Déléguer l’autorisation de lier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Déléguer l’autorisation de modifier, supprimer
ou changer la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Désactiver une branche de GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Actualiser la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Sauvegarder un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 338
Restaurer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Restreindre la redirection des dossiers
avec la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Rediriger vers un même emplacement . . . . . . . . . . . . . . . . . . . . . . . 339
Sommaire

Rediriger par appartenance de groupe . . . . . . . . . . . . . . . . . . . . . . 340


Supprimer la redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Utiliser le Jeu de stratégie résultant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Exécuter une requête Jeu de stratégie résultant . . . . . . . . . . . . . . . 342
Jeu de stratégie résultant de journalisation . . . . . . . . . . . . . . . . . . . 343
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Partie III
Administration du réseau

14 Gestion des tâches quotidiennes . . . . . . . . . . . . . . . . . . . . . . . . . 347


Contrôle de compte d’utilisateur et administration . . . . . . . . . . . . . . . . . . 347
Mode d’approbation d’administrateur . . . . . . . . . . . . . . . . . . . . . . . 348
Contrôle de compte d’utilisateur et virtualisation
du Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Désactiver les aspects du Contrôle de compte d’utilisateur . . . . . 349
Désactiver le Contrôle de compte d’utilisateur . . . . . . . . . . . . . . . . 352
Exploiter la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Définir les options de la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . 353
Créer une console MMC avec des composants
logiciels enfichables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Exploiter l’Assistant Nouvelle vue de la liste des tâches . . . . . . . . . 355
Distribuer et exploiter des consoles . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Exploiter la MMC pour l’administration à distance . . . . . . . . . . . . . 356
Définir la stratégie d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Catégories d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Auditer les événements du service d’annuaire . . . . . . . . . . . . . . . . 362
Activer l’audit des objets Services de domaine
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Définir la stratégie d’audit globale . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Activer l’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Exploiter l’Observateur d’événements . . . . . . . . . . . . . . . . . . . . . . . . 370
Gérer les journaux d’événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Exploiter le Planificateur de tâches . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Exploiter la commande AT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Déléguer des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Sommaire

15 Administration par les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383


Introduction à Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Fonctionnement de Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
L’interpréteur PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Cmdlets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Infrastructure Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
.NET Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Windows Management Instrumentation (WMI) . . . . . . . . . . . . . . . 402
Windows Remote Management (WinRM) . . . . . . . . . . . . . . . . . . . . 404
COM (Component Object Model) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Créer des fenêtres contextuelles et des boîtes de saisie . . . . . . . . . 405
Exploration de PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Get-Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Get-Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Get-Member . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Affichage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Jeux de paramètres et paramètres positionnels . . . . . . . . . . . . . . . 412
Charger un composant logiciel enfichable . . . . . . . . . . . . . . . . . . . . 414
Bases de l’écriture de scripts PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Créer un script .ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Chaînes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Chaînes Here . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Caractères génériques et expressions régulières . . . . . . . . . . . . . . . 421
Tableaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Tables de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Opérateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Instructions conditionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Instructions de bouclage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Importer vers et exporter depuis d’autres fichiers . . . . . . . . . . . . . 430
Contrôle du flux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Mettre les cmdlets en forme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Quitter les scripts, les fonctions et les boucles . . . . . . . . . . . . . . . . . 434
Source-point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Passer des arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Sommaire

Instruction Param . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436


$_ et $input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Gérer les erreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Opérateurs de redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Accélérateurs de saisie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Caractères d’échappement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Exemples Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Tâches sur le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Tester l’existence d’un fichier ou d’un répertoire . . . . . . . . . . . . . . 443
Cmdlets de sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . 444
Exemple de gestion de Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Support XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
FTP (File Transfer Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Télécharger un fichier avec HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Envoyer un courriel via SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Compresser des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
PowerShell et les dates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Minuterie/compte à rebours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Récupérer l’entrée de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Stocker des informations sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . 451
Consultez les services et les processus . . . . . . . . . . . . . . . . . . . . . . . 452
Consulter le journal d’événements Windows . . . . . . . . . . . . . . . . . . 453
Collecter les informations sur la mémoire et le processeur . . . . . . 455
Accéder aux compteurs de performance . . . . . . . . . . . . . . . . . . . . . 456
Vérifier l’utilisation de l’espace disque . . . . . . . . . . . . . . . . . . . . . . . 458
Exploiter le registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Copier des fichiers dans un autre répertoire . . . . . . . . . . . . . . . . . . 459
Alterner les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Renommer les fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Planifier des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Exécuter des commandes sur plusieurs cibles . . . . . . . . . . . . . . . . . 462
Créer des données XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Vérifier les ports ouverts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Head, Tail, Touch et Tee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

16 Installation et configuration des services d’annuaire . . . . . . . . . 467


Active Directory dans Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . 467
Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 468
Sommaire

Services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468


Services AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Services AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Services de certificats Active Directory . . . . . . . . . . . . . . . . . . . . . . . 473
Installer les services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . 473
Conditions préalables à l’installation des services
de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Installer les services AD DS avec l’Assistant Installation
des services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Compatibilité du système d’exploitation . . . . . . . . . . . . . . . . . . . . . 477
Configuration du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Nommer le domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Définir les niveaux fonctionnels Windows Server 2008 . . . . . . . . . 480
Emplacements de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Terminer l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Ajouter un contrôleur de domaine à un domaine existant . . . . . . 484
Vérifier l’installation des services AD DS . . . . . . . . . . . . . . . . . . . . . . 484
Options avancées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Installer à partir d’un support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Installation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Désinstaller les services de domaine Active Directory . . . . . . . . . . 489
Installer et configurer des contrôleurs de domaine en lecture seule . . . . 491
Définition des contrôleurs de domaine en lecture seule . . . . . . . . 492
Intérêt des contrôleurs de domaine en lecture seule . . . . . . . . . . . 493
Déléguer l’installation et l’administration d’un contrôleur
de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Configurer des stratégies de réplication de mot de passe . . . . . . . 495
Gérer les services AD DS avec Utilisateurs
et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
Afficher les objets AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Créer un objet ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Configurer des objets ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Gérer un ordinateur à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Publier un dossier partagé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Publier une imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Déplacer, renommer et supprimer des objets . . . . . . . . . . . . . . . . . 505
Gérer les services AD DS avec Domaines
et approbations Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Démarrer Domaines et approbations Active Directory . . . . . . . . . 506
Sommaire

Gérer les relations d’approbation de domaines . . . . . . . . . . . . . . . 506


Spécifier le gestionnaire du domaine . . . . . . . . . . . . . . . . . . . . . . . . 509
Configurer les suffixes UPN pour une forêt . . . . . . . . . . . . . . . . . . . 509
Exploiter Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 510
Vue d’ensemble des sites Active Directory . . . . . . . . . . . . . . . . . . . . 512
Réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Démarrer Sites et services Active Directory . . . . . . . . . . . . . . . . . . . 515
Installer et configurer les services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Vue d’ensemble des services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . 521
Fonctionnalités AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Configurer des instances et les partitions d’applications . . . . . . . . 523
Gérer les services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Configurer la réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Configurer la synchronisation AD DS et AD LDS . . . . . . . . . . . . . . . 532
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

17 Gestion d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535


Maintenir la base de données AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Stockage des données AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Recyclage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Défragmentation en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Services AD DS redémarrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
Défragmentation hors ligne de la base de données AD DS . . . . . 539
Déplacer la base de données et les journaux de transactions . . . . 540
Sauvegarder AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Intérêts de la sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Fréquence de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Sauvegarder les services AD DS avec Sauvegarde
de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Restaurer AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Supprimer des contrôleurs de domaine d’Active Directory
avec Ntdsutil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Effectuer une restauration ne faisant pas autorité
d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Effectuer une restauration faisant autorité
d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Gérer le schéma AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Conditions requises pour modifier le schéma AD DS . . . . . . . . . . . 553
Démarrer Schéma Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Sommaire

Modifier le schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554


Gérer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . 560
Transférer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . 564
Forcer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . 565
Auditer AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Configurer la stratégie d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Activer l’audit des modifications Active Directory . . . . . . . . . . . . . . 570
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572

18 Administration de TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573


Utiliser DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Concevoir des réseaux DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Ajouter le rôle Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Créer une nouvelle étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
Autoriser le serveur DHCP et activer les étendues . . . . . . . . . . . . . 589
Ajouter des réservations d’adresses . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Redondance de serveurs DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
Paramétrer un agent relais DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
Administrer DHCP à partir de la ligne de commandes . . . . . . . . . . 595
Utiliser un serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Configurer un serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
Créer des sous-domaines et déléguer l’autorité . . . . . . . . . . . . . . . 602
Ajouter des enregistrements de ressources . . . . . . . . . . . . . . . . . . . 604
Configurer les transferts de zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Interagir avec d’autres serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . 608
Configurer un redirecteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Configurer un serveur WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612

19 Mise en œuvre de la gestion des disques . . . . . . . . . . . . . . . . . . . 613


Terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Vue d’ensemble de Gestion des disques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
Gestion à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Disques dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Ajouter un nouveau disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Partitions et volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Créer un volume ou une partition . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Sommaire

Créer des partitions étendues et des lecteurs logiques . . . . . . . . . 629


Convertir un disque en disque dynamique . . . . . . . . . . . . . . . . . . . 630
Convertir un disque en disque GPT . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Modifier la taille d’un volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Ajouter un miroir à un volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Définir des quotas de disques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Activer les quotas sur un disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Définir des quotas par utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
Importer et exporter des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
Activer le chiffrement de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646

20 Gestion du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647


Gestionnaire de ressources du serveur de fichiers . . . . . . . . . . . . . . . . . . . . 647
Installer et configurer le Gestionnaire de ressources
du serveur de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
Planifier les rapports de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Quotas de répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
Filtrer les fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Tour d’horizon du Gestionnaire SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
Concepts et terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Installer le Gestionnaire de stockage pour réseau SAN . . . . . . . . . 670
Exploiter la console Gestionnaire de stockage
pour réseau SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Gérer les connexions aux serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Gérer les cibles iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Gérer la sécurité iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Se connecter aux cibles iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Créer et déployer des LUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Étendre un LUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Stockage amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Concepts et terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Exploiter et gérer le stockage amovible . . . . . . . . . . . . . . . . . . . . . . 688
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692

21 Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Qu’est-ce qu’un cluster ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Clusters d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . 694
Clusters avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
Sommaire

Nouvelles fonctionnalités du cluster


avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Windows Server 2008 Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696
Scénarios de clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Serveur web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Applications et services cruciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Pré-requis et planification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Identifier et évaluer les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Identifier une solution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Identifier et évaluer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Créer des listes de vérifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Clusters d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Concepts de l’équilibrage de la charge réseau . . . . . . . . . . . . . . . . 700
Choisir un modèle de cluster NLB . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Créer un cluster d’équilibrage de la charge réseau . . . . . . . . . . . . . 703
Planifier la capacité d’un cluster d’équilibrage
de la charge réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
Tolérance de pannes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
Optimiser un cluster à équilibrage de la charge réseau . . . . . . . . . 710
Clusters avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
Concepts du cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . 711
Types de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Définir le basculement et la restauration . . . . . . . . . . . . . . . . . . . . . 716
Configurer un cluster avec basculement . . . . . . . . . . . . . . . . . . . . . 717
Planifier la capacité d’un cluster avec basculement . . . . . . . . . . . . 719
Créer un cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Clusters HPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
Introduction
« Pour améliorer il faut changer ; pour obtenir la perfection, il faut changer souvent » –
Winston Churchill.
Le changement est inévitable, constant et indispensable. Que vous soyez ou non de cet avis,
il vous faut accepter que toute amélioration exige changement. Même si la mise à niveau des
serveurs et des clients représente une tâche importante pour un administrateur, elle constitue
également l’opportunité d’améliorer les fonctions du réseau. Windows Server 2008 contient
nombre d’outils destinés à vous aider à changer pour le meilleur.

La famille Windows Server 2008


Windows Server existe dans cinq versions principales, dont trois sont disponibles sans
Windows Server Hyper-V, soit un total de huit éditions :
■ Windows Server 2008 Standard
■ Windows Server 2008 Enterprise
■ Windows Server 2008 Datacenter
■ Windows Server 2008 for Itanium-Based Systems
■ Windows Web Server 2008
■ Windows Server 2008 Standard without Hyper-V
■ Windows Server 2008 Enterprise without Hyper-V
■ Windows Server 2008 Datacenter without Hyper-V

Le tableau ci-après décrit les fonctionnalités disponibles dans les cinq versions principales.
Service de gestion
de déploiement

Terminal Server
et Applications

des droits AD

réseau (NAP)
Gestionnaire

Information
Services 7.0
Server Core

de serveur

Protection
Passerelle

de l’accès
Windows

distantes

Hyper-V
Services

Internet

Édition
Standard Oui Oui Oui Oui Oui Oui Oui Oui
Enterprise Oui Oui Oui Oui Oui Oui Oui Oui
Datacenter Oui Oui Oui Oui Oui Oui Oui Oui
Web Oui Non Oui Non Non Non Non Oui
Itanium Non Non Oui Non Non Non Non Oui

i
ii Introduction

Le tableau suivant fournit quelques indications quant à la configuration matérielle minimale.


La configuration réelle varie selon le système et plus particulièrement selon les applications et
fonctionnalités employées. Les performances du processeur dépendent non seulement de la
fréquence d’horloge du processeur, mais également du nombre de cœurs de processeur et de
la taille du cache de processeur. L’espace disque requis pour la partition système est
approximatif. Ces estimations varient pour les systèmes d’exploitation basés sur un
processeur Itanium ou x64. Un espace disque supplémentaire peut être requis si vous
installez le système sur un réseau.

Composant Configuration
Processeur Minimale : 1 GHz (pour processeurs x86) ou 1,4 GHz
(pour processeurs x64)
Recommandée : 2 GHz ou plus rapide.
Mémoire Minimale : 512 Mo
Recommandée : 2 Go ou plus
Optimale : 2 Go pour une installation complète ou 1 Go
pour une installation Server Core
Maximale pour les systèmes 32 bits : 4 Go (Standard)
ou 64 Go (Enterprise et Datacenter)
Maximale pour les systèmes 64 bits : 32 Go (Standard)
ou 2 To (Enterprise, Datacenter et systèmes Itanium)
Espace disque Minimale : 10 Go
requis Recommandée : 40 Go ou plus
Les ordinateurs disposant de plus de 16 Go de RAM peuvent avoir besoin
d’un espace disque supplémentaire pour les fichiers de pagination,
de mise en veille prolongée et d’image mémoire
Lecteur DVD-ROM
Écran Super VGA (800 x 600) ou résolution supérieure
Autres Clavier, souris ou autre périphérique de pointage

Remarque Un processeur Intel Itanium 2 est requis pour Windows Server 2008
Itanium.

Nouveautés de Windows Server 2008


Windows Server 2008 s’accompagnent évidemment d’un large panel de nouvelles
fonctionnalités, dont certaines ne sont pas explicites de prime abord et exigent quelques
éclaircissements :
■ Le Gestionnaire de serveur, une forme développée de la console MMC, rassemble dans
une unique interface les fonctionnalités de configuration et d’analyse du serveur,
Introduction iii

associées à des assistants qui simplifient et rationalisent les tâches classiques de gestion
du serveur.
■ Windows PowerShell, un nouvel interprétateur en ligne de commandes optionnel et
un nouveau langage d’écriture de script, grâce auquel les administrateurs automatisent
les tâches routinières d’administration du système sur plusieurs serveurs.
■ Les extensions des préférences de la Stratégie de groupe permettent de configurer des
paramètres plus simples à déployer et à gérer que les scripts d’ouverture de session.
■ Le Moniteur de fiabilité et de performances propose des outils de diagnostic offrant
une visibilité continue, à la fois physique et virtuelle, de l’environnement du serveur
qui mettent en évidence et résolvent rapidement les problèmes.
■ L’administration de serveur et la réplication des données optimisées accentuent le
contrôle sur les serveurs distants.
■ Server Core propose des installations minimales où seuls les rôles et fonctionnalités de
serveur nécessaires sont installés, réduisant ainsi les besoins en maintenance et la
surface d’attaque du serveur.
■ Les assistants du clustering avec basculement simplifient la mise en œuvre des
solutions haute disponibilité. IPv6 (Internet Protocol version 6) est maintenant
entièrement intégré.
■ La nouvelle Sauvegarde de Windows Server incorpore une technologie de sauvegarde
plus rapide et simplifie la restauration des données et du système d’exploitation.
■ Windows Server 2008 Hyper-V permet de virtualiser les rôles de serveur sous forme de
machines virtuelles (VM, virtual machine) séparées s’exécutant sur un unique
ordinateur physique, sans avoir à acquérir un logiciel tiers.
■ Un unique serveur Hyper-V permet d’installer plusieurs systèmes d’exploitation
(Windows, Linux et autres).
■ Les Applications distantes (RemoteApp) des services Terminal Server (TS) permettent
d’ouvrir d’un clic des programmes auxquels on accède à distance et de les afficher
comme s’ils s’exécutaient sur l’ordinateur local de l’utilisateur final.
■ La plate-forme de publication Microsoft Web unifie IIS 7.0, ASP.NET, Windows
Communication Foundation et les services Windows SharePoint.
■ La Protection de l’accès réseau (NAP, Network Access Protection) protège le réseau et les
systèmes contre toute compromission engendrée par des ordinateurs malsains, isolant
et/ou réparant les ordinateurs qui ne satisfont pas aux stratégies de sécurité définies.
■ Le contrôle des comptes utilisateur propose une nouvelle architecture
d’authentification qui protège contre les logiciels malveillants.
■ Le Contrôleur de domaine en lecture seule (RODC, Read Only Domain Controller)
propose une méthode d’authentification locale plus sûre des utilisateurs se trouvant sur
des sites distants, grâce à un réplica en lecture seule de la base de données AD
principale.
iv Introduction

■ Le Chiffrement de lecteur BitLocker procure une protection améliorée contre le vol et


l’exposition de données contenues dans des ordinateurs perdus ou volés et permet de
supprimer les données en toute sécurité lorsque les ordinateurs protégés par BitLocker
sont mis hors service.
Et, comme on dit, ce n’est pas tout, et de loin.

Contenu du livre
Le Kit de l’administrateur Windows Server 2008 se compose de deux tomes organisés de sorte
à correspondre approximativement à chaque phase du développement d’un réseau Windows
Server 2008.
Dans le tome 1, les chapitres 1 à 4 sont consacrés à la planification. Peut-être avez-vous déjà
entendu la célèbre citation d’Edison, « Le génie, c’est un pourcent d’inspiration et
99 pourcents de transpiration ». Modifiez-la légèrement et vous disposez d’une excellente
devise pour la mise en œuvre des réseaux : « Un bon réseau, c’est un pourcent de mise en
œuvre et 99 pourcents de préparation ». Le premier chapitre fait un tour d’horizon de
Windows Server 2008, ainsi que de ses composants et fonctionnalités. Il est suivi des
chapitres sur les services d’annuaire et la planification de l’espace de noms. Le dernier
chapitre de cette section traite des problèmes spécifiques qui se présentent pendant la
planification du déploiement. Les chapitres 5 à 9 couvrent l’installation et la configuration
initiale. Ces chapitres décrivent le processus d’installation de Windows Server 2008, la
configuration du matériel, ainsi que l’installation des rôles de serveur et de Server Core. Les
chapitres 11 à 21 parlent des tâches quotidiennes, dont la gestion des ressources de fichiers
et l’utilisation de scripts pour l’administration.
Dans le tome 2, les chapitres 1 à 5 concernent la sécurité : création et mise en œuvre d’un
plan de sécurité. Les chapitres 6 à 10 décrivent les nouvelles fonctionnalités, dont la
virtualisation et les services Terminal Server, élargissant tous deux les capacités de Windows
Server 2008. Les derniers chapitres relatifs au réglage, à la maintenance et à la réparation
fournissent d’importantes informations sur la santé du réseau. Un chapitre est consacré à la
sauvegarde de Windows Server et un autre à l’analyse des performances. Cette dernière partie
comporte également des chapitres traitant de la planification et de la prévention des
conditions d’urgence. Si, malgré tous vos efforts, le réseau subit des défaillances, vous y
trouverez des informations sur le dépannage et la récupération. Nous avons également inclus
un chapitre sur le registre, le cerveau de Windows Server 2008, et quelques conseils si vous
devez intervenir sur le registre.
À la fin du tome 2, vous trouverez des informations complémentaires sur les changements
apportés à l’interface et les outils de support.
Introduction v

Dans chaque chapitre, nous avons essayé de rendre les informations aussi accessibles que
possible. Vous trouverez des informations descriptives et théoriques, ainsi que des
procédures de mise en œuvre et de configuration de fonctionnalités spécifiques. Elles sont
complétées par des illustrations qui simplifient le suivi des instructions écrites.
Nous avons également largement exploité les aides à l’utilisateur communes à tous les
ouvrages de la série Kit d’administration.

Remarque Les remarques présentent généralement d’autres manières


d’effectuer une tâche ou mettent l’accent sur certaines informations. Elles
peuvent également proposer des astuces pour effectuer certaines tâches plus
rapidement ou de manière moins évidente.

Important Lisez toujours attentivement le texte signalé comme Important. Ces


informations permettent souvent de gagner du temps et/ou d’éviter un
problème.

En pratique
Chacun profite de l’expérience des autres. Les encarts En pratique contiennent une
élaboration sur un thème particulier ou les expériences de professionnels de
l’informatique, comme vous.

À propos
Lorsque les assistants ou certaines procédures agissent à l’arrière-plan, ces encarts
décrivent ce qui se passe et que l’on ne voit pas.

Configuration système
Voici la configuration système minimale nécessaire à l’exécution des fichiers d’accompagnement
de ce livre :
■ Microsoft Windows XP Service Pack 2 avec les dernières mises à jour émises par
Microsoft Update.
■ Une connexion Internet.
■ Un écran de résolution 1 024 x 768.
■ Un souris Microsoft ou tout autre périphérique de pointage compatible.
vi Introduction

À propos des fichiers d’accompagnement


Vous trouverez en téléchargement sur le site dunod.com, sur la page dédiée à l’ouvrage, les
scripts des chapitres 9 et 15 du tome 1.

Support
Nous avons apporté la plus grande attention à la précision de ce livre et des fichiers
d’accompagnement. Les éventuelles corrections apportées à cet ouvrage sont disponibles à
l’adresse http://www.microsoft.com/mspress/support/search.aspx (en anglais).
Pour tout commentaire, question ou idée relatifs à ce livre ou aux fichiers d’accompagnement,
adressez-vous à Microsoft Press par le biais de l’une des méthodes suivantes :
Courrier électronique : mspinput@microsoft.com
Courrier postal :
Microsoft Press
Attn : Windows Server 2008 Administrator’s Companion Editor
One Microsoft Way
Redmond, WA 98052-6399
Ces adresses de messagerie ne fournissent aucun support. Pour plus d’informations
techniques, reportez-vous au site Web de Microsoft à l’adresse http://support.microsoft.com/.
Partie I
Préparation
Chapitre 1 :
Présentation de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Chapitre 2 :
Présentation des services d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Chapitre 3 :
Planification de l’espace de noms et des domaines . . . . . . . . . . . . . . . . . . .25
Chapitre 4 :
Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Chapitre 1
Présentation de Windows
Server 2008
Une attente justifiée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Virtualisation du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Arrêt des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Autres fonctionnalités de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Versions de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Comme son nom l’indique, Windows Server 2008 arrive cinq ans après Windows
Server 2003. À l’échelle humaine, cela peut sembler assez court, mais pour un produit
informatique, c’est une éternité !
Comment expliquer cette attente ? Cherchons du côté de Windows Vista, qui, publié plus de
cinq ans après son prédécesseur, Windows XP, propose de nombreuses fonctionnalités
nouvelles ou améliorées en matière de réseau, de gestion, d’administration et surtout de
sécurité. Il était donc inconcevable que Windows Server 2008, élaboré sur la même base de
code, soit publié avant la finalisation de Windows Vista et qu’il ne bénéficie pas de ces
nouvelles fonctionnalités.

3
4 Partie I Préparation

Une attente justifiée


La sortie de Windows Server 2008 s’est fait attendre, mais ce délai est largement justifié. En
effet, ce système fournit une aide inestimable aux services informatiques qui sont soumis aux
exigences de réduction du personnel et du budget. Les fonctionnalités nouvelles et améliorées
de Windows Server 2008 ont pour objectif de diminuer les coûts d’administration et de gestion
sans jamais compromettre la sécurité ni compliquer l’utilisation. Il ne s’agit pas de changements
radicaux et quel plaisir d’entendre parler de contrôleurs de domaine en lecture seule, de réseau
basé sur des stratégies, de Windows PowerShell ou de considérables modifications des services
Terminal Server ! Ces fonctionnalités, parmi d’autres, ne pourront que ravir le cœur des
administrateurs surchargés de travail.

Virtualisation du serveur
On ne parle des serveurs virtuels que depuis peu, alors que la virtualisation existe déjà depuis
plusieurs années. L’élément nouveau est la virtualisation intégrée dans Windows
Server 2008. La sous-utilisation des serveurs est bien plus courante que ce que l’on
s’imagine. Dans la plupart des cas, les serveurs assurent une tâche spécifique qui requiert
peut-être dix ou vingt pourcents de leurs capacités. Et le reste, qui a été acheté et installé, est
inutile. La virtualisation de nombreux serveurs sur un seul ordinateur optimise l’usage d’un
serveur, en réduisant les coûts de gestion et d’administration. Le chapitre 8 du tome 2,
« Virtualisation Windows », explique comment la virtualisation permet d’exploiter
efficacement les ressources matériel.

Server Core
Windows Server 2008 propose d’installer un environnement minimaliste hautement sécurisé
et de charge réduite appelé Server Core. Cette option d’installation consiste à installer
uniquement le sous-ensemble des fichiers binaires requis par les rôles de serveur pris en
charge et laisse de côté l’interface graphique. Les administrateurs travaillent en invite de
commandes ou exploitent des techniques de script pour assurer l’administration locale du
serveur. Ils peuvent également gérer l’installation Server Core, qu’ils sélectionnent comme
ordinateur distant à gérer, à partir d’un autre ordinateur Windows Server 2008 par le biais de
la console MMC (Microsoft Management Console).
Les serveurs sans interface utilisateur (GUI, Graphical User Interface) sont des cibles moins
visées par les hackers et leur installation exige moins d’espace (environ 1 Go). On peut
configurer une installation Server Core virtualisée destinée à exécuter des rôles comme le
Serveur DHCP, le Serveur DNS, Internet Information Services, le Serveur d’impression, les
Services de domaines Active Directory, les Services AD LDS (Active Directory Lightweight
Directory Services), etc. Reportez-vous au chapitre 9 du tome 1, « Installation et configuration
de Server Core », pour découvrir la marche à suivre.
Chapitre 1 Présentation de Windows Server 2008 5

Remarque Server Core n’est pas une édition séparée de Windows Server 2008,
mais une option d’installation disponible avec toutes les versions, mis à part les
éditions Web et Itanium.

PowerShell
Longtemps attendu, Windows PowerShell est un nouvel interprétateur en ligne de
commandes qui comprend une invite interactive et un environnement de script qui
s’utilisent séparément ou de concert. Windows PowerShell introduit le concept de cmdlet
(prononcez « commande-let »), un outil en ligne de commandes simple et d’usage unique
intégré au shell. Les cmdlets s’emploient séparément, mais elles s’avèrent plus efficaces
combinées. Windows PowerShell propose plus d’une centaine de cmdlets de base qu’il est
possible de combiner pour automatiser des tâches complexes. Vous pouvez même rédiger
vos propres cmdlets afin de personnaliser vos scripts.
PowerShell et ses améliorations sont traités au chapitre 15 du tome 1, « Administration par
les scripts ».

Contrôleur de domaine en lecture seule


La gestion et la sécurité des systèmes des succursales constituent le principal défi auquel les
services informatiques sont confrontés. Celles-ci sont généralement trop petites pour
disposer d’un propre service informatique et trop éloignées pour que les administrateurs s’y
rendent en personne. Parfois, malgré une sécurité physique réduite, la succursale nécessite
un contrôleur de domaine pour exécuter une ou plusieurs applications fondamentales. Dans
d’autres cas, le contrôleur de domaine est le seul serveur de la succursale et se trouve être, par
conséquent, indispensable pour exécuter plusieurs rôles.
Un contrôleur de domaine en lecture seule répond à bon nombre des problèmes inhérents
aux emplacements des succursales. Il contient les mêmes attributs et objets Active Directory
que l’on retrouve sur un contrôleur de domaine inscriptible. Il est en revanche impossible
d’apporter des modifications directement sur le contrôleur de domaine en lecture seule. Elles
doivent être effectuées sur un contrôleur de domaine inscriptible et répliquées sur le
contrôleur de domaine en lecture seule, ce qui empêche toute modification dans la
succursale et les conséquences qui s’ensuivent sur l’ensemble de la forêt. En outre, comme le
contrôleur de domaine en lecture seule ne subit aucune modification, il ne provoque aucun
changement lors de la réplication.
Les contrôleurs de domaine en lecture seule sont traités au chapitre 16 du tome 1,
« Installation et configuration des services d’annuaire ».
6 Partie I Préparation

Services de domaine Active Directory


Les Services de domaine Active Directory (AD DS) ont connu de nombreux changements qui
vont simplifier le travail des administrateurs. En voici quelques-uns.

Services de domaine Active Directory redémarrables


La plupart des administrateurs seront d’accord : les fonctionnalités qui réduisent le nombre
de redémarrages d’un contrôleur de domaine ne peuvent être que positives. Dans Windows
Server 2008, les administrateurs peuvent appliquer des mises à jour, même en matière de
sécurité, sans redémarrage, c’est-à-dire sans arrêter et relancer Active Directory.
Dans Windows Server 2003, une défragmentation hors connexion requiert un redémarrage
avec le mode restauration des services d’annuaire. Dans Windows Server 2008, il est
beaucoup plus rapide d’effectuer des opérations hors connexion ; il suffit d’arrêter et de
redémarrer les Services de domaine Active Directory.
Pour de plus amples informations, reportez-vous au chapitre 17 du tome 1, « Gestion
d’Active Directory ».

Stratégies de mots de passe granulaires


Dans Windows Server 2000 et Windows Server 2003, il n’est possible de stipuler qu’une
seule stratégie de mots de passe et qu’une seule règle de verrouillage de comptes (dans la
stratégie de domaine par défaut), qui s’applique ensuite à tous les utilisateurs du domaine.
Des paramètres de mots de passe et de verrouillage de comptes différents pour des groupes
d’utilisateurs différents imposent de créer un filtre de mots de passe ou de déployer des
domaines supplémentaires. Ces solutions prennent du temps et présentent par conséquent
un coût élevé.
Dans Windows Server 2008, la granularité permet de définir plusieurs stratégies de mots de
passe au sein d’un même domaine. Par exemple, vous pouvez établir des règles plus strictes
pour des mots de passe et des stratégies de verrouillage de comptes plus rigoureuses pour
protéger les comptes détenant le plus de privilèges.
Le chapitre 2 du tome 2, « Mise en œuvre de la sécurité », aborde les mots de passe
granulaires de manière plus détaillée.

Outil d’extraction de données


L’extraction de données a longtemps été exploitée par les analystes commerciaux comme
outil de collecte d’informations à partir de données. Dans Windows Server 2008, l’outil
d’extraction de données permet de comparer des données à partir d’instantanés ou de
sauvegardes, effectués à des moments différents, et de choisir plus judicieusement les
données à restaurer.
Chapitre 1 Présentation de Windows Server 2008 7

Avant Windows Server 2008, si l’on supprimait des objets ou des unités d’organisation, il
était généralement impossible de connaître l’étendue et le nombre des suppressions sans
restaurer une sauvegarde dans sa totalité. Il fallait redémarrer Active Directory en mode
restauration des services d’annuaire. En outre, il n’existait aucune manière efficace de
comparer des sauvegardes effectuées à des moments différents. L’outil d’extraction de
données ne récupère pas les objets supprimés, mais offre un moyen d’examiner les
modifications et de déterminer les corrections à effectuer.
Pour de plus amples informations sur cet outil, reportez-vous au chapitre 13 du tome 2,
« Sauvegarde et restauration du serveur ».

Services Terminal Server


Les services Terminal Server n’ont jamais constitué le point fort des serveurs. Désormais, ils
sont à considérer comme le joyau de Windows Server 2008. De nombreuses nouvelles
fonctionnalités ont été ajoutées, dont certaines parmi les meilleures de Windows
Server 2008, et d’anciennes ont été améliorées.
Grâce aux services Terminal Server, on accède à un serveur exécutant des programmes
Windows ou à la totalité du bureau Windows, à partir de quasiment tous les périphériques
informatiques. Les utilisateurs peuvent se connecter à un serveur Terminal Server pour
exécuter des programmes et exploiter les ressources du réseau sur ce serveur.

Passerelle des services Terminal Server


La Passerelle des services Terminal Server est un service inclus dans le rôle Services Terminal
Server. Il permet aux utilisateurs distants de se connecter au réseau via l’Internet, avec une
connexion chiffrée, sans avoir à établir de connexion VPN. Dans les versions précédentes de
Windows Server, les utilisateurs ne pouvaient pas se connecter à des ordinateurs distants en
traversant les pare-feu et les NAT, car le port employé pour les connexions RDP, le port 3389,
est généralement bloqué pour des raisons de sécurité. Avec la Passerelle des services Terminal
Server, le trafic RDP est relayé au port 443, habituellement ouvert pour la connectivité
Internet et par conséquent disponible pour les connexions distantes.

Terminal Services RemoteApp


Terminal Services RemoteApp est sans conteste le nouvel élément le plus remarquable de
Windows Server 2008. Maintenant, les ordinateurs Windows Server 2008, Windows Vista,
Windows XP (Service Pack 2) ou Windows Server 2003 (Service Pack 1) accèdent aux
applications Windows, lesquelles s’exécutent ensuite dans une fenêtre dédiée
redimensionnable avec les entrées appropriées dans la barre des tâches. Si un programme
utilise une icône de zone de notification, elle apparaît dans la zone de notification. Les fenêtres
qui s’ouvrent sont redirigées vers le bureau local. L’utilisateur peut ainsi démarrer plusieurs
programmes simultanément. S’il exécute plusieurs applications distantes sur le même serveur
Terminal Server, les applications vont partager la même session Terminal Server.
8 Partie I Préparation

Avec Terminal Services Easy Print, nouveau dans Windows Server 2008, les utilisateurs
impriment à partir d’une application distante ou d’une session Terminal Server sur
l’imprimante de leur ordinateur client.

Terminal Services Web Access


Avec Terminal Services Web Access, les utilisateurs visitent un site Web (via l’Internet ou un
intranet) pour accéder à une liste d’applications distantes disponibles. Lorsqu’un utilisateur
démarre une application distante, une session Terminal Server démarre sur le serveur
Terminal Server qui héberge l’application.

Terminal Services Session Broker


Terminal Services Session Broker comprend une nouvelle fonctionnalité, l’équilibrage de
charge TS Session Broker, laquelle permet de répartir la charge de la session parmi les
serveurs d’une ferme de serveurs Terminal Server. Cette solution se révèle plus simple que
l’équilibrage de la charge réseau Windows et optimale pour les fermes TS comprenant entre
deux et cinq serveurs.

Mode maintenance des services Terminal Server


Si vous prévoyez d’exploiter les nouvelles fonctionnalités des services Terminal Server, vous
devrez placer un serveur hors connexion à des fins de maintenance, même si des utilisateurs
sont connectés à distance. Dans Windows Server 2003, on fait appel à un outil en ligne de
commandes pour désactiver les connexions distantes, ce qui empêche les utilisateurs de se
reconnecter à leur session et entraîne la perte de leurs données non enregistrées, ce qui est
peu souhaitable.
Pour résoudre ce problème, Windows Server 2008 propose le mode maintenance des
services Terminal Server, lequel empêche la connexion de nouveaux utilisateurs au serveur
tout en permettant à ceux dont la session est ouverte de s’y reconnecter. Les nouvelles
requêtes de connexion sont redirigées vers un autre serveur. Le mode maintenance est
intégré à l’équilibrage de charge TS Session Broker ; ainsi, un serveur appartenant à une
ferme à équilibrage de charge peut être placé hors connexion sans affecter l’expérience
utilisateur final.
Cette optimisation, ainsi que toutes les autres, est détaillée au chapitre 9 du tome 2,
« Déploiement des services Terminal Server ».

Gestionnaire de serveur
Le Gestionnaire de serveur est une nouvelle console qui propose un affichage complet du
serveur, avec des informations sur la configuration du serveur, l’état des rôles installés et des
assistants pour ajouter et supprimer des rôles et des fonctionnalités. Il donne également accès
Chapitre 1 Présentation de Windows Server 2008 9

au Gestionnaire de périphériques, à l’Observateur d’événements et à l’Analyseur de


performances, permet d’effectuer une sauvegarde et de configurer les services. Il s’emploie
beaucoup plus facilement que la fonction Gérer votre serveur et fournit davantage
d’informations.
Le Gestionnaire de serveur remplace Gérer votre serveur, Configurer votre serveur et Ajouter
ou supprimer des composants Windows. Le chapitre 8 du tome 1, « Installation des rôles de
serveurs et des fonctionnalités », reprend les fonctions du Gestionnaire de serveur.

Sauvegarde de Windows Server


Une fonctionnalité de sauvegarde nouvelle et optimale remplace la technologie de
sauvegarde dépassée des versions précédentes de Windows Server, quasiment inchangée
depuis Windows NT. Conçues pour fonctionner avec les disques USB ou FireWire, les
sauvegardes sont basées sur des images et sont manuelles ou automatisées. Le chapitre 16 du
tome 2 dresse la liste de tous les types de sauvegardes possibles.

Arrêt des services


Dans Windows Server 2003, lorsque vous arrêtez le serveur, le système d’exploitation donne
20 secondes aux applications pour se fermer elles-mêmes correctement. Si l’application ne se
ferme pas dans ce laps de temps, un message vous invite à forcer sa fermeture, ce qui risque
d’engendrer une perte de données. Windows Server 2008 patiente tant que les applications
signalent qu’elles ont encore besoin de temps pour s’arrêter convenablement.

Autres fonctionnalités de sécurité


Un grand nombre des fonctionnalités nouvelles ou améliorées mentionnées ici jouent un rôle
important en matière de sécurité. Les sections suivantes sont consacrées à certaines
fonctionnalités déjà présentes dans Windows Vista mais dont le rôle est plus marqué dans
Windows Server 2008.

Randomisation du chargement de l’espace d’adressage


La randomisation du chargement de l’espace d’adressage (ASLR, Address Space Load
Randomization) constitue l’une des fonctionnalités les plus remarquables offertes par
Windows Server 2008. Dans les versions précédentes de Windows (jusqu’à Windows Vista et
désormais Windows Server 2008), les fichiers exécutables système et les DLL se chargeaient
toujours au même emplacement, ce qui permettait aux logiciels malveillants de retrouver les
API résidant à des adresses fixes. La randomisation du chargement de l’espace d’adressage
garantit que deux instances suivantes d’un système d’exploitation ne chargent pas les mêmes
pilotes système au même emplacement. En fait, lors du processus de démarrage, le
10 Partie I Préparation

gestionnaire de mémoire choisit un emplacement au hasard parmi l’une des 256 adresses
alignées sur 64 Ko dans la zone 16 Mo dans la partie supérieure de l’espace d’adressage en
mode utilisateur. Les DLL qui possèdent le nouvel indicateur de relocalisation dynamique
sont chargées en mémoire en commençant à l’emplacement désigné de manière aléatoire et
en poursuivant vers le bas.
Avec cette simple modification, à savoir le travail effectué à l’arrière-plan, les possibilités
qu’un logiciel malveillant localise un service système sont considérablement réduites.

Chiffrement de lecteur BitLocker


BitLocker est une fonctionnalité de sécurité introduite avec Windows Vista pour protéger le
volume système des ordinateurs clients, en particulier les ordinateurs portables, en cas de
perte ou de vol. Par exemple, un lecteur chiffré par BitLocker ne peut être supprimé d’un
ordinateur et installé sur un autre en vue de contourner la sécurité Windows.
Dans Windows Server 2008, BitLocker est particulièrement intéressant pour les serveurs des
succursales, où la sécurité physique s’assure plus difficilement. BitLocker chiffre toutes les
données stockées sur le volume système (et les volumes de données configurés), y compris le
système d’exploitation Windows, les fichiers d’échange et de mise en veille prolongée, les
applications et les données qu’elles exploitent. Les données sont « verrouillées » de sorte que
si le système d’exploitation ne fonctionne pas ou si le lecteur de disque est physiquement
retiré, elles restent chiffrées.
Le chapitre 2 du tome 2, « Mise en œuvre de la sécurité », revient sur la configuration et
l’emploi de BitLocker.

Pare-feu Windows
Le nouveau Pare-feu Windows entre dans le cadre de la nouvelle gestion basée sur les rôles.
Reposant sur la version de Windows Vista, il est bidirectionnel et activé par défaut, quels que
soient les rôles que vous ayez configurés. Lorsque vous activez et désactivez des rôles et des
fonctionnalités, le Pare-feu Windows se configure automatiquement de manière à n’ouvrir
que les ports requis.
Vous retrouverez de plus amples informations sur les opérations du nouveau pare-feu au
chapitre 2 du tome 2.

Protection d’accès réseau


La protection d’accès réseau (NAP, Network Access Protection) constitue un nouvel ensemble
de composants du système d’exploitation qui surveillent la santé des ordinateurs clients
lorsqu’ils tentent de se connecter à ou de communiquer sur un réseau. Si des ordinateurs
clients sont déterminés comme étant non conformes, ils peuvent être limités à un réseau
restreint jusqu’à ce qu’ils remplissent les conditions de santé requises.
Chapitre 1 Présentation de Windows Server 2008 11

La protection d’accès réseau ne protège pas contre l’action des utilisateurs malveillants. Elle
met en œuvre la conformité des ordinateurs avec les stratégies de santé déterminées par
l’administrateur. Par exemple, une stratégie de santé peut imposer que tous les ordinateurs
demandant une connexion au réseau possèdent les dernières mises à jour Windows, qu’ils
exécutent les dernières signatures anti-virus, etc. Cela se révèle particulièrement important
sur les ordinateurs portables ou de domicile qui, sans cela, ne seraient la plupart du temps
pas contrôlés par le réseau. Un ordinateur désigné comme non conforme à l’ouverture de
session peut être redirigé vers un réseau restreint et pris en charge par des serveurs de
réparation qui font le nécessaire pour que l’ordinateur devienne conforme.
Le chapitre 3 du tome 2, « Administration de la Protection d’accès réseau », explique
comment tirer profit au maximum de cette fonctionnalité.

Versions de Windows Server 2008


Voici les éditions 32 et 64 bits de Windows Server 2008 disponibles :
■ Windows Server 2008, Édition Web
■ Windows Server 2008, Édition Standard
■ Windows Server 2008, Édition Enterprise
■ Windows Server 2008, Édition Datacenter

Windows Server 2008 sera le dernier serveur Windows 32 bits. Comme quasiment tous les
serveurs vendus sont compatibles 64 bits, envisagez sérieusement de passer à un
environnement 64 bits. L’augmentation des espaces d’adressage accroît considérablement les
performances. De plus, une version 64 bits bénéficie du matériel pour fournir des
fonctionnalités de sécurité supplémentaires. Au niveau du serveur, la disponibilité des pilotes
ne constitue plus un problème. S’il est vrai qu’un système 64 bits n’exécutera plus
d’applications 16 bits, sachez que si vous possédez un programme 16 bits indispensable,
vous pourrez l’exécuter dans une machine virtuelle et personne ne vous en tiendra rigueur.

Résumé
Ce chapitre vous a présenté certaines des optimisations de Windows Server 2008. Les trois
prochains abordent des sujets essentiels pour planifier votre déploiement de Windows
Server 2008. Le prochain chapitre regroupe les concepts et la structure des Services de
domaine Active Directory.
Chapitre 2
Présentation des services
d’annuaire
Pourquoi des services d’annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Active Directory dans Microsoft Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . 15
Architecture Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Nous devons conserver tant d’informations qu’il est devenu indispensable de se fier à des
annuaires. Parmi les annuaires, définis comme des listes permettant de localiser des choses,
citons les horaires de bus, les index de livres et les annuaires téléphoniques. En fait, ces
derniers sont à l’origine de l’analogie de deux capacités de recherche nécessaires dans les
annuaires informatiques. Il y a les « pages blanches » dans lesquelles on recherche des
informations à partir d’un certain attribut, un nom bien souvent. Il existe aussi les « pages
jaunes » où les recherches se font par catégories. Ces deux types de recherche permettent de
retrouver facilement des objets sur lesquels on ne sait pas grand-chose.
Les annuaires sont essentiels au fonctionnement d’un réseau informatique. L’absence
d’annuaires cohérents et accessibles se fait cruellement sentir sur les réseaux de toutes les
tailles. Il n’existe pas de véritables services d’annuaire (catalogue global de services et
ressources réseau) sur les réseaux Microsoft Windows NT. Les fonctionnalités d’annuaire de
la version 4 offrent ces fonctionnalités, essentielles pour les réseaux d’entreprise, que sont
l’ouverture de session unique et l’administration centralisée, mais présentent de graves
lacunes quand il s’agit de gérer un grand nombre d’utilisateurs. L’organisation des documents
en dossiers et répertoires fonctionne bien jusqu’à un certain point, mais à partir d’un nombre
précis d’objets, l’administration devient complexe et onéreuse.

Pourquoi des services d’annuaire ?


Dans un environnement Windows NT classique, l’utilisateur ouvre une session sur le réseau
avec un certain nom, par exemple crussel, et un mot de passe. À supposer que les
autorisations soient configurées comme il faut, crussel peut cliquer sur « Voisinage réseau »
ou ouvrir un lecteur mappé puis explorer des ressources.

13
14 Partie I Préparation

Tout cela se déroule très bien tant que la portée du réseau ne change pas. Supposons que
l’entreprise ajoute de la messagerie électronique au réseau et que crussel soit doté d’une autre
identité (charlie.russel@monentreprise.com). Les autres services, bases de données et outils
d’administration, identifiant chacun Charlie Russel d’une façon spécifique, doivent être
accessibles par cet utilisateur. Si l’on considère que Charlie n’est qu’un utilisateur parmi des
centaines ou milliers d’autres, on comprend qu’il y a là une source potentielle d’erreurs très
difficiles à résoudre. Lorsque le nombre d’objets du réseau atteint un certain seuil, il devient
vital de disposer de services d’annuaire, c’est-à-dire d’un emplacement centralisé contenant
toutes les données requises par l’administration de l’ensemble du système informatique.
Un service d’annuaire diffère d’un simple répertoire, en ce sens qu’il contient des données,
plus des services permettant aux utilisateurs d’accéder à ces données. Étant à la fois un outil
d’administration et un outil pour l’utilisateur final, un service d’annuaire doit satisfaire aux
besoins suivants :
■ Accès à tous les serveurs, à toutes les applications et à toutes les ressources par le biais
d’une ouverture de session unique (l’utilisateur n’accède effectivement aux ressources
que s’il dispose des autorisations adéquates).
■ Réplication multimaître. Toutes les données sont distribuées sur l’ensemble du système
informatique et répliquées sur plusieurs serveurs.
■ Recherches de type « pages blanches », par exemple pour faire une recherche à partir
d’un nom ou d’un type de fichier.
■ Recherches de type « pages jaunes », par exemple pour rechercher toutes les
imprimantes du troisième sous-sol ou tous les serveurs du site Lyon.
■ Suppression de la dépendance vis-à-vis des emplacements physiques, à des fins
d’administration. Cela signifie qu’il doit être possible de déléguer l’administration de
l’annuaire, partiellement ou complètement.
Microsoft emploie parfois les termes « services d’annuaire » dans le contexte de
Windows NT, mais Windows NT n’offre pas de véritables services d’annuaire hiérarchiques.
Sous Windows NT, les fonctionnalités d’annuaire sont assurées par plusieurs services, basés
sur des domaines. Le service DNS (Domain Name System), qui convertit les noms
d’ordinateurs en numéros IP, coopère avec des serveurs DHCP (Dynamic Host Configuration
Protocol) qui allouent dynamiquement des adresses TCP/IP. Le service WINS (Windows
Internet Naming Service), qui résout les noms NetBIOS, est indispensable sur les réseaux
Windows NT pour le partage de fichiers et certaines applications. La sécurité repose sur les
ACL (Access Control List), sur la base de données SAM (Security Accounts Manager) et sur
d’autres services.
Microsoft Windows 2000 Server a été le premier produit dans lequel Active Directory a
remplacé les services éparpillés de Windows NT par un service unifié qui regroupe DNS,
DHCP, LDAP (Lightweight Directory Access Protocol) et Kerberos. Nous reviendrons sur ces
sujets, plus loin dans ce chapitre.
Chapitre 2 Présentation des services d’annuaire 15

En pratique Services d’annuaire et X.500


X.500 est une norme de services d’annuaire, créée par l’ITU (International
Telecommunications Union). Cette même norme est également publiée par la commission
ISO/IEC (International Standards Organization/International Electrotechnical Commission).
X.500 définit le modèle de données employé par les services d’annuaire. Dans ce
modèle, toutes les données d’un annuaire sont stockées dans des rubriques (entrées),
dont chacune appartient à au moins une classe d’objet. Les données proprement dites
d’une rubrique sont définies à l’aide d’attributs contenus dans cette rubrique.
La norme X.500 d’origine de 1988 se concentrait principalement sur les protocoles à
implémenter. DAP (Directory Access Protocol) spécifie comment les applications des
utilisateurs accèdent aux informations de l’annuaire. DSP (Directory Service Protocol)
propage entre les serveurs d’annuaire la requête d’un utilisateur si le serveur local ne
peut répondre à cette requête.
Aucun service d’annuaire existant n’implémente entièrement la norme X.500, mais tous
les services d’annuaire, en particulier Active Directory, s’appuient sur ses spécifications
fondamentales. Vous trouverez une excellente présentation des annuaires et de X.500 à
l’adresse http://www.nlc-bnc.ca/9/1/p1-244-e.html.

Active Directory dans Microsoft Windows


Server 2008
Les Services de domaine Active Directory (AD DS, Active Directory Domain Services) présentent
de nombreux avantages, notamment le fait de pouvoir gérer des installations de toutes tailles,
qu’elles soient composées d’un serveur unique avec quelques centaines d’objets, ou de milliers
de serveurs avec plusieurs millions d’objets. Active Directory simplifie aussi grandement le
processus de recherche des ressources sur un grand réseau. L’interface ADSI (Active Directory
Services Interface) et le nouvel ADAM (Active Directory Application Mode) introduit dans
Windows Server 2003 R2, permettent aux développeurs de créer des applications pouvant
accéder aux annuaires, donnant ainsi aux utilisateurs un point d’accès unique vers de multiples
annuaires, que ceux-ci s’appuient sur LDAP, NDS ou NTDS (NT Directory Services).
Active Directory combine le concept Internet d’espace de noms et les services d’annuaire du
système d’exploitation. Cette combinaison permet d’unifier plusieurs espaces de noms dans,
par exemple, les environnements logiciels et matériels hétérogènes des réseaux d’entreprise,
même entre systèmes d’exploitation différents. Compte tenu de sa capacité à regrouper des
annuaires différents dans un unique annuaire à usage général, Active Directory diminue
sensiblement les coûts induits par l’administration de plusieurs espaces de noms.
Active Directory n’est pas un annuaire X.500. En fait, il emploie LDAP comme protocole
d’accès et reconnaît le modèle de données de X.500 sans obliger les systèmes à prendre en
charge toutes les fonctionnalités de X.500. LDAP, qui s’appuie sur TCP/IP, est beaucoup plus
16 Partie I Préparation

simple que le protocole DAP de X.500. À l’instar de X.500, LDAP base son modèle d’annuaire
sur des entrées, le nom unique (voir section suivante) servant à désigner une rubrique sans
aucune ambiguïté. Au lieu d’employer le schéma de codification très structuré de X.500,
LDAP adopte une philosophie simple, à base de chaînes, pour représenter les rubriques
d’annuaire. LDAP utilise bon nombre des techniques d’accès aux annuaires telles que
spécifiées dans la norme DAP de X.500, mais demande moins de ressources client, ce qui le
rend plus pratique pour une utilisation fréquente sur une liaison TCP/IP.
Active Directory gère aussi directement HTTP (HyperText Transfer Protocol). Tout objet Active
Directory peut être affiché sous la forme d’une page HTML (HyperText Markup Language)
dans un navigateur web. Des extensions pour la prise en compte des annuaires, ajoutées à
Microsoft IIS (Internet Information Services), convertissent les requêtes HTTP portant sur des
objets de l’annuaire en pages HTML affichables dans tous les clients HTML.
Active Directory permet d’administrer, depuis un même emplacement, toutes les ressources
publiées : fichiers, périphériques, connexions d’hôte, bases de données, accès web,
utilisateurs, autres objets quelconques, services, etc. Active Directory emploie le protocole
DNS comme service de localisation, organise les objets des domaines dans une hiérarchie
d’unités organisationnelles (OU, organizational unit) et permet de regrouper plusieurs
domaines au sein d’une arborescence. Exit les concepts de contrôleur principal de domaine
(PDC) et de contrôleur secondaire de domaine (BDC). Le rôle BDC est dorénavant rempli par
le contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller) que nous
étudierons au chapitre 16 du tome 1, « Installation et configuration des services
d’annuaire ». À partir de Windows Server 2003 R2, les Service de fédération Active Directory
(ADFS, Active Directory Federation Services) étendent Active Directory pour autoriser la
gestion des identités au-delà des frontières de l’organisation ou de la plate-forme.

Terminologie et concepts d’Active Directory


Certains des termes utilisés pour décrire des concepts d’Active Directory existant déjà depuis
un certain temps dans d’autres contextes, il est important d’en connaître la signification dans
le contexte spécifique d’Active Directory. Cette section va présenter les termes et les concepts
fondamentaux.

Espace de noms et résolution de noms


Espace de noms est un terme peu connu qui recouvre pourtant un concept bien connu. Chaque
service d’annuaire est un espace de noms, une aire bien délimitée permettant de résoudre un
nom. Les programmes de télévision, dans lequel le nom d’une chaîne est associé à un certain
numéro de canal, constituent un exemple d’espace de noms, de même que le système de
fichiers d’un ordinateur, dans lequel le nom d’un fichier est associé au fichier lui-même.
Active Directory forme un espace de noms dans lequel le nom d’un objet de l’annuaire
permet d’accéder à l’objet lui-même. La résolution de noms est le processus consistant à
traduire un nom en un certain objet (bloc de données) associé à ce nom.
Chapitre 2 Présentation des services d’annuaire 17

Attribut
Un attribut est un élément de données qui décrit un certain aspect d’un objet. Un attribut se
compose d’un type et d’une ou plusieurs valeurs. « Numéro de téléphone » est un exemple
de type d’attribut, dont la valeur pourrait être « 33-2-37519964 ».

Objet
Un objet est un ensemble particulier d’attributs qui représente quelque chose de concret, par
exemple un utilisateur, une imprimante ou une application. Les attributs contiennent des
données qui décrivent l’entité identifiée par l’objet d’annuaire. Les attributs d’un utilisateur
sont, par exemple, le nom, le prénom et l’adresse de messagerie. La classification de l’objet
indique quels sont les types d’attributs utilisés. Par exemple, les objets classifiés comme
« utilisateurs » permettent d’employer des types du genre « nom de famille », « numéro de
téléphone » et « adresse de messagerie », alors que la classe d’objets « entreprise » permet
d’employer des types du genre « nom de la société » et « secteur d’activité ». Un attribut peut
prendre une ou plusieurs valeurs, selon son type.
Dans Active Directory, chaque objet possède une identité unique. On peut déplacer ou
renommer les objets, mais leur identité est invariable. En interne, les objets sont référencés
par leur identité et non par leur nom. L’identité d’un objet est un GUID (Globally Unique
IDentifier), assigné par le DSA (Directory System Agent) lors de la création de l’objet. Le GUID
est stocké dans un attribut, objectGUID, commun à tous les objets. Vous ne pouvez ni
modifier, ni supprimer l’attribut objectGUID. Quand vous stockez dans un magasin externe
(par exemple, dans une base de données) une référence à un objet Active Directory, utilisez
de préférence objectGUID qui, contrairement au nom, ne change jamais.

Conteneur
Un conteneur ressemble à un objet en ce sens qu’il possède des attributs et qu’il fait partie de
l’espace de noms d’Active Directory. Toutefois, contrairement à un objet, un conteneur ne
correspond à rien de concret. C’est simplement une enveloppe, qui renferme des objets et
d’autres conteneurs.

Arborescence et sous-arborescence
Dans Active Directory, une arborescence étend le concept d’arborescence de répertoires. C’est
une hiérarchie d’objets et de conteneurs qui montre les relations entre les objets, c’est-à-dire
les chemins par lesquels on passe d’un objet à un autre. Les points terminaux d’un arbre sont,
en général, des objets.
Une sous-arborescence est un sous-ensemble non isolé de l’arborescence, contenant tous les
membres de chacun des conteneurs qu’il renferme. La figure 2-1 montre une arborescence
pour microsoft.com. Chaque chemin (par exemple, de nw.sales.seattle.microsoft.com à
18 Partie I Préparation

microsoft.com) est une sous-arborescence. Le chapitre 3 du tome 1, « Planification de


l’espace de noms et des domaines », reviendra en détail sur les arborescences et les forêts.

microsoft.com

uk.microsoft.com us.microsoft.com

admin.uk.microsoft.com sales.uk.microsoft.com seattle.us.microsoft.com atlanta.us.microsoft.com

mfg.seattle.us.microsoft.com fin.seattle.us.microsoft.com

sales.seattle.us.microsoft.com

nw.sales.seattle.us.microsoft.com sw.sales.seattle.us.microsoft.com

Figure 2-1 Une arborescence et des sous-arborescences

Nom unique
Chaque objet, dans Active Directory, possède un nom unique (DN, distinguished name). Le
nom unique identifie le domaine contenant l’objet, ainsi que le chemin complet utilisé pour
atteindre l’objet à travers la hiérarchie des conteneurs. Par exemple, CN=Charlie Russel,
OU=Ingénierie, DC=monentreprise, DC=com est un nom unique, lequel spécifie que l’objet
utilisateur « Charlie Russel » appartient à l’OU Ingénierie qui, elle-même, appartient au
domaine monentreprise.com.

Remarque C N e s t l ’a c r o n y m e d e « c o m m o n n a m e » , O U c e l u i d e
« organizational unit » et DC celui de « domain controller ». Certains attributs
proviennent du modèle X.500 ; un administrateur peut en définir d’autres.
Active Directory utilise aussi des noms uniques relatifs, lesquels correspondent à la partie du
nom unique qui est un attribut de l’objet lui-même. Dans l’exemple précédent, le nom
unique relatif de l’objet utilisateur est CN=Charlie Russel et celui de l’objet parent est
OU=Ingénierie.
La portion « DC= » d’un nom unique permet aux annuaires X.500 de se connecter à l’espace
de noms DNS, ce que fait aussi Active Directory. La racine de l’espace de noms global d’Active
Directory est l’espace de noms DNS. Ainsi, les noms de domaine DNS s’insèrent dans le
modèle de dénomination d’Active Directory. Par exemple, monentreprise.com est le nom
Chapitre 2 Présentation des services d’annuaire 19

d’un domaine DNS, mais pourrait tout aussi bien être le nom d’un domaine Active Directory.
Cette intégration avec DNS implique qu’Active Directory s’adapte de manière naturelle à
Internet et aux intranets. Vous pouvez relier directement à Internet des serveurs Active
Directory, de façon à simplifier les communications protégées et le commerce électronique
avec les clients et les partenaires.

Schéma
Schéma est un terme très fréquemment employé dans le contexte des bases de données. Dans
celui d’Active Directory, le schéma correspond à tout ce qui constitue l’annuaire Active
Directory : les objets, les attributs, les conteneurs, etc. Active Directory possède un schéma
par défaut qui définit les classes d’objets les plus courantes : utilisateurs, groupes,
ordinateurs, unités organisationnelles, stratégies de sécurité et domaines.
Le schéma d’Active Directory est susceptible de modifications dynamiques : une application
peut compléter le schéma en y ajoutant de nouveaux attributs et de nouvelles classes, puis
utiliser ces ajouts dans la foulée. La modification du schéma repose sur la création d’objets de
schéma ou la modification des objets de schéma stockés dans l’annuaire. Les objets de
schéma sont protégés par des ACL, afin que seules les personnes habilitées (membres du
groupe Admins du schéma) puissent modifier le schéma.

Architecture Active Directory


Comme nous l’avons mentionné précédemment, Active Directory n’est pas, à proprement
parler, un service d’annuaire X.500 même si, à l’instar de tous les services d’annuaire
existants, il dérive de cette norme. Les sections suivantes vont énumérer certaines
caractéristiques de l’architecture d’Active Directory.

DSA
DSA (Directory System Agent), qui est le processus permettant d’accéder au magasin physique
des données de l’annuaire situé sur disque dur, fait partie du sous-système LSA (Local System
Authority) de Windows Server depuis la version 2000. Les clients accèdent aux données de
l’annuaire, en utilisant l’un des mécanismes suivants :
■ Les clients LDAP se connectent à DSA via le protocole LDAP. Active Directory reconnaît
LDAP v3, défini par la RFC 2251, et LDAP v2, défini par la RFC 1777. Les clients
Windows Server 2000 ou ultérieur emploient LDAP v3 pour se connecter au DSA.
■ Les clients MAPI (Messaging Applications Programming Interface), comme Microsoft
Exchange, se connectent au DSA via l’interface MAPI RPC (Remote Procedure Call).
■ Les DSA Active Directory se connectent les uns aux autres, à des fins de réplication, via
une interface RPC propriétaire.
20 Partie I Préparation

Formats de noms
Active Directory reconnaît plusieurs formats de noms, pour pouvoir desservir tant les
utilisateurs que les applications :
■ Noms RFC 822 Format bien connu des utilisateurs en tant qu’adresse de messagerie
Internet, comme crussel@monentreprise.com. Active Directory donne un « nom
convivial » RFC 822 à chaque objet. Ainsi, l’utilisateur peut employer le même nom
convivial comme adresse de messagerie et comme compte pour ouverture de session
réseau.
■ URL HTTP Format bien connu des utilisateurs de navigateurs web. Une adresse URL
classique prend la forme http://domaine/chemin-vers-page, où domaine désigne un
serveur exécutant Active Directory et chemin-vers-page le chemin (dans la hiérarchie
Active Directory) qui mène à l’objet concerné. Par exemple, l’URL de Charlie Russel
pourrait être http://UnServeur.monentreprise.com/Division/Produit/Ingénierie/charlierussel.
■ Noms LDAP Plus complexes que les noms Internet, mais généralement masqués dans
les applications, les noms LDAP emploient la convention de dénomination unique de
X.500. Une URL LDAP spécifie le serveur hébergeant les services Active Directory et le
nom unique de l’objet, par exemple : ldap://UnServeur.monentreprise.com/
CN=charlie.russel,OU=Ingénierie, OU=Produit,OU=Division,O=MegaIntl,C=FR.
■ Noms UNC Le format UNC (Universal Naming Convention), utilisé sur les réseaux basés
sur des serveurs Windows Server 2008, permet de désigner des volumes, des
imprimantes et des fichiers partagés. Par exemple, \\monentreprise.com\Division.
Produit.Ingénierie.Volume\DocsWord\rapportavril.doc.

Modèle de données
Le modèle de données Active Directory dérive du modèle X.500. L’annuaire contient des objets
qui représentent divers éléments, décrits par leurs attributs. L’univers des objets susceptibles
d’être stockés dans l’annuaire est défini par le schéma, lequel définit les attributs obligatoires
et les attributs optionnels que chaque classe d’objets peut posséder, ainsi que son parent.

Mise en œuvre du schéma


Le schéma Active Directory est mis en œuvre sous la forme d’un ensemble d’instances de
classe stocké dans l’annuaire. C’est très différent des annuaires dans lesquels le schéma prend
la forme d’un fichier texte lu au démarrage. Stocker le schéma dans l’annuaire offre de
nombreux avantages, par exemple, les applications des utilisateurs peuvent lire le schéma
pour connaître les objets et les propriétés disponibles.
Chapitre 2 Présentation des services d’annuaire 21

Modèle de sécurité
Active Directory, qui fait partie de la base approuvée de Windows Server 2000 et ultérieur,
participe pleinement à l’infrastructure de sécurité. Le modèle de sécurité distribué s’appuie
sur le protocole d’authentification Kerberos (version 5) du MIT. L’authentification Kerberos
est compatible avec la sécurité fondée sur des couples de clés privée/publique. Elle utilise le
même modèle d’ACL que le système d’exploitation sous-jacent Windows Server 2008. Les
ACL protègent tous les objets d’Active Directory. Elles déterminent qui peut visualiser l’objet
et ses attributs, qui peut faire quoi sur l’objet, etc. L’utilisateur qui n’a pas la permission de
voir un objet ou un attribut ne saura même pas que celui-ci existe.
Une ACL se compose d’entrées de contrôle d’accès (ACE, Access Control Entries) stockées avec
l’objet protégé par l’ACL. Sous Windows 2000 et ultérieur, l’ACL est stockée sous la forme
d’une valeur binaire, dite descripteur de sécurité. Chaque ACE contient un SID (Security
IDentifier), spécifiant l’utilisateur ou groupe principal auquel s’applique l’ACE et précise le
type d’accès accordé ou refusé.
Les ACL des objets de l’annuaire contiennent des ACE concernant l’objet dans sa globalité,
ainsi que des ACE relatives aux attributs de l’objet. L’administrateur peut donc contrôler qui
a le droit de voir un objet, mais aussi qui a le droit de voir telle ou telle propriété de cet objet.
Par exemple, tous les utilisateurs peuvent lire les adresses de messagerie et les numéros de
téléphone des autres utilisateurs, mais seuls les administrateurs peuvent accéder aux
propriétés de sécurité des utilisateurs. En outre, chaque utilisateur peut modifier sa propre
adresse de messagerie et son propre numéro de téléphone.
Active Directory, qui est le magasin de données du système de sécurité, contient notamment
les comptes utilisateur, les groupes et les domaines. Ce magasin, qui remplace la base de
comptes stockée dans le registre, est un composant approuvé de LSA.

Délégation et héritage
La délégation est l’une des fonctionnalités de sécurité majeures d’Active Directory. Un
administrateur peut autoriser un utilisateur à effectuer un ensemble spécifié d’actions dans
une sous-arborescence bien définie de l’annuaire. On parle ici d’administration déléguée.
Celle-ci permet de contrôler très précisément qui peut faire quoi et donne la possibilité aux
administrateurs de déléguer des responsabilités, sans être obligé d’accorder des privilèges
élevés. Cela élimine aussi le besoin d’avoir des administrateurs de domaines disposant d’une
large responsabilité sur de grosses portions de la population des utilisateurs.
Les administrateurs octroient le droit d’effectuer certaines opérations sur certaines classes
d’objets en ajoutant des ACE à l’ACL du conteneur. Par exemple, pour permettre à Charlie
Russel d’être administrateur de l’unité organisationnelle Ingénierie, on ajoute à l’ACL
Ingénierie des ACE telles que :
"Charlie Russel";Grant ;Create, Modify, Delete;Object-Class User
"Charlie Russel";Grant ;Create, Modify, Delete;Object-Class Group
"Charlie Russel";Grant ;Write;Object-Class User; Attribute Password
22 Partie I Préparation

Charlie Russel peut alors créer de nouveaux utilisateurs et groupes dans Ingénierie et
modifier les mots de passe des utilisateurs existants, mais il ne pourra pas créer d’autres
classes d’objets ni toucher aux utilisateurs situés dans d’autres conteneurs (sauf, bien sûr, si
des ACE l’autorisent à accéder à d’autres conteneurs).
L’héritage permet de propager à une ACE donnée depuis le conteneur où elle a été appliquée
vers tous les enfants de ce conteneur. On peut combiner héritage et délégation pour octroyer
des privilèges administratifs à une sous-arborescence complète de l’annuaire en une seule
opération.

Contextes d’attribution de noms et partitions


Active Directory se compose d’un ou de plusieurs contextes d’attribution de noms (ou
partitions). Un contexte d’attribution de noms est une sous-arborescence contiguë de
l’annuaire. Les contextes d’attribution de noms représentent les unités du partitionnement.
Un serveur en contient toujours au moins trois :
■ Le schéma ;
■ La configuration (topologie de réplication et données associées) ;
■ Un ou plusieurs contextes d’attribution de noms (sous-arborescences contenant les
objets dans l’annuaire).

Catalogue global
Le nom unique d’un objet contient suffisamment d’informations pour que l’on puisse
localiser une réplique de la partition contenant l’objet. Bien souvent, cependant, l’utilisateur
ou l’application ne connaît pas le nom unique de l’objet cible, ni ne sait quelle est la partition
susceptible de contenir l’objet. Le catalogue global permet aux utilisateurs et aux applications
de trouver un objet dans une arborescence de domaine Active Directory, à partir d’un ou
plusieurs attributs de cet objet.
Le catalogue global (GC, global catalog) contient une réplique partielle de chaque contexte
d’attribution de noms de l’annuaire. Il contient aussi le contexte d’attribution de noms du schéma
et de la configuration. Autrement dit, le GC contient une réplique de chaque objet Active
Directory, laquelle ne renferme qu’un petit nombre d’attributs. Les attributs cités dans le GC sont
ceux qui servent le plus dans les opérations de recherche (par exemple, le nom de l’utilisateur, son
prénom, son nom d’ouverture de session, etc.), ainsi que ceux requis par la recherche d’une
réplique complète de l’objet. Le GC permet à l’utilisateur de localiser rapidement l’objet qui
l’intéresse, même s’il ne connaît pas le domaine contenant cet objet. Il dispense, en outre, de
l’obligation d’utiliser un espace de noms étendu et contigu dans l’entreprise.
Le système de réplication d’Active Directory crée automatiquement le GC. La topologie de
réplication du GC est, elle aussi, générée automatiquement. Les propriétés répliquées dans le
GC incluent un ensemble de base défini par Microsoft. Les administrateurs peuvent spécifier
des propriétés supplémentaires, selon les besoins propres de leurs installations.
Chapitre 2 Présentation des services d’annuaire 23

Dans Windows 2000, pour traiter une ouverture de session par un utilisateur dans un
domaine en mode natif, un contrôleur de domaine doit contacter le serveur du catalogue
global pour étendre l’appartenance de l’utilisateur au groupe universel. Par conséquent, un
utilisateur à distance peut rencontrer des difficultés pour ouvrir une session si la liaison
réseau est coupée entre le contrôleur de domaine et le catalogue global.
Dans Windows Server 2008, il est possible de configurer les contrôleurs de domaines pour
servir de cache aux recherches d’appartenance au groupe universel au moment du traitement
des événements d’ouverture de session utilisateur, ainsi les utilisateurs peuvent ouvrir une
session, même si le GC n’est pas disponible. Pour de plus amples informations sur
l’administration et le déploiement d’Active Directory, reportez-vous aux chapitres 16 et 17
du tome 1.

Résumé
Active Directory est un outil extrêmement puissant et, comme tous les outils très puissants,
il peut faire des dégâts si l’on s’en sert mal. Prévoyez suffisamment de temps pour l’analyse et
la planification, avant de déployer Active Directory. Avant toute chose, créez un annuaire
logique et performant. Une architecture d’annuaire mal pensée peut avoir des répercussions
négatives sur l’efficacité, voire sur la stabilité du réseau. Le chapitre 3 du tome 1 expliquera
comment planifier votre espace de noms et vos domaines pour avoir une efficacité et une
longévité maximales.
Chapitre 3
Planification de l’espace
de noms et des domaines
Analyser les besoins en termes de conventions de noms . . . . . . . . . . . . . . . . . . . . 25
Planifier une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Planifier plusieurs domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

De nos jours, la planification souffre d’une réputation quelque peu négative. On l’associe
parfois à des réunions interminables et ennuyeuses, voire à une manière d’éviter d’entrer en
action. Néanmoins, la planification et la préparation sont fondamentales, qu’il s’agisse de
construire un réseau ou simplement de peindre les murs d’une pièce.
Si vous abordez pour la première fois le concept d’espace de noms, n’hésitez pas à passer le
temps et l’énergie nécessaires pour vous préparer ; vous rentabiliserez largement votre
investissement en constatant une réduction de vos coûts de prise en charge, davantage de
flexibilité et moins de réorganisation.
La planification de l’espace de noms d’une organisation de grande ou moyenne taille
constitue un processus itératif. Vous n’y arriverez probablement pas la première fois, ni
même la seconde. Mais vous devez bien commencer un jour, puis consulter et collaborer avec
les acteurs clés de votre organisation, pour préciser et consulter à nouveau, jusqu’à obtenir
un espace de noms optimal pour votre organisation. À mesure que vous progresserez, la
majorité des avis qui vous seront donnés dépendra des stratégies de la société et des
intentions personnelles, rendant le processus plus complexe qu’il n’y paraissait. Votre travail
est de comprendre et de protéger les intérêts de l’organisation dans son ensemble.

Analyser les besoins en termes de conventions


de noms
Pour planifier votre espace de noms et la structure du domaine, il vous faut analyser votre
organisation et essayer de comprendre ses besoins sous-jacents relatifs au nommage. Cela
vous impose de comprendre le type d’organisation dans laquelle vous travaillez et de
déterminer qui sont les acteurs, ainsi que de réfléchir à la direction dans laquelle
l’organisation s’oriente.

25
26 Partie I Préparation

Arborescences et forêts
Il existe deux types d’espaces de noms de base : l’arborescence et la forêt. En comprenant ce
qui diffère entre ces deux modèles et comment les aligner à votre organisation, vous pourrez
choisir celui répond au mieux aux besoins de l’organisation. Même s’il reste possible de
modifier les modèles ultérieurement, cela implique un travail considérable qui affectera
l’emploi général des noms dans l’espace de noms. Par conséquent, ne négligez pas l’étape de
la planification afin de comprendre ce dont votre organisation a réellement besoin et non ce
qu’elle prétend vouloir.

Arborescences
Un espace de noms en arborescence, comme l’illustre la figure 3-1, est un espace de noms
contigu et unique, dont chaque nom de l’espace descend directement d’un nom de racine
unique. Cette conception de nommage direct convient particulièrement à une organisation
qui est pour l’essentiel stable et qui possède un nom unique déterminant ce qui peut se
transformer en de nombreuses divisions et différentes activités. Ce modèle correspond
particulièrement aux sociétés de taille réduite à moyenne. Même de très grandes entreprises
peuvent fonctionner avec une structure en arborescence si l’organisation est assez centralisée
et qu’elle possède un nom unique et reconnaissable.

microsoft.com

eng.microsoft.com entr.microsoft.com

dev.eng.microsoft.com qa.eng.microsoft.com

conception.dev.eng.microsoft.com finance.entr.microsoft.com rh.entr.microsoft.com

Figure 3-1 Une structure en arborescence signifie un espace de noms contigu et unique,
dont tous les noms dérivent d’une racine unique.

Comme le montre la figure, avec un espace de noms structuré en arborescence, chaque


branche possède un nom dérivé directement de la racine de l’arborescence. Avec cette
structure, il est aisé de retrouver n’importe quelle branche de l’arborescence en retraçant la
structure de son nom.
Chapitre 3 Planification de l’espace de noms et des domaines 27

Forêts
Un espace de noms en forêt, comme celui de la figure 3-2, est un regroupement
d’arborescences pour l’essentiel égales, sans que l’espace de noms ne possède de racine
unique. L’espace de noms en forêt convient particulièrement à une organisation qui présente
plusieurs secteurs d’activité, chacun disposant de son propre nom identifiable. Il s’agit
généralement de grandes sociétés et en particulier celles qui se développent par le biais de
l’acquisition. Elles ne possèdent en général pas de groupe central et unique qui gère la totalité
de l’organisation et chacune des divisions a ses propres identité et infrastructure.

exemple.com

fra.exemple.com esp.exemple.com

par.fra.exemple.com lyo.fra.exemple.com

exemple2.com

us.exemple2.com eu.exemple2.com

fr.eu.exemple2.com gb.eu.exemple2.com

Figure 3-2 Une forêt est un regroupement d’arborescences individuelles qui n’appartiennent
pas à un espace de noms contigu.

Comme l’indique la figure, un espace de noms en forêt contient un groupe égal d’arborescences,
chacune possédant son propre espace de noms contigu, mais l’ensemble des arborescences
n’entre pas dans le cadre d’un espace de noms global et contigu. En d’autres termes, il est
impossible de retracer directement les noms de toutes les branches vers une seule racine.

Définir une convention de nommage


Que vous prévoyiez d’élaborer une seule arborescence ou une forêt d’arborescences pour
votre espace de noms global, il vous faudra préalablement décider comment nommer les
différentes branches de l’arborescence. Il s’agit là probablement de la partie la plus délicate et
la plus sensible politiquement du processus d’élaboration de la structure de nommage
28 Partie I Préparation

globale. Préparez-vous à assister à de longues et pénibles réunions au moment où il vous


faudra impliquer les acteurs principaux dans la prise de décisions. Néanmoins, ne négligez
pas cette tâche ; elle va vous épargner une quantité impressionnante d’ennuis par la suite.
Il existe deux sortes de conventions de nommage : organisationnelle et géographique.
Chacune a ses adeptes et ses avantages. Sachez que certaines personnes peuvent être
extrêmement affectées concernant le nom de leur division ou de leur service et son poids
relatif au sein de l’organisation. De tels désaccords politiques peuvent se révéler non
seulement acerbes, mais également durables.

Convention de nommage organisationnelle


Avec une convention de nommage organisationnelle, vous modelez votre espace de noms
selon la structure de votre société ou organisation. Ainsi, la racine de votre arborescence
pourrait être monentreprise.com et le premier niveau inférieur se composerait de
finance.monentreprise.com, admin.monentreprise.com, mark.monentreprise.com, etc.
La liste suivante présente certains avantages et inconvénients du modèle organisationnel :

Avantages
■ Reflète l’organisation de la société
■ Facile à comprendre
■ Tracé évolutif naturel
■ Permet aux ressources de s’organiser par secteur d’activités

Inconvénients
■ Difficile à ajuster lors d’un changement de nom ou de structure organisationnelle
■ Peut être politiquement sensible
■ Difficile à prendre en charge en cas de scission ou de fusion des divisions
■ Difficile à mettre en œuvre si les divisions de l’organisation sont réparties sur plusieurs
sites géographiques

En pratique Sites
Les sites, fournis par le service Active Directory, peuvent réduire ou éliminer le problème
de la structure de nommage organisationnelle avec des divisions situées sur des sites
différents. Une société peut créer un site pour chaque île d’ordinateurs ayant une
connectivité de réseau local. Par exemple, le siège constituerait un site et une succursale un
autre site. Tous les domaines qui englobent plusieurs sites ajustent automatiquement leurs
paramètres de réplication pour optimiser l’utilisation des liens WAN lents entre les sites.
Les clients sont également automatiquement dirigés vers des contrôleurs de domaine
locaux pour les requêtes de services, ce qui réduit encore l’exploitation de ces liens.
Chapitre 3 Planification de l’espace de noms et des domaines 29

Convention de nommage géographique


Avec une convention de nommage géographique, vous modelez votre espace de noms selon
les divisions géographiques de l’organisation. Par exemple, avec la même racine
monentreprise.com, vous disposez d’un premier niveau comprenant europe.monentreprise.com,
asie.monentreprise.com, afrique.monentreprise.com, amernord.monentreprise.com, etc. Sous ce
premier niveau, vous pouvez diviser chaque entrée en pays ou état/province, selon la taille et
la complexité de votre organisation.
La liste suivante présente certains avantages et inconvénients de la convention de nommage
géographique :

Avantages
■ Apolitique par nature
■ Emploie des noms qui seront définitifs
■ Offre une flexibilité et une granularité accrues

Inconvénients
■ Ne reflète pas la nature de l’organisation
■ Peut nécessiter des domaines supplémentaires pour répondre aux exigences de sécurité

Remarque Les sites peuvent se révéler pratiques pour optimiser l’usage des
liens WAN lents sur des réseaux à l’aide d’une convention de nommage
géographique. Même s’il n’existe généralement pas de domaines qui englobent
plusieurs sites dans des réseaux avec la convention de nommage géographique,
l’emploi de sites optimise encore l’usage des liens WAN en améliorant la
réplication interdomaines d’Active Directory.

Conventions de nommage mixtes


Enfin, vous pouvez opter pour une solution qui combine les conventions de nommage
organisationnelle et géographique, en particulier dans un espace de noms en forêt, où différentes
cultures d’entreprise se sont développées et possèdent chacune un intérêt propre. En revanche,
cela peut prêter à la confusion et rendre difficile la prise en charge, par manque de cohérence dans
la manière de procéder. À vous de rationaliser au maximum la structure de votre espace de noms
lors de sa création. Votre travail de prise en charge globale n’en sera que facilité au final.
Même si vous adoptez une convention de nommage purement géographique pour la totalité
de l’organisation, vous verrez qu’il est préférable pour le niveau le plus bas de l’arborescence
de créer des unités d’organisation (OU, Organizational Units) ou des domaines qui reflètent
les différents secteurs d’activités de l’organisation. En effet, les groupes qui travaillent dans
des domaines similaires ou sur des projets associés ont généralement besoin d’accéder à des
ressources de nature similaire. Par exemple, les besoins d’un étage d’une usine de production
diffèrent de ceux du service Comptabilité. Ces besoins communs permettent d’identifier les
domaines naturels de la prise en charge et du contrôle administratifs.
30 Partie I Préparation

Déterminer la résolution de noms


Après avoir défini votre convention de nommage, il vous faut décider si l’espace de noms
utilisé en interne va être identique à celui communiqué à l’extérieur. De prime abord, vous
pensez peut-être qu’il doit l’être ; toutefois, il peut être intéressant d’exploiter des espaces de
noms interne et externe différents.

Utiliser les mêmes espaces de noms interne et externe


Lorsque vous possédez un seul espace de noms, vous et vos ordinateurs ont le même nom sur
le réseau interne que sur l’Internet public. Cela signifie que vous obtenez un nom unique
auprès de l’autorité d’enregistrement Internet appropriée et que vous gérez un seul espace de
noms DNS (Domain Name System), même si seul un sous-ensemble des noms n’est visible de
l’extérieur de la société. Votre structure de réseau va finir par ressembler à l’illustration de la
figure 3-3.
Lorsque vous employez le même nom pour des espaces de noms interne et externe, assurez-
vous que la possibilité de résoudre des noms depuis l’extérieur de la société se limite aux
ordinateurs qui sont situés derrière le pare-feu et supposés être visibles de l’extérieur. Vérifiez
qu’aucun serveur Active Directory ne réside hors du pare-feu. Toutefois, vous devez vous
assurer que vos ordinateurs internes peuvent résoudre des noms et accéder aux ressources de
part et d’autre du pare-feu.

finance.entr.microsoft.com
microsoft.com
Proxy/pare-feu

eng.microsoft.com
www.microsoft.com
entr.microsoft.com
support.microsoft.com

DNS en provenance Espace de noms et DNS de l'intérieur


de l’extérieur

Figure 3-3 Avec le même espace de noms interne et externe, votre DNS doit comporter
différentes zones selon la provenance de la requête.
Chapitre 3 Planification de l’espace de noms et des domaines 31

La liste suivante présente les avantages et les inconvénients de l’emploi du même espace de
noms interne et externe :

Avantages
■ Nommage cohérent en interne et en externe
■ Permet un enregistrement de noms unique
■ Permet aux utilisateurs de posséder une seule identité d’ouverture de session et de
messagerie électronique

Inconvénients
■ Nécessite une configuration de serveur proxy complexe
■ Impose la maintenance de différentes zones portant le même nom
■ Oblige les utilisateurs à connaître les différentes présentations des ressources, selon
l’endroit d’où ils y accèdent

Utiliser des espaces de noms interne et externe différents


Avec des espaces de noms interne et externe différents, vous pourriez vous présenter
publiquement sous le nom microsoft.com, en utilisant msn.com en interne. Toutes les
ressources situées hors du réseau de la société portent des noms se terminant par
microsoft.com, comme www.microsoft.com. Toutefois, au sein du réseau, on emploie un espace
de noms différent qui comporte msn.com en tant que racine, comme le montre la figure 3-4.

microsoft.com
finance.entr.msn.com
Proxy/pare-feu

www.microsoft.com
eng.msn.com
support.microsoft.com
entr.msn.com

Espace de noms et DNS externes Espace de noms et DNS internes

Figure 3-4 Réseau privé/public comportant des espaces de noms différents


32 Partie I Préparation

Avec des espaces de noms interne et externe différents, les noms DNS de vos ordinateurs qui
sont accessibles à l’extérieur diffèrent de ceux qui n’apparaissent qu’à l’intérieur du pare-feu.
Dans ce cas de figure, il est toutefois obligatoire d’enregistrer les noms publics et privés
auprès de l’autorité d’enregistrement de noms Internet appropriée. L’enregistrement du nom
interne vous semble peut-être inutile dans la mesure où vous ne comptez pas l’exposer sur
l’Internet public mais de cette manière, vous vous assurez que personne ne va employer le
même nom et ainsi provoquer des problèmes de résolution de noms avec vos clients internes.

Remarque Il existe une manière de contourner le problème d’un nom


uniquement interne, en particulier lorsqu’il est difficile de contrôler le nom de
domaine du fait qu’il est légitimement la propriété de quelqu’un d’autre :
choisissez un nom de domaine racine qui n’existe pas, comme .lan (par exemple,
microsoft.lan). Grâce à cette stratégie, vous possédez un nom interne approprié à
cette portion de l’espace de noms sans risquer d’entrer en conflit avec le nom de
domaine d’une autre personne. Par défaut, dans Windows Server 2008, on utilise
.local comme nom de domaine racine interne. Dans ce livre, nous utiliserons
monentreprise.com pour désigner le domaine principal.
La liste suivante présente les avantages et les inconvénients de l’emploi d’espaces de noms
interne et externe différents :

Avantages
■ Distingue clairement ce qui est interne de ce qui est externe
■ Simplifie la gestion et la configuration des proxys
■ Met en évidence les différences entre les espaces de noms interne et externe

Inconvénients
■ Impose l’enregistrement de deux noms
■ Implique que les noms d’ouverture de session des utilisateurs soient différents de ceux
de leur messagerie électronique

Planifier une structure de domaine


Une fois que vous avez façonné l’aspect global de votre espace de noms, vous devez
concevoir la structure de domaine désignée à le prendre en charge. Chaque branche de
l’espace de noms peut engendrer un domaine ou une OU. Ce choix dépend d’un certain
nombre de considérations, comme les exigences de réplication, la stratégie de sécurité, la
disponibilité des ressources, la qualité de la connexion, etc.

Domaines et unités d’organisation


Les arborescences de réseau Windows Server 2008 se composent de domaines et d’OU. Tous
deux ont pour vocation de sectoriser l’administration entre les branches de l’arborescence,
mais leurs implications et leurs exigences de ressources sont différentes.
Chapitre 3 Planification de l’espace de noms et des domaines 33

Domaines
L’unité fondamentale du service d’annuaire Active Directory de Windows Server 2008 est le
domaine, exactement comme dans Windows Server 2003 et Microsoft Windows NT 4. Tous
les objets du réseau existent comme partie du domaine et la stratégie de sécurité y est uniforme.
Contrairement à Windows NT, la sécurité dans Windows 2000, Windows Server 2003 et
Windows Server 2008 repose sur la version 5 de Kerberos et les relations d’approbation sont
transitives. Cela signifie que si le domaine A approuve le domaine B et que si le domaine B
approuve le domaine C, le domaine A approuve également le domaine C.

Planification Il reste possible d’établir des relations d’approbation de type


Windows NT 4 unidirectionnelles. Plus important encore, les relations entre les
domaines Windows Server 2008 et les anciens domaines Windows NT s’appuient
des relations d’approbation non transitives unidirectionnelles inhérentes à
Windows NT. Il est essentiel de tenir compte de ces relations lors de la
planification de votre structure de domaine.
Depuis Windows 2000, le concept d’un contrôleur de domaine principal (PDC, Primary
Domain Controller) et d’un ou plusieurs contrôleurs de domaine de sauvegarde a
considérablement évolué. Les contrôleurs de domaine dans Windows 2000 et ultérieur
étaient multimaîtres et basés sur une relation d’homologues. Chaque contrôleur de domaine
bénéficiait d’une autorité identique dans le domaine et si un contrôleur était déconnecté, les
autres continuaient à administrer et à authentifier le domaine. N’importe quel contrôleur de
domaine pouvait être à l’origine d’un changement du domaine puis répercuter le changement
sur les autres contrôleurs de domaine du domaine.
Bien entendu, nous parlons au passé. Les contrôleurs de domaine de sauvegarde sont
revenus, sous un autre nom : contrôleurs de domaine en lecture seule. Le concept est
identique : un contrôleur de domaine en lecture seule n’est pas en mesure de modifier Active
Directory. Nous reviendrons sur les contrôleurs de domaine en lecture seule d’Active
Directory et les contrôleurs de domaine de manière plus détaillée au chapitre 16 du tome 1,
« Installation et configuration des services d’annuaire ».

Remarque Bien que les contrôleurs de domaine créés dans Windows


Server 2008 soient égaux, il en est un qui sera plus égal que les autres si vous
prenez encore en charge des ordinateurs Windows NT dans votre domaine (par
exemple, si vous travaillez au niveau fonctionnel d’un domaine ou d’une forêt qui
prend en charge des contrôleurs de domaine Windows NT 4). Dans ce cas
particulier, un contrôleur de domaine émule la fonctionnalité de contrôleur de
domaine principal Windows NT 3.x et Windows NT 4. Par défaut, c’est le premier
contrôleur de domaine d’un domaine qui reçoit cette attribution, mais il est
possible de transférer le rôle d’émulateur du contrôleur principal à un autre
contrôleur de domaine si nécessaire. Reportez-vous au chapitre 17 du tome 1,
« Gestion d’Active Directory », pour de plus amples informations sur ce rôle et les
autres rôles de maître d’opérations dans le domaine.
34 Partie I Préparation

Le domaine constitue également l’unité de réplication au sein d’Active Directory. Les


modifications du domaine se répliquent sur tout le domaine, même lorsque celui-ci englobe
plusieurs sites ou emplacements. Les contrôleurs de domaines situés sur des sites distants
sont ainsi en mesure d’apporter des modifications sur le domaine et de les répliquer sur tout
le domaine. Il va de soi que si un site distant ne possède qu’un contrôleur de domaine en
lecture seule, il ne peut être à l’origine de modifications.
Même si les droits d’accès sont transitifs au travers des frontières du domaine, les droits
d’administration sont par défaut limités au domaine. Il est par conséquent possible
d’accorder des droits d’administration à un utilisateur clé d’un domaine particulier sans se
soucier de la sécurité générale de l’organisation, puisque les droits d’administration s’arrêtent
à la frontière du domaine, sauf s’ils ont été explicitement accordés pour d’autres domaines.

Unités d’organisation
Le concept d’unité d’organisation a été introduit pour la première fois dans Windows 2000. Elle
possède certaines des caractéristiques d’un domaine, mais sans sa charge de ressources. L’OU est
comprise dans un domaine et agit comme un conteneur d’objets du service d’annuaire. Elle forme
une branche de l’espace de noms LDAP (Lightweight Directory Access Protocol) continu, mais pas
nécessairement de l’espace de noms DNS et elle peut également contenir d’autres OU. Ainsi, le
domaine entr.microsoft.com peut contenir d’autres domaines, comme finance.entr.microsoft.com, et
des unités d’organisation telle que l’unité « rh » de entr.microsoft.com. Ici, le nom LDAP serait
« OU=rh,DC=finance,DC=entr,DC=microsoft,DC=com » mais le nom DNS resterait
entr.microsoft.com, sauf si on le modifie explicitement.
L’OU établit une frontière administrative appropriée et vous pouvez déléguer des droits et des
privilèges d’administration à des utilisateurs d’une OU sans compromettre le reste du
domaine. Cependant, une OU ne requiert pas de contrôleur de domaine séparé et elle
n’intervient pas dans la réplication.

Concevoir une structure de domaine


Dès lors que vous avez conçu votre espace de noms et que tous les acteurs impliqués l’ont
approuvé, vous êtes prêt à concevoir et à mettre en œuvre la structure du domaine. La
conception de votre structure de domaine va refléter celle de votre espace de noms, mais
vous pouvez décider que certaines frontières de l’espace de noms ne requièrent que des OU
et non pas des domaines complets. Choisissez une OU ou un domaine selon vos besoins en
stratégie de sécurité séparée (par exemple, une stratégie définissant la complexité des mots de
passe ou du verrouillage de comptes) pour les entités contenues au sein des limites de
l’espace de noms. Si une frontière de l’espace de noms particulière ne nécessite pas de
stratégie de sécurité différente de celle de son parent, l’OU constituera probablement une
division appropriée car elle n’impose pas la mise en œuvre de nombreuses ressources.
Chapitre 3 Planification de l’espace de noms et des domaines 35

Concevoir une structure d’arborescence de domaine unique


Pour créer un espace de noms unique et contigu et par conséquent une structure d’arborescence
de domaine, créez les domaines dans un ordre hiérarchique, en commençant au niveau supérieur
de l’arborescence. Ce domaine supérieur constitue votre domaine racine et soit il contient tous les
utilisateurs (dans les modèles plus restreints de domaine unique), soit il n’en contient aucun (si
vous utilisez un domaine structurel comme domaine racine). Pour ceux qui connaissent bien les
modèles de domaines Windows NT 4, cette structure correspond en grande partie au modèle de
domaine « à maître unique », avec une différence importante. Les utilisateurs n’ont pas besoin, et
le plus souvent ne doivent pas, se trouver dans un domaine à maître unique, mais ils doivent
résider à leur emplacement approprié dans la hiérarchie du domaine.
Lorsque vous élaborez l’arborescence de votre espace de noms, vous créez des domaines ou
des OU pour chaque branche de l’arborescence. Le choix entre une OU ou un contrôleur de
domaine dépend du modèle de sécurité général, de la qualité de la connexion à
l’emplacement et de nombreux autres facteurs, des considérations politiques à la
planification de l’espace de noms d’origine.

Remarque La structure d’arborescence unique décrite ici constitue également


une forêt, avec certes une seule arborescence, mais néanmoins une forêt.

Concevoir une structure d’arborescence de domaines multiples


La forêt d’arborescences est le plus souvent utilisée pour structurer un espace de noms
existant qui n’est pas contigu et qui le serait difficilement. Vous obtenez plusieurs domaines
racines, tous au même niveau. Sous chacun de ces domaines racines se trouve un espace de
noms contigu pour cette arborescence. Chaque branche de l’espace de noms LDAP est soit
un domaine (avec ses exigences correspondantes d’un ou de plusieurs contrôleurs de
domaine), soit une OU. Vous créez généralement chaque arborescence à partir du haut et
chaque branche de l’arborescence présente automatiquement une relation d’approbation
avec les autres branches de l’arborescence.
Toutes les arborescences d’une forêt partagent un schéma, une configuration et un catalogue
global identiques, avec des relations d’approbation Kerberos transitives parmi tous les
domaines de la forêt. La hiérarchie d’approbation au sein de chaque arborescence suit celle
du nommage DNS. Toutefois, la hiérarchie d’approbation de la forêt dans son ensemble suit
l’ordre dans lequel les arborescences rejoignent la forêt, avec des approbations transitives et
bidirectionnelles créées entre chaque paire d’arborescences de la forêt. Ce schéma est
transparent pour les utilisateurs mais l’administrateur a la possibilité de le modifier pour
optimiser la gestion et les renvois.

Indications sur la sécurité du domaine


Au sein de chaque domaine, les exigences, les stratégies et la configuration de la sécurité sont
cohérentes. Si vous devez modifier les exigences et la stratégie de sécurité d’une sous-unité
36 Partie I Préparation

d’un domaine, créez cette sous-unité en tant que domaine enfant et non comme une OU.
N’oubliez pas cette indication lors de la planification de votre espace de noms général ; il
vous faut une branche distincte de l’espace de noms pour disposer d’une stratégie de sécurité
distincte.
Comment définir une stratégie de sécurité ? Qu’implique-t-elle ? La partie IV traite exclusivement
des questions de sécurité, mais voici déjà un résumé des éléments dont il sera question :
■ Exigences d’ouverture de session
■ Certificats
■ Exigences de validité des mots de passe et de longueur minimale
■ Carte à puce ou autres éléments additionnels d’authentification
■ Restrictions concernant l’ordinateur et l’heure d’utilisation

Bon nombre de ces mesures de sécurité seront identiques dans l’ensemble de votre
organisation, mais certaines zones sont susceptibles de nécessiter une plus grande sécurité
que le reste de l’organisation. Dans ce cas, prévoyez de placer les zones exigeant davantage
d’attentions dans un domaine séparé, de sorte que leur sécurité restrictive ne s’impose pas à
toute l’organisation.

Créer des unités d’organisation


S’il n’est pas nécessaire de créer des domaines séparés pour des raisons de sécurité, mais que
vous souhaitez pouvoir déléguer des fonctions d’administration, créez une OU séparée plutôt
qu’un domaine enfant. Ainsi, vous pouvez avoir un domaine appelé europe.exemple.com à
diviser en unités d’activités au sein de la zone. Vous pouvez créer les domaines ventes,
support, formation, ressources humaines, production et finances sous europe.exemple.com.
Cependant, la charge de domaines séparés et de leurs contrôleurs requis pour chaque unité
n’est pas nécessaire, principalement parce qu’elles ne partagent pas la même stratégie de
sécurité. En conséquence, il suffit de créer des OU pour chacune. Si ultérieurement vous
devez convertir l’une ou plusieurs d’entre elles en domaines, c’est possible, même si le
processus n’est pas très aisé.
Les OU établissent des frontières utiles à des fins d’administration. Divers privilèges et tâches
d’administration peuvent être délégués à l’administrateur pour une OU spécifique, ce qui
libère l’administrateur du domaine et donne à l’OU un contrôle local de ses propres
ressources.

Planifier plusieurs domaines


Si votre organisation est assez complexe, ou simplement assez grande, pour exiger la création
de plusieurs domaines, n’hésitez pas à passer le temps nécessaire à planifier leur mise en
œuvre. Vous récupérerez au centuple le temps passé en amont.
Chapitre 3 Planification de l’espace de noms et des domaines 37

Dessinez votre structure de domaine planifiée et comparez-la à votre espace de noms planifié
ou existant. Déterminez ce qui doit simplement être un domaine et ce qui convient en OU.
Identifiez les serveurs à définir comme contrôleurs de domaine. N’oubliez pas que les
concepts de contrôleur de domaine principal et de contrôleur de domaine de sauvegarde de
Windows NT sont de retour, du moins en partie. Les contrôleurs de domaine qui sont en
lecture seule ne peuvent pas modifier le domaine, mais tous les autres contrôleurs de
domaine sont considérés de manière égale. Les modifications apportées à un contrôleur de
domaine qui n’est pas en lecture seule sont répercutées sur tous les autres contrôleurs du
domaine. Si vous effectuez des modifications simultanées sur plusieurs contrôleurs, Active
Directory utilise des USN (Update Sequence Numbers, numéros de mise à jour) et les
indicateurs de date et heure des changements pour résoudre les conflits.

Planifier un espace de noms contigu


Lorsque vous planifiez un espace de noms contigu, et ainsi une structure de forêt à
arborescence unique, il vous faut créer préalablement le domaine racine de l’espace de noms.
Dans cet espace de noms, créez les comptes d’administrateur principaux mais ne vous
occupez pas encore des autres comptes. Les comptes utilisateur et d’ordinateur doivent
résider dans la branche de l’arborescence où ils vont effectuer le plus de travail. Cette
procédure est contraire à celle de Windows NT, où si l’on possédait plusieurs domaines, il
fallait souvent créer tous les comptes utilisateur au niveau le plus élevé du domaine à cause
des relations d’approbation.
Si vous migrez d’un environnement Windows NT existant, il se peut que vos utilisateurs se
trouvent dans un domaine à maître unique ou multimaître. Vous pouvez poursuivre cette
procédure, laquelle constitue peut-être la manière la plus simple de migrer d’un
environnement existant. Le chapitre 6 du tome 1, « Mise à niveau vers Windows
Server 2008 », reprend cette analyse sur la mise à niveau des domaines.

Déterminer le besoin d’une forêt à plusieurs arborescences


Si vous disposez déjà d’un environnement comportant plusieurs domaines racines, ou un
seul sans espace de noms contigu, il vous faut créer une forêt à plusieurs arborescences et
non un environnement avec forêt et arborescence uniques.
La première étape consiste à se pencher longuement sur vos espaces de noms non contigus.
Voyez-vous une occasion de les réunir pour en réduire le nombre ? Le moment est venu. Il
sera bien plus complexe de les regrouper ultérieurement et vous aurez également davantage
de difficultés à l’imposer aux personnes concernées.

Créer la forêt
Si vous décidez qu’il est définitivement impossible d’obtenir un seul espace de noms contigu
et s’il est vraiment nécessaire de créer une forêt à plusieurs arborescences, déterminez
exactement l’emplacement de la racine de chaque arborescence de la forêt. Réfléchissez aux
38 Partie I Préparation

emplacements physiques de vos éventuels contrôleurs de domaine, à la disposition de votre


réseau, à la bande passante des différents sites et à l’existence de domaines et contrôleurs
Windows NT 4. Une fois que votre réseau est physiquement et logiquement structuré, vous
êtes prêt à planifier la stratégie de votre domaine.
Créez d’abord vos domaines racines, puis construisez vos arborescences. Cet ordre n’est pas
obligatoire ; si vous manquez une arborescence ou qu’une modification a lieu, il est possible
de revenir en arrière et d’ajouter une autre arborescence à votre forêt. Cependant, il est
généralement préférable de commencer par les racines, ne serait-ce que pour maintenir
l’ordre des relations d’arborescence à arborescence.

En pratique Dès lors que vous avez créé la racine d’une arborescence, il
devient difficile de la renommer ou de la supprimer. Dans Windows Server 2008,
Rendom.exe permet de changer les noms de domaine, mais cette action n’est
pas à entreprendre fréquemment. Par conséquent, ne vous précipitez pas pour
élaborer la structure du domaine ; sa planification détaillée vous économisera
bien des efforts sur le long terme.

Autres informations Vous retrouverez d’autres analyses d’Active Directory et


de son fonctionnement dans le livre Services d’annuaires et de sécurité sous
Windows Server 2003 : Conception et déploiement (Microsoft Press, 2003) ou Kit
de déploiement : Microsof t Windows Ser ver 2003 – Conception d’un
environnement contrôlé (Microsoft Press, 2003).

Résumé
La planification de votre espace de noms et de la structure de votre domaine constitue une
étape essentielle pour parvenir à une mise en œuvre optimale de Windows Server 2008. Il
s’agit d’un processus itératif qui requiert une planification soignée et une compréhension
totale des réalités politiques de l’organisation. Un espace de noms Windows Server 2008
peut comporter une structure unique, contiguë et hiérarchique avec une forêt qui serait une
arborescence unique ou une forêt de plusieurs arborescences dans un espace de noms non
contigu. Tous les contrôleurs de domaine d’un domaine, excepté les contrôleurs de domaine
en lecture seule, détiennent la même autorité sur le domaine et un domaine peut contenir
plusieurs OU à des fins de délégation. Au chapitre 4 du tome 1, « Planification du
déploiement », nous poursuivrons l’étape de la planification, puis, au chapitre 5 du tome 1,
« Démarrage », nous passerons de la planification de l’installation à sa concrétisation.
Chapitre 4
Planification du déploiement
Fonctionnement de l’informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Identifier les besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Analyser les systèmes existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Élaborer un schéma directeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Nous avons travaillé avec des administrateurs système pour qui le déploiement consiste à
insérer un DVD dans le nouveau serveur et à démarrer l’installation. Selon notre expérience,
insérer le DVD n’est que la dernière phase du processus. Au moment de démarrer
l’installation, vous devez avoir planifié, négocié et préparé le déploiement.
Le déploiement recouvre bien d’autres tâches que le simple fait d’installer un système
d’exploitation, voire un système d’exploitation réseau. Les activités spécifiques au
déploiement (installation et configuration des applications, des services de fichiers et
d’impression, d’Active Directory, des communications, de la sécurité et des autres
fonctionnalités) seront détaillées dans des chapitres ultérieurs. Le présent chapitre explique
ce qu’il faut faire avant même d’insérer le premier DVD, à savoir planifier l’infrastructure
matérielle et logicielle sur laquelle s’appuiera votre réseau Microsoft Windows Server 2008.
La réussite du déploiement réseau dépend, avant tout, de la planification. Une bonne
planification, quant à elle, repose sur la collecte et l’analyse de données, ainsi que sur une
certaine dose d’anticipation. Les choix que vous ferez, dans les premières phases du
déploiement, porteront votre empreinte, en bien ou en mal. Votre vision de l’avenir
prévaudra, pour les années à venir, au niveau du fonctionnement de l’entreprise, et nul doute
que vous serez tenu pour responsable si cette vision s’avère erronée. Par conséquent, mieux
vous planifierez le déploiement, et mieux ce sera pour tout le monde.
Il existe trois éléments essentiels pour bâtir une stratégie informatique efficace :
■ L’étude de l’adéquation du système informatique actuel aux besoins de l’entreprise.
Qu’est-ce qui fonctionne dans votre infrastructure technologique, et qu’est-ce qui ne va
pas ?

39
40 Partie I Préparation

■ La définition des objectifs de l’entreprise et de ceux de l’informatique. Élaborez des


plans à un an, à trois ans, à cinq ans et à dix ans pour définir les besoins de l’entreprise,
et pour aboutir à des fonctionnalités et services informatiques répondant à ces besoins.
■ L’élaboration d’un schéma directeur permettant à l’entreprise et à son informatique
d’atteindre leurs objectifs d’une manière optimale.
Ce chapitre va étudier ces trois éléments, ainsi que leurs interrelations.
Tout au long de ce chapitre, nous nous concentrerons sur le quoi, le pourquoi et le comment.
Nous avons volontairement évité toute référence à une application logicielle, Microsoft ou
tierce, destinée à simplifier ce processus. Il nous semble plus important de parfaitement
comprendre les processus impliqués. Le choix des outils associés fait partie de ce processus.

Fonctionnement de l’informatique
La plupart des personnes pensent que le rôle du service informatique est de servir les besoins
actuels de l’entreprise et, en outre, de proposer des objectifs stratégiques à long terme.
Certains pensent même que le service informatique constitue un avoir essentiel et une force
dans la lutte concurrentielle. Hélas, cela n’est pas toujours aussi évident, et ce pour une foule
de raisons. Cela tient parfois à un problème de communication. Il arrive souvent que
personne n’ait suffisamment réfléchi à ce que demande, techniquement parlant, la
satisfaction des besoins de l’entreprise. Nombre de réseaux semblent avoir surgi comme des
champignons après la pluie, sans s’appuyer sur quelque chose qui ressemblerait, de près ou
de loin, à une vision globale.
Il n’est pas facile de modifier la situation et ce pour plusieurs raisons :
■ La présence de matériels et de logiciels hérités ;
■ L’incompatibilité entre des systèmes d’exploitation et des applications qui avaient été
choisis, en leur temps, pour résoudre les problèmes particuliers de tel ou tel service de
l’entreprise ;
■ L’évolution rapide des technologies et des besoins des utilisateurs ;
■ La résistance aux changements, émanant de tous ceux qui ont travaillé avec les
anciennes technologies ;
■ Le manque de personnel, de temps et d’argent pour la planification et la réalisation
d’une modernisation du système informatique.
Le dernier de ces problèmes se retrouve presque partout. Néanmoins, si ces facteurs
empoisonnent votre entreprise, il est temps de commencer à bousculer les habitudes. Vous
ne pourrez pas faire une révolution du jour au lendemain, mais une planification bien pensée
et l’élaboration de priorités claires représenteront déjà un grand bond en avant.
Chapitre 4 Planification du déploiement 41

Identifier les besoins


L’identification des besoins de l’entreprise constitue une tâche qui peut sembler écrasante. Un
bon point de départ consiste à étudier les besoins des divers services de l’entreprise.
Analysez, par exemple, les besoins du service Ventes, du service Ressources Humaines et du
service Marketing. Que doit faire chaque service à l’heure actuelle et que serait-il bon qu’il
fasse à l’avenir ?
Étudiez les opérations fondamentales (facturation, stock, etc.) qu’il faut effectuer tous les
jours, ainsi que les opérations moins fréquentes (lancement des nouveaux produits, etc.).
Quels sont les niveaux de souplesse à intégrer aux systèmes informatiques ? Quels sont les
types de changements à anticiper pour tenir compte de l’accroissement des activités Internet
ou de l’augmentation des accès émanant d’utilisateurs distants ?
Cette étude des besoins de l’entreprise vous aidera à surmonter les résistances inévitables vis-
à-vis des changements apportés à l’infrastructure. Les personnes ayant participé à votre étude
des problèmes courants et des perspectives de l’entreprise vous épauleront pour le
déploiement de Windows Server 2008.

Élaborer un cahier des charges précis


Commencez par dresser une liste, triée par ordre d’importance, des fonctionnalités
indispensables pour atteindre les objectifs de votre entreprise. À cette liste, ajoutez les
éléments suivants :
■ Analyse du coût total de propriété, identifiant les endroits où la modernisation de
l’infrastructure informatique aboutirait à une diminution des coûts ;
■ Analyse du retour sur investissement, identifiant les bénéfices financiers susceptibles
d’être engendrés par la modernisation de l’infrastructure informatique ;
■ Évaluation du chiffre d’affaires supplémentaire susceptible d’être engendré par la
modernisation de l’infrastructure ;
■ Évaluation des risques potentiels résultant du maintien de l’infrastructure informatique
actuelle.
Toutes ces questions sont fort compliquées, d’autant plus qu’elles se recoupent souvent. Il se
pourrait donc que vous soyez obligé de refaire cette liste plusieurs fois. Selon la taille du
projet, vous pourrez subdiviser cette liste en plusieurs sous-projets individuels, plus faciles à
gérer.

Anticiper
Pour réussir un réseau, il faut étudier avec une grande précision ce que sera l’entreprise d’ici
un, trois, cinq et même dix ans. L’entreprise sera-t-elle plus ou moins centralisée ? Connaîtra-
t-elle une expansion géographique, ou au contraire une contraction ? Aurez-vous plus
d’employés qui auront besoin de la libre circulation de l’information sur des réseaux pour
42 Partie I Préparation

faire leur travail ? Devrez-vous gérer des employés mobiles, susceptibles de travailler tantôt
dans l’entreprise, tantôt à l’extérieur (chez eux, chez des clients, etc.) ? Avec ce genre
d’employés, les méthodes classiques de distribution de l’information risquent de s’avérer
totalement dépassées. Comment ces employés obtiendront-ils ce dont ils auront besoin ?
Comment arriverez-vous à combiner la facilité d’accès aux informations et la sécurité ?
Les réseaux informatiques eux-mêmes sont sujets à des changements rapides. En effet,
l’expérience du travail en réseau modifie la perception qu’a l’utilisateur de ce qui est possible
et donc de ce qui est souhaitable. Quand les gens commencent à prendre l’habitude de
consulter en temps réel les résultats des ventes ou les situations des stocks, la demande en
matière d’accès augmente très rapidement.
Même les changements mineurs peuvent avoir des répercussions majeures sur votre
infrastructure informatique. En anticipant les changements et en les planifiant, vous
garantirez l’évolution de votre réseau et son adéquation aux besoins à venir.

Analyser les systèmes existants


Rares sont les entreprises qui connaissent l’inventaire exact de leurs matériels et de leurs
logiciels. Plus rares encore sont les entreprises qui connaissent la fréquence de modification
de leur infrastructure matérielle et logicielle. Il est impossible d’atteindre des objectifs si l’on
ne connaît pas bien le présent. Même si vous n’êtes pas certain d’aller un jour à Paris,
comment voulez-vous vous y rendre si vous ne savez même pas que vous êtes à Toulouse ou
à Strasbourg ? Les sections qui suivent vont détailler les étapes de cette analyse, qui vous
permettra de savoir ce dont vous avez besoin et comment mettre en œuvre les changements.

Documenter le réseau
Savoir quels sont les matériels et les logiciels que vous avez déployés et comment ils sont
utilisés, voilà un élément essentiel pour la conception d’un réseau et pour le choix optimal de
la méthode de mise en œuvre de ce réseau. Après tout, vous n’allez pas jeter à la poubelle
l’ensemble du réseau existant et le remplacer par des matériels dernier cri (et même cela
serait-il le cas, ce n’est pas aussi facile qu’il y paraît).
Il est plus probable que vous retirerez progressivement les matériels et les logiciels existants,
à savoir sur des semaines ou des mois, voire plus. Pendant ce temps, vous serez bien obligé
de les gérer. Une étude soigneuse et exhaustive du réseau actuel sera d’un grand secours pour
la détection des problèmes potentiels (et pour le choix de solutions de remplacement).

Infrastructure organisationnelle et physique


Dessinez la cartographie du réseau physique : stations, serveurs, routeurs, armoires de
branchement, concentrateurs, etc. Ce schéma montrera les endroits où vous pouvez étendre
le réseau (et ceux où vous ne le pouvez pas), révélera le meilleur routage du trafic et
indiquera si les serveurs (et d’autres matériels) sont placés de manière optimale. En parallèle,
Chapitre 4 Planification du déploiement 43

un organigramme organisationnel, référençant tous les membres de l’équipe informatique et


leurs responsabilités individuelles, permettra de clarifier les lignes de communication et
révélera les failles à ce niveau. Vérifiez que toutes les tâches critiques sont assignées à chaque
site, unité organisationnelle ou emplacement. Vous n’allez pas installer un serveur à un
emplacement distant s’il n’y a personne pour l’administrer convenablement.

Tendances en matière de trafic


Collectez des rapports sur le trafic réseau pour déterminer les emplacements optimaux des
routeurs, des concentrateurs et des commutateurs, connaître les besoins en bande passante des
stations et des groupes de travail et évaluer les besoins ultérieurs en matière de logiciels
d’administration de réseau. Il existe des utilitaires d’analyse de réseau qui vous permettront de
connaître les volumes précis du trafic réseau. Les tendances en matière de trafic ont également
leur importance quand il s’agit d’évaluer les bonnes vitesses de connectivité longue distance ou
la vitesse à utiliser sur les goulets reliant les différents étages d’un bâtiment.

Adresses réseau
Quand vous mettrez à niveau le réseau en utilisant Active Directory, vous affecterez
vraisemblablement de nouveaux noms à la plupart des nœuds du réseau. Ajoutez les adresses
des nœuds au schéma physique que vous avez préalablement dessiné, de façon que vous
puissiez savoir quelles sont les adresses à assigner et quelles seront les étapes requises par le
passage de l’ancien système de dénomination au nouveau.

Connectivité du système d’exploitation


Nombre de systèmes existants sont connectés à d’autres systèmes d’exploitation, comme UNIX.
Déterminez les outils nécessaires pour préserver la connectivité ou migrez ces plates-formes
vers Windows Server 2008. Sachez, en outre, que les emplacements physiques des routeurs,
commutateurs et autres passerelles, sont critiques pour assurer une connectivité optimale.

Remarque Windows Server 2008 inclut un client NFS (Network File System) et
des composants serveur pour la connectivité UNIX, ainsi que le SUA (Subsystem
for UNIX Applications) qui simplifient la migration des applications UNIX vers
Windows. Pour de plus amples informations, reportez-vous au chapitre 6 du
tome 2, « Interopérabilité ».

Connectivité avec le monde extérieur


De même que la plupart des entreprises ne savent pas ce qu’elles ont comme matériel, la
connectivité externe des réseaux est rarement documentée. Les entreprises connaissent
souvent les services Internet, de réseau étendu et de télécopie utilisés, mais ne documentent
pas les lignes téléphoniques qui servent aux accès distants ou à l’administration à distance. Il
n’est pas rare de trouver des connexions sans fil non documentées (et non autorisées). Il est
temps de les contrôler.
44 Partie I Préparation

Systèmes d’exploitation réseau existants


Dresser la liste des systèmes d’exploitation utilisés sur les différents serveurs et stations du
réseau est un élément essentiel pour réussir la mise à niveau ou la migration des systèmes
d’exploitation. Déterminez les exigences de la mise à niveau ou de la migration et sachez s’il
faut procéder à des mises à niveau préliminaires.

Applications et services existants


Faites l’inventaire des logiciels installés sur les serveurs et les stations. Lorsque vous aurez
dressé cette liste, procédez à une analyse complémentaire pour connaître les besoins,
ordinaires et extraordinaires, des applications en matière de ressources. Par exemple, un
programme génère un trafic réduit la plupart du temps, sauf pour des téléchargements
hebdomadaires de 200 Mo effectués depuis un serveur distant. En outre, les exigences du
service comptable sont nettement différentes à la fin de l’année qu’au deuxième trimestre. Si
des applications s’exécutent sur des serveurs ou des systèmes d’exploitation migrés, soyez sûr
de connaître le processus de migration des applications et du système d’exploitation.
En outre, ventilez les applications et services inventoriés dans différentes catégories :
■ Stratégiques Logiciels et services essentiels au fonctionnement de l’entreprise les plus
concernés par la réalisation des objectifs actuels et à venir.
■ Tactiques Applications et services intéressants pour l’entreprise, mais qui ne
fournissent pas d’avantages optimaux.
■ Hérités Logiciels et services encore utilisés dans l’entreprise, mais qui approchent de la
fin de leur durée de vie utile. Votre planification doit prévoir de retirer ces composants
avant qu’ils ne tombent dans la catégorie Obsolètes.
■ Obsolètes Applications et services représentant une gêne plutôt qu’un avantage pour
l’entreprise. Votre objectif doit être d’en débarrasser l’entreprise le plus vite possible.
Chaque composant logiciel entre dans l’une des ces catégories. Cette classification vous
aidera à clarifier votre réflexion et à donner forme à votre planification. N’ignorez pas cette
étape. Impliquez les parties de l’organisation qui exploitent une application ou un processus,
en particulier si l’application est héritée ou obsolète. L’implication des utilisateurs constitue
une part importante du processus. Ils comprennent ainsi la place de l’application dans les
objectifs stratégiques de l’entreprise et peuvent trouver un moyen de résoudre le problème de
l’application héritée.
Les applications héritées font d’excellents candidats à la virtualisation. Pour chaque
application entrant dans cette catégorie, réfléchissez au moyen de combiner et de rationaliser
les serveurs qui les prennent en charge pour les virtualiser.
Chapitre 4 Planification du déploiement 45

Charge du serveur
Réalisez un inventaire physique des serveurs du réseau pour inclure leur charge utile. Vous
identifierez ainsi les candidats à la virtualisation et à la consolidation. En consolidant les
charges de travail des serveurs sous-employés et en les déplaçant vers des serveurs
virtualisés, vous réduirez significativement la charge de gestion globale et exploiterez plus
efficacement les ressources. Windows Server 2008 inclut de nouvelles fonctionnalités de
virtualisation décrites au chapitre 8 du tome 2, « Virtualisation Windows ».

Élaborer un schéma directeur


Une enquête parrainée par Microsoft il y a quelques années, a défini six points qui
caractérisent les services informatiques efficaces. Ces conclusions ne sont pas
révolutionnaires, mais il est bon de les répéter. Les entreprises dotées de services
informatiques performants :
■ Mettent l’informatique au service de l’entreprise et non au service des
informaticiens. En d’autres termes, les informaticiens doivent s’impliquer sans réserve
dans la stratégie générale de l’entreprise et dans la mise en œuvre quotidienne de cette
stratégie.
■ Décident des investissements financiers concernant l’informatique en se basant
sur les mêmes critères que pour les autres investissements. Qu’il s’agisse d’acheter
de la technologie informatique ou de nouveaux bureaux, il faut analyser le ratio coût/
bénéfice et le retour sur investissement.
■ Mettent l’accent sur la simplicité et la souplesse sur l’ensemble de
l’environnement informatique. Il faut limiter le nombre des technologies et des
plates-formes et rechercher le maximum de souplesse et de facilité de mise en œuvre.
■ Exigent des résultats rapides en matière de développement. Il faut privilégier les
déploiements par paliers, ainsi que les logiciels standards du marché. Si le
développement d’un logiciel personnalisé s’avère indispensable, il faut se concentrer
sur les vingt pourcents de fonctionnalités qui représenteront quatre-vingts pourcents
de la valeur ajoutée.
■ Poussent sans cesse à l’amélioration de la productivité. Il faut mesurer les
performances par rapport à des tests référence et des standards, tant internes
qu’externes, et rechercher en permanence des améliorations.
■ Cherchent à avoir un service informatique qui comprenne la gestion et une
organisation générale qui s’y connaisse en informatique. En termes plus simples,
dans une entreprise performante les informaticiens travaillent la main dans la main
avec les autres services. Tout le monde parle le même langage, communique,
comprend les possibilités et les besoins de l’autre.
Voilà de grands et beaux principes, difficiles de contester dans l’absolu mais de mise en
œuvre délicate dans la pratique. Cependant, il faut bien commencer quelque part. Gardez ces
46 Partie I Préparation

objectifs à l’esprit et faites tout pour les appliquer, cela ne pourra que profiter à l’entreprise en
général.
Après avoir analysé la situation présente ainsi que les objectifs stratégiques à venir, vous
devrez élaborer un schéma directeur qui vous permettra d’aller là où vous voulez aller. Le
schéma directeur comprend la définition des objectifs, l’évaluation des risques et le planning
de mise en service.

Définir les objectifs


Les objectifs de votre déploiement doivent être précis, réalisables et mesurables. Énumérez
les problèmes à résoudre et spécifiez la façon dont vous solutionnerez les diverses
contraintes : besoins des utilisateurs finaux, coûts, calendrier, fiabilité, etc.
Votre planning doit ensuite préciser ce que vous devez réaliser à chaque étape, ainsi que la
façon dont vous vérifierez si vous avez fait ce que vous aviez prévu. Quand vous déployez
Windows Server 2008 dans un certain service, abordez ce travail comme si vous étiez un
fournisseur extérieur. Au minimum, vous devez :
■ Déterminer qui doit donner son accord sur la portée du projet et qui devra approuver
le travail fait.
■ Déterminer la portée du projet : que faut-il installer ? Que faut-il configurer ? Qu’est-ce
que les utilisateurs seront capables de faire à la fin du projet ? Tâchez d’y impliquer le
plus grand nombre de personnes du service.
■ Définir, en collaboration avec les personnes du service, ce que l’on entend par
« achèvement du projet ». Par exemple, le projet sera considéré comme achevé quand
toutes les stations seront reliées au réseau, quand tous les logiciels spécifiés auront été
installés sur les stations, quand les utilisateurs pourront ouvrir des sessions sur le
réseau et quand ils pourront accéder aux données en moins de n secondes (dans tous
les cas de figure). Ici aussi, soyez précis.
■ Définir une méthodologie de test pour toutes les portions du projet. Faites approuver
officiellement cette méthode. Prévoyez suffisamment de temps pour les tests. Procédez
régulièrement à des tests ponctuels, à mesure que vous avancez ; cela vous fera gagner
du temps et vous évitera des déboires par la suite.
■ Une fois le projet terminé, vous faire donner un quitus témoignant de l’achèvement du
projet. Les ajouts et modifications non prévus dans le projet initial doivent entrer dans
le cadre d’un nouveau projet (une autre phase du déploiement). Il est très important
que chaque phase ait un point de terminaison.
Certains éléments de la liste précédente paraissent aller de soi et pourtant, on peut s’étonner
du nombre de personnes qui ne savent pas si la mise à niveau qu’ils ont faite a vraiment servi
à quelque chose et, si tel est le cas, si les résultats sont ceux qui étaient voulus et requis. Bien
souvent, les informaticiens s’en vont très contents d’eux-mêmes, laissant les utilisateurs dans
un état de grande insatisfaction.
Chapitre 4 Planification du déploiement 47

En pratique Le projet sans fin


À nos débuts dans le monde informatique, nous avons travaillé sur un projet de
migration qui s’est très mal passé. Une grande entreprise, principalement équipée
d’ordinateurs centraux et sans aucune infrastructure ou expérience informatique réelle
en dehors des ordinateurs centraux, a décidé d’installer des ordinateurs personnels dans
chaque service. Elle avait choisi d’installer, au même moment, une suite logicielle
d’entreprise qui devait modifier radicalement le déroulement de chaque processus. La
suite logicielle dépendait des ordinateurs personnels, ainsi que de nouveaux serveurs de
bases de données UNIX.
Alors que la liste des problèmes et des leçons à apprendre du fiasco qui en a résulté
pourrait remplir un livre, la vraie leçon concernait les objectifs et la portée. Au lieu de
construire le projet par phases avec une planification précise, des tests et des vérifications
à chaque phase, le projet a été conçu en une seule et unique phase applicable à toute
l’entreprise, sans accord préalable sur le résultat final. En conséquence, le projet n’a
jamais été terminé. Il a fini par dépasser de très loin le budget prévu et par rendre
malheureux les utilisateurs, l’équipe informatique et la direction. En outre,
l’infrastructure n’a jamais répondu aux attentes des utilisateurs. Ne gérez pas votre projet
de cette manière. Faites ce qu’il faut pour contrôler la portée et chaque phase du projet,
définir des objectifs spécifiques, réalisables et quantifiables, avec un point final clair et
sans ambiguïté qui répond à des objectifs réalistes.

Évaluer les risques


Il est impossible de prédire tous les problèmes susceptibles de survenir au cours d’un
déploiement, mais sachez qu’il y aura toujours quelque chose qui coincera. Entre autres
problèmes classiques, citons les modifications subites des besoins de l’entreprise ou des
utilisateurs ainsi que le dépassement des budgets ou des délais prévus.
Vous pouvez gérer les risques de manière proactive ou réactive. De toute évidence, mieux
vaut prévenir que guérir mais, de façon tout aussi évidente, cela n’est pas toujours possible.
Reste qu’il est conseillé d’établir un plan d’évaluation et de gestion des risques. Un tel plan
doit énumérer les différents types de problèmes potentiels, les réponses appropriées à chacun
de ces problèmes, ainsi que les solutions permettant de minimiser les pertes potentielles.
Un planning mal pensé est l’une des pires choses qui soient pour un déploiement. En même
temps, un planning qui tient compte des risques contribue de beaucoup à réduire la
probabilité de problèmes sérieux. Les précautions suivantes vous aideront à minimiser les
périls relatifs au planning :
■ Commencez par développer les composants à haut risque. Développez en premier,
et de manière indépendante, les parties qui sont déjà sources de problèmes chroniques
(par exemple, la messagerie ou le serveur web). Quant aux nouveaux composants qui
48 Partie I Préparation

n’ont jamais fait partie du réseau, testez-les séparément et vérifiez leur fonctionnement
à fond avant de les installer là où ils risquent d’affecter des opérations critiques.
■ Ajoutez un facteur de dépassement pour tenir compte des circonstances
imprévues. Rien ne se passe jamais exactement comme prévu. Telle installation qui
devait se faire en cinq minutes s’avère exiger une modification au niveau du matériel.
Tel remplacement de matériel qui devait se faire facilement demande en fait une heure
de configuration. Estimez un délai pour chaque étape du déploiement, puis doublez ce
délai.
■ Actualisez le planning du projet. En cas de changement du contexte et d’achèvement
d’une étape, informez toutes les personnes impliquées dans le projet en actualisant et
diffusant le planning. Si, par exemple, vous arrivez à la fin de la première phase du
déploiement avec deux jours de retard sur le calendrier prévu, ne vous contentez pas
de prévoir de rattraper votre retard en travaillant plus vite. Modifiez le planning et
voyez si le retard est dû à une lacune dans la planification (auquel cas le problème
risque de se répéter) ou s’il s’agit d’une erreur ponctuelle. Il est bon d’être optimiste,
mais il est préférable d’être réaliste.

Remarque La gestion du risque est un sujet complexe, mais il est important


que l’équipe informatique le comprenne, en particulier dans le domaine de la
sécurité réseau. Le Security Risk Management Guide de Microsoft propose des
conseils avisés en la matière. Vous pouvez le télécharger à l’adresse http://
www.microsoft.com/downloads/details.aspx?FamilyID=c782b6d3-28c5-4dda-
a168-3e4422645459&displaylang=en.

Résumé
Ces premiers chapitres vous ont, sans doute, donné beaucoup de choses à considérer et aussi
à faire. Quelle que soit la qualité de votre planification, il faudra tôt ou tard la mettre en
pratique, ne serait-ce que pour trouver des améliorations. Avec le chapitre suivant
commencera la partie II, dans laquelle vous apprendrez à installer et à configurer Windows
Server 2008.
Partie II
Installation et configuration
Chapitre 5 :
Démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
Chapitre 6 :
Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . .77
Chapitre 7 :
Configuration d’une nouvelle installation . . . . . . . . . . . . . . . . . . . . . . . . . . .93
Chapitre 8 :
Installation des rôles de serveurs et des fonctionnalités . . . . . . . . . . . . . 119
Chapitre 9 :
Installation et configuration de Server Core . . . . . . . . . . . . . . . . . . . . . . . 147
Chapitre 10 :
Gestion des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Chapitre 11 :
Gestion des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Chapitre 12 :
Gestion des ressources de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Chapitre 13 :
Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Chapitre 5
Démarrage
Configuration système minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Concevoir un environnement de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Dépanner des installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

L’installation interactive de Windows sur un seul système prend du temps ; sur cinq
ordinateurs, elle est ennuyeuse à mourir et tout simplement absurde sur vingt serveurs. En
fait, il est même fastidieux d’installer manuellement deux ou trois serveurs. Dans ce chapitre,
nous allons nous pencher sur l’installation de Windows Server 2008 et la manière
d’automatiser quelques-uns des processus en vue de faciliter vos tâches quotidiennes.

Configuration système minimale


Avant d’installer Windows Server 2008, lisez attentivement la configuration système requise
pour vous assurer que votre matériel informatique répond à la configuration minimale. Le
tableau 5-1 présente la configuration minimale officielle requise pour Windows Server 2008
dans le cadre d’une nouvelle installation à partir de rien, ainsi que nos commentaires sur
cette configuration.

Tableau 5-1 Configuration matérielle minimale pour Windows Server 2008

Matériel Configuration minimale Commentaires


Processeur 32 bits – 1 GHz 64 bits, Il est plus réaliste de prévoir un processeur de
x64 – 1.4 GHz 64 bits, 2 GHz ou plus.
Itanium – Itanium 2
RAM 512 Mo 1 Go de RAM est un minimum plus réaliste. 2 Go
sont même recommandés. Pour Server Core,
1 Go de RAM suffit généralement avec des
charges de travail classiques.
Disque 10 Go Pas moins de 40 Go d’espace disque dur sur le
lecteur système. Et si votre serveur possède plus
de 16 Go de RAM, augmentez le minimum à
50 Go au moins.

51
52 Partie II Installation et configuration

Tableau 5-1 Configuration matérielle minimale pour Windows Server 2008

Matériel Configuration minimale Commentaires


Lecteur DVD-ROM Un lecteur de CD-ROM ne suffit plus, même s’il
optique est encore techniquement possible d’obtenir un
CD d’installation particulier. Dans les installations
de réseau, le lecteur optique n’est pas requis.
Vidéo 800 x 600 1 024 x 768 est un minimum plus réaliste.
Certains écrans ne donnent pas un résultat
optimal avec une résolution inférieure à
1 024 x 768.
Autre Clavier et souris
Réseau Non requis En réalité non. Une carte réseau est nécessaire
pour rejoindre un domaine ou quasiment tout
ce que l’on est amené à faire avec Windows
Server 2008.

Notez ce qui n’apparaît pas dans la liste du matériel requis : un lecteur de disquette ! Enfin,
dans Windows Server 2008, on peut se débarrasser des disquettes, même s’il faut charger des
pilotes pour le contrôleur de disque dur. Les pilotes se chargent maintenant à partir de CD ou
de DVD, d’un lecteur flash USB ou d’une disquette.

En pratique Pilotes 64 bits et signés


L’un des grands changements dans Windows Server 2008 concerne les pilotes signés qui
sont nécessaires dans toutes les versions 64 bits. Cela signifie que vous devez vous
assurer que votre fournisseur vous a procuré la prise en charge complète pour son
matériel dans Windows Server 2008 64 bits. Nous avons été surpris par le temps
nécessaire pour recevoir les pilotes 64 bits signés de la part des principaux vendeurs ;
ainsi, si vous devez utiliser des cartes ou des périphériques non inclus avec le serveur
que vous avez commandé auprès de votre fournisseur, vérifiez bien la disponibilité d’un
pilote signé et pris en charge pour tel périphérique ou carte avant d’installer une version
64 bits de Windows Server 2008.
Si un pilote n’est pas disponible, vous devrez soit trouver un autre fournisseur de
matériel pour vous le procurer, soit exécuter une version 32 bits de Windows
Server 2008 qui possède un pilote. Nous conseillons par conséquent de ne pas se
tourner vers les fournisseurs qui ne gèrent pas totalement la prise en charge des pilotes
64 bits.
Chapitre 5 Démarrage 53

Concevoir un environnement de déploiement


Si vous effectuez plusieurs installations de Windows Server 2008, il est judicieux de
concevoir un environnement de déploiement pour déployer Windows efficacement sur les
systèmes client et serveur de l’organisation. Les prochaines sections analysent comment
concevoir un environnement de déploiement qui procure la vitesse et le contrôle de
déploiement nécessaires, tout en conservant un niveau de complexité acceptable.

Choisir une méthode d’installation


L’installation de Windows repose maintenant complètement sur une image. Plutôt que de
copier des fichiers individuels sur le disque dur de l’ordinateur cible, la nouvelle installation
de Windows Server 2008 exploite des fichiers WIM (Windows Image) pour placer une image
complète de Windows Server 2008 sur le disque système du serveur cible. Cette installation
basée sur l’image ne change pas si vous employez un DVD local ou si vous installez Windows
sur le réseau à l’aide des Services de déploiement Windows.
L’installation basée sur l’image présente plusieurs avantages :
■ Les temps d’installation sont réellement plus courts, quelle que soit la source de
l’installation.
■ L’ajout ou la suppression de composants Windows n’impose pas d’accéder au support
d’installation d’origine, car tous les fichiers sont déjà sur le serveur.
■ Le déploiement d’images pré-corrigées ou d’images contenant des jeux personnalisés
de pilotes est simplifié.
Lorsque vous déployez Windows Server 2008 sur un ou deux serveurs, l’emploi d’un DVD
standard ne pose pas de problème pour l’installation. S’il s’agit d’une installation de mise à
niveau, passez directement au chapitre 6 du tome 1, « Mise à niveau vers Windows
Server 2008 ». Si vous installez un nouveau serveur avec un DVD standard, consultez la
section « Installer Windows Server 2008 », plus loin dans ce chapitre. Vous retrouverez les
informations sur les services de déploiement Windows pour automatiser le déploiement de
Windows Server 2008 à la section « Automatiser le déploiement d’un serveur », plus loin
dans ce chapitre.

Installer Windows Server 2008


L’installation de Windows Server 2008 à partir d’un support de distribution standard sur un
serveur démuni de système d’exploitation génère uniquement sept écrans au départ ; le reste
de l’installation se poursuit et s’achève sans aucune interruption. Il n’est pas utile de saisir
d’informations sur le réseau, le nom de l’ordinateur ou encore le nom du domaine, excepté le
code d’identification produit associé à l’installation et la langue de l’installation.
54 Partie II Installation et configuration

À propos Installations sans code d’identification produit


Windows Server 2008 vous demande normalement de saisir la clé de produit pour
l’installation. Cependant, vous pouvez passer outre, puis choisir la version de Windows
Server 2008 que vous installez. Quelques invites et avertissements s’affichent, mais si
vous voulez uniquement exécuter un environnement de démonstration ou d’évaluation
pendant 60 jours ou moins, vous n’êtes pas obligé de saisir de clé de produit. Vous
profiterez de la même installation complète de Windows Server 2008 pendant la période
donnée. Il est même possible d’étendre cette période à deux reprises pour bénéficier
deux fois supplémentaires de 60 jours en faisant appel à la commande slmgr -rearm.
Si vous décidez de convertir un serveur installé sans clé de produit en serveur Windows
Server 2008 activé, vous devez saisir la clé de produit d’exactement la même version de
Windows Server 2008 que vous avez indiquée lors de la première installation. Cela
signifie que si vous avez utilisé un support vendu au détail pour installer le serveur, vous
devez fournir une clé de détail. Si vous avez sélectionné Windows Server 2008 Standard,
vous devez fournir une clé de détail Windows Server 2008 Standard. Il est impossible de
changer la version installée sans réinstaller complètement Windows Server 2008.
Pour saisir la clé de produit d’un serveur installé sans clé, tapez la commande slmgr.vbs
–ipk.

Voici comment installer Windows Server 2008 sur un serveur vierge à l’aide d’un DVD
standard :
1. Mettez le serveur sous tension et insérez immédiatement le DVD Windows
Server 2008 de l’architecture à installer. Si le disque dur principal ne possède pas de
système d’exploitation amorçable, vous êtes automatiquement dirigé vers le processus
d’installation de Windows Server 2008. Si le disque contient un système d’exploitation
amorçable, le message Appuyez sur n’importe quelle touche pour démarrer du CD-
ROM ou du DVD-ROM s’affiche. Dans ce cas, appuyez sur une touche.
2. Lorsque l’écran Installer Windows de la figure 5-1 apparaît, sélectionnez la langue et
les autres paramètres régionaux à employer avec cette installation.
Chapitre 5 Démarrage 55

Figure 5-1 Première page de l’Assistant Installer Windows

3. Cliquez sur Suivant pour ouvrir la page de la figure 5-2. Vous pouvez réparer une
installation Windows Server 2008 endommagée ou afficher des informations
supplémentaires avant l’installation.

Figure 5-2 Page Installer de l’Assistant Installer Windows


56 Partie II Installation et configuration

4. Cliquez sur Installer pour afficher la page Entrez votre clé de produit pour activation
de l’Assistant Installer Windows, comme le montre la figure 5-3.

Figure 5-3 Page Entrez votre clé de produit pour activation de l’Assistant
Installer Windows

5. Tapez la clé de produit de cette installation de Windows Server 2008 (reportez-vous à


l’encart À propos pour savoir comment installer sans saisir de clé de produit).
6. Laissez cochée la case Activer automatiquement Windows quand je serai en ligne, sauf
si vous préférez décider quand activer le produit.
7. Cliquez sur Suivant pour afficher la page Sélectionnez l’édition de Windows que vous
avez achetée de l’Assistant Installer Windows, illustrée par la figure 5-4. Si vous
installez le produit sans saisir de clé de produit, la liste des versions possibles est plus
longue.
Chapitre 5 Démarrage 57

Figure 5-4 Sélectionnez l’édition de Windows que vous avez achetée


de l’Assistant Installer Windows

8. Choisissez entre Installation complète ou Installation Server Core. Ce choix est


irréversible : il est impossible de convertir ultérieurement une installation complète en
Server Core ou inversement. L’installation et la configuration de Windows Server 2008
Server Core sont analysées au chapitre 9 du tome 1, « Installation et configuration de
Server Core ».
9. Cliquez sur Suivant pour afficher la page Veuillez lire le contrat de licence. Cochez la
case J’accepte les termes du contrat de licence. Vous n’avez pas le choix : soit vous les
acceptez, soit l’installation s’arrête.
10. Cliquez sur Suivant pour ouvrir la page Quel type d’installation voulez-vous effectuer.
La seule possibilité que vous avez lorsque vous démarrez d’un DVD est Personnalisée
(Avancé). Sélectionnez alors cette option pour ouvrir la page Où souhaitez-vous
installer Windows de la figure 5-5.
58 Partie II Installation et configuration

Figure 5-5 Page Où souhaitez-vous installer Windows de l’Assistant Installer Windows

11. Le premier disque de votre ordinateur est mis en évidence. Vous êtes libre de
sélectionner le disque de votre choix. Si le disque cible ne s’affiche pas, chargez les
pilotes requis en cliquant sur Charger un pilote. Cliquez sur Options de lecteurs
(avancées) pour obtenir d’autres options destinées à repartitionner ou à formater le
lecteur sélectionné.
12. Une fois que vous avez sélectionné le lecteur, cliquez sur Suivant pour démarrer
l’installation. Aucune invite ne s’affiche jusqu’à la fin de l’installation. Vous êtes alors
invité à saisir votre mot de passe pour le compte Administrateur.

À propos Options de lecteurs


Le lecteur sélectionné par défaut à l’installation de Windows Server 2008 est le premier
lecteur énuméré par le BIOS. Vous pouvez en sélectionner un autre si celui que vous
voulez n’est pas sélectionné ou ajouter des pilotes pour d’autres contrôleurs si le lecteur
que vous voulez n’apparaît pas. Pour ceux qui connaissent bien les versions précédentes
de Windows, réjouissez-vous d’apprendre que Windows Server 2008 propose enfin une
prise en charge de supports autres que la disquette pour charger les pilotes de stockage
pendant l’installation. Comme le montre la figure 5-6, il est possible de charger des
pilotes à partir de disquettes, CD, DVD ou lecteur flash USB.
Chapitre 5 Démarrage 59

Figure 5-6 Windows Server 2008 prend en charge le chargement de pilotes


de stockage à partir de disquette, disque optique ou lecteur USB.

Si vous devez modifier les partitions d’un lecteur, le formater ou même l’étendre pour lui
fournir de l’espace supplémentaire, cliquez sur Options de lecteurs (avancées) pour
afficher les options supplémentaires de gestion et de configuration des disques pendant
l’installation, comme le montre la figure 5-7.

Figure 5-7 Des options de lecteurs avancées sont disponibles pendant l’installation
de Windows Server 2008.
60 Partie II Installation et configuration

Le processus d’installation de Windows Server 2008 propose une nouveauté


importante : la possibilité d’étendre une partition. S’il ne s’agit pas d’une fonctionnalité
importante dans les installations toutes nouvelles, elle se révèle pratique si vous recyclez
un ordinateur. Vous pouvez étendre une partition avec de l’espace non alloué disponible
du même disque.

Remarque Si vous devez ouvrir une fenêtre d’Invite de commandes pendant le


processus d’installation, appuyez sur les touches Maj+F10. Il est alors possible
d’exécuter manuellement Diskpart.exe ou n’importe quel autre outil disponible et
charger manuellement un pilote ou ajuster le partitionnement.

À la fin de l’installation, Windows Server 2008 redémarre et présente l’écran d’ouverture de


session. Vous devez saisir un nouveau mot de passe pour le compte Administrateur, comme
le montre la figure 5-8, puis ouvrir une session sur le nouveau serveur.

Figure 5-8 Définition du mot de passe initial pour le compte Administrateur

Une fois que vous êtes connecté, l’Assistant Tâches de configuration initiales s’affiche pour
gérer la configuration de votre nouveau serveur. Le chapitre 7 du tome 1, « Configuration
d’une nouvelle installation », détaille cet assistant ainsi que les autres étapes initiales de la
configuration d’un serveur.
Chapitre 5 Démarrage 61

Installations Server Core


Windows Server 2008 propose une installation en mode Server Core. Cette version avec
interface minimale de Windows Server 2008 comporte moins de rôles et de fonctionnalités
et peu de fonctionnalités graphiques. Elle occupe très peu d’espace disque et de charge en
mémoire. Mais plus important encore, elle présente une surface d’attaque réduite, améliorant
la sécurité globale. En outre, comme elle possède peu de services en cours d’exécution et de
composants installés, le suivi de la maintenance et des mises à jour (ainsi que les risques
associés) sont réduits. Le chapitre 9 du tome 1 contient des informations et des scripts pour
installer et configurer Server Core.

Paramètres par défaut pour la configuration initiale


Lors de l’installation de Windows Server 2008, vous n’avez à répondre qu’à très peu de
questions. Par conséquent, le processus d’installation doit définir quelques paramètres par
défaut qu’il vous faudra configurer ultérieurement à l’aide de l’Assistant Tâches de
configuration initiales. Le tableau 5-2 présente la liste de ces paramètres de départ.

Tableau 5-2 Paramètres d’installation initiale par défaut

Paramètre Valeur par défaut


Fuseau horaire GMT+1 (Bruxelles, Copenhague, Madrid, Paris)
Réseau DHCP configuré
Nom de l’ordinateur Nom généré
Domaine/Groupe de travail WORKGROUP
Mises à jour automatiques Non configurées
Rapport d’erreurs Windows Désactivé
Programme d’amélioration du Ne pas participer
produit
Rôles Aucun
Fonctionnalités Aucune
Bureau à distance Désactivé
Pare-feu Windows Activé

Automatiser le déploiement d’un serveur


Si vous installez un ou deux serveurs, il est logique d’employer un DVD et de démarrer
l’installation, en particulier si celle-ci ne concerne pas le déploiement d’un gros client. Mais
si vous disposez d’une douzaine de serveurs à installer et à configurer, vous n’allez pas
procéder de la même manière, car vous souhaiterez automatiser l’installation.
62 Partie II Installation et configuration

En pratique Normaliser les technologies de l’information


On entend très souvent qu’il est impossible de normaliser l’informatique, ce qui est tout
simplement faux. Et si vous espérez un jour contrôler tous vos processus informatiques,
il vous faut commencer à les normaliser. Il existe des méthodologies bien documentées
pour normaliser les processus informatiques, dont la Bibliothèque des Infrastructures
des Technologies de l’Information et Microsoft Operations Framework. Si vous ne les
connaissez pas, il est temps de les découvrir. Commencez par le livre blanc anglais
« MOF: An Actionable and Prescriptive Approach to ITIL » téléchargeable à l’adresse http://
www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/mofitil.mspx.
Le déploiement est une tâche que l’on pense naturellement à normaliser. En utilisant les
outils de Windows Server 2008, on crée des images standards des serveurs et des clients
à déployer automatiquement.
L’avantage principal du déploiement automatisé est que tous les déploiements sont
assurés d’être identiques, ce qui simplifie le suivi de la maintenance et des mises à jour.

Le mécanisme d’automatisation des déploiements de Windows Server 2008 correspond au


rôle Services de déploiement Windows. Il s’agit d’une extension et d’une amélioration de la
fonctionnalité RIS (Remote Installation Services) des versions précédentes de Windows Server.

À propos Améliorations de la fonctionnalité RIS


Si les services de déploiement Windows s’appuient sur la fonctionnalité RIS, ils offrent
de nombreux avantages et évolutions. Voici les changements de la fonctionnalité RIS
dans Windows Server 2008 :
■ Prise en charge des déploiements Windows Vista et Windows Server 2008 ;
■ Prise en charge de Windows PE en tant que système d’exploitation amorçable ;
■ Prise en charge des fichiers .wim (Windows Image) ;
■ Prise en charge du déploiement par multidiffusion ;
■ Nouvelle interface graphique.

Les services de déploiement Windows sont disponibles sur Windows Server 2003, mais
leur ensemble de fonctionnalités est plus limité. Le déploiement par multidiffusion n’est
pas pris en charge, le serveur TFTP est limité et les capacités de rapport sont également
moins étendues.

Les services de déploiement Windows s’accompagnent de trois ensembles de composants :


■ Composants serveur Un nouveau serveur TFTP (Trivial File Transfer Protocol), un
serveur PXE (Pre-Boot Execution Environment) amélioré et l’entrepôt d’images.
Chapitre 5 Démarrage 63

■ Composants client Une interface graphique qui appartient à l’environnement de


préinstallation Windows (Windows PE).
■ Composants de gestion Les différents outils employés pour gérer le serveur des
services de déploiement Windows et ses composants. Il s’agit de la console graphique
Wdsmgmt.msc et de l’utilitaire en ligne de commandes Wdsutil.exe.

Installer et configurer les services de déploiement


Windows
Le rôle Services de déploiement Windows s’installe avec le même Assistant Ajout de rôles que
les autres rôles de serveurs de Windows Server 2008. Il faut choisir entre deux services de
rôle : Serveur de déploiement et Serveur de transport. Installez uniquement Serveur de
transport si vous voulez faire de la multidiffusion mais que vous ne souhaitez pas bénéficier
de la totalité des fonctionnalités des services de déploiement Windows. Dans la plupart des
cas, on installe toutefois les deux services de rôle.

Procédure d’installation
Voici comment installer le rôle Services de déploiement Windows :
1. Ouvrez la console Gestionnaire de serveur.
2. Dans le volet de gauche, cliquez sur Rôles et sélectionnez Ajouter des rôles dans le
menu Action pour ouvrir l’Assistant Ajout de rôles.
3. Cliquez sur Suivant pour ouvrir la page Sélectionnez des rôles de serveurs, comme le
montre la figure 5-9.

Figure 5-9 Page Sélectionnez des rôles de serveurs de l’Assistant Ajout de rôles
64 Partie II Installation et configuration

4. Sélectionnez Services de déploiement Windows et cliquez sur Suivant pour ouvrir la


page Vue d’ensemble des services de déploiement Windows. Cette page contient des
informations de base sur les conditions requises par les services de déploiement
Windows et des liens vers des documents portant sur la configuration et la gestion de
ce rôle.
5. Cliquez sur Suivant pour ouvrir la page Sélectionner les services de rôle de la figure 5-10.
Dans la majorité des cas, sélectionnez les services Serveur de déploiement et Serveur de
transport.

Figure 5-10 Page Sélectionner les services de rôle de l’Assistant Ajout de rôles

6. Cliquez sur Suivant pour ouvrir la page Confirmer les sélections pour l’installation.
7. Cliquez sur Installer pour démarrer l’installation, puis sur Fermer à la fin de
l’installation.

Configuration initiale
Une fois les services de déploiement Windows installés, ils nécessitent un minimum de
configuration pour s’activer. Il vous faut effectuer la configuration de départ et ajouter des
images à employer pour le déploiement avant que le serveur PXE ne soit activé et que les
services de déploiement Windows ne soient prêts à déployer des systèmes d’exploitation.
Pour configurer les services de déploiement Windows de manière à déployer des versions
Windows Server 2008, procédez comme suit :
1. Ouvrez la console Services de déploiement Windows.
Chapitre 5 Démarrage 65

Remarque La ligne de commandes pour ouvrir la console Services de


déploiement Windows est Wdsmgmt.msc.
2. Sélectionnez le serveur à configurer, comme le montre la figure 5-11, et dans le menu
Action, sélectionnez Configurer le serveur.

Figure 5-11 Console Services de déploiement Windows

3. Sur la page Page d’accueil de l’Assistant Configuration des services de déploiement


Windows, lisez les conditions requises pour le rôle.
4. Si votre environnement répond aux exigences requises, cliquez sur Suivant pour ouvrir
la page Emplacement du dossier d’installation à distance, illustrée par la figure 5-12.
Saisissez l’emplacement où stocker les images ou cliquez sur Parcourir pour le
sélectionner.

Figure 5-12 Page Emplacement du dossier d’installation à distance de l’Assistant


Configuration des services de déploiement Windows
66 Partie II Installation et configuration

5. Cliquez sur Suivant pour ouvrir la page Paramètres initiaux du serveur PXE, illustrée
par la figure 5-13. Le paramètre par défaut consiste à ne pas répondre aux requêtes
PXE, ce qui n’a pas réellement de sens. Sélectionnez Répondre uniquement aux
ordinateurs clients connus si vous prévoyez de préinstaller des ordinateurs dans Active
Directory. Choisissez Répondre à tous les ordinateurs clients (connus et inconnus) si
vous ne comptez pas préinstaller les clients. Si vous n’effectuez aucune préinstallation,
vous pouvez définir les services de déploiement Windows de sorte qu’ils requièrent
une approbation des clients inconnus. Les clients connus, préinstallés dans Utilisateurs
et ordinateurs Active Directory, ne nécessiteront pas d’approbation.

Figure 5-13 Page Paramètres initiaux du serveur PXE de l’Assistant Configuration


des services de déploiement Windows

6. Cliquez sur Terminer pour afficher la page Configuration terminée de l’Assistant


Configuration des services de déploiement Windows de la figure 5-14.

Figure 5-14 Page Configuration terminée de l’Assistant Configuration


des services de déploiement Windows
Chapitre 5 Démarrage 67

7. Cochez la case Ajouter les images au serveur de déploiement Windows maintenant et


cliquez sur Terminer pour ouvrir l’Assistant Ajout d’images.
8. Sur la page Emplacement des fichiers image Windows de la figure 5-15, saisissez
l’emplacement des images Windows à employer. Elles doivent se situer sur un lecteur
ou un répertoire local.

Figure 5-15 Page Emplacement des fichiers image Windows de l’Assistant Services
de déploiement Windows – Ajout d’images

Les images de démarrage et d’installation de Windows Vista et de Windows


Server 2008 se trouvent dans le sous-répertoire Sources du support d’installation.
9. Cliquez sur Suivant pour ouvrir la page Groupe d’images. Tapez un nom descriptif à
attribuer au premier groupe d’images (le nom par défaut présente peu d’intérêt).
10. Cliquez sur Suivant pour ouvrir la page Revoir les paramètres de la figure 5-16.

Figure 5-16 Page Revoir les paramètres de l’Assistant Configuration des services
de déploiement Windows – Ajout d’images

11. Cliquez sur Suivant pour commencer à ajouter les images. Lorsque toutes les images
sélectionnées ont été ajoutées, cliquez sur Terminer pour quitter l’assistant.
68 Partie II Installation et configuration

Définir les propriétés supplémentaires


Après avoir effectué la configuration de base de votre serveur des services de déploiement
Windows, vous avez la possibilité d’ajuster les paramètres du serveur en ouvrant la boîte de
dialogue Propriétés dans la console Services de déploiement Windows. Les sections qui
suivent décrivent les huit onglets de la boîte de dialogue Propriétés :
Général
■ Aucun paramètre disponible, mais cet onglet donne des informations de base sur le
serveur, dont le nom, le dossier d’installation et le mode de déploiement.
Paramètres de réponse PXE
■ Stratégie de réponse PXE.
■ Ne répondre à aucun ordinateur client.
■ Répondre uniquement aux ordinateurs clients connus.
■ Répondre à tous les ordinateurs clients (connus et inconnus).
■ Pour les clients inconnus, informer l’administrateur et répondre après accord.
■ Délai de réponse PXE (en secondes). La valeur par défaut est de 0.

Services d’annuaire
■ Nouvelle stratégie de noms de clients. La valeur par défaut basée sur le nom de
l’utilisateur n’a aucun sens. Vous la modifierez pour déployer des serveurs.

Important La longueur maximale d’un nom d’ordinateur est de


15 caractères. Les stratégies par défaut génèrent jusqu’à 63 caractères, ce
qui crée des problèmes lorsque l’on tente de joindre le domaine.
Choisissez une convention de noms qui garantit un plafond de
15 caractères aux noms.
■ Emplacement du compte client. Domaine ou OU où le compte d’ordinateur client est
créé.
Démarrer
■ Programme de démarrage par défaut (facultatif). Permet de spécifier pour chaque
architecture un programme de démarrage différent de celui par défaut.
■ Image de démarrage par défaut (facultatif). Permet de spécifier pour chaque
architecture une image par défaut spécifique.
Client
■ Activer l’installation sans assistance. Si ce paramètre est coché, autorise une installation
sans assistance complète à l’aide de fichiers XML unattend.
■ Création des comptes clients. Permet de désactiver la liaison automatique au domaine.
Chapitre 5 Démarrage 69

DHCP
■ Permet de configurer DHCP s’il s’exécute localement sur le serveur des services de
déploiement Windows.
Paramètres réseau
■ Adresse IP de multidiffusion. Sélectionnez DHCP si votre serveur DHCP le prend en
charge ou spécifiez la plage d’adresses IP pour la multidiffusion. La valeur par défaut
est 239.0.0.1 – 239.0.0.254.
■ Plage de ports UDP. La valeur par défaut est 64001 – 65000. Ne la modifiez pas.
■ Profil réseau. Cette valeur définit la vitesse de votre réseau.

Avancé
■ Options utilisées par le serveur des services de déploiement Windows. Permet de
spécifier les contrôleurs de domaine et les serveurs de catalogue global (non
recommandé) ou d’autoriser les services de déploiement Windows à les découvrir
dynamiquement.
■ Autorisation DHCP. Choisissez d’autoriser ou non le serveur des services de
déploiement Windows dans DHCP.

Ajouter des images supplémentaires


Lors de la configuration initiale, vous spécifiez les images à employer dans les services de
déploiement Windows, mais il est possible d’ajouter d’autres images pour différentes
architectures et différents systèmes d’exploitation. Vous pouvez aussi spécifier des images qui
comprennent les applications et les rôles de serveurs préinstallés à exploiter sur un groupe de
clients des services de déploiement Windows.

Ajouter des images standards


Pour ajouter des images de système d’exploitation standards sans personnalisation
particulière ou comportement par défaut, procédez comme suit :
1. Ouvrez la console Services de déploiement Windows.
2. Dans le volet de gauche, développez le nom du serveur des services de déploiement
Windows auquel ajouter des images et sélectionnez Image d’installation (pour ajouter
de nouvelles images d’installation) ou Image de démarrage (pour une nouvelle image
de démarrage).
3. Pour une image de démarrage, sélectionnez Ajouter une image de démarrage dans le
menu Action. Pour une image d’installation, sélectionnez le groupe d’images auquel
ajouter l’image et cliquez sur Ajouter une image d’installation dans le menu Action.
70 Partie II Installation et configuration

4. Sur la page Fichier image de l’Assistant Services de déploiement Windows – Ajout


d’images, illustrée par la figure 5-17, recherchez l’image à ajouter, sélectionnez-la et
cliquez sur Ouvrir pour revenir à la page Fichier image.

Figure 5-17 Page Fichier image de l’Assistant Services de déploiement


Windows – Ajout d’images

5. Cliquez sur Suivant pour afficher la page Liste des images disponibles. Supprimez la
coche des images à ne pas installer.
6. Cliquez sur Suivant pour afficher la page Résumé. Si tout semble correct, cliquez sur
Suivant pour ajouter l’image, puis sur Terminer pour quitter l’assistant.

Créer une image de capture


Une image de capture est une image de démarrage qui permet de créer une image d’un
ordinateur spécifique et ainsi d’obtenir des images (d’installation) de déploiement
personnalisé. Voici comment créer une image de capture :
1. Ouvrez la console Services de déploiement Windows.
2. Dans le volet de gauche, développez le nom du serveur des services de déploiement
Windows auquel ajouter des images, puis sélectionnez Images de démarrage.
3. Sélectionnez l’image de démarrage à employer pour créer l’image de démarrage de
capture et sélectionnez Créer une image de démarrage de capture dans le menu Action
pour ouvrir l’Assistant Création d’images de capture, illustré par la figure 5-18.
Chapitre 5 Démarrage 71

Figure 5-18 Page Capturer les métadonnées d’image de l’Assistant


Création d’images de capture

4. Renseignez les champs fournis sur la page Capturer les métadonnées d’image et cliquez
sur Suivant.
5. Cliquez sur Terminer lorsque l’image de capture est achevée.
6. Sélectionnez Images de démarrage et cliquez sur Ajouter une image de démarrage dans
le menu Action.
7. Recherchez l’image de capture que vous venez de créer et cliquez sur Suivant.
8. Suivez les instructions de l’Assistant Ajout d’images pour terminer la capture.

Remarque Pour éviter tout problème avec les noms et les SID dupliqués sur le
réseau, faites appel à Sysprep.exe pour préparer les ordinateurs d’où vous créez
les images de capture. Sysprep peut être remplacé par Newsid.exe, disponible en
téléchargement à l’adresse http://www.microsoft.com/technet/sysinternals/
Utilities/NewSid.mspx.

Ajouter des images personnalisées


Une fois que vous avez créé une image d’installation personnalisée, il est possible de répéter
les mêmes procédures pour l’ajouter à vos déploiements en guise d’une autre image. Cette
image peut comprendre des pilotes préinstallés pour des cartes réseau personnalisées ainsi
que des applications préinstallées, ce qui va simplifier la distribution et le déploiement
d’images serveur standards.
72 Partie II Installation et configuration

Dépanner des installations


L’installation de Windows Server 2008 ne pose en général pas de problème, mais elle se
complique en cas de problème. Cependant, lorsqu’elle échoue pour une raison ou une autre,
cela pimente votre quotidien. La plupart des erreurs d’installation provient de défaillances ou
d’incompatibilités du matériel ; ainsi, les techniques de dépannage standards pour les
problèmes de matériel vont s’appliquer. Voici quelques-uns des problèmes les plus courants :
■ Échec du démarrage à partir d’un point de distribution du réseau ;
■ Fichier corrompu lors de l’installation ;
■ Impossibilité de trouver un disque dur ;
■ Erreurs STOP.

Les sections suivantes reprennent chacun de ces problèmes et fournissent les solutions pour
en venir à bout.

Échec du démarrage à partir d’un point de distribution


du réseau
Lorsque vous installez Windows Server 2008 à partir d’un point de distribution du réseau,
vous vous servez du code PXE de la carte réseau pour vous connecter au partage de la
distribution et télécharger l’environnement de démarrage Environnement de préinstallation
Windows sur le serveur et à partir de cet environnement, copier l’image Windows
Server 2008 amorçable que vous avez choisie pour le serveur. Tout cela dépend de votre
environnement de réseau et des pilotes matériel du serveur que vous déployez. Voici
quelques problèmes susceptibles de se produire :
■ Échec de la connexion au serveur PXE ;
■ Échec du chargement de WinPE ;
■ Incapacité de WinPE à se connecter au serveur de distribution ;
■ Corruption de l’image.

Étudions chacun de ces problèmes de manière détaillée.

Échec de la connexion au serveur PXE


Les échecs de connexion au serveur PXE s’expliquent le plus souvent du fait que le code de
démarrage PXE n’est pas activé dans le BIOS. Pour vous en assurer, regardez si la carte réseau
tente de démarrer, comme le montre la figure 5-19. Si toutes les cartes réseau présentent un
affichage légèrement différent lorsqu’elles essaient de démarrer le serveur PXE, elles sont
essentiellement identiques. Si cet écran ne s’affiche pas, contrôlez les paramètres BIOS de
l’ordinateur et vérifiez que le démarrage du réseau est activé.
Chapitre 5 Démarrage 73

Figure 5-19 Tentative de démarrage du réseau pour se connecter à un serveur PXE

Une seconde explication se trouve dans un problème de connectivité avec le serveur PXE. Le
réseau tente de démarrer à partir du serveur PXE, sans succès, comme le montre la figure 5-20.
Il peut s’agir d’un problème de câble réseau ou d’une défaillance du serveur PXE lui-même.
Contrôlez la connectivité du réseau et vérifiez que le serveur de démarrage PXE fonctionne
correctement.

Figure 5-20 Échec du démarrage depuis un serveur PXE

Échec du chargement de WinPE


Dès lors que le client PXE de la carte réseau de votre nouvel ordinateur est connecté au
serveur PXE, il télécharge les fichiers nécessaires pour démarrer WinPE. Aucun disque dur
n’est impliqué : WinPE se charge complètement en mémoire. Si l’ordinateur commence à
télécharger WinPE, mais qu’il échoue, il faut chercher les problèmes du côté du réseau. Il se
74 Partie II Installation et configuration

peut également que la mémoire de l’ordinateur soit défaillante, mais cela se produit
généralement à d’autres étapes du processus.

Incapacité de WinPE à se connecter au serveur de distribution


Une fois que WinPE est chargé sur le nouvel ordinateur, il faut le connecter au serveur des
services de déploiement Windows et télécharger l’image Windows Server 2008 appropriée
du disque dur de l’ordinateur. S’il ne peut pas se connecter au serveur des services de
déploiement Windows, il s’agit sans doute d’un pilote de carte réseau manquant dans
WinPE. Vous devrez alors créer une image de démarrage personnalisée qui contienne les
pilotes de carte réseau nécessaires ou encore employer une autre carte réseau.

Corruption de l’image
Il arrive également que toutes les étapes de la mise en réseau et de WinPE semblent se
dérouler sans embûche et que l’image Windows Server 2008 démarre le téléchargement
depuis le serveur des services de déploiement Windows, mais qu’elle échoue pendant le
téléchargement ou lorsque le nouvel ordinateur tente de redémarrer avec l’image téléchargée.
Ces échecs peuvent s’expliquer par une image défaillante du serveur des services de
déploiement Windows ou par des problèmes de réseau qui corrompent l’image lors de son
téléchargement. La distribution d’image réseau est un processus qui sollicite fortement les
composants réseau à tous les niveaux du parcours entre le serveur des services de
déploiement Windows et l’ordinateur déployé et un échec ou une défaillance à n’importe
quel niveau du processus risque d’entraîner une corruption. Contrôlez vos composants
réseau et vérifiez l’état de mise à jour de la carte réseau auprès de son fabricant.

Fichier corrompu lors de l’installation


Même en cas d’installation à partir d’un DVD, on peut imaginer qu’une image corrompue
puisse saboter l’installation. La probabilité d’un DVD Microsoft défaillant est relativement
faible, mais elle n’est pas à exclure, et un défaut du DVD peut le rendre illisible. Si un DVD a
été gravé à partir d’une image .ISO téléchargée, un mauvais téléchargement ou un DVD mal
gravé peuvent être à l’origine d’une image corrompue. Il arrive aussi qu’un module mémoire
défaillant provoque un échec qui se manifeste en tant que fichier corrompu ou manquant
pendant l’installation. En cas d’erreur lors d’une installation à partir d’un DVD, essayez de
résoudre le problème comme suit :
1. Si le DVD est un DVD de production, testez l’installation avec un autre DVD.
2. Si le DVD est un DVD gravé par vos soins, remplacez-le par un DVD de production ou
essayez de regraver l’image en diminuant de moitié la vitesse du DVD défaillant.
3. Si le DVD est un DVD gravé par vos soins et qu’en diminuant de moitié la vitesse, le
problème n’est pas résolu, téléchargez à nouveau le fichier .ISO.
Chapitre 5 Démarrage 75

4. Si aucune de ces solutions ne fonctionne, vérifiez que les câbles à l’intérieur du boîtier
du serveur sont correctement positionnés. Remplacez le lecteur DVD par un autre.
5. Effectuez un test de mémoire approfondi.

En pratique Vérification CRC des téléchargements


Le CRC (Cyclic Redundancy Code) est une méthode d’identification de fichier unique. De
nombreuses sources de téléchargement fournissent une somme de contrôle CRC qui
peut être comparée au fichier téléchargé sur votre disque dur local. Il vous faut un outil
CRC à exécuter sur le fichier téléchargé. Il en existe de nombreux, dont CRC305.exe,
disponible en téléchargement pour les abonnés de la MSDN et de Technet dans la
rubrique consacrée aux outils, SDK et DDK.
L’outil CRC305 vérifie les fichiers image et le CD/DVD. Chaque fois que vous utilisez un
DVD gravé par vos soins, nous vous conseillons de vérifier la valeur CRC lorsque la
référence CRC est connue. On a souvent constaté que les images corrompues des DVD,
du fait d’un mauvais téléchargement ou d’un DVD mal gravé, constituent la cause la plus
fréquente des échecs d’installation de Windows Server 2008.

Impossibilité de trouver un disque dur


Pendant l’installation, Windows Server 2008 inspecte votre ordinateur et recherche un
disque dur où s’installer. S’il n’en retrouve pas, il ne dispose pas du pilote nécessaire pour
votre contrôleur de disque et vous êtes invité à fournir un pilote pendant l’installation.
Windows Server 2008 prend en charge le chargement de pilotes à partir d’un périphérique
de stockage USB, d’un CD/DVD ou d’une disquette. Il s’agit là d’une amélioration
significative des précédentes versions de Windows Server, qui ne prenaient en charge que le
chargement des pilotes de stockage en masse à partir d’une disquette.
Employez également cette technique si vous disposez de plusieurs périphériques de stockage
en masse sur votre ordinateur et que celui sur lequel vous voulez installer Windows
Server 2008 n’apparaît pas dans la liste des lecteurs disponibles.

Erreurs STOP
Pendant l’installation de Windows Server 2008, une erreur fatale peut provoquer des
redémarrages à répétition du serveur. L’erreur générée est appelée erreur STOP et le code de
chaque type d’erreur est différent, ce qui permet de dépanner la cause de l’erreur.
Si l’erreur STOP apparaît trop rapidement à l’écran et que l’ordinateur redémarre
automatiquement, vous pouvez imposer à Windows de ne pas redémarrer sur un échec. Au
redémarrage du système, appuyez sur F8 immédiatement pour accéder à la page Options de
démarrage avancées de la figure 5-21.
76 Partie II Installation et configuration

Figure 5-21 Page Options de démarrage avancées

Sélectionnez Désactiver le redémarrage automatique en cas d’échec du système puis reprenez


le processus de démarrage. Maintenant, si le système échoue, il va s’arrêter à l’écran d’échec
et vous pourrez noter l’erreur STOP et rechercher son origine.

Résumé
Dans ce chapitre, nous avons analysé l’installation de Windows Server 2008 sur un nouvel
ordinateur, soit en démarrant à partir d’un DVD d’installation, soit en employant une image
de démarrage PXE à déployer sur un réseau. Windows Server 2008 base son installation sur
l’image et intègre le rôle de serveur Services de déploiement Windows pour permettre de
concevoir des déploiements réseau standards et personnalisés.
Le prochain chapitre est consacré à la mise à niveau d’une version précédente de Windows
Server à Windows Server 2008.
Chapitre 6
Mise à niveau vers Windows
Server 2008
Mettre la matrice à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Éléments communs à mettre à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Préparer les domaines et les ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Effectuer la mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

La mise à niveau constitue la manière la plus simple d’installer Windows Server 2008 sur un
ordinateur tout en conservant les informations de domaine, les programmes et les paramètres
d’ordinateur existants. Ce processus est simple pour les serveurs membres 32 bits et les
serveurs autonomes, mais lorsqu’il implique des contrôleurs de domaine, ou des
modifications de l’architecture, il est indispensable de s’y préparer.

Mettre la matrice à niveau


En règle générale, on effectue une mise à niveau d’un ordinateur Windows Server 2003 vers
la version équivalente de Windows Server 2008. Il est cependant possible de modifier
l’architecture pendant la mise à niveau. Il n’existe pas de support pour la mise à niveau
directe des systèmes Itanium, vous devez réaliser une installation à partir de rien. Le
tableau 6-1 détaille les mises à niveau supportées.

Tableau 6-1 Principales possibilités de mise à niveau pour Windows Server 2008

Système d’exploitation actuel Mise à niveau supportée


Windows Server 2003 Standard Edition (SP1) Windows Server 2008 Standard (Complète)
Windows Server 2003 Standard Edition (SP2) Windows Server 2008 Enterprise
(Complète)
Windows Server 2003 R2 Standard Edition
Windows Server 2003 Standard x64 Edition Windows Server 2008 Standard (Complète,
(SP1) architecture x64)
Windows Server 2003 Standard x64 Edition Windows Server 2008 Enterprise
(SP2) (Complète, architecture x64)
Windows Server 2003 R2 Standard x64 Edition

77
78 Partie II Installation et configuration

Tableau 6-1 Principales possibilités de mise à niveau pour Windows Server 2008

Système d’exploitation actuel Mise à niveau supportée


Windows Server 2003 Enterprise Edition (SP1) Windows Server 2008 Enterprise
(Complète)
Windows Server 2003 Enterprise Edition (SP2)
Windows Server 2003 R2 Enterprise Edition
Windows Server 2003 Enterprise x64 Edition Windows Server 2008 Enterprise
(SP1) (Complète, architecture x64)
Windows Server 2003 Enterprise x64 Edition
(SP2)
Windows Server 2003 R2 Enterprise x64 Edition
Windows Server 2003 Datacenter Edition (SP1) Windows Server 2008 Datacenter
(Complète)
Windows Server 2003 Datacenter Edition (SP2)
Windows Server 2003 R2 Datacenter Edition
Windows Server 2003 Datacenter x64 Edition Windows Server 2008 Datacenter
(SP1) (Complète, architecture x64)
Windows Server 2003 Datacenter x64 Edition
(SP2)
Windows Server 2003 R2 Datacenter x64
Edition

Comme le montre ce tableau, aucune mise à niveau ne mène à Server Core et il est
uniquement possible d’effectuer une mise à niveau vers la même architecture que celle
actuellement installée.

Éléments communs à mettre à niveau


Avant de détailler la mise à niveau elle-même, arrêtons-nous sur les quelques éléments
communs à la plupart des environnements à planifier :
■ Phases préalables à la mise à niveau ;
■ Architecture ;
■ Active Directory ;
■ Support matériel ;
■ Support logiciel.

Dans les prochaines sections, nous étudierons ces questions pour identifier et planifier
l’environnement avant et pendant la mise à niveau d’un serveur existant.
Chapitre 6 Mise à niveau vers Windows Server 2008 79

Phases préalables à la mise à niveau


En tout premier lieu, avant de mettre le serveur à niveau, effectuez une sauvegarde intégrale,
complète et vérifiée. Peu importe le programme ou le support de sauvegarde. Quel que soit
votre choix, vérifiez la sauvegarde en la restaurant intégralement sur un matériel identique ou
en restaurant des fichiers sur une zone test du serveur d’origine. Si vous ne testez pas la
sauvegarde, vous ne pouvez pas la considérer comme vérifiée. La mise à niveau pourrait
impliquer une reconstruction intégrale du serveur à partir de rien.
Nous avons réalisé plusieurs mises à niveau pendant l’écriture de ce livre sans rencontrer la
moindre défaillance catastrophique, mais il est toujours plus sûr de posséder une sauvegarde
vérifiée en particulier si vous exploitez des applications professionnelles dont la réinstallation
et la restauration des données constitueraient un problème majeur.
Vous disposez donc d’une sauvegarde vérifiée. Que vous faut-il accomplir avant de
commencer la mise à niveau ?
■ Convertissez les volumes FAT. Windows Server 2008 installe uniquement une
partition NTFS. Les volumes FAT sont toujours supportés pour les disques non-
système, mais fortement déconseillés.
■ Vérifiez l’espace disque libre. Il vous faudra au moins 10 Go d’espace disque libre sur
le volume système mis à niveau. Toutefois, nous pensons qu’un minimum de 20 Go
d’espace libre est plus réaliste.
■ Actualisez les progiciels. Il est préférable d’installer la dernière mise à jour des
progiciels installés sur le serveur. Un ancien progiciel pourrait présenter des problèmes
de compatibilité avec Windows Server 2008 que les versions plus récentes auront
résolus.
■ Récupérez des pilotes mis à jour. Ce point est particulièrement important pour les
serveurs x64. Windows Server 2008 supporte uniquement les pilotes signés
numériquement pour ses versions x64.
■ Déconnectez les périphériques UPS. Le mécanisme de détection automatique de
Windows Server 2008 peut causer des problèmes avec les mécanismes d’extinction
automatiques des périphériques UPS. Vous pourrez reconnecter le câble série UPS
après l’installation.
■ Désactivez le logiciel antivirus. Le logiciel antivirus peut interférer avec n’importe
quelle installation et d’autant plus avec les mises à niveau de Windows Server 2008. Il
risque pour le moins de ralentir la mise à niveau et fortement de provoquer une
défaillance de la mise à niveau. Ne le réactivez pas tant que vous n’avez pas vérifié qu’il
supporte Windows Server 2008.
80 Partie II Installation et configuration

■ Préparez Active Directory. Si vous mettez à niveau un contrôleur de domaine,


assurez-vous qu’Active Directory a été correctement préparé. Reportez-vous à la
section relative à Active Directory, plus loin dans ce chapitre.

Architecture
Les serveurs Windows Server 2003 sont en grande majorité des versions 32 bits. Cependant,
si ces serveurs ont été acquis au cours des deux dernières années, ils peuvent exécuter une
version 64 bits de Windows Server 2008, ce qui présente de sérieux avantages, parmi
lesquels la prise en charge de plus de RAM (32 Go dans la version x64 de Windows
Server 2008 Standard et 2 To dans les versions Enterprise et Datacenter). Si votre serveur
exécute une version x64 de Windows Server 2003 et que les pilotes de tout votre matériel
sont signés 64 bits, passez à la version 64 bits. Dans la majorité des cas, vous noterez que les
versions x64 de Windows Server 2008 sont plus rapides, plus stables et plus sûres que les
versions 32 bits.

En pratique Pilotes x64 et signés


Pourquoi insister sur le fait de vérifier la présence de pilotes signés numériquement si
l’on installe une version x64 de Windows Server 2008 ? Pour la simple raison que
Microsoft a décidé qu’à partir de cette version, les pilotes non signés ne pourront plus
s’exécuter en mode noyau sur une version x64 du système d’exploitation. Même si vous
exécutez une édition x64 de Windows Server 2003, vérifiez que les pilotes signés
numériquement ont été actualisés sans quoi vous rencontrerez des problèmes.
Cette manœuvre n’en demeure pas moins une excellente chose, puisqu’elle fait de
Windows Server 2008 un système d’exploitation plus sûr et plus stable. Il sera toujours
possible que le fabricant écrive un pilote défectueux et le signe numériquement, mais du
moins serez-vous certain que tous les pilotes de votre système sont signés et proviennent
bien d’où ils le prétendent.
Il nous semble que Microsoft aurait dû imposer cette condition pour les serveurs 32 bits
mis à niveau vers Windows Server 2008, mais comprenons également les cris d’anxiété
que cela aurait engendré et les problèmes que cela aurait pu créer pour l’immense base
des serveurs 32 bits installés. De surcroît, Microsoft ayant clairement déclaré qu’il
s’agissait de la dernière version de Windows Server proposant des versions 32 bits, la
décision est d’autant plus logique. Cela renforce notre position selon laquelle il faut
convertir dès maintenant les installations Windows Server 2003 32 bits qui peuvent
supporter des versions x64 de Windows Server 2008.
Chapitre 6 Mise à niveau vers Windows Server 2008 81

Active Directory
Active Directory Windows Server 2008 requiert une nouvelle version du schéma AD si l’un
des serveurs Windows Server 2008 doit faire office de contrôleur de domaine. Avant
d’ajouter le rôle Services de domaine Active Directory au Windows Server 2008 de votre AD
Windows 2000 ou Windows Server 2003, préparez la forêt (et si possible le domaine) à
accepter le nouveau contrôleur de domaine Windows Server 2008. Si vous n’installez pas le
rôle AD DS sur l’un des ordinateurs Windows Server 2008, inutile de mettre le schéma à
niveau.
Voici comment mettre à jour le schéma Active Directory pour supporter un contrôleur de
domaine Windows Server 2008 :
1. Ouvrez une session sur le serveur qui héberge le rôle de maître du schéma FSMO
(Flexible Single Master Operations). Ouvrez une session avec un compte membre du
groupe de sécurité Administrateurs du schéma.

Remarque Avec PowerShell, il est possible d’identifier rapidement les


propriétaires du rôle FSMO. Reportez-vous à l’encart À l’arrière-plan
intitulé « Utiliser PowerShell pour découvrir les propriétaires du rôle
FSMO ».
2. Copiez le contenu du dossier \sources\adprep du DVD Windows Server 2008 sur le
serveur.

Remarque Employez la même version d’architecture d’adprep que sur le


serveur hébergeant le rôle de maître du schéma. Si le maître du schéma
actuel se trouve sur une édition 32 bits de Windows Server 2003, copiez
les fichiers à partir du support d’installation de la version 32 bits de
Windows Server 2008.

Remarque Servez-vous d’adprep directement à partir du DVD, si vous le


souhaitez.
3. Ouvrez une fenêtre d’invite de commandes.
4. Rendez-vous dans le dossier où vous avez copié le contenu du dossier adprep.
5. Exécutez la commande suivante :
Adprep /forestprep

6. Si vous installez un contrôleur de domaine en lecture seule, exécutez également la


commande suivante :
Adprep /rodcprep
82 Partie II Installation et configuration

7. Lorsque l’opération est terminée et répliquée, poursuivez la préparation du domaine


pour la prise en charge d’un contrôleur de domaine Windows Server 2008.
8. Ouvrez une session sur le serveur hébergeant le rôle Maître de l’infrastructure FSMO
pour le domaine que vous préparez. Ouvrez une session avec un compte membre du
groupe de sécurité Admins du domaine.
9. Copiez le contenu du dossier \sources\adprep du DVD Windows Server 2008 sur le
serveur.

Remarque Employez la même version d’architecture d’adprep que sur le


serveur hébergeant le rôle de maître du schéma. Si le maître du schéma
actuel se trouve sur une édition 32 bits de Windows Server 2003, copiez
les fichiers à partir du support d’installation de la version 32 bits de
Windows Server 2008.
10. Ouvrez une fenêtre d’invite de commandes.
11. Rendez-vous dans le dossier où vous avez copié le contenu du dossier adprep.
12. Exécutez la commande suivante :
Adprep /domainprep /gpprep

13. Lorsque l’opération est terminée et répliquée, vous pouvez ajouter un contrôleur de
domaine Windows Server 2008 dans le domaine existant.

À propos Utiliser PowerShell pour découvrir les propriétaires


du rôle FSMO
Il existe bien des manières de localiser les rôles FSMO, mais l’une des plus simples
consiste à utiliser PowerShell. Servez-vous du script suivant à partir de la ligne de
commandes ou incluez-le dans un script, puis exécutez-le à partir de n’importe quel
ordinateur du domaine sur lequel est installé PowerShell.
# ScriptName: Get_FSMO_Owners.ps1
$Forest =
[system.directoryservices.activedirectory.forest]::getcurrentforest()
$Domain =
[system.directoryservices.activedirectory.domain]::getcurrentdomain()
$Forest | format-list SchemaRoleOwner, NamingRoleOwner
$Domain | format-list PDCRoleOwner, InfrastructureRoleOwner, RIDRoleOwner

La figure 6-1 montre le résultat de l’exécution de ce script.


Chapitre 6 Mise à niveau vers Windows Server 2008 83

Figure 6-1 Servez-vous de PowerShell pour connaître


les propriétaires actuels du rôle FSMO

Support matériel
Windows Server 2008 supporte trois architectures différentes : 32 bits x86, 64 bits x64 et
64 bits ia64. Chaque architecture possède des pilotes distincts et supporte un matériel
différent. On ne peut pas employer les pilotes de l’une des architectures pour une autre
architecture. En outre, les systèmes ia64 sont significativement plus limités en matière de
matériel supporté, ne proposant aucun support pour la majorité des matériels ou
fonctionnalités orientés client ou consommateur, comme les cartes son ou les cartes sans fil.
Windows Server 2008 pour les systèmes Itanium sert uniquement dans les applications
serveur à grande échelle.
Comme nous l’avons déjà mentionné, les versions x64 de Windows Server 2008 supportent
uniquement les pilotes signés numériquement pour tout le matériel. Avant de mettre à
niveau une édition x64 de Windows Server 2003, assurez-vous que les pilotes sont signés
pour tout le matériel essentiel du serveur.
Si le serveur existant exécute une version 32 bits de Windows Server 2003 et supporte
uniquement Windows Server 2008 32 bits, vérifiez tout de même s’il n’existe pas des pilotes
mis à jour pour tout le matériel essentiel du serveur. Le processeur minimal supporté est un
processeur x86 d’une vitesse minimale de 1 GHz et la RAM minimale nécessaire est de
512 Mo. Ces chiffres sont significativement plus élevés que ceux de Windows Server 2003,
qui ne demandait qu’un processeur 133 MHz et 128 Mo de RAM. Si le serveur Windows
Server 2003 existant ne satisfait pas au moins à la configuration minimale, n’essayez pas de le
mettre à niveau. Même si la mise à niveau réussit, l’expérience ne sera pas satisfaisante.
Envisagez plutôt de migrer les rôles du serveur vers un nouveau serveur ou de migrer le
serveur dans une machine virtuelle.
84 Partie II Installation et configuration

En pratique Optimiser la virtualisation des serveurs hérités


Windows Server 2008 propose une nouvelle fonctionnalité particulièrement
intéressante : Hyper-V. Ce nouvel hyperviseur fondé sur la virtualisation native permet
de migrer les serveurs hérités existants sur des machines virtuelles sous Windows
Server 2008. Malheureusement, Hyper-V est arrivé sur le tard et ne fait pas partie de la
version Windows Server 2008 pour l’instant. Nous étudierions Hyper-V et les autres
solutions de virtualisation dans le chapitre 8 du tome 2, « Virtualisation Windows ».
Bien qu’Hyper-V ne fasse pas partie de la version originale de Windows Server 2008,
vous pouvez néanmoins profiter de la virtualisation pour migrer les serveurs matériels
hérités existants qui ne sont pas suffisamment puissants pour migrer vers Windows
Server 2008 nativement. Faites appel à Microsoft Virtual Server 2005 R2 SP1 et
convertissez le serveur physique en machine virtuelle. System Center Virtual Machine
Manager 2007 supporte la conversion directe du physique au virtuel (P2V) et il existe
des outils tiers qui simplifient également la conversion. Une fois convertis en machine
virtuelle, les serveurs hérités dont le matériel n’était pas en mesure d’exécuter Windows
Server 2008 seront plus rapides et disposeront de suffisamment de vitesse processeur et
de RAM pour supporter la mise à niveau. Ils peuvent également continuer à exécuter une
version héritée de Windows Server si la mise à niveau n’est pas urgente.

Si le serveur actuel exécute une édition x64 de Windows Server 2003, il satisfait déjà à la
configuration minimale de processeur et de RAM pour la mise à niveau vers Windows
Server 2008. Si le serveur n’en est pas équipé, vous devez installer un lecteur DVD ou
commander une distribution CD spéciale de Windows Server 2008. Vous aurez également
besoin de beaucoup plus d’espace disque. En dehors de ces changements, vous n’aurez que
peu de problèmes, en supposant que vous avez actualisé les pilotes signés numériquement
pour le matériel.

Support logiciel
Le logiciel qui s’exécute sous Windows Server 2003 devrait s’exécuter sous Windows
Server 2008. Il peut cependant se présenter des problèmes de compatibilité. Vérifiez
toujours que le fabricant supporte Windows Server 2008 avant la mise à niveau. En outre, si
vous effectuez une migration à partir d’une version 32 bits de Windows Server 2003 vers une
version x64 de Windows Server 2008, vérifiez que toutes les applications 32 bits qui
s’exécutent sur le serveur Windows Server 2003 supportent d’être exécutées dans
l’environnement Windows 32 bits sous Windows64 (WOW64) que les versions x64 de
Windows Server 2008 emploient pour supporter les applications 32 bits.
Chapitre 6 Mise à niveau vers Windows Server 2008 85

À propos WOW64
L’architecture matérielle de Windows x64 est en fait une extension du matériel x86
existant supporté par Windows 32 bits. En tant que tel, elle supporte en natif tout le jeu
de commandes 32 bits de Windows Server 32 bits et peut exécuter une version 32 bits
de Windows Server 2008 en natif. Lorsque l’on exécute une version x64 de Windows
Server 2008, ce support 32 bits natif est employé pour fournir un sous-système
d’exploitation 32 bits particulièrement efficace et léger pour les applications 32 bits. Si
l’application n’exploite pas de pilote matériel ou utilise les appels en mode noyau de bas
niveau, elle devrait s’exécuter nativement dans WOW64 aussi rapidement, voire
davantage, que dans Windows Server 32 bits.
Les applications écrites pour profiter d’un espace d’adressage de la mémoire virtuelle supérieur
à 2 Go lorsqu’elles s’exécutent sous Windows 32 bits, voient immédiatement un espace
d’adressage de mémoire virtuelle de 4 Go. Autrement dit, les applications sous contrainte de la
mémoire, même si on les exécute avec le commutateur /3GB dans Windows Server 2003,
disposent à présent de 4 Go de mémoire dans WOW64. Cela suffit généralement à augmenter
significativement la vitesse des applications sous contrainte de la mémoire.
Les applications qui s’exécutent sous WOW64 ont une vue différente du registre et des
parties du système de fichiers Windows pour les séparer des applications 64 bits. On
peut ainsi effectuer une migration par étape vers les versions 64 bits des applications à
mesure qu’elles sont disponibles, puisqu’elles peuvent s’exécuter conjointement aux
versions 32 bits.
Les versions 64 bits de Windows Server 2008 ne supportent aucune application 16 bits.
Si vous possédez une application héritée 16 bits (ou une application 32 bits avec une
installation 16 bits), vous devrez soit conserver le serveur existant qui la supporte ou
migrer le serveur vers un serveur physique ou virtuel exécutant une version 32 bits de
Windows Server.

Quelle que soit la version de Windows Server 2008 vers laquelle vous réalisez la mise à
niveau, vérifiez toujours que les applications professionnelles essentielles seront
intégralement supportées sous Windows Server 2008, avant la mise à niveau. Une fois la
mise à niveau terminée, la seule manière de revenir à la version précédente de Windows
Server consiste à refaire une installation complète.

Préparer les domaines et les ordinateurs


Avant de mettre à niveau un contrôleur de domaine vers Windows Server 2008, suivez les
phases décrites dans la section « Active Directory » précédemment dans ce chapitre pour
préparer la forêt et le domaine à accepter un contrôleur de domaine Windows Server 2008.
Si vous mettez uniquement un serveur membre à niveau vers Windows Server 2008 ou un
86 Partie II Installation et configuration

serveur autonome, il est inutile de préparer le domaine. Notez cependant qu’une mise à
niveau correcte de la forêt et du domaine avant l’installation d’un contrôleur de domaine
Windows Server 2008 ne pose pas de problème.
Avant la mise à niveau, effectuez le nettoyage qui s’impose du lecteur système de l’ordinateur
mis à niveau. Supprimez les fichiers temporaires et videz les répertoires des fichiers journaux.
Enregistrez les journaux sur un autre lecteur si vous devez les conserver. Défragmentez le
lecteur. Nous avons employé un utilitaire de défragmentation tiers, à savoir PerfectDisk de
Raxco. Il effectue parfaitement la tâche et permet de réaliser une défragmentation à l’amorçage
du système de fichiers qui sinon se trouve occupé et ne peut être défragmenté. Cela n’évite
évidemment pas la fragmentation du lecteur système pendant la mise à niveau.
Pensez également à supprimer les fichiers qui ne sont pas absolument nécessaires sur le
lecteur système pour bénéficier du plus grand espace possible. Vous devrez disposer
d’environ 15 Go d’espace libre sur le lecteur pour réaliser la mise à niveau.
Pour finir, arrêtez les services ou les applications inutiles, en particulier les applications
antivirus ou tout service d’analyse en temps réel. Retirez tous les périphériques de stockage
USB ou autres périphériques USB (à l’exception de la souris et du clavier, dont il est difficile
de se séparer).

Mettre les clients à niveau


Si vous disposez de clients pré-Windows XP SP2 sur le réseau, il serait à présent réellement
temps de les mettre à niveau. Windows 95 et ses acolytes, Windows 98 et Windows Me, ne
sont plus supportés et doivent être retirés du réseau. Si les ordinateurs sur lesquels ils
s’exécutent sont relativement récents et le supportent, effectuez-y une installation propre de
Windows XP. Évitez toute mise à niveau. Oui, c’est parfois techniquement possible, mais cela
reste une mauvaise idée.
Si certains de vos clients supportent Windows Vista, mettez-les à niveau. Windows Vista
fonctionne mieux avec Windows Server 2008 puisqu’ils partagent une pile de gestion de
réseau, ainsi que d’autres fonctionnalités. Windows Vista supporte également l’UAC (User
Account Control) et inclut le nouveau Pare-feu Windows bidirectionnel, optimisant ainsi la
sécurité globale.

Effectuer la mise à niveau


Maintenant que vous avez planifié la mise à niveau et préparé le domaine et la forêt, vous êtes
prêt à démarrer la mise à niveau. Les seules mises à niveau supportées sont celles qui partent
de la même architecture Windows Server 2003 vers Windows Server 2008. Si vous souhaitez
mettre à niveau un serveur Windows 2000 Server, vous devez procéder en deux phases : une
pour passer à Windows Server 2003 et une autre pour passer à Windows Server 2008. Pour
ce faire, utilisez un média intégré qui inclut au moins le Service Pack 1 (SP1) de Windows
Server 2003, bien qu’il soit préférable de faire appel au Service Pack 2 (SP2).
Chapitre 6 Mise à niveau vers Windows Server 2008 87

Important Si l’ordinateur que vous mettez à niveau exécute Windows NT 4,


envisagez de migrer les charges de travail Windows NT 4 vers une machine
virtuelle et de reconstruire le serveur à partir de rien. Il est vivement déconseillé
de passer par toutes les mises à niveau depuis Windows NT 4.

Mise à niveau vers Windows Server 2008


Voici comment passer d’un serveur Windows Server 2003 à Windows Server 2008 :
1. Mettez le serveur Windows Server 2003 à niveau avec le dernier Service Pack (le
niveau actuel est le SP2).
2. Fermez tous les programmes, désactivez tous les programmes de protection antivirus
et insérez le DVD Windows Server 2008 dans le lecteur DVD.
3. Si le programme d’installation Windows Server 2008 ne démarre pas automatiquement,
exécutez setup.exe sur le lecteur DVD.
4. Sur la première page de l’Assistant Installer Windows, cliquez sur Installer.
5. Sur la page Obtenir les mises à jour importantes pour l’installation, illustrée par la
figure 6-2, choisissez de récupérer les mises à jour en ligne ou de poursuivre sans les
mises à jour. Reportez-vous à l’encart En pratique intitulé « Mises à jour pendant
l’installation ? » pour une explication sur les compromis.

Figure 6-2 Page Obtenir les mises à jour importantes pour l’installation
de l’Assistant Installer Windows
88 Partie II Installation et configuration

6. Si vous souhaitez envoyer à Microsoft les informations relatives à l’installation, cochez


la case Je veux aider à améliorer le programme d’installation de Windows.
7. Si vous choisissez d’obtenir les mises à jour, l’Assistant Installer Windows recherche
des mises à jour, comme le montre la figure 6-3.

Figure 6-3 Page Recherche de mises à jour d’installation de l’Assistant Installer


Windows

8. Sur la page Entrez votre clé de produit pour activation, saisissez une clé de produit
valide et cliquez sur Suivant. Vous pouvez ignorer la saisie d’une clé et exécuter
Windows Server 2008 pendant 60 jours. Si vous ne saisissez pas de clé, vous verrez
l’avertissement de la figure 6-4. Cliquez sur Non pour poursuivre sans clé ou sur Oui
pour revenir à la page Entrez votre clé de produit pour activation.

Figure 6-4 Cet avertissement s’affiche, si vous tentez


de poursuivre sans saisir de clé de produit.
Chapitre 6 Mise à niveau vers Windows Server 2008 89

9. Choisissez la version de Windows Server 2008 à installer. Si vous avez saisi une clé de
produit, vous pouvez uniquement choisir les versions auxquelles s’appliquent la clé, comme
le montre la figure 6-5. Si vous n’avez pas saisi de clé, vous verrez la fenêtre de la figure 6-6.

Figure 6-5 Page Sélectionner le système d’exploitation que vous voulez installer

Figure 6-6 Page Sélectionnez l’édition de Windows que vous avez achetée
90 Partie II Installation et configuration

10. Choisissez une version Installation complète de Windows Server 2008 pour la mise à
niveau et optez pour une version supportée par la matrice de mise à niveau, tel que
décrit dans le tableau 6-1, précédemment dans ce chapitre. Cliquez sur Suivant (si
vous réalisez une installation sans clé de produit, confirmez avoir choisi l’édition
correcte de Windows Server 2008).
11. Sur la page Veuillez lire le contrat de licence, cochez J’accepte les termes du contrat de
licence. Il est intéressant de lire réellement les termes de la licence à l’occasion. Cliquez
sur Suivant.
12. Si toutes les conditions de la mise à niveau sont satisfaites, l’option Mise à niveau est
disponible sur la page Quel type d’installation voulez-vous effectuer, illustrée par la
figure 6-7.

Figure 6-7 Page Quel type d’installation voulez-vous effectuer

13. Cliquez sur Mise à niveau pour installer la mise à niveau. Vous verrez un rapport sur la
compatibilité, tel que celui de la figure 6-8. Le vôtre peut être différent, selon les
éléments trouvés par l’Assistant Installer Windows. Lisez attentivement le rapport et
prenez note des problèmes relevés. En l’absence de problème critique, cliquez sur
Suivant pour effectuer la mise à niveau.
Chapitre 6 Mise à niveau vers Windows Server 2008 91

Figure 6-8 Page Rapport sur la compatibilité

C’est tout. L’installation se poursuit, redémarrant plusieurs fois l’ordinateur au cours du


processus.

En pratique Mises à jour pendant l’installation ?


Effectuer ou non une mise à jour pendant l’installation, telle est la question. On trouve
des arguments pour et contre. Si Microsoft identifie des correctifs critiques affectant la
réussite de la mise à niveau après la mise sur le marché de Windows Server 2008, il peut
être important de les récupérer automatiquement et de les inclure dans l’installation.
Bien, ceci augmente les chances de réussir l’installation sans problème.
L’inconvénient, en revanche, est que dans ce cas, le serveur doit rester connecté à
l’Internet pendant toute la durée de l’installation. Dans certains environnements, cela ne
pose sans doute aucun problème, mais dans d’autres, il s’agit d’une violation directe de
la stratégie qui exige que tous les ordinateurs soient intégralement déconnectés de tout
réseau externe jusqu’à l’achèvement de leur mise en œuvre et l’installation complète de
toutes les mises à jour. Ce qui n’est pas une mauvaise idée si l’environnement le
supporte, comme dans un environnement WSUS (Windows Server Update Services) ou
tout autre mécanisme de distribution des mises à jour.
Alors, que choisir ? Votre choix repose sur les stratégies de l’entreprise et votre
environnement.
92 Partie II Installation et configuration

Niveaux fonctionnels de forêt et de domaine


Windows Server 2008 supporte trois niveaux fonctionnels de domaine – Windows 2000
Natif, Windows Server 2003 et Windows Server 2008 – et trois niveaux fonctionnels de
forêt – 2000 Natif, Windows Server 2003 et Windows Server 2008. Si vous mettez à niveau
un contrôleur de domaine dans un domaine et une forêt Active Directory existants vers
Windows Server 2008, le domaine et la forêt doivent être au moins à l’un de ces niveaux. Il
n’existe plus de support pour les niveaux fonctionnels de domaine intérimaires et hérités qui
autorisaient l’existence de contrôleurs de domaine Windows NT 4.
Pour de plus amples informations sur les fonctionnalités et limites de chaque niveau
fonctionnel de domaine et de forêt, reportez-vous au chapitre 16 du tome 1, « Installation et
configuration des services d’annuaire ».

Résumé
Dans ce chapitre, nous avons étudié les différents points et les phases de la mise à niveau d’un
ordinateur Windows Server 2003 existant vers Windows Server 2008. Nous avons identifié
les types de mises à niveau possibles et la préparation à mettre en œuvre selon
l’environnement existant, avant la mise à jour. Les mises à niveau entretiennent les
applications et services installés tout en préservant les applications professionnelles pour
lesquelles une nouvelle installation pourrait causer une nuisance ou impliquer un
ralentissement significatif de la production. Dans la majorité des cas, il est cependant
préférable de procéder à une nouvelle installation qui offre une plus grande souplesse dans le
choix du type et de l’architecture de l’installation. Dans le prochain chapitre, nous verrons
comment procéder à une nouvelle installation de Windows Server 2008.
Chapitre 7
Configuration
d’une nouvelle installation
Vue d’ensemble des tâches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Première ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configurer le matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Configurer les informations de base sur l’ordinateur. . . . . . . . . . . . . . . . . . . . . . . . 97
Paramètres de mises à jour et des rapports d’erreurs . . . . . . . . . . . . . . . . . . . . . . 104
Personnaliser le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Quitter l’Assistant Tâches de configuration initiales. . . . . . . . . . . . . . . . . . . . . . . . 117
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Une fois l’installation de Windows Server 2008 terminée, il reste quelques étapes à accomplir
avant que le serveur ne soit réellement prêt à jouer son rôle sur votre réseau. L’installation par
défaut ne comprend ni la configuration du mot de passe Administrateur initial ni celle du
nom de l’ordinateur. Aucun rôle n’est installé, le réseau est inactif et tous les services, sauf les
plus basiques, sont désactivés. À vous d’effectuer la configuration de base du serveur avant
de pouvoir l’exploiter. Vous allez vérifier que l’installation s’est déroulée sans erreur, attribuer
un mot de passe Administrateur et effectuer le reste de la configuration principale, à savoir
ajouter des périphériques, configurer le nom du serveur et les paramètres réseau et
configurer le serveur de sorte qu’il remplisse son rôle sur votre réseau. Nous supposons que
vous configurez un nouveau serveur, mais s’il s’agit d’une mise à niveau d’une version
précédente de Windows Server, il vous faut également effectuer quelques-unes de ces tâches,
même si certaines appartiennent à l’opération de mise à niveau.

Remarque Ce chapitre décrit la configuration d’une installation normale,


graphique de Windows Server 2008. Il ne traite absolument pas de l’installation
Server Core de Windows Server 2008, une option spécialisée à laquelle un
chapitre entier est dédié. Reportez-vous au chapitre 9 du tome 1, « Installation et
configuration de Server Core », pour découvrir comment configurer Server Core.

93
94 Partie II Installation et configuration

Vue d’ensemble des tâches


La plupart des tâches de ce chapitre sont brèves et simples de manière à ce que votre serveur
soit opérationnel le plus vite possible après son installation. Voici les premières tâches à
accomplir sur une nouvelle installation de serveur :
■ Attribuer le mot de passe du compte Administrateur ;
■ Installer les pilotes matériel éventuellement requis ;
■ Définir le fuseau horaire ;
■ Configurer le réseau ;
■ Attribuer un nom au serveur ;
■ Joindre le serveur à un domaine ou l’assigner à un groupe de travail ;
■ Configurer les paramètres de mises à jour et d’envoi de rapports d’erreurs
automatiques ;
■ Vérifier les mises à jour et les installer.

L’Assistant Tâches de configuration initiales propose d’autres tâches qui s’effectuent de


préférence dans le cadre de la configuration de départ :
■ Ajouter des rôles de serveurs ;
■ Ajouter des fonctionnalités ;
■ Activer le Bureau à distance ;
■ Configurer le Pare-feu Windows.

Ne vous attardez pas sur la première et les deux dernières pour le moment. Nous verrons
comment ajouter des rôles de serveurs au prochain chapitre et le Pare-feu Windows s’active
automatiquement. Pour savoir comment ajuster sa configuration, reportez-vous au
chapitre 2 du tome 2, « Mise en œuvre de la sécurité ». Cependant, les deux autres tâches de
cette liste requièrent un peu d’attention. Il nous semble indispensable d’installer
immédiatement une première fonctionnalité : Windows PowerShell, ce que nous allons faire
dans ce chapitre. Et nous pensons également qu’il est bon de quitter la pièce où se situe le
serveur ; ainsi nous allons activer le Bureau à distance dans ce chapitre. Ceci fait, vous
pourrez répondre librement à tous les besoins de votre propre station de travail.
Le programme de configuration de Windows Server 2008 a complètement changé ;
Microsoft a fait des efforts considérables pour vous poser le moins de questions possible
pendant cette première installation. Toutefois, le prix de cette simplicité se paie ensuite : les
Chapitre 7 Configuration d’une nouvelle installation 95

paramètres à configurer une fois l’installation terminée sont plus nombreux. Rassurez-vous,
au final, vous n’êtes pas perdant. D’une part, inutile de prêter attention au processus
d’installation, il vous suffit de le démarrer, de parcourir quelques étapes préliminaires et vous
pouvez partir. À votre retour, Windows Server 2008 est installé et il ne vous reste qu’à le
configurer selon vos besoins.

Première ouverture de session


Une fois Windows Server 2008 installé, vous êtes invité à définir le mot de passe
Administrateur initial avant de pouvoir ouvrir une session, comme le montre la figure 7-1.

Figure 7-1 Définir le mot de passe initial pour Windows Server 2008

Une fois que vous avez défini le mot de passe du compte Administrateur et que vous êtes
connecté à la console, vous apercevez enfin l’Assistant Tâches de configuration initiales,
illustré par la figure 7-2.
96 Partie II Installation et configuration

Figure 7-2 Assistant Tâches de configuration initiales

Configurer le matériel
L’Assistant Tâches de configuration initiales présente un défaut essentiel et
incompréhensible. Avant de pouvoir configurer le serveur, il nous semble logique de faire
fonctionner notre matériel. En effet, il arrive qu’une carte réseau ne soit pas prise en charge
si l’on n’ajoute pas de pilote et dans ce cas, l’Assistant Tâches de configuration initiales pense
que vous ne possédez pas de carte réseau du tout. Microsoft s’efforce de regrouper le plus de
pilotes possible sur le DVD d’installation, mais cela ne règle jamais le problème, car le marché
voit sans cesse arriver de nouveaux périphériques et le DVD ne peut pas être constamment
actualisé. Par conséquent, il arrive que des pilotes requis ne figurent pas sur le DVD.
Dans ce cas, la première étape consiste à ouvrir le Gestionnaire de périphériques et de
contrôler les périphériques qui manquent ou ne fonctionnent pas. On les identifie aisément,
comme le montre la figure 7-3, avec notre contrôleur audio multimédia. Vous êtes libre
d’installer les pilotes dans l’immédiat et s’il ne s’agit pas d’un périphérique indispensable
pour la configuration initiale, vous pouvez attendre d’en avoir terminé avec l’assistant.
Chapitre 7 Configuration d’une nouvelle installation 97

Figure 7-3 Périphérique inconnu dans le Gestionnaire de périphériques

Dès lors que votre matériel fonctionne, poursuivez la configuration des paramètres de base
de l’ordinateur dans l’Assistant Tâches de configuration initiales.

Configurer les informations de base sur l’ordinateur


La première section de l’Assistant Tâches de configuration initiales concerne la configuration
de base de l’ordinateur : le fuseau horaire, le réseau et le nom de l’ordinateur, puis
l’appartenance de l’ordinateur à un domaine. Cette section de la configuration nécessite un
redémarrage du serveur lorsque vous définissez le nom du serveur et l’appartenance à un
domaine ; repoussez-la par conséquent à la fin de la configuration.

Définir le fuseau horaire


Pendant l’installation, Windows définit un fuseau horaire (pas systématiquement le bon) et la
date et l’heure selon le BIOS de votre ordinateur. Pour définir la date et l’heure, ainsi que le
fuseau horaire, cliquez sur le lien de l’Assistant Tâches de configuration initiales pour ouvrir
la boîte de dialogue Date et heure de la figure 7-4. Après avoir défini l’heure et le fuseau
horaire du serveur, cliquez sur Appliquer puis sur OK pour revenir à l’assistant.
98 Partie II Installation et configuration

Figure 7-4 Boîte de dialogue Date et heure

En pratique Horloges supplémentaires


Windows Server 2008 propose de configurer deux horloges supplémentaires dans la
boîte de dialogue Date et heure. L’affichage de l’horloge dans la zone de notification est
activé par défaut, mais s’il ne l’est pas pour une raison ou une autre, cliquez droit dans la
zone de notification pour afficher la boîte de dialogue Propriétés de la Barre des tâches et
du menu Démarrer, cliquez sur l’onglet Zone de notification et cochez la case Horloge.
Vous activez ainsi l’affichage de l’horloge. Lorsque vous configurez d’autres horloges,
l’heure de ces fuseaux horaires s’affiche si vous déplacez votre souris sur l’horloge.
Si vous travaillez régulièrement avec des personnes se trouvant dans un autre fuseau
horaire, vous allez vous habituer au décalage et vous n’aurez peut-être plus besoin de
toutes ces horloges sur votre serveur. De plus, vous ne passez pas tout votre temps
devant votre console de serveur. Mais il reste pratique de posséder deux autres horloges
lorsque l’on travaille avec des Américains et des Australiens : une réglée sur GMT-
5 heures pour les États-Unis et une sur GMT+10 heures pour l’Australie. Ainsi, si vous
leur téléphonez à une heure absolument pas raisonnable, vous n’avez aucune excuse.
Chapitre 7 Configuration d’une nouvelle installation 99

Configurer le réseau
Ensuite, la liste contient la configuration du réseau. Par défaut, votre nouveau serveur a
activé IPv4 et IPv6 et si vous possédez un serveur DHCP en exécution sur le réseau, il a
automatiquement configuré les adresses correspondantes. Si aucun serveur DHCP n’est
disponible, le serveur a configuré une adresse de lien local, c’est-à-dire une adresse IP unique
sur le réseau qui se configure automatiquement, mais ne sera pas transmise par les routeurs
à un autre réseau. Pour les serveurs, il est fortement conseillé d’avoir au moins l’adresse IPv4
en adresse fixe. Dans la majorité des situations, l’adresse IPv6 peut être une adresse sans état
configurée automatiquement ou une adresse de site local fournie par DHCP, comme le décrit
le chapitre 18 du tome 1, « Administration de TCP/IP ».
Voici comment configurer le réseau et définir une adresse IP fixe pour le serveur :
1. Cliquez sur Configurer le réseau dans l’Assistant Tâches de configuration initiales pour
ouvrir l’application Connexions réseau du Panneau de configuration, illustrée par la
figure 7-5 (la commande correspondante est Ncpa.cpl).

Figure 7-5 Application Connexions réseau du Panneau de configuration

2. Cliquez droit sur la connexion à configurer et sélectionnez Propriétés dans le menu


contextuel pour ouvrir la boîte de dialogue Propriétés de Connexion au réseau local de
la figure 7-6.
100 Partie II Installation et configuration

Figure 7-6 Boîte de dialogue Propriétés de Connexion au réseau local

3. Sélectionnez Protocole Internet version 4 (TCP/IPv4) et cliquez sur Propriétés.


4. Sélectionnez Utiliser l’adresse IP suivante, comme le montre la figure 7-7.

Figure 7-7 Boîte de dialogue Propriétés de Protocole Internet version 4 (TCP/IPv4)

5. Saisissez une adresse IP, un masque de sous-réseau et une passerelle par défaut
appropriés à votre réseau.
Chapitre 7 Configuration d’une nouvelle installation 101

6. Spécifiez le serveur DNS préféré pour votre réseau. Il doit s’agir d’un contrôleur de
domaine si vous utilisez un DNS intégré à Active Directory. Vous pouvez également
inscrire un serveur DNS auxiliaire si nécessaire.
7. Cliquez sur Avancé si vous devez définir d’autres propriétés pour cette connexion
réseau. Vous pouvez spécifier des adresses IP supplémentaires, d’autres passerelles, des
paramètres DNS complémentaires et des paramètres concernant le serveur WINS. Ces
paramètres par défaut suffisent dans la plupart des réseaux, en particulier pour
effectuer la configuration initiale. Cliquez sur OK pour revenir à la page principale
Propriétés.
8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet
version 4 (TCP/IPv4) et cliquez sur Fermer pour terminer la configuration de la
connexion.
9. Fermez la fenêtre Connexions réseau en cliquant sur le bouton X dans l’angle supérieur
droit pour revenir à la page de l’Assistant Tâches de configuration initiales.

Remarque Si vous possédez plusieurs car tes réseau sur votre ser veur,
renommez-les avec un nom plus significatif que Connexion au réseau local et
Connexion au réseau local 2. Cela va vous faciliter la tâche lorsque vous voudrez
configurer les rôles de serveurs.

Définir le nom de l’ordinateur et le domaine


Une fois le réseau configuré, il est temps d’attribuer un nom à l’ordinateur et de le joindre à
un domaine. S’il s’agit du premier ordinateur du domaine, ne définissez pas le domaine
maintenant ; vous vous en chargerez plus tard lorsque vous ajouterez et configurez les
Services de domaines Active Directory.
Le processus d’installation de Windows Server 2008 attribue automatiquement un nom
généré au hasard et insignifiant au nouveau serveur. S’il est sans conteste unique sur le
réseau, il n’est absolument pas pratique et mérite vraiment d’être changé.

En pratique Nommer des ordinateurs


Il est judicieux d’employer un nom d’ordinateur compatible d’une part avec DNS et
d’autre part avec NetBIOS pour que tous les types de clients puissent voir le même nom.
Cela n’est pas prêt de changer, car nous devrons encore supporter la présence de
NetBIOS pendant un bon moment, puisque les applications qui ne fonctionnent pas
sans lui, comme celles de Microsoft, sont encore bien trop nombreuses. Pour ce faire,
choisissez un nom ne dépassant pas 15 caractères et n’utilisez ni astérisque ni point.
Pour optimiser la compatibilité des applications, préférez les tirets aux espaces et aux
caractères de soulignement.
D’autre part, faites appel à une convention de noms qui soit cohérente en interne. Il
existe toutes sortes de conventions de noms absurdes, consistant à attribuer des noms
102 Partie II Installation et configuration

d’après des poètes romantiques, des personnages de science-fiction, des dieux grecs ou
romains, des couleurs… Honnêtement, nous préférons les noms qui aident réellement à
identifier la fonction, l’emplacement, la géographie, l’adresse, le matériel, le domaine ou
encore une combinaison de ces éléments. Voici les noms des ordinateurs compris dans
notre réseau Exemple :
■ hp350-dc-02 (fonctionne sur un H-P ML350 G5, est un contrôleur de domaine et
son adresse IP est 192.168.51.2.)
■ hp350-ts-05 (serveur Terminal Server qui fonctionne sur un H-P 350, adresse IP
192.168.51.5.)
■ dl380-core-08 (ordinateur H-P DL380, exécutant Server Core, adresse IP
192.168.51.8.)
Évidemment, cette manière d’attribuer des noms n’est pas très amusante, mais elle a le
mérite d’être logique et évite d’avoir à se souvenir que Hermès est le serveur Microsoft
Exchange et que Zeus est un contrôleur de domaine.

Vous économisez un redémarrage si vous modifiez le nom de l’ordinateur et le domaine


simultanément. Les deux opérations nécessitent un redémarrage qui empêche d’accomplir
d’autres tâches, mais heureusement, on peut les associer. Pour définir le nom et le domaine,
procédez comme suit :
1. Dans l’Assistant Tâches de configuration initiales, cliquez sur Indiquer un nom
d’ordinateur et un domaine pour ouvrir la boîte de dialogue Propriétés système de la
figure 7-8.

Figure 7-8 Boîte de dialogue Propriétés système


Chapitre 7 Configuration d’une nouvelle installation 103

2. Tapez une description de l’ordinateur à votre guise, mais sachez qu’elle n’est pas
indispensable.
3. Cliquez sur Modifier pour ouvrir la boîte de dialogue Modification du nom ou du
domaine de l’ordinateur, illustrée par la figure 7-9.

Figure 7-9 Boîte de dialogue Modification du nom ou du domaine de l’ordinateur

4. Choisissez un nom d’ordinateur en fonction de votre convention de noms, puis cliquez


sur Domaine pour saisir le domaine à rejoindre.
5. Cliquez sur OK. Vous allez être invité à taper les informations d’identification pour
effectuer les modifications. Il doit s’agir d’informations d’identification de niveau
administrateur du domaine auquel vous joignez le serveur ou d’un compte qui a reçu
le droit de joindre des ordinateurs au domaine.
6. Cliquez sur OK. Si aucun problème ne se produit, vous obtenez un message de
bienvenue.
7. Cliquez sur OK pour fermer le message. Vous êtes invité à redémarrer le serveur pour
que les modifications prennent effet. Cliquez à plusieurs reprises sur OK pour que le
serveur redémarre.

Important Il peut être tentant d’essayer de retarder le redémarrage pour voir


s’il n’est pas possible d’accomplir encore quelques tâches avant d’avoir à attendre
que le ser v eur s’éteigne et re démarre. C’est compré hensible, car les
redémarrages prennent beaucoup de temps et les tâches à effectuer sont
souvent nombreuses dans ce type de situations. Mais ce redémarrage est sans
doute le seul à ne pas repousser. Vous avez besoin de ce nouveau nom et de la
sécurité en vigueur avant de poursuivre avec quoi que ce soit d’autre.
104 Partie II Installation et configuration

Paramètres de mises à jour et des rapports d’erreurs


La prochaine section de paramètres de l’Assistant Tâches de configuration initiales concerne
la gestion des mises à jour et l’envoi de rapports d’erreurs à Microsoft. Par défaut, vous ne
téléchargez pas de mises à jour, vous n’envoyez pas de rapports d’erreurs à Microsoft, mais
vous savez quels rôles sont installés sur le serveur. Il est très peu probable que ces paramètres
soient optimaux, alors modifions cette configuration.

Activer les mises à jour et l’envoi de rapports d’erreurs


Le premier paramètre de cette section concerne justement la configuration des paramètres
destinés à gérer les mises à jour et les rapports d’erreurs. Trois possibilités s’offrent à vous si
vous cliquez sur Activer la mise à jour et l’envoi de rapports automatiques dans l’Assistant
Tâches de configuration initiales :
■ Paramètres de mises à jour Windows et Microsoft
■ Paramètres des rapports d’erreurs Windows
■ Paramètres du Programme d’amélioration du produit

Voici comment configurer ces paramètres :


1. Cliquez sur Activer la mise à jour et l’envoi de rapports automatiques pour ouvrir la
boîte de dialogue de la figure 7-10.

Figure 7-10 Boîte de dialogue Activer les mises à jour


et le signalement de problèmes
Chapitre 7 Configuration d’une nouvelle installation 105

2. Ne choisissez pas Activer les mises à jour automatiques et le signalement de problèmes,


sauf si vous voulez que votre serveur télécharge et installe automatiquement des mises
à jour sans avertissement, avec des redémarrages automatiques, sans jamais vous
prévenir.
3. Cliquez sur Configurer les paramètres manuellement pour ouvrir la boîte de dialogue
de la figure 7-11.

Figure 7-11 Boîte de dialogue Configurer les paramètres manuellement

4. Pour configurer la gestion des mises à jour Windows et Microsoft sur ce serveur,
cliquez sur Modifier les paramètres. La boîte de dialogue de la figure 7-12 s’affiche.
106 Partie II Installation et configuration

Figure 7-12 Boîte de dialogue Choisissez comment Windows installe les mises à jour

5. Voici les différentes options :


■ Installer les mises à jour automatiquement (recommandé)

Même si ce paramètre est recommandé par Microsoft, nous pensons que c’est
une très mauvaise idée pour un serveur. Lisez l’encart En pratique sur les mises
à jour automatiques pour en savoir plus.
■ Télécharger des mises à jour mais me laisser choisir s’il convient de les installer

Nous recommandons ce paramètre. Les téléchargements se produisent


automatiquement à l’arrière-plan en période de faible usage de la bande
passante. Une fois le téléchargement terminé, le premier administrateur qui
ouvre une session sur le serveur aperçoit dans la zone de notification une invite
pour installer la mise à jour.
■ Rechercher des mises à jour mais me laisser choisir s’il convient de les télécharger
et de les installer
Lorsqu’une mise à jour qui s’applique au serveur est disponible, le premier
administrateur qui ouvre une session sur le serveur aperçoit une invite dans la
zone de notification. Si vous acceptez d’installer la mise à jour annoncée, vous
devez au préalable la télécharger. Cette manière de fonctionner n’est pas la plus
efficace, sauf si votre bande passante est très coûteuse.
Chapitre 7 Configuration d’une nouvelle installation 107

■ Ne jamais rechercher des mises à jour (non recommandé)

Cette option est à exclure, sauf si votre environnement exploite une solution de
correctifs non-Microsoft. Il est important d’installer sans attendre les mises à jour
les plus urgentes et critiques pour protéger le serveur. Si vous optez pour ce
paramètre, vous devrez vous connecter manuellement au site Windows Update
pour vérifier régulièrement si des mises à jour sont disponibles. Autrement, faites
appel à une solution tierce.
Vous pouvez aussi choisir d’inclure les mises à jour recommandées avec celles
qui sont concernées par les paramètres que vous avez choisis. Il s’agit de mises à
jour qui sont moins importantes que les mises à jour Critiques et Importantes
annoncées normalement par la fonctionnalité de mise à jour automatique.
6. Une fois que vous avez fait votre choix, cliquez sur OK pour revenir à la boîte de
dialogue Configurer les paramètres manuellement de la figure 7-11.
7. Cliquez sur le bouton Modifier les paramètres de la section Rapport d’erreurs Windows
pour ouvrir la boîte de dialogue Configuration du rapport d’erreurs Windows, illustrée
par la figure 7-13.

Figure 7-13 Boîte de dialogue Configuration du rapport d’erreurs Windows

8. Choisissez comment gérer les rapports d’erreurs. Il nous semble judicieux d’envoyer
automatiquement au moins des rapports de synthèse et de préférence des rapports
détaillés. Reportez-vous à l’encart À propos pour découvrir ce qui est envoyé et l’intérêt
de ces envois. Une fois que vous avez fait votre choix, cliquez sur OK pour revenir à la
boîte de dialogue Configurer les paramètres manuellement de la figure 7-11.
108 Partie II Installation et configuration

9. Cliquez sur le bouton Modifier les paramètres de la section Programme d’amélioration


du produit pour ouvrir la boîte de dialogue Configuration du programme
d’amélioration du produit de la figure 7-14.

Figure 7-14 Boîte de dialogue Configuration du programme d’amélioration du produit

10. Par défaut, vous participez automatiquement à ce programme. Aucune information


permettant de vous identifier personnellement ou d’identifier votre société n’est
communiquée à Microsoft. Les rapports rassemblent des informations sur votre
matériel et les rôles de serveurs installés sur le serveur et si vous incluez des détails sur
les serveurs, stations de travail et secteur d’activités de votre organisation, ces données
sont associées à celles qui sont collectées.
11. Choisissez une option et cliquez sur OK, puis sur Fermer pour revenir à l’Assistant
Tâches de configuration initiales.

En pratique Les mises à jour automatiques sur un serveur


L’intérêt de mettre à jour vos serveurs régulièrement et ponctuellement dès lors que des
mises à jour de sécurité critiques sont disponibles est incontestable. Le chapitre 4 du
tome 2 est d’ailleurs entièrement consacré aux correctifs. Dans l’idéal, il faudrait que les
serveurs et les stations de travail n’aient jamais besoin de correctifs ou de mises à jour,
Chapitre 7 Configuration d’une nouvelle installation 109

mais ce n’est pas le cas, et lorsqu’une nouvelle vulnérabilité est découverte, il se passe
toujours très peu de temps avant que quelqu’un ne l’exploite publiquement et ne mette
la pagaille dans votre réseau. Par conséquent, pourquoi refuser que Microsoft applique
automatiquement des mises à jour sur Windows Server 2008 ? En fait, nous préférons
être les seuls décisionnaires quant à l’emplacement, au moment et à la manière dont les
mises à jour s’appliquent. De plus, les utilisateurs ont le droit de savoir lorsqu’un serveur
va redémarrer. Tout d’abord, à cause de ce redémarrage automatique, vous ne pourrez
pas honorer vos engagements en termes de connectivité continue. En outre, comment
être sûr que l’heure définie par défaut pour installer les mises à jour et redémarrer
(3 heures du matin chez vous) convient autant aux personnes qui travaillent dans vos
succursales à l’étranger ou à vos commerciaux qui parcourent le monde ? C’est
probablement à ce moment-là qu’ils travaillaient sur un fichier d’importance capitale…
Par conséquent, gardez le contrôle sur votre environnement de mise à jour et refusez les
mises à jour automatiques. Choisissez de télécharger les mises à jour en fonction du coût
de votre bande passante. Sinon, installez un serveur WSUS (Windows Server Update
Services) sur votre réseau et configurez-le de sorte qu’il détermine comment et quand
proposer et appliquer des mises à jour à vos serveurs. Vous pouvez aussi faire appel au
System Center Configuration Manager si votre réseau est assez étendu pour le justifier ou
exploiter un produit tiers comme Shavlik NetChk Protect pour gérer l’application de vos
mises à jour. Mais dans tous les cas, ne définissez pas vos serveurs de manière à ce qu’ils
se mettent à jour automatiquement et qu’ils redémarrent. C’est une très mauvaise idée.

À propos Les rapports d’erreurs Windows


L’envoi de rapports d’erreurs Windows existe depuis l’introduction de l’utilitaire
Dr Watson, dont la popularité n’était déjà pas à envier à l’heure des premiers pas de
Windows. Aujourd’hui, la situation a bien évolué. Dans Windows XP, l’envoi de crash
dumps à Microsoft a été mis en place, lorsqu’un programme s’interrompait ou ne
répondait plus. Il s’agit en fait de l’outil Analyse des incidents Microsoft en ligne, lequel
a résolu de nombreux bogues. En cas de problème, vous choisissiez d’envoyer ou non le
rapport, ce que de nombreux utilisateurs ont fait, heureusement, car Windows est
devenu plus stable et plus robuste, accompagné de pilotes de bien meilleure qualité.
Steve Ballmer, PDG de Microsoft, a affirmé qu’« environ 20 pourcents des bogues
entraînent 80 pourcents de toutes les erreurs ». Comme ces 20 pourcents des bogues ont
été identifiés en rassemblant tous les efforts à leur niveau, nous bénéficions tous d’un
logiciel plus stable et sans défaillance.
Il est toutefois important de noter que les rapports d’erreurs contenaient parfois des
informations personnelles identifiables. Si vous étiez en pleine saisie de votre numéro de
carte bancaire lorsque le programme que vous exploitiez s’interrompait, il y avait des
110 Partie II Installation et configuration

risques que votre numéro, ou du moins une partie, soit inscrit dans le rapport d’erreur.
Microsoft a émis des garanties à répétition et apparemment crédibles stipulant qu’ils
n’utiliseraient en aucun cas les informations personnelles des rapports d’erreurs. La
Déclaration de confidentialité relative est disponible à l’adresse
http://privacy.microsoft.com/fr-fr/default.aspx.
En fait, nous vous incitons vivement à la lire. Elle est simple et aussi précise que possible.
Elle est également rassurante. Nous avons tous bénéficié des erreurs qui ont été signalées
dans le passé pour améliorer le logiciel que nous exploitons.

Obtenir des mises à jour


La dernière option de cette section consiste à télécharger immédiatement des mises à jour. Il
suffit de cliquer sur Télécharger et installer les mises à jour. La boîte de dialogue Windows
Update de la figure 7-15 s’affiche.

Figure 7-15 Boîte de dialogue Windows Update

Si des mises à jour sont disponibles, elles figurent dans cette boîte de dialogue et vous êtes
libre de les installer immédiatement. Cette page contient également un lien important :
Obtenir des mises à jour d’autres produits. Il donne accès au service Microsoft Update au lieu
du service Windows Update. Le service Microsoft Update regroupe tous les produits
Chapitre 7 Configuration d’une nouvelle installation 111

Microsoft, y compris ceux que l’on installe généralement sur Windows Server. Si vous n’y
prêtez pas attention, vous risquez d’exploiter des applications vulnérables nécessitant des
correctifs sur le serveur. Par conséquent, nous vous conseillons de choisir Microsoft Update,
sauf si vous faites appel à un autre mécanisme pour garantir l’actualisation de vos autres
applications Microsoft sur le serveur.

Personnaliser le serveur
La dernière section de l’Assistant Tâches de configuration initiales permet d’ajouter des rôles
et des fonctionnalités au serveur, d’activer l’accès à distance et de configurer le Pare-feu
Windows. Il s’agit enfin d’une réelle configuration, qui prépare concrètement le serveur.
Jusqu’à présent, il s’agissait des bases de la configuration.
Nous n’allons pas décrire l’option Ajouter des rôles de l’Assistant Tâches de configuration
initiales car le prochain chapitre est entièrement consacré à l’installation et à la configuration
des rôles de serveurs. On pourrait également éviter d’aborder l’installation de fonctionnalités
dans ce chapitre, mais il est essentiel de parler ici d’une fonctionnalité que Microsoft
n’installe pas par défaut et qui doit être sur tous les serveurs : Windows PowerShell.

Ajouter la fonctionnalité Windows PowerShell


Windows PowerShell est un nouvel interprétateur en ligne de commandes et langage de
script publié par Microsoft en 2006. Il est disponible en téléchargement à l’adresse
http://www.microsoft.com/technet/scriptcenter/topics/msh/download.mspx pour les versions
précédentes de Windows et il est fourni en tant que fonctionnalité avec Windows
Server 2008. Il ne s’installe pas automatiquement et n’est malheureusement pas du tout
disponible sur Server Core.
Sur nos ordinateurs, Windows PowerShell a complètement remplacé notre interprétateur de
commandes quotidien Cmd.exe. Même si vous n’écrivez pas encore des quantités de scripts
PowerShell, vous allez prendre plaisir à travailler en ligne de commandes grâce à lui.
Avant de pouvoir l’employer, vous devez toutefois ajouter la fonctionnalité correspondante à
votre nouvelle installation Windows Server 2008. L’Assistant Tâches de configuration
initiales comporte un lien Ajouter des fonctionnalités qui va nous servir à installer
PowerShell, en procédant comme suit :
1. Dans l’Assistant Tâches de configuration initiales, cliquez sur Ajouter des fonctionnalités
pour ouvrir l’Assistant Ajout de fonctionnalités, illustré par la figure 7-16.
112 Partie II Installation et configuration

Figure 7-16 Page Sélectionner des fonctionnalités de l’Assistant


Ajout de fonctionnalités

2. Parcourez la liste Fonctionnalités et sélectionnez Windows PowerShell.


3. Cliquez sur Suivant pour afficher la page de confirmation. Elle contient la liste des
fonctionnalités prêtes à être installées ainsi que l’avertissement sur le redémarrage
nécessaire. Ne vous inquiétez pas, le serveur ne va pas redémarrer si vous n’installez
que cette fonctionnalité.
4. Cliquez sur Installer pour démarrer l’installation. À la fin de l’installation, la page
Résultats de l’installation s’affiche. Elle présente les éventuels problèmes qui se seraient
produits ou rapporte simplement que l’installation a réussi. Cliquez sur Fermer pour
quitter l’Assistant Ajout de fonctionnalités.
C’est à peu près tout. Il ne reste plus que quelques petites étapes de configuration destinées
à simplifier l’emploi de PowerShell.
Tout d’abord, plaçons PowerShell dans le menu Démarrer pour simplifier son utilisation. Car
si Cmd s’y trouve, pourquoi pas PowerShell ? Voici comment procéder :
1. Cliquez sur Démarrer.
2. Cliquez sur Tous les programmes, puis sur Windows PowerShell 1.0.
3. Cliquez droit sur Windows PowerShell et choisissez Ajouter au menu Démarrer.
Chapitre 7 Configuration d’une nouvelle installation 113

Figure 7-17 Ajouter Windows PowerShell au menu Démarrer

4. Profitez-en pour ajouter PowerShell à votre barre de lancement rapide. Désormais,


vous accédez facilement à PowerShell sans avoir besoin de le rechercher dans les
menus.
Par défaut, PowerShell s’installe de la manière la plus sécurisée possible, vous empêchant
d’exécuter des scripts ou des fichiers de configuration. Cela vous permet d’employer la ligne
de commandes, mais limite considérablement les possibilités de personnalisation ou d’aller
au-delà des simples commandes de shell.
Cette restriction est appelée stratégie d’exécution du shell. Quatre niveaux de stratégie
d’exécution sont disponibles :
■ Restricted N’autorise pas l’exécution de scripts et ne charge aucun fichier de
configuration. Il s’agit de la valeur par défaut.
■ AllSigned Permet l’exécution de script ou de fichiers de configuration signés par un
éditeur approuvé. Même les scripts que vous écrivez vous-même doivent être signés.
■ RemoteSigned Permet d’exécuter des scripts ou des fichiers de configuration non
signés qui ont été créés sur le réseau local, mais tout script téléchargé de l’Internet doit
être signé par un éditeur approuvé.
■ Unrestricted Permet d’exécuter n’importe quel script ou fichier de configuration,
quelle que soit sa provenance. Les scripts ou fichiers de configuration provenant de
l’Internet vont toutefois générer un avertissement avant leur exécution.
114 Partie II Installation et configuration

La valeur par défaut, Restricted, est un peu trop sévère à notre goût et nous n’apprécierions
pas non plus d’avoir à demander un certificat de signature de code juste pour exécuter nos
propres scripts, ce qui rend l’option AllSigned peu appropriée. Dans un environnement qui
prend complètement en charge les certificats de signature de code et où l’on souhaite limiter
les scripts autorisés à ceux approuvés et signés, AllSigned est une option sensée. Mais dans la
plupart des cas, RemoteSigned nous semble être un bon compromis. Voici comment définir
la stratégie d’exécution à RemoteSigned :
1. Cliquez sur Démarrer, cliquez du bouton sur Windows PowerShell et choisissez
Exécuter en tant qu’administrateur.
2. À l’invite du Contrôle du compte utilisateur, sélectionnez Continuer pour ouvrir
PowerShell avec des privilèges d’administrateur.
3. À l’invite PowerShell, tapez la commande suivante :
Set-ExecutionPolicy RemoteSigned

4. Pour confirmer que la modification a été prise en compte, faites appel à la commande
Get-ExecutionPolicy, comme le montre la figure 7-18.

Figure 7-18 Définir la stratégie d'exécution de PowerShell

Activer le Bureau à distance


L’Assistant Tâches de configuration initiales propose ensuite un lien appelé Activer le Bureau
à distance. Grâce au Bureau à distance, les administrateurs se connectent directement au
serveur sans être obligés d’être physiquement devant la console, dans la salle des serveurs.
Windows Server 2008 introduit la version 6.1 du protocole RDP (Remote Desktop Protocol).
RDC 6.1 (Remote Desktop Client) est fourni avec Windows Vista Service Pack 1 et
Windows XP Service Pack 3 et les clients de la version 6 sont téléchargeables à partir de
l’article 925876 de la Base de connaissances Microsoft (http://support.microsoft.com/kb/
925876).
RDP version 6 et ultérieure présente de nombreuses améliorations sur les versions
antérieures, à savoir la couleur 32 bits, l’authentification du serveur, la redirection des
ressources, le lissage des polices et Terminal Services RemoteApp. Dans le cadre de
l’administration à distance d’un serveur, l’optimisation la plus intéressante concerne
Chapitre 7 Configuration d’une nouvelle installation 115

l’authentification du serveur, qui garantit que vous vous connectez réellement à l’ordinateur
voulu.
Voici comment activer le Bureau à distance sur le nouveau serveur :
1. Dans l’Assistant Tâches de configuration initiales, cliquez sur le lien Activer le Bureau
à distance pour ouvrir la boîte de dialogue Propriétés système. L’onglet Utilisation à
distance est sélectionné par défaut, illustré par la figure 7-19.

Figure 7-19 Onglet Utilisation à distance de la boîte de dialogue Propriétés système

2. Sélectionnez le niveau de client Bureau à distance à activer. Si tous vos clients


exécutent au minimum Windows XP SP2 ou ultérieur, choisissez N’autoriser que la
connexion des ordinateurs exécutant Bureau à distance avec authentification NLA
(plus sûr).
3. Cliquez sur OK. Un message vous informe qu’une exception de pare-feu sera activée
pour permettre le fonctionnement de Bureau à distance. Cliquez à nouveau sur OK
pour revenir à la boîte de dialogue Propriétés système.
4. Cliquez sur OK. Le Bureau à distance est activé.

Configurer le Pare-feu Windows


La dernière étape de l’Assistant Tâches de configuration initiales consiste à cliquer sur le lien
Configurer le Pare-feu Windows. Par défaut, il est activé sur tous les nouveaux serveurs.
Cette version est différente de celui fourni avec la première édition de Windows Server 2003.
116 Partie II Installation et configuration

Le nouveau Pare-feu Windows est équipé de la reconnaissance des emplacements et les règles
qui s’appliquent pour régir le trafic sont différentes dans les domaines, les réseaux privés et
les réseaux publics. Il est bidirectionnel, exerçant un contrôle sur le trafic entrant et sortant.
Nous y reviendrons de manière plus détaillée au chapitre 2 du tome 2, « Mise en œuvre de la
sécurité ». Pour l’instant, il est juste essentiel de savoir qu’il est activé par défaut. Tous les
rôles ou fonctionnalités Windows Server 2008 que vous activez via le Gestionnaire de
serveur ou l’Assistant Tâches de configuration initiales mettent automatiquement le Pare-feu
Windows à jour si nécessaire, mais si vous possédez des applications tierces qui nécessitent
que des exceptions du pare-feu soient activées, vous devez vous en charger manuellement.
Voici comment configurer le Pare-feu Windows sur le nouveau serveur :
1. Cliquez sur le lien Configurer le Pare-feu Windows de l’Assistant Tâches de
configuration initiales pour ouvrir la boîte de dialogue Pare-feu Windows de la
figure 7-20.

Figure 7-20 Boîte de dialogue Pare-feu Windows

2. Cliquez sur Modifier les paramètres pour accéder à l’onglet Général de la boîte de
dialogue Paramètres du Pare-feu Windows. Il est alors possible d’activer ou de
désactiver le pare-feu ou de le définir de sorte qu’il bloque toutes les connexions
entrantes.
3. Cliquez sur l’onglet Exceptions de la boîte de dialogue pour autoriser des programmes
ou fonctionnalités spécifiques à traverser le Pare-feu Windows, comme le montre la
figure 7-21.
Chapitre 7 Configuration d’une nouvelle installation 117

Figure 7-21 Onglet Exceptions de la boîte de dialogue Paramètres


du Pare-feu Windows

4. Sélectionnez Gestion à distance du Pare-feu Windows pour autoriser la configuration à


distance du pare-feu à partir de ce serveur. Il peut être intéressant de sélectionner
également Gestion à distance de Windows et Gestion des services à distance.
5. Cliquez sur OK pour fermer la boîte de dialogue Paramètres du Pare-feu Windows,
puis fermez la boîte de dialogue Pare-feu Windows pour revenir à l’Assistant Tâches de
configuration initiales.

Quitter l’Assistant Tâches de configuration initiales


Une fois que vous avez terminé toutes les étapes de l’Assistant Tâches de configuration
initiales, vous pouvez cocher la case Ne pas afficher cette fenêtre à l’ouverture de session et
cliquer sur Fermer de manière à quitter l’assistant et ne plus l’afficher ultérieurement. À la
fermeture de l’assistant, le Gestionnaire de serveur s’ouvre pour que vous poursuiviez la
configuration de votre serveur en ajoutant des rôles et fonctionnalités et que vous puissiez
accéder facilement à toutes vos tâches de gestion quotidiennes sur le serveur.
Si vous n’êtes pas sûr de ne plus avoir besoin de l’Assistant Tâches de configuration initiales,
ne cochez pas la case correspondante et fermez la fenêtre. Le Gestionnaire de serveur s’ouvre
automatiquement, mais à votre prochaine ouverture de session, l’Assistant Tâches de
configuration initiales s’ouvrira à nouveau.
118 Partie II Installation et configuration

Toutes les fonctions de ce dernier sont disponibles ailleurs, mais cette fonctionnalité est
pratique et bien conçue car elle centralise toutes les étapes initiales nécessaires sur un
nouveau serveur. Si vous avez fermé l’Assistant Tâches de configuration initiales, que vous
l’avez désactivé et que vous réalisez que vous devez revenir sur une étape, exécutez la
commande Oobe.exe pour le récupérer.

Résumé
Dans ce chapitre, nous avons analysé toutes les étapes de configuration initiale nécessaires
sur la plupart des nouveaux ordinateurs Windows Server 2008. Nous nous sommes
concentrés sur l’Assistant Tâches de configuration initiales car il nous semble être un
assistant cohérent et bien conçu, mais toutes les tâches décrites s’effectuent également en
ligne de commandes ou en passant par des assistants individuels. Si vous travaillez avec
Server Core, vous n’avez pas le choix : vous devez exploiter la ligne de commandes ou des
scripts pour effectuer la configuration initiale, que vous verrez au chapitre 9 du tome 1.
Entre-temps, le chapitre 8 est consacré à l’utilisation du Gestionnaire de serveur pour ajouter
des rôles de serveurs, des services de rôle et des fonctionnalités.
Chapitre 8
Installation
des rôles de serveurs
et des fonctionnalités
Définition des rôles de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Ajouter et supprimer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Ajouter et supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Ajouter et supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Les versions précédentes de Windows Server s’appuyaient sur une méthode libre pour
ajouter et supprimer les différentes fonctionnalités de Windows Server. Il était ainsi possible
de désactiver aisément les services non nécessaires, exposant le serveur à des risques. De
même, on pouvait désactiver une fonctionnalité essentielle de Windows Server, ce qui
perturbait le fonctionnement d’autres services ou fonctionnalités. Le dépannage de ces
problèmes mobilisait du temps et des efforts et la sécurité générale du serveur pouvait être
compromise. Les assistants Configurer votre serveur et Gérer votre serveur de Windows
Server 2003 résolvent certains de ces problèmes en proposant une interface simple qui
constitue emplacement unique dédié à l’ajout ou à la suppression de rôles et la gestion de
ceux déjà installés sur le serveur.
Windows Server 2008 reprend ces anciens assistants et les remplace par le nouveau
Gestionnaire de serveur, dont l’objectif est de proposer un emplacement unique où ajouter
ou supprimer des rôles, des services de rôle et des fonctionnalités au serveur, tout en
accédant à tous les outils de gestion des rôles et fonctionnalités installés. Le Gestionnaire de
serveur est le point incontournable de toutes les tâches de gestion de Windows Server 2008.
Du moins, en théorie, car s’il optimise considérablement l’ajout et la suppression de rôles, de
services de rôles et de fonctionnalités, il est moins adapté en ce qui concerne la gestion
quotidienne. Il reste plus pratique d’exploiter les consoles autonomes pour les rôles à gérer.
Elles sont plus performantes et offrent une navigation plus aisée ; en revanche, le
Gestionnaire de serveur convient mieux pour certaines tâches de gestion. Et pour ajouter des
rôles, des services de rôles ou des fonctionnalités, le Gestionnaire de serveur est un outil
assez pratique, même s’il existe un équivalent en ligne de commandes.

119
120 Partie II Installation et configuration

Remarque Le Gestionnaire de serveur n’est pas disponible sur les installations


Server Core de Windows Server 2008. Server Core emploie différents outils de
configuration. Pour installer un serveur Windows Server 2008 Core, passez au
chapitre 9 du tome 1, « Installation de configuration de Server Core ».
Dans ce chapitre, nous allons expliquer comment travailler avec la console graphique du
Gestionnaire de serveur et l’outil en ligne de commandes ServerManagerCmd.exe pour
ajouter et supprimer des rôles, services de rôle et fonctionnalités.

Définition des rôles de serveurs


Windows Server 2008 établit une distinction entre un rôle de serveur, un service de rôle et
une fonctionnalité. Les rôles de serveurs sont des ensembles de fonctionnalités communes qui
aident à définir à quoi sert un serveur. Ainsi, un serveur de fichiers sera équipé du rôle
Services de fichier et un serveur Terminal Server du rôle Services Terminal Server.
Chacun de ces rôles s’accompagne d’un ou de plusieurs services de rôle. Un service de rôle est
une fonctionnalité particulière qui n’est disponible que pour le rôle dont elle est un service.
Ainsi, un serveur de fichiers équipé du rôle Services de fichiers offre plusieurs services de
rôle : Serveur de fichier, Système de fichiers distribués (et ses services auxiliaires, Espaces de
noms DFS et Réplication DFS), Gestion de ressources du serveur de fichiers, Services pour
NFS, Service de recherche Windows et Services de fichiers Windows Server 2003 (et ses
deux services associés, le Service de réplication des fichiers et le Service d’indexation). Le rôle
Services Terminal Server possède les services de rôle suivants : Terminal Server, Gestionnaire
de licences TS, Session Borker TS, Passerelle TS et Accès Web TS.
Le tableau 8-1 liste des rôles et services de rôle disponibles dans Windows Server 2008.

Tableau 8-1 Rôles et services de rôle Windows Server 2008

Rôle Service de rôle ID d’installation


Services de certificats AD-Certificate
Active Directory
Autorité de certification ADCS-Cert-Authority
Inscription de l’autorité de certification ADCS-Web-Enrollment
via le Web
Répondeur en ligne ADCS-Online-Cert
Service d’inscription de périphériques ADCS-Device-Enrollment
réseau
Services de domaine Aucune (s’installe avec
Active Directory Dcpromo.exe)
Contrôleur de domaine Active Directory ADDS-Domain-Controller
Gestion des identités pour UNIX ADDS –Identity-Mgmt
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 121

Tableau 8-1 Rôles et services de rôle Windows Server 2008

Rôle Service de rôle ID d’installation


Serveur pour le service NIS (Network ADDS-NIS
Information Services)
Synchronisation des mots ADDS-Password-Sync
de passe
Outils d’administration ADDS-IDMU-Tools
Services ADFS (Active
Directory Federation
Services)
Service de fédération ADFS -Federation
Proxy du service de fédération ADFS-Proxy
Agents Web AD FS ADFS-Web-Agents
Agent prenant en charge ADFS-Claims
les revendications
Agent basé sur les jetons Windows ADFS-Windows-Token
Services AD LDS ADLDS
(Active Directory
Lightweight Directory
Services)
Services AD RMS
(Active Directory
Rights Management
Services)
Service de gestion des droits AD
Prise en charge de la fédération
des identités
Serveur d’applications Application-Server
Fondation du serveur d’applications AS-AppServer-
Foundation
Prise en charge du serveur Web (IIS) AS-Web-Support
Accès réseau COM+ AS-Ent-Services
Partage de port TCP AS-TCP-Port-Sharing
Prise en charge du service d’activation AS-WAS-Support
des processus Windows
Activation HTTP AS-HTTP-Activation
Activation Message Queuing AS-MSMQ-Activation
Activation TCP AS-TCP-Activation
Activation des canaux nommés AS-Named-Pipes
Transactions distribuées AS-Dist-Transaction
122 Partie II Installation et configuration

Tableau 8-1 Rôles et services de rôle Windows Server 2008

Rôle Service de rôle ID d’installation


Transactions distantes entrantes AS-Incoming-Trans
Transactions distantes sortantes AS-Outgoing-Trans
Transactions WS-Atomic AS-WS-Atomic
Serveur DHCP DHCP
Serveur DNS DNS
Serveur de télécopie Fax
Services de fichiers
Serveur de fichiers FS-FileServer
Système de fichiers distribués (DFS) FS-DFS
Espaces de noms DFS FS-DFS-Namespace
Réplication DFS FS-DFS-Replication
Gestion de ressources du serveur de FS-Resource-Manager
fichiers
Services pour NFS FS-NFS-Services
Service de recherche Windows FS-Search-Service
Services de fichiers Windows FS-Win2003-Services
Server 2003
Service de réplication de fichiers FS-Replication
Service d’indexation FS-Indexing-Service
Hyper-V Hyper-V
Services de stratégie et NPAS
d’accès réseau
Serveur NPS (Network Policy Server) NPAS-Policy-Server
Services de routage et d’accès à NPAS-RRAS-Services
distance
Service d’accès à distance NPAS-RRAS
Routage NPAS-Routing
Autorité HRA (Health Registration NPAS-Health
Authority)
HCAP (Host Credential Authorization NPAS-Host-Cred
Protocol)
Services d’impression Print-Services
Serveur d’impression Print-Server
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 123

Tableau 8-1 Rôles et services de rôle Windows Server 2008

Rôle Service de rôle ID d’installation


Service LPD Print-LPD-Service
Impression Internet Print-Internet
Services Terminal Server Terminal-Services
Terminal Server TS-Terminal-Server
Gestionnaire de licences TS TS-Licensing
Session Broker TS TS-Session-Broker
Passerelle TS TS-Gateway
Accès Web TS TS-Web-Access
Services UDDI
Base de données des services UDDI
Application Web des Services UDDI
Serveur Web (IIS) Web-Server
Serveur Web Web-WebServer
Fonctionnalités HTTP communes Web-Common-Http
Contenu statique Web-Static-Content
Document par défaut Web-Default-Doc
Exploration de répertoire Web-Dir-Browsing
Erreurs HTTP Web-Http-Errors
Redirection HTTP Web-Http-Redirect
Développement d’applications Web-App-Dev
ASP.NET Web-Asp-Net
Extensibilité .NET Web-Net-Ext
ASP Web-ASP
CGI Web-CGI
Extensions ISAPI Web-ISAPI-Ext
Filtres ISAPI Web-ISAPI-Filter
Fichiers Include côté serveur Web-Includes
Intégrité et diagnostics Web-Health
Journalisation HTTP Web-Http-Logging
Outils de journalisation Web-Log-Libraries
Observateur de demandes Web-Request-Monitor
Suivi Web-Http-Tracing
124 Partie II Installation et configuration

Tableau 8-1 Rôles et services de rôle Windows Server 2008

Rôle Service de rôle ID d’installation


Journalisation personnalisée Web-Custom-Logging
Journal ODBC Web-ODBC-Logging
Sécurité Web-Security
Authentification de base Web-Basic-Auth
Authentification Windows Web-Windows-Auth
Authentification Digest Web-Digest-Auth
Authentification du mappage Web-Client-Auth
de certificat client
Authentification de mappage Web-Cert-Auth
de certificats clients d’IIS
Autorisation URL Web-Url-Auth
Filtrage des demandes Web-Filtering
Restrictions IP et de domaine Web-IP-Security
Performances Web-Performance
Compression de contenu statique Web-Stat-Compression
Compression de contenu Web-Dyn-Compression
dynamique
Outils de gestion Web-Mgmt-Tools
Console de gestion d’IIS Web-Mgmt-Console
Scripts et outils de gestion d’IIS Web-Scripting-Tools
Service de gestion Web-Mgmt-Service
IIS 6 Management Compatibility Web-Mgmt-Compat
Compatibilité avec la métabase Web-Metabase
de données IIS 6
Compatibilité WMI d’IIS 6 Web-WMI
Outils de script IIS 6 Web-Lgcy-Scripting
Console de gestion IIS 6 Web-Lgcy-Mgmt-Console
Service de publication FTP Web-Ftp-Publishing
Serveur FTP Web-Ftp-Server
Console de gestion FTP Web-Ftp-Mgmt-Console
Services de WDS
déploiement Windows
Serveur de déploiement WDS-Deployment
Serveur de transport WDS-Transport
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 125

Les fonctionnalités Windows Server 2008 n’imposent pas d’installer un rôle spécifique. Elles
montrent leur utilité dans de nombreuses configurations de rôles de serveurs. Elles
comprennent une fonction générale, telle que Windows PowerShell, ainsi qu’une fonction
plus précise mais pas spécifique au rôle, comme le Serveur iSNS (Internet Storage Name
Server) ou Message Queuing. Le tableau 8-2 établit la liste des fonctionnalités disponibles
dans Windows Server 2008.

Tableau 8-2 Fonctionnalités Windows Server 2008

Fonctionnalité ID d’installation
Fonctionnalités .NET Framework 3.0 NET-Framework
.NET Framework 3.0 NET-Framework-Core
Visionneuse XPS NET-XPS-Viewer
Activation de Windows Communication Foundation NET-Win-CFAC
Activation HTTP NET-HTTP-Activation
Activation non-HTTP NET-Non-HTTP-Activ
Chiffrement de lecteur BitLocker BitLocker
Extensions du serveur BITS BITS
Kit d’administration de Connection Manager CMAK
Expérience utilisateur Desktop-Experience
Clustering avec basculement Failover-Clustering
Gestion des stratégies de groupe GPMC
Client d’impression Internet Internet-Print-Client
Serveur iSNS (Internet Storage Name Server) ISNS
Moniteur de port LPR LPR-Port-Monitor
Message Queuing MSMQ
Services Message Queuing MSMQ-Services
Serveur Message Queuing MSMQ-Server
Intégration du service d’annuaire MSMQ-Directory
Déclencheurs Message Queuing MSMQ-Triggers
Prise en charge HTTP MSMQ-HTTP-Support
Prise en charge de la multidiffusion MSMQ-Multicasting
Service de routage MSMQ-Routing
Prise en charge des clients Windows 2000 MSMQ-Win2000
Proxy DCOM Message Queuing MSMQ-DCOM
126 Partie II Installation et configuration

Tableau 8-2 Fonctionnalités Windows Server 2008

Fonctionnalité ID d’installation
MPIO (Multipath I/O) Multipath-IO
Équilibrage de la charge réseau NLB
Protocole de résolution de noms d’homologues PNRP
Expérience audio-vidéo haute qualité Windows qWave
Assistance à distance Remote-Assistance
Compression différentielle à distance RDC
Outils d’administration de serveur distant RSAT
Outils d’administration de rôles RSAT-Role-Tools
Outils des services de certificats Active Directory RSAT-ADCS
Outils d’autorité de certification RSAT-ADCS-Mgmt
Outils des répondeurs en ligne RSAT-Online-
Responder
Outils des services de domaine Active Directory RSAT-ADDS
Outils de contrôleur de domaine Active Directory RSAT-ADDC
Outils de Serveur pour NIS RSAT-SNIS
Outils des services Ad LDS (Active Directory Lightweight Directory RSAT-ADLDS
Services)
Outils des services AD RMS (Active Directory Rights Management RSAT-RMS
Services)
Outils du serveur DHCP RSAT-DHCP
Outils du serveur DNS RSAT-DNS-Server
Outils du serveur de télécopie RSAT-Fax
Outils de services de fichiers RSAT-File-Services
Outils du système de fichiers DFS RSAT-DFS-Mgmt-Con
Outils de Gestion de ressources du serveur de fichiers RSAT-FSRM-Mgmt
Hyper-V Hyper-V
Outils des services pour NFS RSAT-NFS-Admin
Outils de la stratégie réseau et des services d’accès RSAT-NPAS
Outils des services d’impression RSAT-Print-Services
Outils des services Terminal Server RSAT-TS
Outils du serveur Terminal Server RSAT-TS-RemoteApp
Outils de la passerelle TS RSAT-TS-Gateway
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 127

Tableau 8-2 Fonctionnalités Windows Server 2008

Fonctionnalité ID d’installation
Outils des licences Terminal Server RSAT-TS-Licensing
Outils des services UDDI RSAT-UDDI
Outils du serveur Web (IIS) RSAT-Web-Server
Outils des services de déploiement Windows RSAT-WDS
Outils d’administration de fonctionnalités RSAT-Feature-Tools
Outils de chiffrement de lecteur BitLocker RSAT-BitLocker
Outils d’extensions du serveur BITS RSAT-Bits-Server
Outils de clustering avec basculement RSAT-Clustering
Outils d’équilibrage de la charge réseau RSAT-NLB
Outils du serveur SMTP RSAT-SMTP
Outils du serveur WINS RSAT-WINS
Gestionnaire de stockage amovible Removable-Storage
Proxy RPC sur HTTP RPC-over-HTTP-Proxy
Services TCP/IP simplifiés Simple-TCPIP
Serveur SMTP SMTP-Server
Services SNMP SNMP-Services
Service SNMP SNMP-Service
Fournisseur WMI SNMP SNMP-WMI-Provider
Gestionnaire de stockage pour réseau SAN Storage-Mgr-SANS
Sous-système pour les applications UNIX Subsystem-UNIX-
Apps
Client Telnet Telnet-Client
Serveur Telnet Telnet-Server
Client TFTP TFTP-Client
Base de données interne Windows Windows-Internal-DB
Windows PowerShell PowerShell
Service d’activation des processus Windows WAS
Modèle de processus WAS-Process-Model
Environnement .NET WAS-NET-
Environment
API de configuration WAS-Config-APIs
128 Partie II Installation et configuration

Tableau 8-2 Fonctionnalités Windows Server 2008

Fonctionnalité ID d’installation
Fonctionnalités de la Sauvegarde de Windows Server Backup-Features
Utilitaire de sauvegarde de Windows Server Backup
Outils en ligne de commande Backup-Tools
Gestionnaire de ressources système Windows WSRM
Serveur WINS WINS-Server
Service de réseau local sans fil Wireless-Networking

Comme vous pouvez le constater, les rôles, services de rôle et fonctionnalités disponibles
sont très nombreux. Tous s’installent à partir de la console Gestionnaire de serveur ou d’une
invite de commandes avec privilèges (via ServerManagerCmd.exe). Notez que le rôle Services
de domaine Active Directory s’installe à partir du Gestionnaire de serveur, mais qu’il est
inactif tant que vous n’exécutez pas l’outil en ligne de commandes Dcpromo.exe. Ce faisant,
l’outil vérifie en premier lieu si le rôle est installé et si ce n’est pas le cas, il l’installe puis lance
la promotion du serveur en contrôleur de domaine.

Ajouter et supprimer des rôles


Dans Windows Server 2008, les rôles s’ajoutent et se suppriment à partir de la console
Gestionnaire de serveur ou en ligne de commandes. Les deux méthodes effectuent la même
tâche et suivent la même logique concernant le choix des services à installer. Il est toutefois
beaucoup plus simple de se servir de l’interface graphique à cet effet ; ainsi, si vous n’installez
pas de nombreux serveurs de configuration identique, nous vous conseillons fortement de
faire appel au Gestionnaire de serveur. Il est très souvent préférable de travailler en ligne de
commandes, mais il s’agit là de la seule exception où l’interface graphique est à solliciter.

En pratique Rôles : restriction inutile ou brillante amélioration ?


Lorsque nous avons appris qu’il nous faudrait toujours faire appel au Gestionnaire de serveur
pour installer des rôles, services de rôle et fonctionnalités, l’humeur fut maussade. En fait,
Microsoft a reçu de nombreuses plaintes à ce sujet. Les fonctionnalités étaient divisées, il
manquait une ligne de commandes, on ne pouvait installer qu’un rôle, service de rôle ou
fonctionnalité à la fois. Il s’agissait pour nous tous d’une décision inutile et contre-productive
de la part de Microsoft. On nous répondit d’être patients. Et il faut bien l’admettre, nous nous
trompions. La procédure d’ajout et suppression de rôles, services de rôle et fonctionnalités
par le biais du nouveau Gestionnaire de serveur dépasse de loin tout ce que nous pouvions
imaginer. Non seulement il offre toujours le juste niveau minimal de services dépendants,
mais il configure également automatiquement le Pare-feu Windows en tenant compte des
bonnes exceptions. Et si vous installez des rôles avec le Gestionnaire de serveur, l’ajout de
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 129

services de rôle est un jeu d’enfants. De plus, on peut ajouter un groupe de rôles et de services
de rôle simultanément. Exactement comme les fonctionnalités, ce qui simplifie
considérablement l’installation d’un nouveau serveur.
En revanche, si vous ajoutez plusieurs rôles ou fonctionnalités à la fois, il devient plus
que probable d’avoir à redémarrer le serveur. Cela gêne certaines personnes. Il est en
outre impossible d’ajouter des fonctionnalités en même temps que des rôles et des
services de rôle. À nouveau, c’est un inconvénient, mais qui n’est pas dramatique.
Il subsiste tout de même un problème. Si vous ajoutez des rôles et des fonctionnalités
simultanément, le redémarrage est presque toujours évitable, mais pas en cas de
suppression d’un rôle ou d’une fonctionnalité.

Ajouter un rôle
Pour ajouter un rôle, on peut faire appel à la console graphique Gestionnaire de serveur ou à
l’utilitaire en ligne de commandes ServerManagerCmd.exe.

Console Gestionnaire de serveur


Voici comment ajouter un rôle à partir de la console Gestionnaire de serveur :
1. Ouvrez la console Gestionnaire de serveur.
2. Dans le menu Action, sélectionnez Ajouter des rôles pour afficher la page Avant de
commencer de l’Assistant Ajout de rôles, illustré par la figure 8-1.

Figure 8-1 Page Avant de commencer de l’Assistant Ajout de rôles


130 Partie II Installation et configuration

3. Lisez les indications mentionnées sur la page Avant de commencer, car ces conseils
sont utiles et à mémoriser. Si vous avez lu la page, compris les indications et que vous
ne voulez pas qu’elle s’ouvre à nouveau, cochez la case Ignorer cette page par défaut.
4. Cliquez sur Suivant pour ouvrir la page Sélectionnez des rôles de serveurs, comme le
montre la figure 8-2.

Figure 8-2 Page Sélectionnez des rôles de serveurs de l’Assistant Ajout de rôles

5. Sélectionnez les rôles de serveurs à ajouter. Vous êtes libre d’en sélectionner plusieurs,
mais cela vous obligera certainement à redémarrer avant la fin de l’installation.
6. Cliquez sur Suivant pour ouvrir la page du premier rôle à installer, comme le montre la
figure 8-3 (si vous avez sélectionné Services Terminal Server à l’étape précédente).
Cette page décrit le rôle à installer et comprend une section À noter, avec des mises en
garde ou des conseils spécifiques au rôle en question. Vous trouvez également un lien
vers une page Informations supplémentaires contenant des informations mises à jour
sur le rôle en question.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 131

Figure 8-3 Page Services Terminal Server de l’Assistant Ajout de rôles

7. Une fois que vous avez lu la section À noter, cliquez sur Suivant pour ouvrir la page
Sélectionner les services de rôle, illustrée par la figure 8-4.

Figure 8-4 Page Sélectionner les services de rôle de l’Assistant Ajout de rôles
132 Partie II Installation et configuration

8. Sélectionnez les services de rôle à ajouter immédiatement. Si vous sélectionnez un


service de rôle dépendant d’un autre rôle, service de rôle ou fonctionnalité, une boîte
de dialogue s’ouvre pour vous informer que des services de rôle supplémentaires
seront installés (voir figure 8-5).

Figure 8-5 Page Ajouter les services de rôle et les fonctionnalités requis
pour Passerelle TS de l’Assistant Ajout de rôles

9. Cliquez sur Ajouter les services de rôle requis pour poursuivre et revenir à la page
Sélectionner les services de rôle ou cliquez sur Annuler pour modifier la sélection des
services de rôle.
10. Cliquez sur Suivant pour ouvrir la page suivante de l’Assistant Ajout de rôles. À partir
de maintenant et jusqu’à l’aboutissement de l’assistant, les pages dépendront des rôles
et services de rôle que vous avez choisis.
11. Une fois que l’Assistant Ajout de rôles possède toutes les informations nécessaires pour
poursuivre, il ouvre la page Confirmer les sélections pour l’installation. Assurez-vous
une dernière fois d’avoir sélectionné les rôles et services de rôle voulus et configuré
tous les paramètres nécessaires pour votre environnement. Si tout est correct, cliquez
sur Installer pour démarrer l’installation.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 133

12. À la fin de l’installation, la page Résultats de l’installation s’affiche, illustrée par la


figure 8-6. Elle indique si l’installation impose un redémarrage ou mentionne les
éventuels avertissements ou erreurs. Cliquez sur Fermer pour quitter l’assistant.

Figure 8-6 Page Résultats de l’installation

13. Si votre installation a nécessité un redémarrage, vous allez être invité à redémarrer le
serveur. Faites-le maintenant car il vous est impossible d’installer autre chose lorsqu’un
redémarrage est en attente.
14. Si votre installation nécessite un redémarrage, reconnectez-vous avec le même compte
que celui utilisé pour ajouter le rôle. L’installation ne peut s’achever tant que vous
n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la
configuration s’ouvre et termine l’installation des rôles et services de rôle sélectionnés,
comme le montre la figure 8-7. Cliquez sur Fermer lorsque l’installation est terminée.
134 Partie II Installation et configuration

Figure 8-7 Page Résultats de l’installation de l’Assistant Reprise de la configuration

Ligne de commandes
Voici comment ajouter un rôle à partir de la ligne de commandes :
1. Démarrez une invite de commandes avec privilèges en cliquant du bouton droit sur
Invite de commandes dans le menu Démarrer et en choisissant Exécuter en tant
qu’administrateur.
2. Tapez ServerManagerCmd /? pour afficher la liste des options en ligne de commandes
de la commande.
3. Pour installer le rôle Services Terminal Server avec le service de rôle Terminal Server,
tapez la commande suivante :
ServerManagerCmd –install Terminal-Services TS-Terminal-Server –restart

4. En incluant le paramètre en ligne de commandes –restart, le serveur redémarre


automatiquement (sans avertissement ni décalage) si l’installation le requiert.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 135

Supprimer un rôle
Pour supprimer un rôle, on peut faire appel à la console graphique Gestionnaire de serveur
ou à l’utilitaire en ligne de commandes ServerManagerCmd.exe. Les deux fonctionnent à
l’identique : ils suppriment uniquement le rôle explicitement sélectionné. Ils ne suppriment
généralement pas de rôles ou de services de rôle ajoutés pendant l’installation initiale du rôle
afin de prendre en charge le rôle que vous voulez supprimer, sauf si le rôle, le service de rôle
ou la fonctionnalité nécessite cette suppression. Cela peut sembler confus. Nous allons donc
vous présenter un exemple qui va tout clarifier : supposons que vous ayez installé le rôle
Services Terminal Server ainsi que tous ses services de rôle. Vous avez également installé
Services de stratégie et d’accès réseau et Serveur Web (IIS). Vous pouvez alors désinstaller
l’ensemble du rôle Services Terminal Server et ni Services de stratégie et d’accès réseau, ni
Serveur Web (IIS) ne seront supprimés. En revanche, si vous supprimez le rôle Serveur Web
(IIS), la fonctionnalité Proxy RPC sur HTTP sera également supprimée, comme le montre la
figure 8-8.

Figure 8-8 La suppression du rôle Serveur Web (IIS) impose de supprimer


la fonctionnalité Proxy RPC sur HTTP

Console Gestionnaire de serveur


Pour supprimer un rôle, la console Gestionnaire de serveur constitue une meilleure solution
que la ligne de commandes. La console permet de visualiser les autres rôles et services de
rôles qui sont installés, facilitant ainsi la suppression de tous les rôles et services de rôle qui
sont inutiles mais encore installés.
136 Partie II Installation et configuration

Voici comment supprimer un rôle à partir de la console Gestionnaire de serveur :


1. Ouvrez la console Gestionnaire de serveur.
2. Dans le menu Action, sélectionnez Supprimer des rôles pour ouvrir la page Avant de
commencer de l’Assistant Suppression de rôle.
3. Lisez les indications mentionnées sur la page Avant de commencer, car ces conseils
sont utiles et à mémoriser. Si vous avez lu la page, compris les indications et que vous
ne voulez pas qu’elle s’ouvre à nouveau, cochez la case Ignorer cette page par défaut.
4. Cliquez sur Suivant pour ouvrir la page Supprimer des rôles sur le serveur, comme le
montre la figure 8-9. Supprimez la coche des cases des rôles à supprimer.

Figure 8-9 Page Supprimer des rôles sur le serveur de l’Assistant Suppression de rôle

5. Si certaines fonctionnalités sont dépendantes, vous êtes invité à les supprimer


également, comme indiqué précédemment à la figure 8-8.
6. Après avoir supprimé la coche des cases des rôles à supprimer, cliquez sur Suivant
pour ouvrir la page Confirmer les sélections pour la suppression, illustrée par la
figure 8-10. Cette page contient souvent des messages d’informations. Lisez
attentivement toutes les implications de la suppression du ou des rôles.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 137

Figure 8-10 Page Confirmer les sélections pour la suppression de l’Assistant


Suppression de rôle

Remarque Il est possible d’imprimer, d’envoyer par courrier électronique


ou d’enregistrer les informations de la page Confirmer les sélections pour
la suppression en cliquant sous la fenêtre d’informations.
7. Cliquez sur Supprimer pour démarrer le processus.
8. À la fin de la suppression, la page Résultats de la suppression s’affiche, illustrée par la
figure 8-11. Si des rôles ou des fonctionnalités nécessitent un redémarrage, un message
vous avertit qu’un redémarrage est en attente. Quasiment tous les rôles ou
fonctionnalités nécessitent un redémarrage à leur suppression.
138 Partie II Installation et configuration

Figure 8-11 Page Résultats de la suppression de l’Assistant Suppression de rôle

9. Cliquez sur Fermer, puis sur Oui en cas d’invitation à redémarrer.


10. Si votre suppression nécessite un redémarrage, reconnectez-vous avec le même compte
que celui utilisé pour supprimer le rôle. La suppression ne peut s’achever tant que vous
n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la
configuration s’ouvre et termine la suppression des rôles sélectionnés. Cliquez sur
Fermer lorsque la suppression est terminée.

Ligne de commandes
De manière générale, il n’est pas conseillé de supprimer un rôle avec la ligne de commandes.
On ne visualise pas réellement ce qui se produit et le peu de cas où l’on doit supprimer un
même rôle sur de nombreux serveurs rend l’automatisation de cette tâche inutile. Si toutefois
vous en ressentez réellement le besoin, la syntaxe en ligne de commandes est exactement la
même que pour ajouter un rôle. Pour supprimer un rôle à partir de la ligne de commandes,
tapez la commande suivante :
ServerManagerCmd –remove <ID d’installation> –restart

Pour connaître la valeur <ID d’installation> des rôles et des services de rôle, reportez-vous au
tableau 8-1.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 139

Ajouter et supprimer des services de rôle


Très souvent, on ajoute ou supprime des services de rôle en ajoutant ou en supprimant les
rôles auxquels ils sont associés, mais il arrive fréquemment que l’on commence avec un
ensemble de services de rôle pour un rôle particulier et que l’on réalise par la suite qu’il est
nécessaire d’ajouter un service de rôle ou même d’en supprimer un s’il n’est plus utile.
Le processus d’ajout et de suppression de services de rôle est très similaire à celui des rôles et
la plupart des étapes sont identiques. L’outil en ligne de commandes est le même que celui
que l’on exploite pour les rôles : ServerManagerCmd.exe.

Ajouter des services de rôle


L’ajout d’un service de rôle impose d’installer le rôle de ce service. Il est impossible d’ajouter
le service de rôle Service pour NFS si le rôle Services de fichiers n’est pas installé. On peut
évidemment l’ajouter pendant le processus d’installation du rôle Services de fichiers.
Pour ajouter un service de rôle, on fait appel à la ligne de commandes ou à la console
graphique Gestionnaire de serveur. Voici comment ajouter le service de rôle Services pour
NFS au rôle Services de fichiers :
1. Ouvrez la console Gestionnaire de serveur.
2. Dans le volet de gauche de la console, sélectionnez le rôle Services de fichiers, comme
le montre la figure 8-12.

Figure 8-12 Console Gestionnaire de serveur, présentant le rôle Services de fichiers


140 Partie II Installation et configuration

3. Dans le menu Action, sélectionnez Ajouter des services de rôle pour ouvrir la page
Sélectionner les services de rôle, illustrée par la figure 8-13.

Figure 8-13 Page Sélectionner les services de rôle de l’Assistant


Ajout des services de rôle

4. Cliquez sur Suivant pour ouvrir la page Confirmer les sélections pour l’installation.
5. Cliquez sur Installer pour démarrer l’installation.
6. À la fin de l’installation, la page Résultats de l’installation s’ouvre, comme le montre la
figure 8-14. S’il n’est pas nécessaire de redémarrer, cliquez sur Fermer pour achever
l’installation.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 141

Figure 8-14 Page Résultats de l’installation de l’Assistant Ajout des services de rôle

Pour effectuer la même installation du service de rôle Services pour NFS en ligne de
commandes, tapez la commande suivante :
Servermanagercmd –install FS-NFS-Services

Supprimer des services de rôle


Il n’est pas nécessaire de supprimer un rôle pour supprimer l’un de ses services de rôle. Vous
pouvez supprimer le service de rôle Services pour NFS sans affecter les autres services de rôle
du rôle Services de fichiers.
Pour supprimer des services de rôle, on fait appel à la ligne de commandes ou à la console
graphique Gestionnaire de serveur. Comme pour les rôles, la ligne de commandes présente
peu d’intérêt pour supprimer un service de rôle. Voici comment supprimer le service de rôle
Services pour NFS du rôle Services de fichiers :
1. Ouvrez la console Gestionnaire de serveur.
2. Dans le volet de gauche de la console, sélectionnez le rôle Services de fichiers.
142 Partie II Installation et configuration

3. Dans le menu Action, sélectionnez Supprimer des services de rôle pour ouvrir la page
Sélectionner les services de rôle de l’Assistant Supprimer des services de rôle, illustrée
par la figure 8-15.

Figure 8-15 Page Sélectionner les services de rôle de l’Assistant Supprimer


des services de rôle

4. Supprimez la coche de la case Services pour NFS et cliquez sur Suivant pour ouvrir la
page Confirmer les sélections pour la suppression.
5. Cliquez sur Supprimer pour démarrer le processus de suppression. À la fin de la
suppression, la page Résultats de la suppression s’affiche, illustrée par la figure 8-16.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 143

Figure 8-16 Page Résultats de la suppression de l’Assistant Supprimer


des services de rôle

6. Cliquez sur Fermer pour quitter l’assistant. Cliquez sur Oui pour redémarrer le serveur
si vous y êtes invité.
7. Si votre suppression nécessite un redémarrage, reconnectez-vous avec le même compte
que celui utilisé pour supprimer le service de rôle. La suppression ne peut s’achever
tant que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise
de la configuration s’ouvre et termine la suppression du service de rôle sélectionné.
Cliquez sur Fermer lorsque la suppression est terminée.
Pour effectuer la même suppression du service de rôle Services pour NFS en ligne de
commandes, tapez la commande suivante :
Servermanagercmd –remove FS-NFS-Services -restart

Ajouter et supprimer des fonctionnalités


Pour ajouter et supprimer des fonctionnalités, on fait appel aux mêmes outils que ceux qui
permettent de gérer les rôles et les services de rôle. En revanche, les fonctionnalités sont
généralement indépendantes des rôles installés sur un serveur. L’une des premières choses à
faire avec un serveur quelconque est d’installer certaines fonctionnalités de base qui sont très
utiles ou, dans le cas de PowerShell, essentielles sur tous les serveurs. Il s’agit de PowerShell,
Sous-système pour les applications UNIX et Client Telnet.
144 Partie II Installation et configuration

Ajouter des fonctionnalités


L’ajout d’une fonctionnalité à Windows Server 2008 ne nécessite généralement pas d’installer
d’autres fonctionnalités ou rôles, sauf dans quelques cas : Message Queuing et
Fonctionnalités .NET Framework 3.0, qui possèdent tous deux plusieurs fonctionnalités
auxiliaires dépendantes.
Voici comment installer les trois fonctionnalités nécessaires sur tous les serveurs :
1. Ouvrez la console Gestionnaire de serveur.
2. Dans le volet de gauche de la console, sélectionnez Fonctionnalités.
3. Dans le menu Action, sélectionnez Ajouter des fonctionnalités pour afficher la page
Sélectionner des fonctionnalités de l’Assistant Ajout de fonctionnalités, illustré par la
figure 8-17.

Figure 8-17 Page Sélectionner des fonctionnalités de l’Assistant


Ajout de fonctionnalités

4. Sélectionnez les fonctionnalités à installer et cliquez sur Suivant pour démarrer le


processus d’installation.
5. À la fin du processus, la page Résultats de l’installation s’affiche (voir figure 8-18). Si
cette page indique qu’une ou plusieurs fonctionnalités sont en attente de redémarrage,
redémarrez le serveur avant de poursuivre.
Chapitre 8 Installation des rôles de serveurs et des fonctionnalités 145

Figure 8-18 Page Résultats de l’installation de l’Assistant Ajout de fonctionnalités

6. Cliquez sur Fermer pour quitter l’assistant. Cliquez sur Oui pour redémarrer le serveur
si vous y êtes invité.
7. Si votre installation nécessite un redémarrage, reconnectez-vous avec le même compte
que celui utilisé pour ajouter les fonctionnalités. L’installation ne peut s’achever tant
que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la
configuration s’ouvre et termine l’installation des fonctionnalités sélectionnées.
Cliquez sur Fermer lorsque l’installation est terminée.
Pour installer ces mêmes fonctionnalités en ligne de commandes, tapez la commande
suivante :
servermanagercmd -install Telnet-Client PowerShell Subsystem-UNIX-Apps

Généralement, ces trois fonctionnalités s’installent sans imposer de redémarrage du serveur.


Nous avons ajouté la ligne de commandes précédente à notre configuration standard pour
garantir la disponibilité des outils nécessaires.

Supprimer des fonctionnalités


La suppression d’une fonctionnalité de Windows Server 2008 n’affecte généralement pas les
autres fonctionnalités ou rôles, sauf dans certains cas précis, comme Message Queuing ou
Fonctionnalités .NET Framework 3.0, qui possèdent des fonctionnalités associées.
Voici comment supprimer la fonctionnalité Client Telnet :
1. Ouvrez la console Gestionnaire de serveur.
146 Partie II Installation et configuration

2. Dans le volet de gauche de la console, sélectionnez Fonctionnalités et cliquez sur la


fonctionnalité à supprimer.
3. Dans le menu Action, sélectionnez Supprimer des fonctionnalités pour ouvrir la page
Avant de commencer de l’Assistant Suppression de fonctionnalités.
4. Supprimez la coche de la case de la fonctionnalité à supprimer et cliquez sur Suivant
pour démarrer le processus de suppression.
5. À la fin du processus, la page Résultats de la suppression s’affiche. Si cette page indique
un redémarrage en attente, redémarrez le serveur avant de poursuivre.
6. Cliquez sur Fermer pour quitter l’assistant. Cliquez sur Oui pour redémarrer le serveur
si vous y êtes invité.
7. Si votre suppression nécessite un redémarrage, reconnectez-vous avec le même compte
que celui utilisé pour ajouter les fonctionnalités. La suppression ne peut s’achever tant
que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la
configuration s’ouvre et termine la suppression des fonctionnalités sélectionnées.
Cliquez sur Fermer lorsque l’assistant est terminé.
Pour supprimer la fonctionnalité Client Telnet en ligne de commandes, tapez la commande
suivante :
servermanagercmd -remove Telnet-Client

Résumé
Dans ce chapitre, nous avons analysé les procédures à suivre pour ajouter et supprimer des
rôles, des services de rôle et des fonctionnalités dans Windows Server 2008. Dans le reste du
livre, nous reviendrons sur ces étapes de base pour installer et configurer les fonctions
nécessaires dans Windows Server 2008. Il existe cependant une exception à ce processus :
l’option d’installation Server Core de Windows Server 2008. Server Core emploie différents
outils et son sous-ensemble de rôles et de fonctionnalités est plus limité. Le prochain chapitre
est consacré aux étapes nécessaires pour installer et configurer Server Core, ainsi qu’à
l’élaboration de scripts destinés à faciliter ces tâches.
Chapitre 9
Installation et configuration
de Server Core
Avantages d’une installation Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Installer Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Gérer un ordinateur Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

L’évolution habituelle d’un système d’exploitation (ou d’une application, dans notre
situation) comprend son développement et son intégration de nouvelles fonctionnalités,
parfois bien plus que ce que l’on pensait au départ. Windows Server 2008 inverse la
tendance en proposant une toute nouvelle option d’installation : Server Core. À l’installation
de Windows Server 2008, quelle que soit son édition, vous avez la possibilité de choisir une
installation complète ou uniquement la partie Server Core.
Server Core offre le principal, avec peu ou pas d’interface graphique. La page d’ouverture de
session a la même apparence graphique, mais ensuite, lorsque vous êtes connecté, vous ne
voyez plus qu’une fenêtre d’invite de commandes, illustrée par la figure 9-1.

Figure 9-1 Bureau Windows Server 2008 Core

147
148 Partie II Installation et configuration

Remarque Pour optimiser la lisibilité des captures d’écran dans ce chapitre et


dans le reste du livre, nous avons changé le modèle de couleur des fenêtres de
l’invite de commandes pour obtenir du texte bleu sur un arrière-plan blanc.

Avantages d’une installation Server Core


Toutes les éditions de Windows Server 2008 prennent en charge Server Core, sauf la
Compute Cluster Edition. Cette installation réduite ne signifie pas que la licence est moins
chère ; licence et média sont exactement les mêmes qu’avec l’installation complète de
Windows Server 2008. Lors de l’installation, il suffit simplement de choisir l’édition à
installer. Par conséquent, si cela ne vous fait pas économiser d’argent, si vous ne disposez pas
d’un média particulier et si les fonctionnalités sont réduites, quel peut bien être l’intérêt
d’opter pour Server Core au lieu du produit complet ? En réalité, cela se résume simplement
en deux mots : sécurité et ressources. Penchons-nous sur ces deux concepts avant d’entrer
dans le vif du sujet et de voir comment installer et configurer Server Core.

Sécurité
Auparavant, chaque fois que l’on installait Windows Server, plus ou moins tout ce qui était
disponible s’installait automatiquement et tous les services susceptibles d’être utiles étaient
activés. L’objectif était de fournir une installation aussi simple que possible, ce qui semblait
une bonne idée à l’époque. Malheureusement, nos ordinateurs ne fonctionnent plus dans un
monde merveilleux et cette approche n’est plus ni sécurisée, ni raisonnable. Le nombre de
services activés et donc la surface d’attaque offerte à des individus malveillants augmentent
proportionnellement avec le nombre de services installés sur le serveur. Or, pour améliorer la
sécurité, il est logique de limiter la surface d’attaque.
Dans Server Core, Microsoft a supprimé tout le code managé ainsi que la totalité du .NET
Framework. Cela réduit significativement le nombre de cibles d’attaque. Évidemment, cela
limite également les possibilités. Et cela signifie que PowerShell n’est pas disponible, ce qui à
notre sens est le plus grand inconvénient de Server Core, mais nous espérons qu’une
prochaine version de Windows Server 2008 résoudra ce problème.
L’installation par défaut de Server Core comporte moins de 40 services en exécution. Une
installation Windows Server 2008 complète classique, avec un ou deux rôles activés, possède
généralement au moins 60 services en exécution. Non seulement le nombre de services
réduit limite la surface d’attaque potentielle à protéger, mais il diminue également le nombre
de correctifs éventuellement nécessaires à un serveur, ce qui facilite sa maintenance.
Chapitre 9 Installation et configuration de Server Core 149

Ressources
Le second avantage majeur de Server Core réside dans le nombre de ressources réduit du
système d’exploitation de base. Si les exigences officielles d’installation de Windows
Server 2008 sont identiques pour Server Core et une installation complète, tout est en réalité
inférieur, sauf l’espace disque requis (uniquement 2 à 3 Go d’espace disque dur pour une
installation Server Core en exécution). De plus, avec le sous-ensemble limité de tâches qu’il
est possible d’effectuer, Server Core nous semble idéal pour exécuter ces tâches
d’infrastructure universelles et qui nécessitent peu d’interaction par la suite : DHCP, DNS et,
de plus en plus, la virtualisation. Si seulement PowerShell était disponible…

Installer Server Core


La procédure d’installation de Windows Server 2008 Server Core est réellement identique à
celle de la version graphique du serveur. Le moteur d’installation est le même et la seule
différence se manifeste pendant l’installation, lorsqu’il faut choisir la version de Windows
Server 2008 à installer, comme le montre la figure 9-2.

Figure 9-2 Pendant l’installation initiale, vous choisissez de manière définitive


entre l’option complète et Server Core.

Une fois l’installation terminée, l’écran d’ouverture de session initiale s’affiche. Ouvrez une
session en tant qu’Administrateur, sans mot de passe. Vous êtes alors invité à changer
immédiatement de mot de passe, puis vous êtes connecté au Bureau (voir figure 9-1). Toute
la configuration de départ s’effectue en ligne de commandes ; ainsi, une fois que vous avez
configuré l’essentiel, vous disposez d’un accès à distance aux consoles de gestion.
150 Partie II Installation et configuration

Avec un fichier unattend.xml, il est possible d’automatiser l’installation et la configuration


initiales de votre installation Server Core. Pour de plus amples informations sur les
paramètres et la syntaxe de unattend.xml, rendez-vous à l’adresse http://www.microsoft.com/
downloads/details.aspx?FamilyId=94BB6E34-D890-4932-81A5-5B50C657DE08&displaylang=fr.

Configuration
Toutes les tâches de configuration de Server Core s’effectuent en ligne de commandes et
toutes les tâches initiales doivent s’exécuter soit en ligne de commandes, soit dans le cadre du
processus d’installation à l’aide d’un script unattend.xml. Une fois ces tâches effectuées, les
consoles de gestion Windows habituelles deviennent accessibles pour gérer les paramètres
supplémentaires. Malheureusement, il n’existe pas d’interprétateur en ligne de commandes
unique pour exécuter les tâches, mais plutôt une collection de quelques-uns bien connus et
appréciés, chacun présentant un comportement et une syntaxe différents.

Configuration initiale
Les premières étapes à parcourir pour installer Server Core dépendent de votre futur usage de
l’installation, mais voici selon nous les plus évidentes :
■ Définir une adresse IP fixe ;
■ Changer le nom du serveur pour refléter vos normes internes ;
■ Joindre le serveur à un domaine ;
■ Modifier la résolution par défaut de la console ;
■ Activer la gestion à distance via le Pare-feu Windows ;
■ Activer le Bureau à distance ;
■ Activer le serveur.

Nous allons reprendre toutes ces étapes et vous fournir quelques scripts basiques modifiables
pour automatiser ces tâches dans votre environnement. Le tableau 9-1 présente les
paramètres à exploiter lors de ce scénario d’installation.

Tableau 9-1 Paramètres de la configuration initiale de Server Core (Exemple)

Paramètre Valeur
Adresse IP 192.168.51.4
Passerelle 192.168.51.1
Serveur DNS 192.168.51.2
Nom du serveur Hp350-core-04
Domaine à rejoindre monentreprise.com
Chapitre 9 Installation et configuration de Server Core 151

Tableau 9-1 Paramètres de la configuration initiale de Server Core (Exemple)

Paramètre Valeur
Résolution du Bureau par défaut 1 024x768
Gestion à distance Activée pour le profil de domaine
Activation de Windows Activer

Définir l’adresse IP
Pour définir l’adresse IP du serveur, faites appel à l’outil en ligne de commandes netsh. Voici
comment configurer TCP/IP :
1. À partir de la fenêtre de commandes, exécutez netsh pour obtenir le « nom » (numéro
d’index) de la carte réseau.
netsh interface ipv4 show interfaces

2. Le résultat devrait ressembler à ceci :


C:\Users\administrator>netsh interface ipv4 show interfaces

Idx Mét MTU État Nom


--- --- ---------- ----------- ---------------------------
2 10 1500 connected Connexion au réseau local
1 50 4294967295 connected Loopback Pseudo-Interface 1

3. La valeur Idx de votre carte réseau (2 dans cet exemple) sera utilisée comme valeur du
nom dans les futures commandes netsh.
4. Maintenant, avec la valeur Idx de l’étape 2, exécutez la commande netsh suivante :
netsh interface ipv4 set address name="<Idx>" source=static
address=<Adresse IP> mask=<masqueréseau>
gateway=<Adresse IP passerelle par défaut>

Remarque Les lignes de code précédentes, et des exemples suivants, ne


constituent qu’une seule longue ligne de commandes, mais nous les avons
découpées (et placé en retrait les lignes suivantes) du fait des restrictions
de pages imprimées. L’outil netsh n’est pas seul à poser ce problème, la
plupart des commandes que vous serez amené à exécuter avec Server
Core sont longues et seront découpées dans ce chapitre.
5. Ensuite, spécifiez le serveur DNS de la carte, toujours avec netsh :
netsh interface ipv4 add dnsserver name="<Idx>"
address=<Adresse IP serveur DNS> index=1
152 Partie II Installation et configuration

6. Pour les serveurs DNS auxiliaires, répétez la commande de l’étape 4, en augmentant


chaque fois la valeur d’index.

Renommer le serveur et joindre un domaine


L’étape suivante de configuration initiale consiste à attribuer un nom au serveur et à le joindre
à un domaine. Lors de la première installation de Windows Server 2008, un nom généré
automatiquement est attribué au serveur et celui-ci est placé dans le groupe de travail
WORKGROUP. Vous changerez cette configuration pour adapter le nom de l’ordinateur à la
stratégie de noms de votre société et joindrez le serveur au domaine et à l’OU corrects. Ici,
notre stratégie de noms se compose de trois parties : le modèle de serveur, le rôle fonctionnel
et un numéro reflétant son adresse IP. Ainsi, l’ordinateur Server Core que nous installons
dans ce chapitre s’appellera hp350-core-04, ce qui signifie qu’il s’agit d’un serveur Hewlett
Packard ML 350 G5, qu’il exécute Server Core et que le dernier octet de son adresse IP est
quatre. Votre convention de noms de serveur sera sans doute différente, mais seule la
cohérence importe. Dans ce livre, notre domaine est monentreprise.com.
Voici comment changer le nom du serveur et le joindre au domaine monentreprise.com :
1. À l’invite de commandes, servez-vous de la commande netdom pour renommer le
serveur :
netdom renamecomputer %COMPUTERNAME% /newname:<nouveaunom>

2. Une fois le nom modifié, redémarrez le serveur.


shutdown /t 0 /r

3. Après le redémarrage du serveur, ouvrez une session avec le compte Administrateur.


4. Utilisez à nouveau la commande netdom pour joindre le domaine.
netdom join %COMPUTERNAME% /DOMAIN:<nomdomaine>

/userd:<compte admin domaine> /password:*

5. Vous allez être invité à taper le mot de passe du compte d’administrateur de domaine
employé. Saisissez le mot de passe. Une fois que le serveur a rejoint le domaine,
redémarrez-le une nouvelle fois.
shutdown /t 0 /r

6. Après le redémarrage du serveur, reconnectez-vous avec le compte d’administrateur du


domaine. Vous devrez cliquer sur Autre utilisateur car le serveur se connecte par défaut
au compte d’administrateur local.
Chapitre 9 Installation et configuration de Server Core 153

À propos Automatiser la configuration initiale


Si vous installez plusieurs ordinateurs Server Core, vous perdrez vite patience à les
configurer à partir de l’invite de commandes. Vous avez le choix entre exploiter un
fichier unattend.xml pour définir des options pendant l’installation ou faire appel à des
scripts pour automatiser le processus. Les deux méthodes fonctionnent et chacune
présente ses avantages, mais nous préférons au final faire appel aux scripts. Vous pouvez
modifier les trois scripts suivants, également disponibles en téléchargement sur le site de
Dunod à l’adresse www.dunod.fr, selon votre environnement pour automatiser les
premières étapes (TCP/IP, nom du serveur et appartenance au domaine).
Le premier script définit l’adresse IP, établit le serveur DNS et change le nom du serveur.
echo off
REM nomdefichier : initsetup1.cmd
REM
REM Configuration initiale pour une installation Server Core de Windows Server 2008.
REM fichier de commande 1 de 3
REM
REM Créé : 4 septembre 2007
REM ModHist: 5/9/07 – changés en variables (cpr)
REM
REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés.
REM Vous pouvez utiliser librement ce script dans votre environnement, le modifier
REM selon vos besoins. Mais il est interdit de le republier sans autorisation.

REM Premièrement, définissez une adresse IP fixe. Vous devrez connaître le numéro
REM d’index de l’interface à définir, mais dans une installation Server Core
REM par défaut, avec un seul NIC, l’index devrait être 2. Pour retrouver
REM l’index, tapez:
REM netsh interface ipv4 show interfaces
REM

SETLOCAL
REM Modifiez les valeurs ci-dessous selon vos besoins
SET IPADD=192.168.51.4
SET IPMASK=255.255.255.0
SET IPGW=192.168.51.1
SET DNS1=192.168.51.2
SET NEWNAME=hp350-core-04

netsh interface ipv4 set address name="2" source=static


address=%IPADD% mask=%IPMASK% gateway=%IPGW%

REM Ensuite, définissez DNS pour pointer vers le serveur DNS pour monentreprise.com.
REM 192.168.51.2 dans ce cas
154 Partie II Installation et configuration

netsh interface ipv4 add dnsserver name="2" address=%DNS1% index=1

REM Maintenant, il faut changer le nom de l’ordinateur. Ceci fait, le serveur


REM doit redémarrer et nous pourrons poursuivre avec le prochain groupe de commandes.
REM Nous utilisons la commande /force pour éviter les invites
netdom renamecomputer %COMPUTERNAME% /newname:%NEWNAME% /force

@echo Si tout semble correct, redémarrez


pause
REM Maintenant, quittez le serveur et redémarrez. Inutile d’attendre.
shutdown /t 0 /r

Le deuxième script sert à joindre effectivement le serveur au domaine.


@echo off
REM nomdefichier: initsetup2.cmd
REM
REM Configuration initiale pour une installation Server Core de Windows Server 2008.
REM fichier de commande 2 de 3
REM
REM Créé : 4 septembre 2007
REM ModHist:
REM
REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés.
REM Vous pouvez utiliser librement ce script dans votre environnement, le modifier
REM selon vos besoins. Mais il est interdit de le republier sans autorisation.

SETLOCAL
SET DOMAIN=monentreprise.com
SET DOMADMIN=Administrator

REM Rejoignez le domaine à l’aide de la commande netdom join. Invites de mot de passe
REM du compte d’administrateur de domaine défini ci-dessus

netdom join %COMPUTERNAME% /DOMAIN:%DOMAIN% /userd:%DOMADMIN% /password:*

REM Maintenant, quittez le serveur et redémarrez. Inutile d’attendre et


REM il n’y a rien d’autre à faire pour l’instant

shutdown /t 0 /r

Enfin, exécutez le troisième script pour activer la gestion à distance et activer le serveur.
echo off
REM initsetup3.cmd
REM
REM Configuration initiale pour une installation Server Core de Windows Server 2008.
REM fichier de commande 3 de 3
REM
REM Créé : 4 septembre 2007
REM ModHist:
REM
Chapitre 9 Installation et configuration de Server Core 155

REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés.
REM Vous pouvez utiliser librement ce script dans votre environnement, le modifier
REM selon vos besoins. Mais il est interdit de le republier sans autorisation.

REM Utilisez netsh pour activer la gestion à distance à travers le pare-feu


REM pour le profil du domaine. Il s’agit du minimum à autoriser à l’aide de consoles MMC
REM pour travailler à partir d’autres ordinateurs du domaine.

netsh advfirewall set domainprofile settings remotemanagement enable

REM Autoriser le groupe Administration à distance


netsh advfirewall firewall set rule group="Remote Administration" new
enable=yes

REM Autoriser le Bureau à distance


REM (fonctionne aussi avec group="Remote Desktop" au lieu de name=)
netsh advfirewall firewall set rule name="Remote Desktop (TCP-In)" new
enable=yes

REM Activer le Bureau à distance pour l’administration et autoriser


REM les clients de niveau inférieur à se connecter
cscript %windir%\system32\scregedit.wsf /AR 0
cscript %windir%\system32\scregedit.wsf /CS 0

REM Maintenant, exécutez le script d’activation


REM Aucune sortie signifie qu’il a fonctionné
Slmgr.vbs -ato

Définir la résolution d’affichage du Bureau


Pour définir la résolution d’affichage du Bureau Server Core, vous devez éditer manuellement
le registre. Pour ce faire, il existe un script que nous allons vous communiquer, mais il
impose d’identifier correctement le GUID spécifique de votre carte graphique, ce qui ne
constitue pas une tâche à automatiser. Par conséquent, pour modifier la résolution du Bureau
Server Core, procédez comme suit :
1. Ouvrez regedit.
2. Localisez HKLM\System\CurrentControlSet\Control\Video.
3. Un ou plusieurs GUID sont listés sous Video. Sélectionnez celui qui correspond à votre
carte graphique. Astuce : ils proposent chacun une description de périphérique sous la
clé 0000 qui se révèle parfois utile.
4. Sous le GUID de votre carte graphique, sélectionnez la clé 0000 et ajoutez une valeur
DWORD DefaultSettings.XResolution. Définissez la valeur à la résolution de l’axe x de
votre choix. Pour une épaisseur de 1 024 pixels, choisissez 400 et une base
hexadécimale, comme le montre la figure 9-3.
156 Partie II Installation et configuration

Figure 9-3 Modification de la valeur de résolution d’affichage pour l’axe X

5. Ajoutez une valeur DWORD DefaultSettings.YResolution. Pour une hauteur de


768 pixels, choisissez 300 avec une base hexadécimale.

Remarque Il arrive que ces clés existent déjà. Dans ce cas, il suffit de
changer leur valeur.
6. Quittez l’éditeur de registre et fermez votre session comme suit :
shutdown /l

7. Une fois que vous êtes reconnecté, les nouveaux paramètres d’affichage prennent effet.

Activer la gestion à distance


Pour autoriser l’accès aux outils d’administration graphiques habituels, vous devez les activer
de sorte qu’ils fonctionnent au travers du Pare-feu Windows. Pour ce faire, exécutez un autre
jeu de commandes netsh. Les étapes qui suivent servent à activer l’administration à distance
et le Bureau à distance :
1. À l’invite de commandes, exécutez la commande netsh pour activer la gestion à
distance :
netsh advfirewall set domainprofile settings remotemanagement enable

2. Ensuite, activez le groupe Administration à distance des règles du pare-feu.


netsh advfirewall firewall set rule group="Remote Administration" new
enable=yes

3. Enfin, comme le Bureau à distance facilite le travail, activez-le également :


netsh advfirewall firewall set rule name="Remote Desktop (TCP-In)" new
enable=yes

Il est maintenant possible d’effectuer des tâches de gestion supplémentaires à l’aide des outils
graphiques habituels à partir d’un autre serveur, tout en se connectant à l’ordinateur Server
Core.
Chapitre 9 Installation et configuration de Server Core 157

Activer le serveur
La dernière étape de configuration initiale de l’ordinateur Server Core consiste en son
activation, laquelle nécessite un script Visual Basic, qui vous est fourni. Exécutez la
commande suivante :
Slmgr.vbs -ato

Remarque Toutes les commandes de configuration initiale du Server Core sont


comprises dans les trois scripts de l’encar t À propos et sont également
disponibles en téléchargement sur le site www.dunod.fr.

Installer des rôles


L’option Server Core de Windows Server 2008 ne prend pas en charge tous les rôles et
fonctionnalités de la version graphique complète, mais elle accepte la plupart des rôles
d’infrastructure importants. Server Core montre son utilité en tant que serveur sur un site
distant quand il s’agit d’activer des fonctionnalités de base dans un site à distance où
personne n’est présent pour l’administrer. En combinant les rôles Serveur DHCP, Serveur
DNS, Services de fichiers et Services d’impression au rôle Service de domaine Active
Directory en lecture seule, on obtient une solution « tout en un » dans la succursale ; il suffit
d’ajouter un périphérique d’accès à distance tel qu’un routeur VPN et tout est prêt.
Le rôle Services de fichiers s’ajoute par défaut dans le cadre de l’installation Server Core, mais
vous pouvez ajouter des services de rôle supplémentaires pour prendre en charge d’autres
fonctionnalités.
La commande qui sert à installer un rôle dans Server Core est Ocsetup.exe. Pour désinstaller
un rôle, on fait appel à la même commande, mais avec le paramètre en ligne de commandes
/uninstall. Voici la syntaxe complète de Ocsetup.exe :
Ocsetup </?|/h|/help>
Ocsetup <composant> [/uninstall][/passive][/unattendfile:<file>] [/quiet]
[/log:<file>][/norestart][/x:<parameters>]

N’oubliez jamais que cette commande est assez stricte. Elle est sensible à la casse et échoue en
cas de moindre erreur dans la casse du nom du composant.
Voici un script qui permet d’installer les rôles pour cette solution, excepté le rôle du
contrôleur de domaine :
@REM nomdefichier: SetupBranch.cmd
@REM
@REM Fichier d’installation de rôles sur un serveur de succursale
@REM
@REM Créé : 5 septembre 2007
@REM ModHist:
@REM
@REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés.
@REM Vous pouvez utiliser librement ce script dans votre environnement,
@REM le modifier selon vos besoins.
158 Partie II Installation et configuration

@REM Mais il est interdit de le republier sans autorisation.

@REM L’emploi de "start /w" avec ocsetup force ocsetup à attendre qu’il
@RME se termine avant de passer à la tâche suivante.

@REM Installer DNS et DHCP


@echo Installation des rôles DNS et DHCP...
start /w ocsetup DNS-Server-Core-Role
start /w ocsetup DHCPServerCore

@REM Installer maintenant le rôle Services de fichiers


@echo Installation du rôle Services de fichiers...
start /w ocsetup FRS-Infrastructure
start /w ocsetup DFSN-Server
start /w ocsetup DFSR-Infrastructure-ServerEdition

@REM Décommentez ces deux lignes pour ajouter la prise en charge NFS
@REM start /w ocsetup ServerForNFS-Base

@REM start /w ocsetup ClientForNFS-Base

@REM Installer le rôle Serveur d’impression

@echo Installation du rôle serveur d’impression


start /w ocsetup Printing-ServerCore-Role

@REM Décommentez ensuite pour la prise en charge LPD


@REM start /w ocsetup Printing-LPDPrintService

Remarque Il est impossible d’inclure la commande DCPromo dans le script ci-


dessus car l’installation du rôle Serveur d’impression nécessite un redémarrage,
lequel exclut DCPromo.
On ne peut pas employer DCPromo de manière interactive pour créer un contrôleur de
domaine – il faut créer un fichier unattend.txt pour l’y associer. Voici le fichier unattend.txt
minimal de base :
[DCInstall]
InstallDNS = Yes
ConfirmGC = yes
CriticalReplicationOnly = No
RebootOnCompletion = No
ReplicationSourceDC = hp350-dc-02.monentreprise.com
ParentDomainDNSName = monentreprise.com
ReplicaOrNewDomain = ReadOnlyReplica
ReplicaDomainDNSName = monentreprise.com
SiteName=Default-First-Site-Name
SafeModeAdminPassword = <motdepasse> UserDomain = exemple
UserName = Administrator
Password = <motdepasse>
Chapitre 9 Installation et configuration de Server Core 159

Important Les champs des mots de passe doivent être corrects ; ils seront
automatiquement masqués dans le fichier pour des raisons de sécurité. Avec
Server Core, vous devez spécifier une valeur ReplicationSourceDC. Définissez
ReplicaOrNewDomain à la valeur indiquée ici—ReadOnlyReplica—pour créer un
contrôleur de domaine en lecture seule.
Pour installer le rôle Contrôleur de domaine en lecture seule, procédez comme suit :
1. Faites appel au Bloc-notes ou à votre éditeur de texte ASCII favori (GVim fonctionne
très bien dans Server Core) pour créer un fichier unattend.txt avec les paramètres
nécessaires pour le domaine à rejoindre. Le nom de fichier spécifique du fichier
unattend n’est pas important car vous le spécifiez dans la ligne de commandes.
2. Récupérez le nom de l’annuaire qui contient le fichier unattend. Si le serveur indique
des redémarrages en attente, effectuez-les avant de promouvoir le serveur en
contrôleur de domaine.
3. Exécutez DCPromo avec la syntaxe suivante :
Dcpromo /unattend:<nomdefichierunattend>

4. Si le fichier unattend ne comporte aucune erreur, DCPromo poursuit et promeut le


serveur contrôleur de domaine en lecture seule, comme le montre la figure 9-4.

Figure 9-4 Servez-vous de DCPromo pour créer un contrôleur de domaine


en lecture seule avec un fichier unattend.

Lister les rôles


La commande Oclist.exe fournit la liste complète des rôles, services de rôle et fonctionnalités
Server Core disponibles, ainsi que leur état en cours. Exécutez Oclist pour récupérer la liste
exacte et sensible à la casse des fonctionnalités et des rôles que vous voulez installer.
160 Partie II Installation et configuration

Gérer un ordinateur Server Core


Chaque administrateur de système gère différemment son ordinateur Server Core. Aucun des
outils graphiques avec lesquels vous êtes habitué à travailler n’est disponible sur le serveur.
En revanche, une fois que vous avez configuré l’ordinateur Server Core pour prendre en
charge la gestion à distance, comme décrit à la section « Configuration initiale »,
précédemment dans ce chapitre, il est possible de créer des consoles de gestion destinées à
l’ordinateur Server Core, ce qui permet d’effectuer toutes les tâches à partir d’une console
graphique.

Informations supplémentaires Pour créer des consoles MMC personnalisées,


reportez-vous au chapitre 14 du tome 1, « Gestion des tâches quotidiennes ».
Il existe quatre manières de gérer une installation Server Core :
1. Travailler localement avec une invite de commandes.
2. Exploiter le Bureau à distance. L’interprétateur du Bureau à distance possède la même
fonctionnalité (une invite de commandes) qu’en étant connecté localement.
3. Exploiter à distance WinRS (Windows Remote Shell).
4. Travailler à distance avec un composant logiciel enfichable MMC à partir d’un
ordinateur Windows Vista ou Windows Server 2008.
Certaines tâches se révèlent quelque peu délicates dans Server Core ; aussi les effectue-t-on
généralement exclusivement à partir de l’interface utilisateur graphique. Il est une tâche
évidente qui consiste à changer le mot de passe du compte. Pour ce faire, faites appel à la
commande net user <nomutilisateur> *. Le tableau 9-2 regroupe quelques-unes des tâches
susceptibles de poser problème, ainsi que leur solution.

Tableau 9-2 Solutions des tâches courantes dans Server Core

Tâche Solution/Contournement
Activer les mises à jour Cscript %windir%\system32\scregedit.wsf /AU [valeur]
automatiques Où les valeurs sont :
1 – désactiver les mises à jour automatiques
4 – activer les mises à jour automatiques
/v – afficher le paramètre en cours
Activer le Bureau à distance Cscript %windir%\system32\scregedit.wsf /AR [valeur]
pour les administrateurs Où les valeurs sont :
0 – activer le Bureau à distance
1 – désactiver le Bureau à distance
/v – afficher le paramètre en cours
Chapitre 9 Installation et configuration de Server Core 161

Tableau 9-2 Solutions des tâches courantes dans Server Core

Tâche Solution/Contournement
Activer les clients Terminal Cscript %windir%\system32\scregedit.wsf /CS [valeur]
Server à partir de versions Où les valeurs sont :
de Windows antérieures à
Windows Vista 0 – activer les versions précédentes
1 – désactiver les versions précédentes
/v – afficher le paramètre en cours
Autoriser la gestion à distance Cscript %windir%\system32\scregedit.wsf /IM [valeur]
du Moniteur IPSec Où les valeurs sont :
0 – désactiver la gestion à distance
1 – activer la gestion à distance
/v – afficher le paramètre en cours
Configurer la priorité Cscript %windir%\system32\scregedit.wsf /DP [valeur]
et l’importance des Où les valeurs de priorité DNS SRV sont :
enregistrements DNS SRV
0-65535. (Valeur recommandée = 200)
/v – afficher le paramètre en cours
Cscript %windir%\system32\scregedit.wsf /DW [valeur]
Où les valeurs d’importance DNS SRV sont :
0-65535. (Valeur recommandée = 50)
/v – afficher le paramètre en cours
Mettre à jour les mots Net user <nomutilisateur> [/domaine] *
de passe utilisateur
Installer des fichiers .msi Servez-vous des commutateurs /q ou /qb en ligne de
commandes avec le nom de fichier .msi complet. /q
correspond à silencieux (quiet), /qb également mais avec
une interface utilisateur basique
Changer le fuseau horaire, timedate.cpl
la date ou l’heure
Changer les paramètres intl.cpl
internationaux
Exploiter la console Gestion À partir de la ligne de commandes de l’installation Server
des disques Core :
Net start VDS
Puis exécutez Gestion des disques à distance.
Récupérer les informations Winver n’est pas disponible. Faites appel à systeminfo.exe.
de version Windows
Obtenir de l’aide (les fichiers Cscript %windir%\system32\scregedit.wsf /cli
Aide et support Windows
habituels ne sont pas
consultables dans Server Core)
162 Partie II Installation et configuration

Exploiter WinRS
WinRS (Windows Remote Shell) permet d’exécuter à distance des commandes sur un
ordinateur Server Core. Avant d’exécuter WinRS, il vous faut l’activer sur l’ordinateur cible.
Pour ce faire, tapez la commande suivante :
winrm quickconfig

Pour exécuter une commande à distance, employez la commande WinRS depuis un autre
ordinateur en tapant la commande suivante :
winrs –r:<NomServeur> <chaîne de commande à exécuter>

Exploiter Terminal Services RemoteApp


Il est judicieux de faire appel à la nouvelle fonctionnalité TS RemoteApp de Windows
Server 2008 afin de publier une fenêtre Invite de commandes pour l’ordinateur Server Core
directement sur son propre Bureau. Cette méthode est plus simple et plus directe et elle
économise de la place sur l’écran, ce qui constitue toujours un avantage. Voici comment créer
un package RDP à placer sur le Bureau :
1. Sur un serveur Windows Server 2008 muni du rôle Services Terminal Server, ouvrez le
Gestionnaire RemoteApp TS, illustré par la figure 9-5.

Figure 9-5 Servez-vous du Gestionnaire RemoteApp TS pour ouvrir une fenêtre


cmd.exe à distance.

2. Connectez-vous à l’ordinateur Server Core pour lequel vous élaborez un package RDP.
Chapitre 9 Installation et configuration de Server Core 163

3. Dans le volet Actions, cliquez sur Ajouter des programmes RemoteApp pour ouvrir
l’Assistant RemoteApp.
4. Cliquez sur Suivant pour ouvrir la page Choisir les programmes à ajouter à la liste des
programmes RemoteApp, illustrée par la figure 9-6.

Figure 9-6 Page Choisir les programmes à ajouter à la liste des programmes
RemoteApp de l’Assistant RemoteApp

5. Cliquez sur Parcourir et recherchez \\<NomServeur>\c$\windows\system32\cmd.exe.


Cliquez sur Ouvrir.
6. Cliquez sur Suivant puis sur Terminer pour ajouter le programme distant et revenir au
Gestionnaire RemoteApp TS.
7. Dans le volet des programmes RemoteApp, sélectionnez cmd.exe et cliquez sur Créer
le fichier .rdp dans le volet Actions.
8. Cliquez sur Suivant et spécifiez tous les éventuels paramètres du package RDP. Notez
l’emplacement d’enregistrement du package.
9. Cliquez sur Suivant à deux reprises puis sur Terminer pour créer le package RDP.
10. Copiez le package sur l’ordinateur où vous allez l’exploiter.
Maintenant, pour ouvrir une fenêtre d’Invite de commandes directement sur l’ordinateur
Server Core, il suffit de double-cliquer sur le package RDP créé et enregistré.
164 Partie II Installation et configuration

Résumé
Dans ce chapitre, nous avons rassemblé quelques étapes de base nécessaires à l’installation et
à la configuration de la nouvelle option d’installation de Windows Server 2008. Celle-ci
constitue une nouvelle manière de profiter de la puissance de Windows Server tout en
conservant des niveaux élevés de sécurité et une gestion simplifiée. Et sans vouloir en faire
trop de promotion, nous insistons sur le fait que Server Core constitue une avancée
significative.
Le chapitre suivant traite de la gestion et de la configuration des imprimantes à l’aide de la
console Gestion de l’impression.
Chapitre 10
Gestion des imprimantes
Planifier le déploiement d’imprimantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Créer un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Activer le suivi des emplacements des imprimantes . . . . . . . . . . . . . . . . . . . . . . . 169
Migrer des serveurs d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Installer des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Déployer des imprimantes via la Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . 176
Gérer les tâches d’impression à partir de Windows . . . . . . . . . . . . . . . . . . . . . . . . 179
Gérer des imprimantes en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Définir les options de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Modifier les priorités de groupes et la disponibilité des imprimantes . . . . . . . . 182
Spécifier une page de séparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Modifier le spoulage d’impression par imprimante . . . . . . . . . . . . . . . . . . . . . . . . 186
Modifier le spoulage sur un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 187
Optimiser les performances du serveur d’impression . . . . . . . . . . . . . . . . . . . . . . 187
Gérer les pilotes d’imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Créer des pools d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Se préparer en cas d’échec du serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . 190
Dépanner les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

Alors que tout le monde rêve d’un bureau sans paperasse, ce jour ne semble pas prêt
d’arriver. La consommation de papier dans les bureaux a décollé en 1999 et depuis, la
quantité de déchets dans les corbeilles à papier ne cesse d’augmenter. On note une faible
diminution en matière de courrier, car peu de personnes impriment leurs messages
électroniques avant de les lire, mais le papier reste au centre de la majorité des opérations
commerciales.
Le coût des imprimantes de base a considérablement chuté, mais les sociétés investissent
dans des imprimantes sophistiquées et très performantes, qui évitent de faire appel aux
services d’un imprimeur professionnel. Ces imprimantes sont coûteuses à l’achat et à
l’exploitation. Par conséquent, le partage d’imprimantes reste une fonction importante des

165
166 Partie II Installation et configuration

réseaux d’entreprise. La mise en place d’une imprimante partagée pour plusieurs utilisateurs
réduit les coûts et augmente la productivité, car on dirige le travail routinier vers les
imprimantes dont le coût par page est faible, on planifie les projets d’impression volumineux
pour les heures creuses et on limite l’accès aux imprimantes haut de gamme.

Planifier le déploiement d’imprimantes


Lorsque vous planifiez le déploiement d’imprimantes et de serveurs d’impression, il convient
d’établir des conventions pour nommer les imprimantes et les emplacements, de décider de
mettre à niveau ou de migrer des serveurs d’impression existants et de se préparer aux
problèmes d’impression.

Bonnes pratiques Connectez si possible les imprimantes au ser veur


d’impression via une connexion réseau. Les imprimantes réseau sont plus rapides
et nécessitent moins de ressources sur le serveur d’impression que si elles sont
branchées en local et vous pourrez les disposer partout où il est possible
d’installer un câble réseau (ou une connexion sans fil).

Convention de dénomination pour les imprimantes


Une convention de dénomination d’imprimantes efficace est essentielle pour que les
utilisateurs identifient aisément les imprimantes du réseau. Voici les éléments à prendre en
considération pour créer cette convention :
■ Le nom d’imprimante comprend jusqu’à 220 caractères, ce qui suffit en général
largement, quel que soit votre modèle. Évidemment, le nom doit être le plus court
possible, mais sans aller à l’encontre de la clarté.
■ Le nom de partage est le nom que voient tous les clients quand ils explorent le réseau à
la recherche d’une imprimante, qu’ils font appel à l’Assistant Ajout d’imprimante ou
qu’ils exécutent la commande Net Use. Il peut atteindre 80 caractères, mais à nouveau
il est préférable qu’il soit court pour des raisons de lisibilité. Certaines applications
anciennes ne peuvent pas imprimer sur des imprimantes avec des noms de partage
complets (nom de l’ordinateur et nom du partage de l’imprimante combinés) excédant
31 caractères ou sur des serveurs d’impression où le nom de partage de l’imprimante
par défaut dépasse 31 caractères. Les clients qui exécutent d’autres systèmes
d’exploitation peuvent également rencontrer des problèmes avec les noms excédant
31 caractères ou contenant des espaces ou autres caractères spéciaux. Dans tous les
cas, anciennes applications ou non, il est préférable que les noms soient courts.
■ L’accord des gestionnaires compétents est nécessaire avant de déployer une convention
de noms pour garantir la compatibilité.
Chapitre 10 Gestion des imprimantes 167

Convention de dénomination pour les emplacements


Dans les petites organisations, il n’est pas difficile de retrouver des imprimantes ; vous vous
levez et regardez autour de vous ou vous demandez à la personne assise à vos côtés. Dans les
grandes organisations, les imprimantes ont des capacités différentes et elles sont souvent
éparpillées. Dans ces circonstances, les utilisateurs doivent être en mesure de parcourir ou de
rechercher des imprimantes dans Active Directory en fonction de critères particuliers,
comme les fonctionnalités et l’emplacement des imprimantes.
La forme des noms des emplacements est similaire à celle des noms de domaine ; ils
emploient la syntaxe nom/nom/nom… Ils commencent par l’emplacement le plus général
pour se spécifier progressivement. Par exemple, une multinationale pourrait utiliser la
structure de dénomination de la figure 10-1. Chaque nom partiel peut comprendre
jusqu’à 32 caractères et contenir toutes sortes de caractères, exception faite du / qui sert
de séparateur.

Europe

Italie Milan

Allemagne Munich

Amérique
du nord Hamburg

Marketing
États-Unis

Administration
Seattle

Canada

Ottawa

Figure 10-1 Exemple de structure de dénomination d’emplacements

Tout comme les noms de domaine, le choix d’un modèle de noms d’emplacements
d’imprimantes relève du politique, ce qui vous impose d’obtenir l’accord approprié.
Définissez une convention simple et facile à comprendre pour les utilisateurs finaux ; après
tout, il faut bien qu’ils puissent observer le nom de l’emplacement et répondre à cette
éternelle question : « Où va sortir mon document ? ». Conception/StudioArt/
HPDesignJet5500 est un bon exemple de nom d’emplacement.
168 Partie II Installation et configuration

Après avoir créé la convention de noms des emplacements d’imprimantes, activez le suivi des
emplacements dans Active Directory, comme le décrit la section « Activer le suivi des
emplacements d’imprimantes », plus loin dans ce chapitre.
Si vous n’exploitez pas la fonctionnalité de suivi des emplacements d’imprimantes d’Active
Directory, vous pouvez toujours intégrer aux imprimantes les informations sur leur
emplacement, bien que cette approche présente certaines restrictions. Pour saisir ces
informations, tapez le nom d’emplacement dans l’onglet Général de la boîte de dialogue
Propriétés de l’imprimante. Soyez logique et attentif dans votre choix. Assurez-vous que tous
les administrateurs emploient le même nom pour un emplacement particulier et cantonnez-
vous à des noms courts et simples à mémoriser : les utilisateurs ont besoin de connaître les
noms d’emplacements exacts lorsqu’ils recherchent des imprimantes en cas d’indisponibilité
des fonctions de recherche d’emplacement d’Active Directory.

Créer un serveur d’impression


Le rôle Services d’impression s’installe sur n’importe quel serveur. Pour ce faire, ouvrez le
Gestionnaire de serveur, sélectionnez Rôles dans l’arborescence, puis procédez comme suit :
1. Dans le volet des résultats, cliquez sur Ajouter des rôles. L’Assistant Ajout de rôles
démarre.
2. Cliquez sur Suivant jusqu’à atteindre la page Sélectionner des rôles de serveurs
(figure 10-2).

Figure 10-2 Sélectionnez le rôle Services d’impression.


Chapitre 10 Gestion des imprimantes 169

3. Sélectionnez Services d’impression et cliquez sur Suivant jusqu’à accéder à la page


Résultats de l’installation (figure 10-3).

Figure 10-3 Le serveur d’impression est installé.

Activer le suivi des emplacements des imprimantes


Pour exploiter le suivi des emplacements des imprimantes, le réseau doit remplir certaines
conditions :
■ Le réseau doit reposer sur un modèle d’adressage IP qui reflète sa disposition physique.
■ La structure Active Directory doit contenir plusieurs sites ou plusieurs sous-réseaux. Si
vous ne disposez pas de plusieurs sous-réseaux IP, faites appel à la console Sites et
services Active Directory pour créer des sous-réseaux à partir de plages d’adresses au
sein d’un sous-réseau correspondant aux emplacements physiques.
■ Les ordinateurs clients doivent être en mesure d’interroger Active Directory. La
version 2 ou ultérieure du protocole LDAP (Lightweight Directory Access Protocol) est en
effet indispensable sur ces ordinateurs.
■ Chaque site doit être sur un sous-réseau distinct.
■ Chaque sous-réseau auquel les clients accèdent doit avoir son propre objet Subnet
dans Active Directory.
■ Le réseau doit posséder une convention de nommage d’emplacements des
imprimantes.
170 Partie II Installation et configuration

Autres informations Le chapitre 16 du tome 1, « Installation et configuration


des services d’annuaire », explique comment installer les services d’annuaire et
créer les sous-réseaux appropriés à l’entreprise.

Bonnes pratiques Si vous prévoyez un volume d’impression important,


conservez les serveurs d’impression et les imprimantes sur le même segment de
réseau que celui des utilisateurs de l’imprimante. Vous minimisez ainsi l’impact
sur les utilisateurs situés à d’autres endroits du réseau. Dans tous les cas,
minimisez le parcours qu’une tâche d’impression aura à effectuer sur le réseau et
qui va éloigner l’utilisateur de son imprimante par défaut.
Pour faciliter la tâche des utilisateurs qui recherchent une imprimante par emplacement dans
Active Directory, créez une convention de dénomination d’emplacements d’après les
indications de la section « Créer une convention de dénomination pour les emplacements »
de ce chapitre, puis procédez comme suit pour configurer le suivi des emplacements
d’imprimantes :
1. Ouvrez Sites et services Active Directory à partir du Gestionnaire de serveur, du menu
Outils d’administration ou en tapant dssite.msc dans la zone Rechercher du menu
Démarrer.
2. Sous le nœud Sites, cliquez droit sur le premier site et choisissez Propriétés dans le
menu contextuel.
3. Cliquez sur l’onglet Emplacement et tapez le nom d’emplacement du site, comme le
montre la figure 10-4, ou cliquez sur Parcourir pour sélectionner l’emplacement dans
l’arborescence de l’entreprise.
4. Recherchez l’emplacement dans l’arborescence de l’entreprise.

Figure 10-4 Spécifiez le nom d’emplacement d’un sous-réseau.


Chapitre 10 Gestion des imprimantes 171

5. Cliquez sur OK et répétez les étapes 2 et 3 pour chaque site et sous-réseau du réseau.
6. Créez un nouvel objet de stratégie de groupe qui s’applique à tous les ordinateurs sur
lesquels vous activez le suivi des emplacements des imprimantes : ouvrez la console
Gestion des stratégies de groupe à partir du Gestionnaire de serveur, du menu Outils
d’administration ou en tapant gpmc.msc dans la zone Rechercher du menu Démarrer.
Cliquez droit sur le nom de domaine et choisissez Créer un objet GPO dans ce
domaine, et le lier ici.
7. Nommez le GPO et cliquez sur OK. Cliquez droit sur le GPO et choisissez Modifier
pour ouvrir l’Éditeur de gestion des stratégies de groupe.
8. Dans l’arborescence, sélectionnez Configuration ordinateur, Modèles d’administration,
puis Imprimantes.
9. Double cliquez sur la stratégie Préparer le texte de recherche d’emplacement
d’imprimante (voir figure 10-5), sélectionnez Activé, puis cliquez sur OK.

Figure 10-5 Activez le suivi des emplacements des imprimantes.

10. Fermez l’Éditeur de gestion des stratégies de groupe.


11. Ouvrez la console Gestion de l’impression ou le dossier Imprimantes et télécopieurs de
votre serveur d’impression, cliquez droit sur une imprimante, choisissez Propriétés, puis
saisissez son emplacement dans la zone de texte correspondante ou cliquez sur Parcourir
pour sélectionner son emplacement dans l’arborescence de l’entreprise. Répétez cette
172 Partie II Installation et configuration

procédure pour toutes les imprimantes d’Active Directory ou utilisez le script


Prncnfg.vbs pour l’automatiser. Tapez cscript %WINDIR%\system32\prncnfg.vbs /? à
l’invite de commandes pour obtenir des informations sur les références de la ligne de
commandes.

Remarque Apportez des précisions dans le champ Emplacement des


imprimantes outre le simple emplacement du sous-réseau. Par exemple,
ajoutez le numéro ou le nom de la salle.
12. Testez le suivi des emplacements des imprimantes en les recherchant dans Active
Directory par emplacement à partir d’un ordinateur client.

Migrer des serveurs d’impression


Si vous devez remplacer un ancien serveur d’impression ou combiner plusieurs serveurs,
faites appel à l’Assistant Migration d’imprimante ou à l’outil en ligne de commandes
Printbrm.exe. Il est possible d’exporter des files d’attente d’impression, des ports
d’imprimantes et des moniteurs de langage, puis de les importer sur un autre serveur
d’impression.

Exploiter l’Assistant Migration d’imprimante


Voici comment exploiter l’Assistant Migration d’imprimante :
1. Dans le menu Outils d’administration, sélectionnez Gestion de l’impression.
2. Dans l’arborescence de la console, cliquez droit sur l’ordinateur contenant les files
d’attente d’impression à exporter, puis choisissez Exporter les imprimantes vers un
fichier.
3. Vérifiez la liste des fichiers à exporter et cliquez sur Suivant.
4. Sur la page Sélectionner l’emplacement du fichier, indiquez l’emplacement où
enregistrer les paramètres de l’imprimante (voir figure 10-6) et cliquez sur Suivant
pour enregistrer les paramètres. Cliquez sur Terminer à la fin de l’opération.
Chapitre 10 Gestion des imprimantes 173

Figure 10-6 Spécifiez l’emplacement où enregistrer les fichiers de l’imprimante.

5. Cliquez droit sur l’ordinateur sur lequel vous importez les imprimantes et choisissez
Importer les imprimantes depuis un fichier.
6. Sur la page Sélectionner l’emplacement du fichier, indiquez l’emplacement du fichier
des paramètres de l’imprimante et cliquez sur Suivant. Vérifiez les objets qui seront
importés et cliquez sur Suivant.
7. Définissez les options d’importation de la page Sélectionner les options d’importation
comme suit :
■ Mode d’importation Détermine les mesures à prendre si une file d’attente
d’impression existe déjà sur l’ordinateur cible.
■ Lister dans l’annuaire Détermine si les files d’attente importées doivent être
publiées dans les Services de domaine Active Directory.
■ Convertir les ports LPR en moniteurs de port standard Détermine si les ports
de l’imprimante LPR (Line Printer Remote) du fichier des paramètres de
l’imprimante doivent être convertis en moniteur de port standard lors de
l’importation des imprimantes.
8. Cliquez sur Suivant pour importer les paramètres de l’imprimante.
174 Partie II Installation et configuration

Utiliser la ligne de commandes


Il est plus aisé de migrer des serveurs d’impression en utilisant la ligne de commandes. Voici
comment procéder :
1. Cliquez sur Démarrer, Tous les programmes, Accessoires, cliquez droit sur Invite de
commandes, puis cliquez sur Exécuter en tant qu’administrateur.
2. Tapez la commande suivante :
CD %WINDIR%\System32\Spool\Tools
Printbrm -s \\<nomordinateursource> -b -f <nomfichier>.printerExport

3. Tapez la commande suivante :


Printbrm -s \\<nomordinateurdestination> -r -f <nomfichier>.printerExport

Voici la syntaxe de base de cette commande :


<nomordinateursource> Nom UNC de l’ordinateur source.
<nomfichier> Nom du fichier des paramètres de l’imprimante. Porte l’extension de fichier
.printerExport ou .cab.
<nomordinateurdestination> Nom UNC de l’ordinateur de destination.

Remarque Pour retrouver la syntaxe complète de cette commande, tapez


printbrm /? à l’invite de commandes.

Installer des imprimantes


L’installation d’une imprimante est une tâche ordinaire pour la plupart des utilisateurs
d’ordinateurs ; si l’imprimante possède une connexion USB ou IEEE 1394 (Firewire),
branchez-la au serveur et insérez le disque des pilotes. Pour installer une imprimante via une
connexion réseau (la meilleure manière de connecter une imprimante), soit on ajoute une
imprimante manuellement, comme le décrit cette section, soit on demande à la console
Gestion de l’impression de détecter automatiquement toutes les imprimantes du même sous-
réseau en tant que serveur d’impression.
Pour installer une imprimante réseau via un port imprimante TCP/IP standard, connectez
l’imprimante au réseau et configurez-la en définissant ses paramètres TCP/IP. Si vous
configurez l’imprimante de sorte qu’elle emploie DHCP, créez une réservation DHCP pour
l’imprimante afin que son adresse ne varie pas, puis procédez comme suit :
1. Dans le menu Outils d’administration, ouvrez Gestion de l’impression.
2. Sélectionnez le serveur d’impression approprié, cliquez droit sur Imprimantes et
choisissez Ajouter une imprimante.
Chapitre 10 Gestion des imprimantes 175

3. Sur la page Installation de l’imprimante, choisissez une méthode d’installation parmi


les suivantes :
Rechercher les imprimantes du réseau
a. La fenêtre Recherche d’imprimante réseau s’ouvre et recherche des imprimantes.
b. Au terme de la recherche, sélectionnez l’imprimante à installer et cliquez sur Sui-
vant.

Remarque Si vous ne retrouvez pas d’imprimante à l’aide de la fonction


de recherche, optez pour l’une des autres méthodes d’installation de cette
section.
Ajouter une imprimante TCP/IP ou de services Web par adresse IP ou nom d’hôte
a. Indiquez le nom du réseau ou l’adresse IP de l’imprimante. Cliquez sur Suivant ;
l’assistant recherche alors le port.
Ajouter une nouvelle imprimante via un port existant
a. Sélectionnez un port existant dans la liste déroulante et cliquez sur Suivant.
b. Désignez un pilote existant à employer ou sélectionnez Installer un nouveau
pilote. Cliquez sur Suivant.

Remarque Si vous choisissez d’installer un nouveau pilote, indiquez le


fabricant et le modèle de l’imprimante, puis insérez le disque d’installation
si nécessaire.
c. Dans la boîte de dialogue Nom de l’imprimante et paramètres de partage, modi-
fiez à votre guise le nom de l’imprimante et le nom du partage, ajoutez un empla-
cement et d’autres commentaires et choisissez de partager ou non l’imprimante
sur l’annuaire. Cliquez sur Suivant.
d. L’imprimante est prête à être installée. Vérifiez les paramètres et cliquez sur Sui-
vant pour terminer l’installation.
Créer un autre port et ajouter une nouvelle imprimante
a. Sélectionnez le type de port à créer et cliquez sur Suivant.
b. Saisissez le nom du port et cliquez sur OK.
c. Choisissez d’employer un pilote existant ou d’en installer un nouveau. Cliquez
sur Suivant.
d. Dans la boîte de dialogue Nom de l’imprimante et paramètres de partage, modi-
fiez à votre guise le nom de l’imprimante et le nom du partage, ajoutez un empla-
cement et d’autres commentaires et choisissez de partager ou non l’imprimante
sur l’annuaire. Cliquez sur Suivant.
e. L’imprimante est prête à être installée. Vérifiez les paramètres et cliquez sur Sui-
vant pour terminer l’installation.
176 Partie II Installation et configuration

Déployer des imprimantes via la Stratégie de groupe


Il est possible de déployer automatiquement des imprimantes pour des utilisateurs ou des
ordinateurs via la Stratégie de groupe. Cette technique d’installation est idéale lorsque les
mêmes imprimantes servent à la plupart des ordinateurs ou utilisateurs, comme dans une
salle de classe ou une succursale.

Remarque Pour déployer des connexions d’imprimantes avec la Stratégie de


groupe, votre environnement doit répondre à une exigence : le schéma des
Services de domaine Active Director y doit exploiter la version de schéma
Windows Server 2003 R2 ou ultérieure.
Les ordinateurs clients Windows 2000, Windows XP ou Windows Server 2003 doivent faire
appel à l’outil PushPrinterConnections.exe dans un script de démarrage (pour les
connexions basées sur l’ordinateur) ou dans un script d’ouverture de session (pour les
connexions basées sur l’utilisateur). Reportez-vous à la section « Ajouter
PushPrinterConnections via la Stratégie de groupe », plus loin dans ce chapitre.
Voici comment déployer automatiquement des imprimantes :
1. Dans le menu Outils d’administration, sélectionnez Gestion de l’impression.
2. Sous le serveur d’impression approprié, cliquez sur Imprimantes.
3. Dans le volet des résultats, cliquez droit sur l’imprimante à déployer, puis choisissez
Déployer avec la stratégie de groupe.
4. Dans la boîte de dialogue Déployer avec la stratégie de groupe, cliquez sur Parcourir et
choisissez un GPO où stocker les connexions d’imprimantes. Cliquez sur OK.
5. Indiquez si voulez déployer les connexions d’imprimantes pour les utilisateurs ou pour
les ordinateurs :
■ Pour que le déploiement concerne des groupes d’utilisateurs de sorte qu’ils
puissent accéder aux imprimantes à partir de n’importe quel ordinateur sur
lequel ils sont connectés, cochez la case Utilisateurs auxquels s’applique cet objet
de stratégie de groupe (par utilisateur).
■ Pour que le déploiement concerne des groupes d’ordinateurs de sorte que tous
leurs utilisateurs puissent accéder aux imprimantes, cochez la case Ordinateurs
auxquels s’applique cet objet de stratégie de groupe (par ordinateur).
6. Cliquez sur Ajouter.
7. Répétez les étapes 4 à 6 pour ajouter le paramètre de connexion de l’imprimante à un
autre GPO si nécessaire.
8. Cliquez sur OK.

Remarque Pour les connexions par utilisateur, Windows ajoute les connexions
d’imprimante lorsque l’utilisateur ouvre une session. Pour les connexions par
ordinateur, Windows n’ajoute les connexions d’imprimante que lorsque
Chapitre 10 Gestion des imprimantes 177

l’ordinateur client redémarre. Si vous supprimez les paramètres de connexion


d’imprimante du GPO, PushPrinterConnections.exe supprime les imprimantes
correspondantes de l’ordinateur client au prochain redémarrage ou ouverture de
session d’utilisateur.

Ajouter PushPrinterConnections via la Stratégie de groupe


Pour déployer des connexions sur des ordinateurs Windows XP, Windows 2000 ou
Windows Server 2003, vous devez ajouter l’utilitaire PushPrinterConnections.exe à un script
de démarrage d’ordinateur pour les connexions par ordinateur ou à un script d’ouverture de
session d’utilisateur pour les connexions par utilisateur. La Stratégie de groupe constitue la
manière la plus efficace d’y parvenir.
Voici comment ajouter le fichier PushPrinterConnections.exe aux scripts de démarrage ou
d’ouverture de session :
1. Dans le menu Outils d’administration, sélectionnez Gestion des stratégies de groupe.
2. Dans l’arborescence de la console, cliquez droit sur le domaine ou l’OU comprenant les
comptes d’ordinateur ou utilisateur sur lesquels déployer l’utilitaire
PushPrinterConnections.exe et choisissez Créer un objet GPO dans ce domaine, et le
lier ici (voir figure 10-7). Saisissez le nom du nouveau GPO et cliquez sur OK.

Figure 10-7 Créez un nouveau GPO.

3. Cliquez droit sur le nouveau GPO et choisissez Modifier.


4. Dans l’Éditeur de gestion des stratégies de groupe, procédez comme suit :
■ Si les connexions de l’imprimante sont déployées par ordinateur, sélectionnez
Configuration ordinateur, Paramètres Windows, Scripts (démarrage/arrêt).
178 Partie II Installation et configuration

■ Si les connexions de l’imprimante sont déployées par utilisateur, sélectionnez


Configuration utilisateur, Paramètres Windows, Scripts (ouverture/fermeture de
session).

Remarque Les ordinateurs clients Windows 2000 ne gèrent pas les


connexions par ordinateur.
5. Cliquez droit sur Démarrage ou Ouverture de session et choisissez Propriétés.
6. Dans la boîte de dialogue Propriétés de Ouverture de session ou Démarrage, cliquez
sur Afficher les fichiers pour ouvrir la fenêtre Startup ou Logon.
7. Copiez le fichier PushPrinterConnections.exe du dossier %WINDIR%\System32 dans
la fenêtre Startup ou Logon. Vous ajoutez ainsi l’utilitaire au GPO, où il va se répliquer
sur les autres contrôleurs de domaine avec le reste des paramètres de la Stratégie de
groupe.
8. Dans la boîte de dialogue Propriétés de Ouverture de session ou Démarrage, cliquez
sur Ajouter. La boîte de dialogue Ajout d’un script s’affiche.
9. Tapez PushPrinterConnections.exe dans le champ Nom du script.
10. Pour activer la journalisation des ordinateurs clients Windows Server 2003,
Windows XP ou Windows 2000, tapez –log dans le champ Paramètres de scripts. Les
fichiers journaux s’inscrivent dans le fichier %WINDIR%\temp\ppcMachine.log pour
les connexions par ordinateur et dans %temp%\ppcUser.log pour les connexions par
utilisateur sur l’ordinateur où la stratégie s’applique.
11. Cliquez sur OK dans la boîte de dialogue Ajout d’un script, puis à nouveau sur OK
dans la boîte de dialogue Propriétés de Démarrage ou Ouverture de session.
F a i t e s a p p e l à l a c o n s o l e G e s t i o n d e s t r a t é g i e d e g ro u p e p o u r l i e r l e G P O
PushPrinterConnections.exe aux autres OU ou domaines.

Exclure les ordinateurs Windows Vista et Windows Server 2008


de PushPrinterConnections.exe
Le fichier PushPrinterConnections.exe détecte automatiquement les ordinateurs
Windows Vista et Windows Server 2008 et se ferme automatiquement ; il est donc plus
prudent de déployer ce fichier dans des scripts d’ouverture de session ou de démarrage
sur tous les ordinateurs clients de votre organisation. Si les ouvertures de session ou les
démarrages des ordinateurs clients Windows Vista ou Windows Server 2008 prennent
trop de temps, vous avez la possibilité d’exclure ces clients à l’aide de filtres WMI. Voici
comment procéder :
1. Dans le menu Outils d’administration, ouvrez Gestion des stratégies de groupe.
2. Dans l’arborescence de la console, accédez au domaine, cliquez droit sur Filtres
WMI et choisissez Nouveau.
Chapitre 10 Gestion des imprimantes 179

3. Tapez le nom et la description dans les champs appropriés, puis cliquez sur
Ajouter.
4. La boîte de dialogue Requête WMI s’ouvre. Pour que le filtre sélectionne tous les
ordinateurs clients exécutant des versions antérieures à Windows Vista, tapez la
commande suivante dans la section Requête :
Select * from Win32_OperatingSystem where BuildNumber < 6000

5. Cliquez sur OK dans la boîte de dialogue Requête WMI, puis sur Enregistrer dans
la boîte de dialogue Nouveau filtre WMI.
6. Sélectionnez la stratégie de groupe contenant le fichier PushPrinterConnections.exe
et dans la liste Filtre WMI, sélectionnez le filtre WMI que vous avez créé, puis cliquez
sur OK.

Gérer les tâches d’impression à partir de Windows


Pour gérer des tâches d’impression, ouvrez Gestion de l’impression à partir du menu Outils
d’administration, puis suivez les instructions concernant la tâche appropriée dans la liste qui suit.

Arrêter temporairement des tâches d’impression


Pour interrompre momentanément l’impression d’un document, cliquez droit sur
l’imprimante appropriée et choisissez Ouvrir la file d’attente de l’imprimante. Cliquez droit
sur le document et choisissez Suspendre dans le menu contextuel. Pour reprendre
l’impression, cliquez droit sur le document et choisissez Reprendre.
Pour interrompre momentanément l’impression de tous les documents, cliquez droit sur
l’imprimante appropriée et choisissez Suspendre l’impression. Pour reprendre l’impression
de tous les documents, cliquez droit sur l’imprimante et choisissez Reprendre l’impression.

Annuler des tâches d’impression


Pour annuler une ou plusieurs tâches d’impression, cliquez droit sur l’imprimante
appropriée et choisissez Ouvrir la file d’attente de l’imprimante. Cliquez droit sur la tâche à
annuler et choisissez Annuler dans le menu contextuel. On peut aussi la sélectionner et
appuyer sur la touche SUPPR.
Pour annuler toutes les tâches d’impression de la file d’attente, sélectionnez Annuler tous les
travaux dans le menu de l’imprimante.

Redémarrer une tâche d’impression


Pour redémarrer une tâche d’impression (forcer l’impression du document à recommencer),
cliquez droit sur le document et choisissez Redémarrage.
180 Partie II Installation et configuration

Remarque Il arrive qu’une tâche d’impression se bloque dans la file d’attente et


qu’il soit impossible de la supprimer. Dans ce cas, mettez l’imprimante hors
tension, puis rallumez-la, ou arrêtez le service Spouleur d’impression du serveur
d’impression et redémarrez-le.

Changer la priorité d’une tâche d’impression


Pour changer la priorité ou la planification d’une tâche d’impression, cliquez droit sur la
tâche, choisissez Propriétés, puis cliquez sur l’onglet Général. Ajustez la priorité du
document à l’aide du curseur Priorité (voir figure 10-8), sachant que 1 correspond à la
priorité la plus basse et 99 la plus élevée.

Figure 10-8 Définissez la priorité d’une tâche d’impression et l’heure d’impression.

Pour spécifier que le document doit être imprimé uniquement pendant une certaine période,
sélectionnez l’option Seulement de sur la même page et choisissez la plage horaire pendant
laquelle le document peut être imprimé.

Remarque La fonctionnalité de planification est pratique si vos tâches


d’impression sont volumineuses mais que vous ne voulez pas mobiliser une
imprimante lors des heures de travail chargées.

Déplacer des tâches d’impression


Pour déplacer tous les documents d’une imprimante vers une autre imprimante en mesure
d’exploiter le même pilote, cliquez droit sur l’imprimante, choisissez Propriétés, cliquez sur
l’onglet Ports, sélectionnez le port sur lequel se trouve la seconde imprimante et supprimez
la coche de la case adjacente au port d’origine.
Chapitre 10 Gestion des imprimantes 181

Remarque Une tâche d’impression qui a déjà démarré ne peut être déplacée.
Pour ce faire, il faut la redémarrer.

Gérer des imprimantes en ligne de commandes


Windows Server 2008 facilite grandement l’administration en ligne de commandes pour les
administrateurs Windows. Pratiquement toutes les tâches d’administration s’effectuent en
ligne de commandes, y compris les imprimantes. Pour bien démarrer, prenez connaissance
de la liste de commandes et des scripts suivants :
■ Print Imprime le fichier texte spécifié avec l’imprimante spécifiée.
■ Lpr Imprime le fichier texte spécifié avec la file d’attente d’impression LPD spécifiée.
■ Net print Affiche les informations sur la file d’attente d’impression spécifiée ou la tâche
d’impression. Peut également suspendre, reprendre ou supprimer des tâches
d’impression.
■ Lpq Affiche des informations sur la file d’attente d’impression LPD spécifiée.
■ Net start Démarre le service spécifié. Faites appel aux commandes Net start spooler et
Net stop spooler pour démarrer ou arrêter le service de spouleur.

Remarque Pour consulter la liste des paramètres, tapez la commande


suivie directement de /? à l’invite de commandes ou tournez-vous vers le
Centre d’aide et support de Windows Server 2008.
■ Cscript %Windir%\System32\Prnmngr.vbs Ajoute, supprime ou liste les
imprimantes d’un serveur d’impression Windows.
■ Cscript %Windir%\System32\Prnjobs.vbs Permet d’afficher et de gérer les tâches
d’impression des partages d’imprimantes d’un serveur d’impression Windows.
■ Cscript %Windir%\System32\Prncfg.vbs Permet d’afficher et de modifier les
paramètres des imprimantes d’un serveur d’impression Windows.
■ Cscript %Windir%\System32\Prnqctl.vbs Suspend ou reprend l’impression, vide la
file d’attente ou imprime des pages de test.
■ Cscript %Windir%\System32\Prnport.vbs Administre tout ce qui touche aux ports
des imprimantes.
■ Cscript %Windir%\System32\Prndrvr.vbs Ajoute, supprime ou liste les pilotes des
imprimantes d’un serveur d’impression Windows.
Le chapitre 15 du tome 1, « Administration par les scripts », concerne l’usage des scripts
dans le cadre de l’administration en ligne de commandes.
182 Partie II Installation et configuration

Définir les options de sécurité


Les options de sécurité entrent en jeu lorsque vous possédez plusieurs imprimantes
dispersées et complètement différentes. Par exemple, il est peu souhaitable que n’importe qui
se serve de l’imprimante dernier cri achetée pour le service graphique. Autrement dit, les
paramètres de sécurité protègent les propriétés de l’imprimante ou de l’impression contre les
modifications non autorisées.
Pour définir les autorisations sur une imprimante, cliquez droit sur l’imprimante, choisissez
Propriétés et sélectionnez l’onglet Sécurité pour attribuer des autorisations à des groupes
d’utilisateurs. Cliquez sur Avancé pour contrôler davantage les autorisations ou activer
l’audit. Les résultats des paramètres d’audit apparaissent dans le journal Sécurité.
Une imprimante possède trois niveaux d’autorisations : Imprimer, Gestion des documents et
Gestion d’imprimantes. En voici la définition :
■ Imprimer Les utilisateurs ou groupes se connectent à l’imprimante, impriment des
documents et suspendent, redémarrent ou suppriment leurs propres documents à
partir de la file d’attente d’impression. Par défaut, Windows accorde cette autorisation
aux membres du groupe Tout le monde.
■ Gestion des documents Les utilisateurs ou groupes détenant l’autorisation Gestion
des documents possèdent l’autorisation Imprimer et peuvent en parallèle modifier les
paramètres de tous les documents dans la file d’attente d’impression et suspendre,
redémarrer ou supprimer les documents de n’importe quel utilisateur à partir de la file
d’attente. Windows accorde par défaut le niveau d’autorisation Gestion des documents
au groupe Créateur Propriétaire.
■ Gestion des imprimantes Les utilisateurs ou groupes détenant l’autorisation Gestion
des imprimantes possèdent les autorisations Gestion des documents et Imprimer et ont
la possibilité de modifier les propriétés des imprimantes, de supprimer des
imprimantes, de modifier les autorisations relatives et de prendre possession des
imprimantes. Le niveau d’autorisation Gestion des imprimantes équivaut à
l’autorisation Contrôle total dans Windows NT. Windows accorde par défaut ce niveau
d’autorisation aux opérateurs d’impression, aux opérateurs de serveur et aux
administrateurs.

Modifier les priorités de groupes et la disponibilité


des imprimantes
Il est possible de configurer une imprimante de sorte que les tâches d’impression soumises
par certains utilisateurs s’impriment avant celles d’autres utilisateurs ; vous donnez par
exemple la priorité aux managers ou aux groupes soumis à des délais plus serrés. On peut
aussi réserver une imprimante pour un usage exclusif par certains groupes pendant certaines
périodes ; par exemple, réservez une imprimante hors des heures normales d’activité de
Chapitre 10 Gestion des imprimantes 183

manière à ce que les groupes que vous spécifiez puissent imprimer des tâches volumineuses
et de priorité élevée.
Pour contrôler la disponibilité ou la priorité des groupes, créez deux ou davantage
d’imprimantes logiques pour une seule imprimante physique, attribuez à chaque imprimante
logique une priorité différente et/ou rendez-les disponibles à des moments différents, puis
accordez aux différents ensembles d’utilisateurs ou groupes l’autorisation d’imprimer sur
chaque imprimante logique.
Voici comment procéder :
1. Dans le menu Outils d’administration, ouvrez Gestion de l’impression. Accédez au
serveur d’impression où créer l’imprimante logique, cliquez droit sur Imprimantes et
choisissez Ajouter une imprimante. L’Assistant Installation de l’imprimante démarre.
2. Sélectionnez Ajouter une nouvelle imprimante via un port existant, choisissez le port
qui accueille l’imprimante physique, puis cliquez sur Suivant.
3. Choisissez Utiliser un pilote d’imprimante existant sur l’ordinateur et sélectionnez le
pilote dans la liste déroulante. Cliquez sur Suivant.
4. Attribuez à l’imprimante un nom qui décrit sa fonction ou son utilisateur. Cliquez sur
Suivant à deux reprises et terminez le processus d’installation.
5. Dans Gestion de l’impression, cliquez droit sur la nouvelle imprimante et choisissez
Propriétés.
6. Cliquez sur l’onglet Sécurité et attribuez les autorisations aux utilisateurs ou aux
groupes qui bénéficieront d’un accès spécial à cette imprimante.
7. Cliquez sur l’onglet Avancé, illustré par la figure 10-9. Si l’imprimante logique ne doit
être disponible qu’à certains moments, sélectionnez Disponible de et choisissez la
période.

Figure 10-9 Onglet Avancé de la boîte de dialogue Propriétés d’une imprimante


184 Partie II Installation et configuration

8. Pour changer la priorité des utilisateurs et des groupes qui se servent de cette
imprimante logique, tapez un nombre dans le champ Priorité. La plage de priorité
s’étend de 1, au plus bas, à 99, priorité la plus élevée.
9. Cliquez sur OK et répétez le processus pour toutes les autres imprimantes logiques que
vous avez associées à l’imprimante.

Spécifier une page de séparation


L’emploi d’une page de séparation avec les imprimantes fortement sollicitées évite les
confusions entre les différentes tâches d’impression et permet de distinguer aisément une
tâche par rapport à la suivante. Windows Server 2008 propose quatre pages de séparation
par défaut situées dans le dossier %WINDIR%\System32 :
■ Pcl.sep Passe l’imprimante en mode PCL (Printer Control Language) puis imprime une
page de séparation ;
■ Pscript.sep Passe l’imprimante en mode PostScript et n’imprime pas de page de
séparation ;
■ Sysprint.sep Passe l’imprimante en mode PostScript et imprime une page de
séparation ;
■ Sysprintj.sep Passe l’imprimante en mode PostScript avec prise en charge des
caractères japonais et imprime une page de séparation.
Si votre imprimante ne prend pas ces langages en charge, créez une page de séparation
personnalisée, comme le décrit l’encart « Pages de séparation personnalisées », plus loin dans
ce chapitre. Voici comment spécifier une page de séparation :
1. Dans la console Gestion de l’impression, cliquez droit sur l’imprimante à modifier et
choisissez Propriétés.
2. Cliquer sur l’onglet Avancé.
3. Cliquez sur Page de séparation pour sélectionner une page à insérer entre les
documents imprimés et aider à distinguer les tâches d’impression.

Pages de séparation personnalisées


Pour créer une page de séparation personnalisée, créez un fichier texte avec le Bloc-notes
ou un autre éditeur de texte, enregistrez-le avec l’extension de fichier .sep, puis créez
votre page de séparation. Sur la première ligne, tapez le caractère d’échappement à
employer (par exemple \), puis le texte à faire apparaître sur la page de séparation. Le
tableau 10-1 présente les commandes qui s’emploient sur une page de séparation.
L’exemple suivant montre une simple page de séparation où figurent le nom de
l’utilisateur, le numéro de la tâche ainsi que la date et l’heure de la tâche d’impression en
utilisant le caractère \ en tant que caractère d’échappement :
Chapitre 10 Gestion des imprimantes 185

\
\U\LNom Utilisateur : \N
\U\LTâche : \I
\U\LDate : \D
\U\LHeure : \T
\E

Tableau 10-1 Commandes de page de séparation

Commande Fonction
\ Caractère d’échappement employé par l’interprétateur du fichier
séparateur pour délimiter les commandes. Il peut s’agir de n’importe
quel caractère, mais ce tableau emploie \ comme exemple.
\Hn Envoie la séquence de contrôle n à l’imprimante. Reportez-vous au
manuel de l’imprimante pour connaître la séquence de contrôle à
employer avec votre appareil.
\Wn Spécifie la largeur de la page de séparation, c’est-à-dire les limites
au-delà desquelles Windows omet les caractères. La largeur par
défaut est de 80 et peut atteindre 256.
\n Saute le nombre de lignes que vous avez spécifié par n. Les numéros
valides vont de 0 à 9, 0 agissant comme retour chariot, ce qui renvoie
l’impression à la ligne suivante.
\Fpathname Imprime le contenu du fichier spécifié par le nom du chemin d’accès
directement à l’imprimante. Le fichier doit être fourni dans le langage
approprié pour l’imprimante.
\L Imprime tous les caractères qui suivent la commande \L jusqu’au
prochain caractère d’échappement.
\N Imprime le nom de l’utilisateur qui a soumis la tâche d’impression.
\I Imprime le numéro de la tâche d’impression.
\D Imprime la date d’impression de la tâche d’impression, selon
le format de date employé par le serveur d’impression.
\T Imprime l’heure d’impression de la tâche d’impression, selon
le format d’heure employé par le serveur d’impression.
\U Désactive l’impression en bloc de caractères dans le fichier séparateur
jusqu’à ce qu’elle soit explicitement activée.
\B\S Imprime des caractères dans un bloc de texte de largeur unique
jusqu’à ce que l’interprétateur du fichier séparateur rencontre une
commande \U.
\B\M Imprime des caractères dans un bloc de texte de largeur double
jusqu’à ce que l’interprétateur du fichier séparateur rencontre une
commande \U.
\E Éjecte la page en cours.
186 Partie II Installation et configuration

Modifier le spoulage d’impression par imprimante


Le spoulage d’impression, ou stockage de tâche d’impression sur le disque avant impression,
est ce qui reflète au mieux les performances d’impression et la vitesse réelle d’impression aux
utilisateurs. On peut changer le mode de fonctionnement du spoulage d’impression pour
corriger les problèmes liés à l’impression ou conserver les documents imprimés dans la file
d’attente de l’imprimante au cas où un utilisateur aurait à nouveau besoin de les imprimer.
Pour changer les paramètres de spoule d’une imprimante, cliquez droit sur l’imprimante à
modifier, choisissez Propriétés, puis exploitez les paramètres de l’onglet Avancé :

Spouler l’impression des documents pour qu’elle se termine


plus rapidement
Spoule les documents imprimés vers le serveur d’impression, libérant ainsi le client de
manière à ce qu’il passe plus rapidement à d’autres tâches.
■ Pour réduire le temps nécessaire à l’impression d’un document, sélectionnez
Commencer l’impression immédiatement.
■ Pour garantir à l’imprimante la disponibilité de la totalité du document lorsque
l’impression débute, sélectionnez Commencer l’impression après le transfert de la
dernière page dans le spouleur. Cette étape peut résoudre certains problèmes
d’impression et permet d’imprimer les documents de priorité élevée avant ceux dont la
priorité est plus basse.

Imprimer directement sur l’imprimante


Désactive le spoulage, ce qui entraîne un pic de performances sur le serveur (même si cela
peut résoudre certains problèmes d’impression).

Conserver les documents non conformes


Garde en file d’attente les documents qui ne sont pas conformes aux paramètres de
l’imprimante en cours (par exemple, les documents qui nécessitent une taille de papier
particulière alors que l’imprimante contient déjà du papier à lettres). Les autres documents
de la file d’attente ne sont pas affectés par les documents conservés.

Imprimer d’abord les documents présents dans le spouleur


d’impression
Imprime le document de priorité maximale qui est déjà dans le spouleur d’impression, avant
les documents de priorité supérieure en cours de spoulage. Cette option accélère la
production globale de l’imprimante en lui évitant d’attendre les documents à spouler.
Chapitre 10 Gestion des imprimantes 187

Conserver les documents imprimés


Conserve une copie des tâches d’impression dans la file d’attente de l’imprimante au cas où
des utilisateurs auraient besoin de les imprimer à nouveau. Dans ce cas, l’utilisateur soumet
à nouveau le document directement de la file d’attente sans avoir à ordonner une seconde fois
l’impression depuis l’application.

Modifier le spoulage sur un serveur d’impression


Par défaut, tous les événements d’avertissement sont consignés dans le journal Événements
de la page Services d’impression du Gestionnaire de serveur. Pour arrêter la journalisation de
ces événements, procédez comme suit :
1. Ouvrez le Panneau de configuration et sélectionnez Imprimantes.
2. Cliquez droit sur un emplacement vide de la fenêtre. Sélectionnez Exécuter en tant
qu’administrateur, puis Propriétés du serveur.
3. Cliquez sur l’onglet Avancé et supprimez la coche de la case Afficher les notifications
d’informations concernant les imprimantes réseau (voir figure 10-10).

Figure 10-10 Onglet Avancé de la boîte de dialogue


Propriétés de Serveur d’impression

4. Cliquez sur OK pour terminer.

Optimiser les performances du serveur d’impression


Pour optimiser les performances, utilisez un réseau de disques ou de lecteurs rapides et
dédiés uniquement au dossier de spoule d’imprimante et ne placez aucun fichier système
188 Partie II Installation et configuration

essentiel, en particulier les fichiers d’échange, sur ce lecteur. Le partage de fichiers présente
une priorité supérieure au partage d’imprimante ; attendez-vous donc à des performances
réduites si vous exploitez les deux services sur un serveur. Assurez-vous de placer les
serveurs d’impression sur le même segment de réseau que les utilisateurs et les imprimantes
et vérifiez que le lecteur est assez étendu pour contenir tous les documents de la file d’attente.
Si vous choisissez de conserver les documents imprimés, prévoyez un réseau de disques ou
lecteurs étendu.

Déplacer le dossier du spoulage d’impression


Par défaut, les tâches d’impression sont spoulées dans %WINDIR%\System32\
Spool\PRINTERS, mais cet emplacement n’est pas toujours idéal. Voici comment le changer :
1. Ouvrez le Panneau de configuration et sélectionnez Imprimantes.
2. Cliquez droit sur un emplacement vide de la fenêtre. Sélectionnez Exécuter en tant
qu’administrateur, puis Propriétés du serveur.
3. Cliquez sur l’onglet Avancé et saisissez le nouvel emplacement du dossier du spouleur.
Cliquez sur OK pour terminer.

Gérer les pilotes d’imprimante


À l’installation d’une imprimante, Windows installe la version du pilote qui correspond à
l’architecture du processeur employée par le serveur (x86, x64 ou Itanium). Pour se servir de
l’imprimante d’un ordinateur client qui exploite une autre architecture de processeur que le
serveur, il faut installer des pilotes supplémentaires. Par exemple, si le serveur exécute une
version 32 bits de Windows mais que l’ordinateur client fonctionne avec Windows XP
Professionnel Édition x64, vous devez installer des pilotes x64 sur le serveur pour toutes les
imprimantes sur lesquelles l’ordinateur client devra imprimer.
Il est possible qu’il soit également nécessaire de supprimer ou de réinstaller les pilotes
problématiques ou de configurer un pool d’imprimantes où deux voire davantage
d’imprimantes agissent comme une seule en vue d’optimiser la vitesse et la disponibilité.
Voici comment installer des pilotes d’imprimante que Windows télécharge automatiquement
sur un ordinateur client lorsqu’un utilisateur se connecte à l’imprimante :
1. Dans le menu Outils d’administration, ouvrez Gestion de l’impression. Dans la console,
cliquez droit sur le dossier Pilotes du serveur approprié et choisissez Gérer les pilotes.
2. Servez-vous de l’onglet Pilotes de la boîte de dialogue Propriétés de Serveur
d’impression pour gérer les pilotes :
■ Pour installer des pilotes, cliquez sur Ajouter et parcourez l’Assistant Ajout de
pilote d’imprimante pour installer les pilotes compatibles avec le système
d’exploitation et l’architecture du processeur appropriés.
Chapitre 10 Gestion des imprimantes 189

■ Pour supprimer un pilote obsolète ou problématique, sélectionnez-le et cliquez


sur Supprimer.
■ Pour afficher les détails relatifs à un pilote d’imprimante, sélectionnez le pilote et
cliquez sur Propriétés.

Remarque Lors de l’installation de nouveaux pilotes compatibles avec plusieurs


versions de système d’exploitation et/ou architectures de processeur, utilisez des
pilotes conçus pour fonctionner de concert, afin que les paramètres d’imprimantes
que vous spécifiez sur le serveur d’impression puissent s’appliquer aux ordinateurs
clients lorsqu’ils se connectent aux imprimantes. Certains fabricants d’imprimantes
fournissent à cet effet des packs de pilotes pour plusieurs plates-formes.

Windows vérifie automatiquement les nouveaux pilotes


Windows Server 2008 et Windows Vista téléchargent automatiquement les pilotes
d’imprimante lorsqu’ils se connectent à un partage d’imprimante Windows. Les clients
Windows XP, Windows 2003 et Windows 2000 recherchent automatiquement des
versions mises à jour des pilotes d’imprimante au démarrage et téléchargent les versions
les plus récentes du serveur d’impression, s’il en propose.

Créer des pools d’imprimantes


Un pool d’imprimantes sert à traiter un gros volume d’impression à un emplacement unique,
en particulier lorsque ce volume est constitué de documents de tailles diverses. Par exemple,
quelqu’un qui imprime un mémo d’une page risque d’afficher son mécontentement si son
document se retrouve dans la file d’attente derrière une tâche d’impression de plusieurs
centaines pages.
Si plusieurs imprimantes partagent un même pilote, vous pouvez les ajouter à un pool
d’imprimantes, lequel apparaît par la suite aux utilisateurs comme une seule imprimante.
L’avantage d’exploiter un pool d’imprimantes est que les clients impriment sur la seule
imprimante logique du serveur d’impression, lequel envoie ensuite la tâche d’impression à la
première imprimante disponible. Si une imprimante du pool est déconnectée, Windows
envoie les tâches d’impression aux autres imprimantes du pool, ce qui optimise la
productivité pour les utilisateurs. Les pools d’imprimantes simplifient également
l’administration car vous gérez toutes les imprimantes du pool à partir d’une imprimante
logique ; si vous modifiez les propriétés de l’unique imprimante logique, les modifications se
répercutent sur toutes les imprimantes physiques du pool.

Remarque Disposez les imprimantes physiques d’un pool d’imprimantes dans


un petit périmètre afin de retrouver plus aisément sa tâche d’impression achevée.
190 Partie II Installation et configuration

Voici comment installer un pool d’imprimantes :


1. Dans la console Gestion de l’impression, cliquez droit sur l’imprimante logique à placer
dans le pool et choisissez Propriétés.
2. Cliquez sur l’onglet Ports.
3. Cochez la case Activer le pool d’imprimante.
4. Pour ajouter une imprimante au pool, sélectionnez le port auquel l’imprimante est
connectée.
Si l’imprimante est une imprimante réseau et que vous ne l’avez pas encore ajoutée au
serveur, cliquez sur Ajouter un port pour ajouter un nouveau port d’imprimante TCP/
IP standard. Reportez-vous à la section « Installer des imprimantes », précédemment
dans ce chapitre.
5. Pour modifier les paramètres d’essai de retransmission d’un port, sélectionnez le port et
cliquez sur Configurer le port.

Remarque Toutes les imprimantes d’un pool doivent être en mesure d’utiliser le
même pilote d’imprimante—si vous ajoutez un pilote incompatible dans un pool
d’imprimantes, certains documents pourraient ne pas s’imprimer correctement.

Se préparer en cas d’échec du serveur d’impression


Si possible, il est intéressant de disposer d’un serveur d’impression auxiliaire destiné à
sauvegarder le serveur principal. En cas d’échec du serveur principal, l’administrateur envoie
des messages électroniques aux utilisateurs pour leur indiquer de choisir ServeurRéserve2
(par exemple) pour imprimer. Si cette option constitue la solution la plus simple pour
l’administrateur, elle complique inévitablement la tâche de certains utilisateurs qui auront
des difficultés à se connecter à une autre imprimante. Si vous avez planifié le serveur
d’impression en heure creuse, il est possible de faire appel à la console Gestion de
l’imprimante pour déployer les connexions d’imprimantes sur le serveur de sauvegarde et
supprimer les connexions du serveur hors ligne.
Créez un alias sur un serveur d’impression de sauvegarde de sorte que le serveur de
sauvegarde apparaisse aux clients et non le serveur principal. Le serveur d’impression de
sauvegarde doit se connecter aux mêmes imprimantes réseau que le serveur principal et
employer les mêmes noms de partage. Faites appel à l’Assistant Migration d’imprimante pour
copier la configuration du serveur principal vers le serveur de sauvegarde (voir la section
« Exploiter l’Assistant Migration d’imprimante », précédemment dans ce chapitre). Voici
comment faire alterner les utilisateurs :
1. Ouvrez l’éditeur de registre (Regedit.exe) et recherchez la clé de registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

2. Créez une nouvelle valeur de chaîne nommée OptionalNames avec le nom du serveur
principal comme donnée.
Chapitre 10 Gestion des imprimantes 191

3. Créez une nouvelle valeur DWORD nommée DisableStrictNameChecking de


valeur 1.

Important La valeur de registre DisableStrictNameChecking permet à


quelqu’un du réseau interne d’employer le paramètre OptionalNames pour
usurper l’identité d’un ordinateur ; la résolution de noms ne sera en
revanche plus fiable, sauf si cette personne a également affecté le serveur
DNS et/ou WINS.
4. Créez un enregistrement d’alias DNS (CNAME) qui mappe le nom DNS du serveur
principal sur le nom DNS du serveur de sauvegarde.
5. Si vous exploitez WINS sur le réseau, créez une réservation DHCP pour le serveur
d’impression de sauvegarde de sorte que son adresse IP ne change pas, puis créez un
nouveau mappage statique dans WINS pour mapper le nom NetBIOS du serveur
d’impression principal sur l’adresse IP du serveur d’impression de sauvegarde.
Reportez-vous au chapitre 18 du tome 1, « Administration de TCP/IP », pour en savoir
plus sur l’administration de WINS, DHCP et DNS.
6. Redémarrez le serveur.
7. Pour rétablir le serveur d’impression principal en ligne, supprimez les nouvelles
valeurs de registre, l’alias DNS et l’enregistrement WINS, puis redémarrez le serveur.

Remarque Si une imprimante échoue sur le serveur d’impression mais


pas le serveur lui-même, il est très simple de diriger les utilisateurs vers
une autre imprimante qui utilise le même pilote. Les imprimantes récentes
issues du même type de modèles fonctionnent souvent avec le même
pilote. Pour ce faire, cliquez droit sur l’imprimante, choisissez Propriétés,
cliquez sur l’onglet Ports et sélectionnez le port de l’imprimante vers lequel
rediriger les utilisateurs de l’imprimante défaillante. Il peut s’agir d’un port
local, d’un port réseau ou d’un partage d’imprimante sur un autre serveur
d’impression. Il est aussi possible de créer un pool d’imprimantes pour
automatiser le basculement d’une imprimante vers une autre utilisant le
même pilote. Si votre réseau requiert un niveau très élevé de performances
d’impression et de fiabilité, installez un cluster de serveur d’impression.
Vous augmentez ainsi la capacité et réalisez un basculement automatique
au cas où un serveur ne répondrait plus. Le clustering est expliqué en
détails au chapitre 21 du tome 1, « Clusters ».

Dépanner les imprimantes


À l’instar des autres types de problème, le dépannage des problèmes d’impression consiste en
premier lieu à isoler et à identifier le problème, puis à déterminer les mesures à prendre pour
le résoudre. Cette section est destinée à vous aider à diagnostiquer les problèmes
d’impression, à localiser le sous-système d’impression où se produit l’erreur et donne
quelques indications spécifiques qui facilitent la résolution du problème.
192 Partie II Installation et configuration

Côté serveur
Voici les catégories qui regroupent les principaux problèmes d’impression :

Problèmes physiques
Inclut les problèmes relatifs à l’imprimante et aux connexions : bourrage papier, manque
d’encre ou de toner, etc.

Problèmes du serveur d’impression


Inclut les problèmes relatifs aux pilotes d’imprimante, aux niveaux d’autorisations et à l’état
du logiciel.

Problèmes de connectivité réseau


Comprend les échecs de communication entre les serveurs et les clients, ce qui affecte les
paramètres réseau ou les protocoles. Ces problèmes sont à dépanner sur le client ou sur le
serveur, selon l’endroit où le problème de connectivité s’est produit.

Problèmes de clients
Comprend les problèmes relatifs aux pilotes d’imprimante, aux autorisations et aux
applications.
Déterminez si possible la catégorie du problème avant d’entrer dans les détails. De nombreux
problèmes se règlent au niveau du serveur, ce qui évite d’avoir à se rendre physiquement sur
l’ordinateur client. Cela se révèle particulièrement utile si l’ordinateur et l’imprimante sont
disposés à plusieurs étages ou bâtiments de votre bureau. Essayez plusieurs alternatives
jusqu’à isoler les problèmes aussi précisément que possible, puis prenez les mesures
courantes pour résoudre le problème.
Si vous savez déjà d’où vient le problème, rendez-vous directement au titre de la section qui
vous concerne et poursuivez.

Informations supplémentaires Si vous ne parvenez pas à résoudre les


problèmes à l’aide des informations de cette section, consultez la Base de
connaissances Microsoft du site Web de Microsoft, à l’adresse
http://support.microsoft.com/?ln=FR.

Mauvaise impression du document


Si un document s’imprime mais qu’il n’apparaît pas net ou présente un autre défaut, cela
signifie qu’un problème de compatibilité a lieu entre le client, le pilote d’imprimante et
l’imprimante. Assurez-vous que le client exploite le bon pilote d’imprimante client et que le
serveur emploie le bon pilote d’imprimante. Si le client exécute une version x64 de
Chapitre 10 Gestion des imprimantes 193

Windows, obtenez une version x64 native du pilote d’imprimante correspondant au modèle
d’imprimante que vous exploitez et non un pilote destiné à un modèle similaire.
Installez une imprimante logique dupliquée pour savoir si le pilote d’imprimante est
corrompu. Si le problème persiste, modifiez les paramètres du spoule sur le pilote client. Si
plusieurs clients rencontrent le même problème, changez le pilote d’imprimante du serveur.
En particulier, changez les options de l’onglet Avancé de la boîte de dialogue Propriétés de
l’imprimante (la section « Modifier le spoulage d’impression par imprimante » contient une
procédure plus détaillée) :
■ Pour garantir à l’imprimante la disponibilité de la totalité du document lorsque
l’impression débute, sélectionnez l’option Commencer l’impression après le transfert
de la dernière page dans le spouleur.
■ Si vous rencontrez encore des problèmes d’impression, choisissez l’option Imprimer
directement sur l’imprimante pour désactiver le spoulage. De cette manière, vous
réduisez les performances du serveur.
■ Supprimez la coche de la case Activer les fonctionnalités d’impression avancées sur le
serveur d’impression pour désactiver le spoulage des métafichiers, lequel désactive
certaines options d’imprimante comme l’ordre des pages, l’impression de brochures et
les pages par feuille (si disponible avec l’imprimante).

Remarque Si l’imprimante possède plusieurs bacs de modèles différents, adaptez


le modèle au bac de sorte que les documents de ce modèle s’impriment toujours
correctement. Sous le titre Affectation d’un modèle à un bac, sélectionnez chaque
bac et choisissez le modèle contenu par le bac. Si l’imprimante prend en charge la
protection de page et qu’elle dispose d’au moins 1 Mo de mémoire optionnelle,
cliquez sur l’onglet Paramètres du périphérique et activez cette option pour garantir
le résultat de l’impression de pages complexes. Si vous activez cette option,
l’imprimante crée chaque page en mémoire avant de commencer l’impression.

Échec de l’impression du document


Si le document ne s’imprime pas du tout, testez ces étapes de dépannage l’une après l’autre :
■ Si une erreur indique que le pilote d’imprimante approprié n’est pas disponible en
téléchargement, sur le serveur d’impression installez les pilotes d’imprimante qui
correspondent au système d’exploitation et à l’architecture du processeur de
l’ordinateur client. Reportez-vous à la section « Gérer les pilotes d’imprimante »,
précédemment dans ce chapitre.
■ Une erreur indiquant que le pilote d’imprimante est indisponible peut désigner un
problème de connectivité réseau ou indiquer que l’utilisateur ne dispose pas des
autorisations Imprimer sur l’imprimante. Reportez-vous à la section « Définir les
options de sécurité », précédemment dans ce chapitre.
■ Si le nombre d’accès disque est important et que le document ne s’imprime pas, vérifiez
que le lecteur comportant le dossier de spoule du client contient assez d’espace libre
194 Partie II Installation et configuration

pour le document spoulé. Reportez-vous à la section « Modifier le spoulage


d’impression par imprimante », précédemment dans ce chapitre.
■ Déterminez s’il est possible de voir et de connecter le serveur d’impression dans le
réseau. Copiez un fichier sur le serveur d’impression pour savoir si vous pouvez
accéder au serveur. En général, si on ne peut pas accéder au serveur d’impression, il
n’est pas possible d’accéder aux imprimantes connectées.
■ Imprimez un document test à partir du Bloc-notes Microsoft. Si vous pouvez imprimer
avec le Bloc-notes, cela signifie que les pilotes d’imprimante sont valides et que c’est
probablement l’application qui pose problème.
■ Si vous ne pouvez pas imprimer avec le Bloc-notes, essayez d’imprimer à partir de la
ligne de commandes en tapant la commande echo test> [nom port imprimante], où nom
port imprimante est le nom de partage de l’imprimante réseau.

Échec de l’impression à partir d’une application spécifique


Certaines applications rencontrent des problèmes d’impression dans Windows. Voici
quelques problèmes susceptibles de se produire :
■ Lors de la configuration d’une imprimante dans une application, un message d’erreur
« Accès refusé » s’affiche si vous ne disposez pas des privilèges nécessaires pour
modifier la configuration de l’imprimante. Pour changer les paramètres avancés de
l’imprimante, il vous faut bénéficier des autorisations Gestion des imprimantes.
■ Si un programme MS-DOS n’imprime pas, fermez-le. Certains programmes MS-DOS
imposent d’être fermés pour imprimer. En outre, exécutez la commande net use pour
mapper un port local sur l’imprimante partagée. Pour de plus amples informations,
lisez l’article 314499 de la Base de connaissances Microsoft à l’adresse
http://support.microsoft.com/kb/314499.

Informations supplémentaires Si vous rencontrez d’autres problèmes,


consultez le fichier Printers.t xt du CD-ROM d’installation du système
d’exploitation client s’il s’agit d’un système Windows 2003, Windows XP ou
Windows 2000. N’hésitez pas à consulter également la Base de connaissances
Microsoft à l’adresse http://support.microsoft.com/?ln=FR.

Documents bloqués à supprimer


Si des documents ne s’impriment pas ou que vous ne parvenez pas en supprimer de la file d’attente,
il est possible que le spouleur d’impression soit bloqué. Cela affecte également les services de
télécopie que le serveur exécute. Voici comment redémarrer le service Spouleur d’impression :
1. Démarrez le Gestionnaire de serveur. Dans l’arborescence de la console, sélectionnez
Configuration, puis Services.
2. Dans le volet de droite, cliquez droit sur Spouleur d’impression, puis sélectionnez
Redémarrer.
Chapitre 10 Gestion des imprimantes 195

3. Pour spécifier un processus de récupération à exécuter en cas d’échec du service


Spouleur d’impression, double cliquez sur Spouleur d’impression et sélectionnez
l’onglet Récupération. Cliquez sur la mesure à prendre en cas de Première défaillance,
Deuxième défaillance et Défaillances suivantes, puis cliquez sur OK.
4. Pour visualiser les services (comme l’appel de procédure distante) dont dépend le
spouleur d’impression, double cliquez sur le service Spouleur d’impression, puis
cliquez sur l’onglet Dépendances. Cet onglet présente également les services qui
dépendent du spouleur d’impression pour fonctionner correctement.

Remarque Pour redémarrer le spouleur d’impression à l’invite de commandes,


tapez net stop "print spooler" puis net start "print spooler".

Vérifier l’état du serveur d’impression


Vérifiez l’état du serveur d’impression à distance. Pour ce faire, aidez-vous de la liste
suivante :
■ Recherchez les documents bloqués ou les messages d’erreur dans la file d’attente ou sur
la page Web de configuration de l’imprimante (si disponible). Si l’imprimante manque
de papier ou de toner ou en cas de bourrage papier, un message d’erreur y figure
souvent.
■ Assurez-vous que le lecteur contenant le dossier du spouleur dispose de suffisamment
d’espace libre.
■ Si des documents ne s’impriment pas nettement, cela signifie peut-être que
l’imprimante emploie un mauvais type de données (EMF ou raw). Essayez avec le type
de données raw pour voir si le problème est corrigé. Dans la boîte de dialogue
Propriétés de l’imprimante, supprimez la coche de la case Activer les fonctionnalités
d’impression avancées de l’onglet Avancé. Reportez-vous à la section « Modifier le
spoulage d’impression par imprimante », précédemment dans ce chapitre.
■ Regardez si des documents sont en cours d’impression. Si la file d’attente ne comporte
aucun document, imprimez un document ou une page de test depuis le serveur
d’impression pour vérifier si le serveur d’impression imprime correctement.
■ Si certains documents de la file d’attente ne s’impriment pas et qu’il vous est impossible
de les supprimer, il se peut que le spouleur d’impression soit bloqué. Redémarrez le
service Spouleur d’impression pour voir si cela corrige le problème. Ajoutez une autre
imprimante logique (pilote d’imprimante) pour l’imprimante afin d’exclure la
possibilité d’un pilote d’imprimante corrompu.

Remarque Pour éviter que des documents dont la langue est particulière
s’impriment lentement, installez sur les serveurs d’impression les polices de
toutes les langues que les clients vont employer. Pour ce faire, copiez les polices
dans le dossier %WINDIR%\Fonts du serveur d’impression et ouvrez le dossier
Fonts (ou redémarrez le serveur).
196 Partie II Installation et configuration

Côté client
Si le problème ne se situe pas côté serveur, poursuivez votre recherche sur l’ordinateur client
et l’imprimante.

Imprimer depuis l’ordinateur client problématique


Imprimez depuis l’ordinateur client et prenez note des messages d’erreur. Ces messages
délivrent souvent l’origine du problème ou donnent au moins quelques indices. Si le
document s’imprime correctement, il s’agit peut-être simplement d’une erreur de l’utilisateur.
Sinon, le problème peut concerner un programme en particulier ou une incompatibilité avec
le pilote d’imprimante.

Contrôler l’imprimante
Si vous avez exclu les clients et le serveur comme étant la source du problème, mais qu’il est
toujours impossible d’imprimer un document, recherchez également du côté de
l’imprimante. Suspendez la file d’attente et contrôlez l’imprimante. Rapporte-t-elle un
message d’erreur ? Cela se produit en cas de bourrage papier, si l’imprimante manque de
toner ou si elle requiert une petite séance d’entretien. Assurez-vous que le voyant lumineux
correspondant à l’état prêt ou en ligne est allumé, que le câble de l’imprimante et le câble
réseau sont bien branchés et que le voyant lumineux en regard du port réseau est allumé (le
cas échéant).
S’il est toujours impossible d’imprimer, imprimez une page de test directement depuis
l’imprimante. La plupart des imprimantes prend en charge cette fonction. Si la page de test
s’imprime, configurez un autre serveur d’impression avec l’imprimante. Si vous parvenez à
imprimer depuis un serveur d’impression différent, cela signifie que le problème provient du
serveur d’impression d’origine. Exploitez le programme Ping.exe pour récupérer l’adresse IP
de l’imprimante.

Résumé
Presque tous les réseaux nécessitent des services d’impression détaillés et fiables. À part une
défaillance du réseau ou la perte de l’accès à l’Internet, rien n’est plus angoissant et frustrant
que l’impossibilité d’imprimer. Il est aussi essentiel de répondre aux besoins d’impression
actuels que de préparer les extensions et les changements pour concevoir une stratégie
d’impression durable.
Le chapitre qui suit est consacré à un autre domaine fondamental : la gestion des comptes
utilisateur et de groupe.
Chapitre 11
Gestion des utilisateurs
et des groupes
Généralités sur les groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Planifier les unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Planifier une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Mettre une stratégie de groupe en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Gérer les groupes par défaut et les droits utilisateur . . . . . . . . . . . . . . . . . . . . . . . 208
Créer des comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Gérer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Dossiers de base. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Profils utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

Les réseaux deviennent si omniprésents qu’ils sont supposés un fait accompli. Ce n’est qu’en
son absence que l’on remarque la présence du réseau. Et dans ce cas, la panique qui en
découle s’entend de loin. En effet, un réseau a pour tâche principale de fournir aux
utilisateurs tous les outils dont ils ont besoin et d’éliminer tout élément qui pourrait retarder
leur progression. Les utilisateurs doivent accéder à des fichiers, à des répertoires, à des
applications, à des imprimantes et à des connexions Internet, dans le cadre de leur travail. Ce
dont ils n’ont pas besoin, c’est d’avoir des problèmes pour utiliser ce qui leur est réellement
nécessaire.
L’administrateur a des besoins supplémentaires. Par exemple, il doit cacher aux utilisateurs ce
qu’ils ne doivent pas savoir afin de protéger le réseau des utilisateurs malveillants ou
dangereux, et de les protéger contre eux-mêmes. Toute cette organisation repose sur la
création de groupes, de comptes utilisateur et de stratégies de groupe.

Généralités sur les groupes


Les groupes, sous Windows Server 2008, sont des objets des Services de domaine Active
Directory (AD DS) ou des objets locaux, lesquels contiennent des utilisateurs, des contacts,
des ordinateurs ou d’autres groupes. En général, un groupe contient des comptes utilisateur.
Les groupes simplifient l’administration : au lieu d’affecter des droits et des autorisations à
chaque utilisateur individuel, l’administrateur les affecte à des groupes.

197
198 Partie II Installation et configuration

Windows Server 2008 gère deux types de groupes : les groupes de sécurité et les groupes de
distribution. Presque tous les groupes employés par Windows Server 2008 sont des groupes
de sécurité, car ce sont les seuls groupes par le biais desquels sont affectés les privilèges.
Chaque groupe de sécurité dispose d’une étendue de groupe, qui définit la façon dont les
autorisations sont affectées à ses membres. Les programmes capables d’interroger Active
Directory peuvent utiliser les groupes de sécurité à des fins n’ayant rien à voir avec la sécurité,
par exemple pour envoyer des messages à un groupe d’utilisateurs. Les groupes de
distribution ne disposent pas de fonctionnalités de sécurité, et l’on ne peut pas leur affecter
de privilèges.
Plusieurs sections de ce chapitre sont consacrées aux droits des utilisateurs et à la manière de
les définir et de les affecter aux groupes. Le chapitre 12 du tome 1, « Gestion des ressources
de fichiers », complète ces sections par une étude des autorisations et de la manière de les
octroyer.

Affecter des étendues de groupe


Lors de la création d’un groupe, celui-ci se voit affecter une étendue qui définit les modalités
d’affectation des autorisations. Les trois types d’étendues (globale, locale de domaine et
universelle) seront étudiés dans les sections qui suivent.

Étendue globale
Un groupe ayant une étendue globale est global en ce sens que l’on peut lui accorder des
autorisations pour des ressources situées dans tous les domaines. Toutefois, les membres de
ce groupe peuvent uniquement être issus du domaine dans lequel il a été créé. Dans cette
acception, le groupe n’est pas global. Les groupes globaux conviennent aux objets de
l’annuaire qui nécessitent une maintenance régulière, par exemple pour les comptes
utilisateur et d’ordinateur. Un groupe global, qui peut être membre d’un groupe universel ou
d’un groupe local de n’importe quel domaine, peut contenir les membres suivants :
■ D’autres groupes globaux du même domaine ;
■ Des comptes individuels issus du même domaine.

Étendue de domaine local


Un groupe de domaine local est l’inverse d’un groupe global : ses membres peuvent être issus
de n’importe quel domaine, mais ils bénéficient uniquement d’autorisations sur les
ressources du domaine dans lequel le groupe a été créé. Les membres d’un groupe local de
domaine ont un besoin commun d’accéder à certaines ressources d’un certain domaine. Un
groupe de domaine local peut avoir les membres suivants :
■ D’autres groupes de domaine locaux dans le même domaine ;
■ Des groupes globaux issus de n’importe quel domaine ;
■ Des groupes universels issus de n’importe quel domaine ;
Chapitre 11 Gestion des utilisateurs et des groupes 199

■ Des comptes individuels issus de n’importe quel domaine ;


■ Un mélange des éléments ci-dessus.

Étendue universelle
Un groupe de sécurité universel peut contenir des membres provenant de tous les domaines
et se voir doter d’autorisations sur les ressources de tous les domaines. Voici les membres que
peut avoir un groupe universel :
■ D’autres groupes universels ;
■ Des groupes globaux ;
■ Des comptes individuels.

Consolidez les groupes répartis sur plusieurs domaines en vous servant de groupes d’étendue
universelle. Pour ce faire, ajoutez les comptes aux groupes d’étendue globale et imbriquez-les
dans des groupes d’étendue universelle. Il ne faut pas abuser des groupes universels, car ils
risquent de dégrader les performances du réseau, comme l’explique l’encart « Impact des
groupes sur les performances du réseau ».

Impact des groupes sur les performances du réseau


Il est d’autant plus important de planifier les groupes que leur organisation risque
d’impacter négativement les performances du réseau. Quand un utilisateur ouvre une
session sur le réseau, le contrôleur du domaine détermine à quels groupes appartient
l’utilisateur et affecte à ce dernier un jeton de sécurité qui énumère les ID de tous ces
groupes, en plus de l’ID de l’utilisateur. Plus il y a de groupes contenant l’utilisateur, plus
longues sont la création du jeton et l’ouverture de la session.
En outre, une fois constitué, le jeton de sécurité est envoyé à tous les ordinateurs
auxquels accède l’utilisateur. L’ordinateur cible compare tous les ID de sécurité du jeton
aux autorisations concernant toutes les ressources partagées de cet ordinateur. La
comparaison entre un grand nombre d’utilisateurs et un grand nombre de ressources
partagées (dont des répertoires individuels) risque de consommer pas mal de bande
passante et de temps processeur. Une solution consiste à limiter le nombre de membres
dans les groupes de sécurité. Utilisez des groupes de distribution pour les catégories
d’utilisateurs qui n’ont pas besoin de privilèges spécifiques.
Les groupes universels ont un impact spécial sur les performances, car ils sont inscrits,
avec leurs membres, dans le catalogue global. Toute modification des membres d’un
groupe universel se propage vers tous les serveurs de catalogue global de l’arborescence
des domaines, ce qui augmente le trafic de réplication sur le réseau. Les groupes globaux
ou les groupes locaux de domaine figurent aussi dans le catalogue global, mais pas leurs
membres. Une bonne solution consiste donc à placer, dans les groupes universels,
essentiellement des groupes globaux.
200 Partie II Installation et configuration

Planifier les unités d’organisation


Les unités d’organisation (OU, Organizational Units) sont, comme le nom l’indique, des outils
pour organiser les collections d’objets dans un domaine. Une OU peut contenir n’importe
quelle collection d’objets Active Directory comme des imprimantes, des ordinateurs, des
groupes, ainsi que d’autres OU.
Dans le passé, un domaine qui devenait trop compliqué était généralement éclaté en
plusieurs domaines. Les OU constituent une alternative à cette pratique en créant une sous-
structure très souple d’emploi. Les OU sont organisées de façon hiérarchique dans un
domaine et le contrôle administratif peut être délégué au niveau d’une simple OU ou de toute
une sous-arborescence d’OU. Une OU est la plus petite entité pour laquelle vous pouvez
déléguer le contrôle administratif. Elle peut être modifiée, déplacée, renommée et même
supprimée. Enfin, une OU ne requiert pas de contrôleur de domaine associé, contrairement
au domaine.

Unités organisationnelles ou nouveau domaine ?


Il n’existe pas de règle bien définie pour décider si un réseau en expansion doit être
divisé en domaines séparés ou en nouvelles OU. Dans la liste ci-dessous, si au moins un
élément s’applique, la création de plusieurs domaines pourrait constituer une bonne
solution :
■ Une administration décentralisée est nécessaire.
■ Le réseau englobe des départements concurrents ou des joint ventures.
■ Des parties du réseau sont séparées par des liens très lents (modems analogiques
par exemple) ce qui crée des problèmes lors des réplications. Si les liens sont
simplement lents, vous pouvez employer plusieurs sites au sein d’un même
domaine ; la réplication sera moins fréquente.
■ Différentes stratégies de comptes sont nécessaires, or elles s’appliquent au niveau
du domaine. Dans ce cas, des domaines différents s’imposent.
La liste suivante décrit des situations où l’emploi des OU est préférable :
■ Il est nécessaire de mettre en place une administration localisée et/ou de proximité.
■ La structure de l’entreprise impose le classement des objets réseau dans des
conteneurs séparés.
■ La structure que vous souhaitez mettre en place évoluera prochainement.
Comme vous le constatez, lorsque la situation demande une structure souple, les OU
constituent une bonne réponse.

Les OU ne sont que des conteneurs. Elles n’impliquent pas la notion d’appartenance ou
d’entités de sécurité. Les droits et les autorisations sont accordés aux utilisateurs via
l’appartenance aux groupes. Lorsque les groupes sont construits, utilisez des OU ou
Chapitre 11 Gestion des utilisateurs et des groupes 201

organisez des objets de groupes et assignez les paramètres de stratégie de groupe. L’emploi de
la stratégie de groupe est traité au chapitre 13 du tome 1.

Créer des unités d’organisation


Il est simple de créer des OU. Elles apparaissent ensuite comme des dossiers dans une
structure de domaine. Voici comment procéder :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Cliquez droit sur le domaine, sélectionnez Nouveau puis Unité d’organisation. La boîte
de dialogue de la figure 11-1 apparaît.

Figure 11-1 Création d’une nouvelle unité d’organisation

3. Dans la boîte de dialogue Unité d’organisation, tapez le nom de l’OU et cliquez sur OK.

Remarque Par défaut, la case Protéger le conteneur contre une suppression


accidentelle est cochée. Cette option actualise le descripteur de sécurité de
l’objet et éventuellement de son parent, ce qui empêche les administrateurs et
les utilisateurs de ce domaine et contrôleur de domaine de supprimer cet objet.
Elle ne protège néanmoins pas contre une suppression accidentelle d’une sous-
arborescence contenant l’objet protégé. Aussi, pour optimiser la protection,
activez ce paramètre pour tous les conteneurs d’objets protégés jusqu’au
contexte de nommage du domaine.

Déplacer des unités d’organisation


L’un des aspects les plus intéressants d’une OU est qu’elle peut être déplacée d’un conteneur
à un autre ou même d’un domaine à un autre. Voici comment déplacer une OU :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
202 Partie II Installation et configuration

2. Cliquez droit sur l’OU et choisissez Déplacer dans le menu contextuel.


3. Dans la boîte de dialogue du même nom, sélectionnez le nouvel emplacement de l’OU
et cliquez sur OK.

Important Dans Windows Server 2008, il est simple de déplacer des OU, mais
si l’on déplace des OU liés à des objets de stratégie de groupe, des
conséquences inattendues peuvent se produire. Réfléchissez attentivement aux
conséquences du déplacement de l’OU sur la topologie globale de la Stratégie
de groupe et vérifiez son comportement après le déplacement.

Supprimer des unités d’organisation


Il est facile de supprimer une OU. Toutefois, faites attention car en supprimant une OU, vous
supprimez aussi son contenu. Il est donc facile d’effacer toutes les ressources et les comptes
utilisateur contenus dans une OU l’on travaille dans la précipitation. Voici comment
supprimer une OU :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Cliquez droit sur l’OU et choisissez Supprimer.
3. Cliquez deux fois sur OK pour confirmer la suppression.

Planifier une stratégie de groupe


Si l’on examine un réseau et les différents types de groupe et que l’on décompose ensuite les
besoins spécifiques, on se trouve souvent confronté à une sorte d’infernal puzzle logique :
Claire vit dans une maison bleue, Hélène collectionne les timbres, Charles conduit un break
et Joël mange du fromage. Qui a les cheveux rouges ? Quoi qu’il en soit, comme dans bien
d’autres aspects de l’administration réseau, la planification est essentielle.

Déterminer les noms des groupes


Lors de la planification des groupes, optez pour un schéma de dénomination adapté à votre
entreprise. Tenez compte de deux facteurs :
■ Les noms de groupes doivent être parlants. Ainsi, les administrateurs consultant
Active Directory n’auront pas à se casser la tête pour deviner ce que recouvre tel ou tel
nom de groupe.
■ Les groupes comparables doivent porter des noms similaires. Si chaque domaine
contient un groupe de techniciens, prenez des noms du genre TechEurope,
TechAmNord et TechAsie.
Chapitre 11 Gestion des utilisateurs et des groupes 203

Groupes globaux et de domaine local


Développez une stratégie concernant l’utilisation des différents groupes. Par exemple, vous
décidez que les utilisateurs ayant des responsabilités similaires doivent appartenir à un même
groupe global. Vous ajoutez donc les comptes utilisateur de tous les techniciens PAO à un
groupe global nommé Graphistes. De même, vous créerez d’autres groupes globaux pour les
utilisateurs ayant des besoins communs. Identifiez ensuite les ressources auxquelles doivent
accéder les utilisateurs et créez des groupes de domaine local pour ces ressources. Si, par
exemple, vous disposez de plusieurs imprimantes couleurs et traceurs utilisés par des
services bien précis, vous pouvez créer un groupe de domaine local nommé
Impris&Traceurs.
Il faut ensuite déterminer quels sont les groupes globaux qui devront accéder aux ressources
identifiées. Dans notre exemple, on ajoute le groupe global Graphistes au groupe de domaine
local Impris&Traceurs, en compagnie d’autres groupes globaux devant accéder aux
imprimantes et aux traceurs. On affecte l’autorisation d’utiliser les ressources de
Impris&Traceurs au groupe de domaine local Impris&Traceurs.
Souvenez-vous que les groupes globaux risquent de compliquer l’administration dans un
contexte à domaines multiples. Les groupes globaux, issus de domaines différents, doivent se
voir affecter individuellement leurs autorisations. En outre, le fait d’affecter des utilisateurs à
un groupe de domaine local puis d’accorder des autorisations au groupe ne permet pas à ses
membres d’accéder aux ressources extérieures au domaine.

Groupes universels
Si vous exploitez les groupes universels, retenez ceci :
■ Évitez de placer des comptes utilisateur dans les groupes universels, afin de réduire le
trafic de réplication.
■ Placez, dans les groupes universels, des groupes globaux provenant de plusieurs
domaines, afin que les membres puissent accéder aux ressources de plusieurs
domaines.
■ Un groupe universel peut appartenir à un groupe de domaine local ou à un autre
groupe universel, mais pas à un groupe global.

Mettre une stratégie de groupe en œuvre


Une fois la stratégie planifiée et testée dans toutes sortes de cas de figure, commencez à
mettre en place la structure.
204 Partie II Installation et configuration

Créer des groupes


Servez-vous de la console Utilisateurs et ordinateurs Active Directory pour créer et
supprimer des groupes. Créez vos groupes dans le conteneur Users ou dans une OU que
vous aurez créée à seule fin d’y placer des groupes. Voici comment créer un groupe :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Développez le domaine dans lequel créer le groupe.
3. Cliquez droit sur le conteneur, pointez sur Nouveau et choisissez Groupe dans le menu
contextuel pour ouvrir la boîte de dialogue de la figure 11-2.

Figure 11-2 Création d’un nouveau groupe

4. Complétez les informations demandées :


■ Le nom du groupe doit être unique dans le domaine.

■ Le nom de groupe tel qu’il apparaît aux systèmes d’exploitation antérieurs à


Windows 2000 est complété automatiquement. Ces systèmes d’exploitation ne
sont plus pris en charge, mais peuvent toujours exister en cas de situation
d’héritage.
■ Dans la section Étendue de groupe, choisissez Domaine local, Globale ou
Universelle.
■ Dans la section Type de groupe, choisissez Sécurité ou Distribution.

5. Lorsque vous avez terminé, cliquez sur OK. Le nouveau groupe apparaît dans l’OU
sélectionnée. Vous devrez éventuellement patienter quelques minutes que le groupe se
réplique sur le catalogue global avant d’ajouter des membres.
Chapitre 11 Gestion des utilisateurs et des groupes 205

Remarque Il n’est pas possible d’appliquer des stratégies de groupe aux


groupes directement créés dans le conteneur Users (le comportement par
défaut). En faisant appel aux OU et en y gérant les groupes, on optimise le
contrôle sur la Stratégie de groupe appliquée.

Supprimer des groupes


Quand un groupe devient superflu, supprimez-le sans plus tarder. En effet, un groupe
inutilisé présente toujours un risque pour la sécurité, puisqu’il est particulièrement simple
d’octroyer accidentellement des autorisations.
Chaque groupe, comme chaque utilisateur, possède un identificateur de sécurité (SID)
unique. Cet identificateur définit l’identité du groupe, ainsi que ses autorisations. Une fois un
groupe détruit, son ID est supprimé et ne pourra pas être réutilisé. Si vous supprimez un
groupe puis le recréez ultérieurement, vous devrez donc redéfinir ses membres et ses
privilèges.
Pour supprimer un groupe, cliquez droit sur son nom dans Utilisateurs et ordinateurs Active
Directory et sélectionnez Supprimer. La suppression d’un groupe ne détruit que le groupe
lui-même et ses autorisations, pas les membres du groupe.

Ajouter des utilisateurs à un groupe


Une fois le groupe créé, on lui ajoute des membres. Comme précédemment mentionné dans
ce chapitre, un groupe peut contenir des utilisateurs, des contacts, d’autres groupes et des
ordinateurs. Voici comment ajouter des membres à un groupe :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Dans l’arborescence, cliquez droit sur le conteneur qui contient les objets à ajouter au
groupe.
3. Sélectionnez les comptes à ajouter (servez-vous des touches MAJ et CTRL pour
sélectionner plusieurs comptes).
4. Cliquez droit sur votre sélection et choisissez Ajouter à un groupe dans le menu
contextuel. Dans la boîte de dialogue Sélectionnez Groupes, utilisez Sélectionnez le
type de cet objet et À partir de cet emplacement pour restreindre la recherche.
5. Saisissez le nom du groupe et cliquez sur Vérifier les noms puis sur OK.
Vous pouvez aussi envisager l’ajout d’utilisateurs à un groupe sous un autre angle en suivant
ces étapes :
1. Cliquez droit sur un nom de groupe et choisissez Propriétés.
2. Cliquez sur l’onglet Membres puis sur Ajouter. Vérifiez que les champs Sélectionnez le
type de cet objet et À partir de cet emplacement pointent vers les bons emplacements.
206 Partie II Installation et configuration

3. Cliquez sur Avancé puis sur Rechercher. Tous les membres potentiels apparaissent.
4. Sélectionnez les comptes à ajouter et cliquez sur OK.

Remarque Un contact est un compte dépourvu d’autorisations de sécurité, qui


sert surtout à représenter des utilisateurs extérieurs pour les besoins de la
messagerie. Un contact ne permet pas d’ouvrir de session sur le réseau.

Modifier l’étendue d’un groupe


À l’usage, il se peut que vous deviez modifier l’étendue d’un groupe. Par exemple, vous
voulez transformer un groupe global en groupe universel de façon à pouvoir y ajouter des
utilisateurs provenant d’un autre domaine. Sachez, toutefois, que l’on ne peut pas faire
n’importe quoi à ce niveau et que, parfois, il faudra supprimer le groupe et en créer un
nouveau.
Pour modifier l’étendue d’un groupe, cliquez droit sur le nom du groupe dans Utilisateurs et
ordinateurs Active Directory, puis choisissez Propriétés dans le menu contextuel. Effectuez
les modifications nécessaires dans l’onglet Général, puis cliquez sur OK quand vous aurez
terminé. Voici les règles en matière de modification d’étendue :
■ Un groupe global peut devenir universel s’il n’est pas déjà membre d’un autre groupe
global.
■ Un groupe de domaine local peut devenir universel s’il ne contient pas déjà d’autres
groupes de domaine local.
■ Un groupe universel peut être converti en groupe global, dès lors qu’aucun groupe
universel n’en est membre.

Créer des groupes locaux


Un groupe local est un ensemble de comptes utilisateur situés sur un même ordinateur. Les
comptes utilisateur doivent être locaux sur l’ordinateur et les membres d’un groupe local ne
peuvent bénéficier que des autorisations portant sur des ressources locales à l’ordinateur
concerné.
On peut créer des groupes locaux sur tout ordinateur Windows Server 2000 ou ultérieur,
exception faite des contrôleurs de domaine. En général, on n’utilise pas (ou très peu) de
groupes locaux sur un ordinateur appartenant à un domaine. Les groupes locaux
n’apparaissent pas dans AD DS, de sorte que vous devez les administrer à part sur chaque
ordinateur concerné. Ils peuvent être créés au niveau de la console ou à distance.
Créer un groupe local au niveau de la console
1. Dans le menu Démarrer, cliquez droit sur Ordinateur et choisissez Gérer dans le menu
contextuel.
Chapitre 11 Gestion des utilisateurs et des groupes 207

2. Dans l’arborescence, développez Outils système puis Utilisateurs et groupes locaux.


3. Cliquez droit sur le dossier Groupes et choisissez nouveau groupe dans le menu
contextuel.
4. Dans la boîte de dialogue, tapez le nom du groupe et éventuellement une description.
5. Cliquez sur Ajouter pour ajouter des membres au groupe. Il est possible d’ajouter des
membres ultérieurement.
6. Lorsque vous avez terminé, cliquez sur Créer. Le nouveau groupe figure désormais
dans la liste des groupes du volet de droite.
Créer un groupe local à distance
1. Cliquez sur Démarrer, puis sur Exécuter. Tapez mmc /a et cliquez sur OK.
2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel
enfichable.
3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables
(figure 11-3), sélectionnez Utilisateurs et groupes locaux et cliquez sur Ajouter.

Figure 11-3 Sélection du composant logiciel enfichable Utilisateurs et groupes locaux

4. Dans la boîte de dialogue Choix de l’ordinateur de destination, sélectionnez Un autre


ordinateur et tapez le nom ou l’adresse IP de l’ordinateur. Cliquez sur Terminer et sur
OK.
5. Dans l’arborescence, sélectionnez Utilisateurs et groupes locaux. Cliquez droit sur
Groupes et sélectionnez Nouveau groupe.
6. Créez le groupe.
208 Partie II Installation et configuration

Gérer les groupes par défaut et les droits utilisateur


Lorsque l’on crée un domaine Active Directory hébergeant plusieurs contrôleurs de domaine
Windows Server 2008, les groupes par défaut sont automatiquement créés dans les
conteneurs Users et Builtin. La majorité de ces groupes bénéficie également de droits
automatiquement octroyés aux membres du groupe. L’étendue des groupes par défaut du
conteneur Builtin est Local intégré. Il est impossible de modifier leur étendue ou leur type.
Le conteneur Users contient des groupes définis avec l’étendue Globale et l’étendue Domaine
local. Il est possible de déplacer les groupes de ces conteneurs vers d’autres groupes et OU au
sein du domaine, mais pas vers d’autres domaines.

Groupes locaux intégrés


Les serveurs membres, les serveurs autonomes Windows 2000 Server (Service Pack 3 ou
ultérieur), Windows 2000 Professionnel (Service Pack 3 ou ultérieur) ou Windows XP
Professionnel (Service Pack 1 ou ultérieur) possèdent des groupes locaux prédéfinis
permettant d’effectuer certaines tâches sur l’ordinateur local. Les groupes spécifiques
diffèrent légèrement d’un ordinateur à un autre. Le tableau 11-1 énumère les groupes locaux
prédéfinis par défaut sur un serveur Windows Server 2008 qui n’est pas contrôleur de
domaine.

Tableau 11-1 Groupes locaux par défaut

Groupe local Description


Administrateurs Ses membres peuvent effectuer toutes les tâches administratives
sur l’ordinateur. Le compte Administrateur par défaut, créé lors de
l’installation du système d’exploitation, est un membre de ce
groupe. Quand un serveur (pas un contrôleur de domaine) ou un
client Windows Vista, Windows XP Professionnel ou
Windows 2000 Professionnel adhère à un domaine, le groupe
Admins du domaine (voir tableau 11-3) devient membre de ce
groupe.
Opérateurs de Ses membres peuvent ouvrir une session sur l’ordinateur, faire des
sauvegarde sauvegardes et des restaurations, et arrêter l’ordinateur. Ils ne
peuvent pas modifier les paramètres de sécurité, mais peuvent les
contourner pour la sauvegarde et la restauration. Par défaut, ce
groupe n’accueille aucun membre.
Opérateurs de Ses membres peuvent effectuer des opérations de chiffrement. Il
chiffrement ne contient pas de membre par défaut.
Lecteurs des journaux Ses membres peuvent lire des journaux d’événements provenant
d’événements de l’ordinateur local. Il ne contient pas de membre par défaut.
Invités Ses membres peuvent uniquement effectuer des tâches ou
exploiter des ressources pour lesquelles un administrateur leur a
octroyé des droits. Le compte invité est par défaut membre de ce
groupe.
Chapitre 11 Gestion des utilisateurs et des groupes 209

Tableau 11-1 Groupes locaux par défaut

Groupe local Description


Utilisateurs du modèle Ses membres peuvent démarrer, activer et exploiter les objets
COM distribué DCOM sur cet ordinateur. Il ne contient pas de membre par défaut.
IIS_IUSRS Employé par Internet Information Services.
Opérateurs de Ses membres peuvent modifier les paramètres TCP/IP, ainsi que
configuration réseau renouveler et libérer des adresses. Il ne contient pas de membre
par défaut.
Utilisateurs de Ses membres peuvent surveiller les compteurs de performance
l’Analyseur de d’un serveur spécifique localement ou à distance. Il ne contient
performances pas de membre par défaut.
Utilisateurs du journal Ses membres peuvent administrer les journaux, les compteurs et
de performances les alertes de performances sur un serveur spécifique, localement
ou à distance. Il ne contient pas de membre par défaut.
Utilisateurs Ce groupe est uniquement inclus à des fins de rétrocompatibilité,
avec pouvoir mais par défaut, ses membres ne bénéficient pas de plus de droits
ou d’autorisations que les comptes utilisateur standards. Si vous
devez conserver ce groupe avec les droits et autorisations présents
dans les précédentes versions de Windows, appliquez un modèle
de sécurité octroyant ses droits et autorisations.
Opérateurs Ses membres peuvent gérer les imprimantes et les file d’attente
d’impression d’impression sur un serveur spécifique. Il ne contient pas de
membre par défaut.
Utilisateurs du Bureau Ses membres sont autorisés à se connecter à distance. Il ne
à distance contient pas de membre par défaut.
Réplicateur N’ajoutez pas de comptes utilisateur appartenant à de vrais
utilisateurs à ce groupe. Si nécessaire, ajouter un compte
utilisateur « factice » à ce groupe pour vous permettre d’ouvrir
une session sur les Services de réplication d’un contrôleur de
domaine et gérer la réplication des fichiers et de répertoires.
Utilisateurs Ses membres peuvent ouvrir une session sur l’ordinateur, accéder
au réseau, enregistrer des documents et éteindre l’ordinateur. Ils
ne peuvent pas installer de programme ou modifier le système.
Lorsque un serveur membre Windows 2000 Professionnel ou
Windows XP Professionnel joint un domaine, le groupe
Utilisateurs du domaine est ajouté à ce groupe. Les groupes
Utilisateurs authentifiés et Interactif sont également membres de
ce groupe. En conséquence, tous les comptes utilisateur sont
automatiquement membres du groupe Utilisateurs.

Remarque Si vous ne souhaitez pas que les membres du groupe Utilisateurs du


domaine accèdent à une station de travail ou un serveur membre spécifique,
supprimez le groupe Utilisateurs du domaine du groupe local Utilisateurs. De
même, si vous ne voulez pas que les membres du groupe Admins du domaine
administrent une station de travail ou un serveur membre spécifique, supprimez
le groupe Admins du domaine du groupe local Administrateurs.
210 Partie II Installation et configuration

Groupes de domaine local prédéfinis


Les groupes de domaine local par défaut octroient aux utilisateurs des droits et des
autorisations prédéfinis, permettant aux utilisateurs et les groupes globaux que vous y
ajoutez, d’effectuer certaines tâches sur les contrôleurs de domaines et sur les services de
domaine Active Directory. Le tableau 11-2 liste les groupes de domaine local par défaut les
plus courants.

Tableau 11-2 Groupes de domaine local par défaut fréquemment employés

Groupe de domaine local Description


Opérateurs de compte Ses membres peuvent créer, supprimer et gérer des comptes
utilisateur et des groupes. Ils ne peuvent pas modifier les
groupes Administrateurs, Admins du domaine, contrôleurs de
domaines ni l’un des groupes d’opérateurs. Ses membres
peuvent se connecter localement sur un contrôleur de
domaine et l’arrêter. Il ne contient pas de membre par défaut.
Administrateurs Ses membres disposent automatiquement de tous les droits et
autorisations sur tous les contrôleurs de domaines et sur le
domaine lui-même. Le compte Administrateur, le groupe
Administrateurs de l’entreprise et le groupe Admins du
domaine sont membres de ce groupe.
Groupe de réplication Les membres de ce groupe peuvent répliquer leurs mots de
dont le mot de passe passe sur un contrôleur de domaine en lecture seule (RODC,
RODC est autorisé Read Only Domain Controller). Il ne contient pas de membre
par défaut. Ce groupe apparaît dans l’OU Builtin lorsque l’on a
créé un RODC dans le domaine.
Opérateurs de sauvegarde Ses membres peuvent effectuer des sauvegardes et des
restaurations sur tous les contrôleurs de domaine, y ouvrir une
session et les arrêter. Il ne contient pas de membre par défaut
et ses appartenances doivent être octroyées avec prudence. Ce
groupe est différent du groupe local par défaut Opérateurs de
sauvegarde.
Accès DCOM service Ses membres peuvent publier des certificats pour des
de certificats utilisateurs et des ordinateurs. Il ne contient pas de membre
par défaut.
Opérateurs de chiffrement Ses membres peuvent effectuer des opérations de chiffrement.
Il ne contient pas de membre par défaut.
Groupe de réplication Les membres de ce groupe ne peuvent pas répliquer leurs
dont le mot de passe mots de passe sur un contrôleur de domaine en lecture seule.
RODC est refusé Ses membres par défaut sont Éditeurs de certificats, Admins du
domaine, Contrôleurs de domaines, Administrateurs de
l’entreprise, Propriétaires créateurs de la stratégie de groupe,
Contrôleurs de domaine en lecture seule et Administrateurs du
schéma. Ce groupe apparaît dans l’OU Builtin lorsque l’on a
créé un RODC dans le domaine.
Chapitre 11 Gestion des utilisateurs et des groupes 211

Tableau 11-2 Groupes de domaine local par défaut fréquemment employés

Groupe de domaine local Description


Utilisateurs du modèle Ses membres peuvent démarrer, activer et exploiter des objets
COM distribué COM distribués. Il ne contient pas de membre par défaut.
Lecteurs des journaux Ses membres peuvent lire des journaux d’événements
d’événements provenant d’un ordinateur local. Il ne contient pas de membre
par défaut.
Invités Par défaut, ses membres bénéficient du même accès que les
membres du groupe Utilisateurs, à l’exception du compte
Invité, qui est plus restreint. Les groupes Invités et Invités du
domaine en sont membres par défaut.
IIS_IUSRS Groupe prédéfinis employé par Internet Information Services.
Générateurs d’approbations Ses membres peuvent autoriser une approbation de forêt
de forêt entrante (apparaît entrante pour permettre aux utilisateurs d’une autre forêt
uniquement sur le domaine d’accéder aux ressources de la forêt d’accueil. Il ne contient pas
racine d’une forêt) de membre par défaut.
Opérateurs de Ses membres peuvent modifier les paramètres TCP/IP et
configuration réseau renouveler ou libérer des adresses sur des contrôleurs de
domaine. Il ne contient pas de membre par défaut.
Utilisateurs de l’Analyseur Ses membres peuvent surveiller les compteurs de performance
de performances sur les contrôleurs de domaine localement ou à partir de
clients distants, sans être Administrateurs ou membres du
groupe Utilisateurs du journal de performances. Il ne contient
pas de membre par défaut.
Utilisateurs du journal de Ses membres peuvent gérer les journaux de performance, les
performances compteurs et les alertes sur les contrôleurs de domaine,
localement ou à distance, sans être Administrateurs. Il ne
contient pas de membre par défaut.
Accès compatible Assure la rétrocompatibilité pour les ordinateurs
pré-Windows 2000 Windows NT 4. Ajoutez des utilisateurs à ce groupe seulement
s’ils utilisent Windows NT 4. Il ne contient pas de membre par
défaut.
Opérateurs d’impression Ses membres peuvent administrer tous les aspects du
fonctionnement et de la configuration des imprimantes du
domaine. Il ne contient pas de membre par défaut.
Utilisateurs du Bureau à Ses membres peuvent se connecter à distance sur les
distance contrôleurs de domaine. Il ne contient pas de membre par
défaut.
Réplicateur Prend en charge la réplication des fichiers.
Opérateurs de serveur Ses membres peuvent effectuer la plupart des tâches
administratives sur les contrôleurs de domaine, mais ils ne
peuvent pas modifier les options de sécurité. Il ne contient pas
de membre par défaut.
212 Partie II Installation et configuration

Tableau 11-2 Groupes de domaine local par défaut fréquemment employés

Groupe de domaine local Description


Serveurs de licences des Ses membres peuvent actualiser les comptes utilisateur dans
services Terminal Server Active Directory pour suivre Terminal Server et générer des
rapports, par utilisateur. Il ne contient pas de membre par défaut.
Utilisateurs Ses membres peuvent ouvrir une session sur l’ordinateur,
accéder au réseau, enregistrer des documents et éteindre
l’ordinateur. Ils ne peuvent pas installer de programme ou
modifier le système. Les utilisateurs authentifiés et les
Utilisateurs du domaine en sont membres par défaut.
Accès autorisation Ses membres ont accès à l’attribut calculé
Windows tokenGroupsGlobalAndUniversal sur les objets Utilisateur.

Remarque Sous Windows NT, tous les utilisateurs du domaine sont membres du
groupe Tout le monde. Ce groupe, qui est géré par le système d’exploitation, apparaît
sur tous les réseaux contenant des serveurs Windows NT. Sous Windows 2000 et
ultérieur, le groupe équivalent s’appelle Utilisateurs authentifiés. Contrairement à Tout le
monde, Utilisateurs authentifiés ne contient ni utilisateurs anonymes ni invités. Le
groupe Tout le monde survit sous la forme d’une identité spéciale. Vous ne le voyez
pas quand vous administrez les groupes, et vous ne pouvez pas le placer dans un
groupe. Quand un utilisateur ouvre une session sur le réseau, il est automatiquement
ajouté à Tout le monde. Vous ne pouvez ni afficher ni modifier les membres des
identités spéciales, lesquelles comprennent également les groupes Réseau et Interactif.

Groupes globaux prédéfinis


Les groupes globaux par défaut recouvrent les types de comptes utilisateur les plus courants.
Par défaut, ces groupes n’ont pas de privilèges intrinsèques ; c’est à l’administrateur d’affecter
les privilèges aux groupes. En revanche, ces groupes reçoivent automatiquement certains
membres et l’on peut ajouter d’autres membres, selon ses besoins en matière d’affectation de
privilèges. On octroie les droits directement aux groupes ou on les ajoute indirectement en
plaçant les groupes globaux prédéfinis dans des groupes de domaine local. Le tableau 1-3
énumère les groupes globaux prédéfinis les plus fréquemment employés.

Tableau 11-3 Groupes globaux par défaut fréquemment employés

Groupe global Description


DnsUpdateProxy Les membres sont des clients DNS qui peuvent fournir des mises à jour
(installé avec DNS) DNS dynamiques au nom d’autres clients. Il ne contient pas de membre
par défaut.
Admins du Ce groupe est automatiquement membre du groupe de domaine local
domaine Administrateurs, ce qui fait que ses membres peuvent effectuer des
tâches administratives sur tous les ordinateurs du domaine. Ce groupe
est automatiquement membre du groupe Administrateurs et du
Groupe de réplication dont le mot de passe RODC est refusé. Par
défaut, le compte Administrateur est membre de ce groupe.
Chapitre 11 Gestion des utilisateurs et des groupes 213

Tableau 11-3 Groupes globaux par défaut fréquemment employés

Groupe global Description


Ordinateurs Tous les contrôleurs et toutes les stations du domaine en sont
du domaine membres.
Contrôleurs Tous les contrôleurs du domaine en sont membres. Ce groupe est
de domaine automatiquement membre du Groupe de réplication dont le mot de
passe RODC est refusé.
Invités Par défaut, le compte Invité est membre de ce groupe qui, de son côté,
du domaine est automatiquement membre du groupe de domaine local Invités.
Utilisateurs Le compte Administrateur et tous les comptes utilisateur sont
du domaine membres de ce groupe qui, de son côté, est automatiquement
membre du groupe de domaine local Utilisateurs.
Propriétaires Ses membres peuvent créer et modifier la stratégie de groupe du
créateurs domaine. Le compte Administrateur est un membre par défaut de ce
de la stratégie groupe qui est lui-même automatiquement membre du Groupe de
de groupe réplication dont le mot de passe RODC est refusé.

Remarque Si certains utilisateurs doivent bénéficier de moins de droits et/ou


d’autorisations que la moyenne des utilisateurs, ajoutez-les au groupe Invités du
domaine et retirez-les du groupe Utilisateurs du domaine.

Définir les droits utilisateur


Ce que les utilisateurs peuvent ou ne peuvent pas faire dépend des droits et des autorisations
qui leur ont été accordés. Les droits concernent, généralement, le système dans sa globalité.
Par exemple, la capacité de sauvegarder des fichiers ou d’ouvrir une session sur un serveur
est un droit que l’administrateur donne ou reprend. On peut les octroyer de manière
individuelle mais, le plus souvent, on les assigne à des groupes, auxquels on ajoute ensuite
des utilisateurs en fonction des droits dont ils ont besoin.
Les autorisations indiquent les accès dont peut bénéficier un utilisateur (ou un groupe) sur
certains objets tels que fichiers, répertoires et imprimantes. Par exemple, la question de
savoir si un utilisateur peut lire tel ou tel répertoire ou accéder à telle ou telle imprimante est
une autorisation. Nous verrons les autorisations plus loin dans ce chapitre.
Les droits, quant à eux, se divisent en deux types : privilèges et droits d’ouverture de session.
Les privilèges incluent, par exemple, la possibilité d’exécuter des audits de sécurité ou de
forcer l’arrêt du système depuis un autre ordinateur (ce qui n’entre pas, évidemment, dans le
cadre du travail de l’utilisateur ordinaire). Les droits d’ouverture de session concernent la
capacité de se connecter à un ordinateur. Les groupes par défaut de Windows Server 2008
bénéficient automatiquement des droits, mais il est possible d’octroyer des droits à des
utilisateurs individuels ou à des groupes. Mieux vaut les affecter aux groupes afin de
simplifier l’administration. En effet, si l’on définit ou retire les droits à un utilisateur par le
biais des groupes, il suffit d’ôter celui-ci du groupe concerné. Les tableaux 11-4 et 11-5
214 Partie II Installation et configuration

énumèrent les droits d’ouverture de session et les privilèges, ainsi que les groupes auxquels
ils sont affectés par défaut.

Tableau 11-4 Droits d’ouverture de session octroyés aux groupes par défaut

Groupes bénéficiant de Groupes bénéficiant de


ce droit sur les contrôleurs ce droit sur les stations
Nom Description de domaine de travail et les serveurs
Accéder à cet Permet de se Administrateurs, Utilisateurs Administrateurs,
ordinateur à connecter à authentifiés, Tout le monde, Opérateurs de sauvegarde,
partir du l’ordinateur via Accès compatible pré- Utilisateurs, Tout le monde
réseau le réseau Windows 2000, Contrôleurs
de domaine de l’entreprise
Autoriser Permet d’ouvrir Administrateurs, Administrateurs,
l’ouverture une session Opérateurs de compte, Opérateurs de sauvegarde,
d’une session interactive sur Opérateurs de sauvegarde, Utilisateurs
locale l’ordinateur Opérateurs d’impression,
Opérateurs de serveur
Autoriser Permet d’ouvrir Administrateurs Administrateurs,
l’ouverture une session en Utilisateurs du Bureau à
d’une session tant que client distance
par les services des services
Terminal Terminal Server
Server

Tableau 11-5 Privilèges octroyés aux groupes par défaut

Groupes auxquels ce privilège


Privilège Description est octroyé par défaut
Agir en tant Permet à un processus d’être Aucun
que partie du authentifié comme n’importe quel
système utilisateur. Un processus nécessitant
d’exploitation ce privilège doit employer le compte
Système local qui inclut déjà ce
privilège.
Ajouter des Permet à un utilisateur d’ajouter des Utilisateurs authentifiés sur les
stations de stations à un domaine existant. contrôleurs de domaine
travail au
domaine
Ajuster les Permet à un utilisateur de définir la Administrateurs, Service local et
quotas de quantité maximale de mémoire qu’un Service réseau
mémoire pour processus peut utiliser.
un processus
Chapitre 11 Gestion des utilisateurs et des groupes 215

Tableau 11-5 Privilèges octroyés aux groupes par défaut

Groupes auxquels ce privilège


Privilège Description est octroyé par défaut
Arrêter le Arrête l’ordinateur local. Administrateurs, Opérateurs de
système sauvegarde, Opérateurs d’impression
et Opérateurs de serveur sur les
contrôleurs de domaine.
Administrateurs et Opérateurs de
sauvegarde sur les serveurs
membres. Administrateurs,
Opérateurs de sauvegarde et
Utilisateurs sur les stations de travail
Augmenter la Permet l’utilisation du Gestionnaire Administrateurs
priorité de des tâches pour modifier la priorité
planification de planification d’un processus.
Charger et Installe et supprime les pilotes de Administrateurs et Opérateurs
décharger les périphériques Plug and Play. d’impression sur les contrôleurs de
pilotes de domaine, Administrateurs sur les
périphériques autres ordinateurs.
Contourner la Permet à un utilisateur de parcourir Administrateurs, Utilisateurs
vérification de directement les arborescences authentifiés, Tout le monde et Accès
parcours (structures de dossiers), même s’il ne compatible pré-Windows 2000 sur
bénéficie pas des autorisations les contrôleurs de domaine. Sur les
d’accès aux répertoires parcourus. serveurs et les stations de travail :
Administrateurs, Opérateurs de
sauvegarde, Utilisateurs, Tout le
monde, Service local, Service réseau
Créer des Permet la création d’objets globaux Administrateurs, Service, Service
objets dans une session Terminal Server. local, Service réseau
globaux
Créer un Permet la création et la modification Administrateurs
fichier d’un fichier d’échange.
d’échange
Déboguer les Permet à un utilisateur d’associer un Administrateurs
programmes débogueur à un processus.
Emprunter Autorise un compte à emprunter Administrateurs
l’identité d’un l’identité d’un autre compte.
client après
l’authentificati
on
Forcer l’arrêt à Autorise l’arrêt d’un ordinateur à Administrateurs et Opérateurs de
partir d’un partir d’un emplacement distant sur serveur sur les contrôleurs de
système le réseau. domaine, Administrateurs sur les
distant serveurs membres et les stations de
travail
216 Partie II Installation et configuration

Tableau 11-5 Privilèges octroyés aux groupes par défaut

Groupes auxquels ce privilège


Privilège Description est octroyé par défaut
Gérer le Permet à un utilisateur de spécifier Administrateurs
journal d’audit les options d’audit, d’afficher et de
et de sécurité vider le journal de sécurité dans
l’Observateur d’événements. Auditer
l’accès au service d’annuaire doit être
activé pour réaliser l’audit de l’accès
aux objets. Les Administrateurs
peuvent toujours afficher et vider le
journal de sécurité.
Modifier Permet de définir l’horloge système Administrateurs et Opérateurs de
l’heure interne de l’ordinateur. serveur sur les contrôleurs de
système domaine, Administrateurs sur les
serveurs et les stations de travail,
Service local.
Modifier les Permet la configuration de RAM non Administrateurs
valeurs de volatile sur des ordinateurs qui
l’environneme prennent en charge cette fonction.
nt du
microprogram
me
Performance Permet l’échantillonnage des Administrateurs
système du performances du système.
profil
Permettre à Permet à un utilisateur de définir le Administrateurs sur les contrôleurs
l’ordinateur et paramètre Approuvé pour délégation de domaine, non attribué sur les
aux comptes sur un objet. serveurs membres et les stations de
d’utilisateurs travail
d’être
approuvés
pour la
délégation
Prendre Permet à un utilisateur de prendre Administrateurs
possession de possession de tout objet de sécurité,
fichiers ou dont les fichiers et les dossiers, les
d’autres objets imprimantes, les clés de registre et les
processus.
Processus Permet l’échantillonnage des Administrateurs. Sur les serveurs
unique du performances d’un processus. membres et les stations de travail :
profil Administrateurs et Utilisateurs.
Restaurer les Permet de restaurer les fichiers et les Administrateurs, Opérateurs de
fichiers et les dossiers sur un système. Surpasse les sauvegarde et Opérateurs de serveur
répertoires autorisations spécifiques appliquées sur les contrôleurs de domaine.
aux fichiers ou dossiers. Administrateurs et Opérateurs de
sauvegarde sur les stations de travail
et les serveurs.
Chapitre 11 Gestion des utilisateurs et des groupes 217

Tableau 11-5 Privilèges octroyés aux groupes par défaut

Groupes auxquels ce privilège


Privilège Description est octroyé par défaut
Retirer Permet de retirer un ordinateur Administrateurs et Utilisateurs
l’ordinateur portable d’une station d’accueil avec
de la station la fonction Éjecter l’ordinateur du
d’accueil menu Démarrer.
Sauvegarder Autorise la sauvegarde du système. Administrateurs, Opérateurs de
les fichiers et Surpasse les autorisations spécifiques serveurs (sur les contrôleurs de
les répertoires appliquées à un fichier ou un dossier. domaine), Opérateurs de sauvegarde
Synchroniser Permet à un utilisateur d’initier une Aucun
les données synchronisation d’Active Directory
du service
d’annuaire

Affecter des droits utilisateur à un groupe


Pour assigner ou retirer des droits au niveau d’un domaine, le plus simple est de passer par
la Stratégie de groupe. Supposons qu’un groupe d’utilisateurs doit pouvoir ouvrir des
sessions locales sur les serveurs Windows Server 2008, mais vous ne voulez pas que ces
utilisateurs soient membres de l’un des groupes possédant par défaut ce droit. Une solution
consiste à créer un groupe appelé, par exemple, Droits Ouverture de session, à ajouter les
utilisateurs à ce groupe, puis à octroyer au groupe le droit d’ouvrir des sessions locales. Voici
comment affecter un droit à un groupe :
1. Dans les Outils d’administration, démarrez Gestion des stratégies de groupe.
2. Développez le nom de domaine. Cliquez droit sur Objets de stratégie de groupe et
sélectionnez Nouveau dans le menu contextuel.
3. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom de la nouvelle stratégie,
comme le montre 11-4, et cliquez sur OK.

Figure 11-4 Création d’un nouvel objet GPO

4. Cliquez droit sur l’objet de stratégie de groupe et sélectionnez Modifier pour ouvrir
l’Éditeur de gestion des stratégies de groupe.
5. Développez les nœuds Configuration ordinateur, Stratégies, Paramètres Windows,
Paramètres de sécurité, Stratégies locales et Attribution des droits utilisateur.
6. Dans le volet des détails, double cliquez sur Autoriser l’ouverture de session locale.
218 Partie II Installation et configuration

7. Cochez la case Définir ces paramètres de stratégie et cliquez sur Ajouter un utilisateur
ou un groupe.
8. Tapez le nom du groupe auquel accorder ce droit (ou cliquez sur Parcourir pour le
localiser). Cliquez sur OK. Vous devrez également ajouter un compte ou un groupe
administratif.
9. Cliquez sur OK et fermez l’Éditeur de gestion des stratégies de groupe.
Servez-vous du même processus pour supprimer des droits et cliquez sur Supprimer au lieu
d’Ajouter un utilisateur ou un groupe à l’étape 7. Cette méthode permet également
d’accorder des droits à un utilisateur individuel.

Affecter des droits localement


Vous pouvez affecter ou supprimer des droits localement, sachant qu’une stratégie définie au
niveau du domaine a priorité sur une stratégie locale. Voici comment assigner une stratégie
localement :
1. Dans les Outils d’administration, sélectionnez Stratégie de sécurité locale.
2. Sous Paramètres de sécurité, cliquez sur Stratégies locales, puis sur Attribution des
droits utilisateur.
3. Dans le volet des détails, double cliquez sur la stratégie à affecter pour ouvrir la fenêtre
Propriétés de la stratégie.
4. Cliquez sur Ajouter un utilisateur ou un groupe pour choisir un utilisateur ou un
groupe dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes.
Vérifiez que les champs Types d’objets et Emplacements pointent vers les
emplacements appropriés. Cliquez sur Avancé puis sur Rechercher. Tous les membres
potentiels apparaissent.
5. Sélectionnez les comptes à ajouter et cliquez sur OK.
Si les boutons Ajouter un utilisateur ou un groupe et Supprimer ne sont pas accessibles dans
la fenêtre Propriétés, cela signifie que la stratégie a été définie au niveau du domaine et qu’elle
ne peut pas être modifiée au niveau local.

Créer des comptes utilisateur


Toute personne voulant accéder au réseau doit posséder un compte utilisateur, lequel
permet :
■ D’authentifier l’identité de la personne se connectant au réseau ;
■ De contrôler les accès aux ressources du domaine ;
■ D’auditer les actions faites via le compte.

Sur un contrôleur de domaine, Windows Server 2008 ne crée que deux comptes prédéfinis :
le compte Administrateur, bénéficiant de tous les droits et de toutes les autorisations, et le
Chapitre 11 Gestion des utilisateurs et des groupes 219

compte Invité, bénéficiant de droits restreints. L’administrateur crée tous les autres comptes,
lesquels sont des comptes de domaine (valides par défaut sur tout le domaine) ou des
comptes locaux (valides uniquement sur l’ordinateur où ils sont créés).

Nommer les comptes utilisateur


Dans Services de domaine Active Directory, chaque compte utilisateur possède un nom
d’entité qui se compose de deux parties : le nom de l’entité de sécurité et le suffixe de l’entité.
Pour les comptes Windows NT existants, l’entité de sécurité est, par défaut, le nom utilisé
pour la connexion au domaine Windows NT. Pour ce qui concerne les nouveaux comptes
Windows Server 2008, c’est un administrateur qui affecte le nom de l’entité de sécurité. Le
suffixe par défaut de l’entité correspond au nom DNS du domaine racine. Ainsi, l’utilisateur
nommé EdouardP dans un domaine Windows NT aura un nom d’entité du genre
EdouardP@monentreprise.com dans Windows 2000 et ultérieur.

Options des comptes


Pour simplifier le processus de création des comptes, planifiez-en le paramétrage. Voici les
paramètres de compte à considérer :
■ Horaires d’accès. Par défaut, un utilisateur peut ouvrir une session à toute heure du jour
ou de la nuit. Pour des raisons de sécurité, il est préférable de limiter les accès à tout ou
partie des utilisateurs, à certaines heures de la journée ou à certains jours de la semaine.
■ Se connecter à. Par défaut, les utilisateurs peuvent ouvrir une session sur toutes les
stations. Pour des raisons de sécurité, vous pouvez imposer que les ouvertures de
session se fassent uniquement sur un ou plusieurs ordinateurs spécifiés.
■ Date d’expiration. Vous pouvez définir une date d’expiration pour un compte. Il va
sans dire que cette option est très judicieuse lorsqu’elle concerne des salariés
temporaires (vous prendrez des dates d’expiration qui coïncident avec la fin de leurs
contrats).
Il existe bien d’autres options pour les comptes utilisateur et nous les détaillerons à la section
« Configurer les propriétés d’un compte utilisateur », plus loin dans ce chapitre. Les trois
options que nous venons de mentionner sont celles que l’on applique le plus souvent à la
majorité des utilisateurs.

En pratique Établir une convention de dénomination


Créez des entités de sécurité en suivant une convention de dénomination cohérente, de
façon que les utilisateurs et vous-même puissiez mémoriser les noms et les retrouver
dans des listes. Voici quelques possibilités :
■ Prénom plus initiale du nom. Par exemple, MichelG et SuzonM. En cas de
doublons, vous pouvez ajouter des numéros (MichelG1 et MichelG2) ou des
lettres supplémentaires (IngridMat et IngridMur).
220 Partie II Installation et configuration

■ Prénom plus un nombre. Par exemple, David112 et David113. Cette approche


peut être problématique, en particulier pour les personnes dont le prénom
apparaît souvent dans la population. Même l’utilisateur risque de ne pas se
rappeler son nom.
■ Initiale du prénom plus nom. Par exemple, MRicci. En cas de doublons, vous
pouvez utiliser, par exemple, MiRicci et MaRicci ou MRicci1 et MRicci2.
■ Nom plus une initiale. Cette convention est utile sur les grands réseaux. En cas
de doublons, vous pouvez ajouter quelques lettres ; par exemple, DupontLo et
DupontLa.
Quelle que soit la solution retenue, elle doit pouvoir s’adapter aux utilisateurs tant
existants qu’à venir. Que le prochain salarié s’appelle M’Ba ou Coupé de Kermartin de
Tregastel, vous devez pouvoir le faire entrer dans le schéma de dénomination général.

Mots de passe
Tous les utilisateurs doivent avoir des mots de passe bien choisis et en changer
périodiquement. Définissez les mots de passe en vous inspirant des conseils donnés dans
l’encadré « Du bon choix des mots de passe ». Configurez les comptes pour qu’ils soient
bloqués en cas de saisie de mots de passe invalides (autorisez trois tentatives, par exemple,
pour tenir compte des fautes de frappe).

En pratique Du bon choix des mots de passe


Un bon mot de passe possède les caractéristiques suivantes :
■ Ce n’est pas une permutation des caractères du nom de l’utilisateur (même le
pirate le plus idiot y pense !).
■ Il contient au moins deux caractères alphabétiques et un caractère non
alphabétique.
■ Il est composé d’au moins huit caractères.
■ Ce n’est pas le nom de l’utilisateur, ni celui de sa belle-mère ou de son canari ; ce
ne sont pas, non plus, les initiales de l’utilisateur ou de ses enfants ; ce n’est pas
une date de naissance ou toute autre donnée personnelle (numéro de téléphone,
numéro minéralogique de l’auto, etc.).
Parmi les bons mots de passe, citons par exemple l’acronyme alphanumérique d’une
suite de mots qui a un sens pour l’utilisateur, mais pas pour les autres. Cela rend le mot
de passe facile à mémoriser pour l’utilisateur et difficile à deviner pour autrui. On peut
aussi utiliser une « phrase de passe », autrement dit une phrase entière, avec espaces et
ponctuation.
Faites comprendre aux utilisateurs l’intérêt des mots de passe et de leur confidentialité,
mais donnez vous-même l’exemple : vérifiez que le mot de passe que vous vous êtes
Chapitre 11 Gestion des utilisateurs et des groupes 221

choisi pour l’administration est un bon mot de passe et changez-en souvent. Vous
éviterez ainsi que quelqu’un ne s’introduise dans votre système et sème la panique dans
votre domaine réservé. Si des utilisateurs accèdent au réseau depuis un site distant ou
leur domicile, il faudra peut-être prévoir d’autres mesures de sécurité en plus de
l’authentification des mots de passe au niveau du domaine.

Créer un compte utilisateur de domaine


Vous pouvez créer un compte utilisateur de domaine dans l’OU par défaut Users, mais vous
pouvez aussi créer une autre OU destinée à les héberger. Pour ajouter un compte utilisateur
de domaine, procédez de la manière suivante :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Cliquez droit sur le conteneur dans lequel créer le compte, choisissez Nouveau puis
Utilisateur dans le menu contextuel.
3. Tapez le nom et le prénom de l’utilisateur, comme le montre la figure 11-5. La zone de
texte Nom complet se remplit automatiquement. Le nom complet doit être unique
dans l’OU où vous créez le compte.

Figure 11-5 Création d’un nouvel utilisateur

4. Indiquez le nom d’ouverture de session basé sur la convention de dénomination


choisie. Ce nom doit être unique dans Active Directory. Le nom d’ouverture de session
pré-Windows 2000 se complète automatiquement. Ce nom servira à ouvrir des
sessions à partir des ordinateurs Windows antérieur à Windows 2000, par exemple
Windows NT. Cliquez sur Suivant.
5. Tapez un mot de passe et définissez les stratégies de mot de passe. Cliquez sur Suivant.
Une page de confirmation s’affiche.
222 Partie II Installation et configuration

6. Si les détails du compte sont corrects, cliquez sur Terminer. Sinon, cliquez sur
Précédent et apportez les corrections.
À ce stade, le nouveau compte utilisateur est ajouté à l’OU avec des paramètres par défaut.
Comme il est peu probable que ces paramètres par défaut vous conviennent, vous devrez les
modifier. Tel sera l’objet de la section « Configurer les propriétés d’un compte utilisateur »,
plus loin dans ce chapitre.

Créer un compte utilisateur local


Un compte local ne peut pas accéder au domaine, mais uniquement aux ressources de
l’ordinateur où il est créé et utilisé. Voici comment créer un compte local sur un client
Windows Vista :
1. Dans le menu Démarrer, cliquez droit sur Ordinateur et choisissez Gérer dans le menu
contextuel.
2. Dans l’arborescence, sélectionnez Utilisateurs et groupes locaux. Cliquez droit sur
Utilisateurs et choisissez Nouveau dans le menu contextuel.
3. Dans la boîte de dialogue Nouvel utilisateur, fournissez le nom d’utilisateur, le nom
complet et une description.
4. Tapez un mot de passe et définissez les stratégies de mot de passe. Cliquez sur Créer. À
ce stade, le nouveau compte utilisateur est créé avec des paramètres par défaut. Les
comptes locaux peuvent appartenir à des groupes créés localement (sur cet
ordinateur).

Remarque Pour créer un compte utilisateur local sur un ordinateur Windows


XP, ser vez-vous de la procédure ci avant, mais à l’étape 1, dans le menu
Démarrer, cliquez droit sur Poste de travail.

Configurer les propriétés d’un compte utilisateur


La boîte de dialogue des propriétés d’un compte utilisateur du domaine peut accueillir
jusqu’à 13 onglets, selon la configuration du domaine. Le tableau 11-6 détaille ces onglets.
Toutes les données saisies dans la boîte de dialogue des propriétés peuvent servir de critères
de recherche dans Active Directory. Par exemple, vous pouvez trouver le numéro de
téléphone ou le service d’un utilisateur en faisant une recherche sur le nom de cet utilisateur.
Voici comment configurer les propriétés d’un compte utilisateur de domaine :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Ouvrez l’OU contenant le compte utilisateur du domaine concerné.
3. Double cliquez sur le compte utilisateur pour ouvrir la boîte de dialogue Propriétés.
4. Cliquez sur l’onglet des propriétés à définir. Effectuez les modifications de votre choix
et cliquez sur OK lorsque vous avez terminé.
Chapitre 11 Gestion des utilisateurs et des groupes 223

Tableau 11-6 Onglets de la boîte de dialogue Propriétés d’un compte utilisateur de domaine

Onglet Description
Général Nom et prénom, description, bureau, numéro de téléphone, adresse de
messagerie et page web de l’utilisateur.
Adresse Adresse physique de l’utilisateur.
Compte Nom d’ouverture de session, horaires d’accès, options de mot de passe
et date d’expiration du compte.
Profil Chemin d’accès du profil utilisateur, chemin d’accès du script d’ouverture
de session, chemin d’accès du répertoire personnel de l’utilisateur et
toute connexion automatique à des lecteurs réseau.
Téléphones Numéros de téléphone complémentaires (radiomessagerie, téléphone
mobile, téléphone IP, etc.).
Organisation Fonction service, société, gestionnaire et collaborateurs directs de
l’utilisateur.
Contrôle à Configure le degré avec lequel un administrateur peut voir ou contrôler
distance les sessions Terminal Services de l’utilisateur.
Profil des services Profil des services Terminal Server de l’utilisateur.
Terminal Server
COM+ Appartenance de l’utilisateur dans les groupes de partitions COM+.
Membre de Appartenances de l’utilisateur.
Appel entrant Accès réseau par numérotation de l’utilisateur.
Environnement Paramètres de l’environnement des services Terminal Server de
l’utilisateur.
Sessions Paramètres de connexion et de déconnexion des services Terminal Server.

Remarque Dans le menu Affichage d’Utilisateurs et ordinateurs Active


Directory, sélectionnez Fonctionnalités avancées pour afficher d’autres onglets,
comme Certificats publiés, Objet et Sécurité.

Tester les comptes utilisateur


À mesure que vous développez les différents types de comptes utilisateur, testez-les. Créez un
compte factice auquel vous appliquez les appartenances et les restrictions que vous prévoyez
d’employer. Ouvrez ensuite une session sur un poste client et voyez si le compte produit les
résultats escomptés :
■ Testez les restrictions d’horaires d’accès et de mots de passe en essayant de les contourner.
■ Testez les répertoires personnels et les profils (traités à la section « Répertoires de
base », plus loin dans ce chapitre) pour vérifier où ils sont réellement créés.
■ Testez les profils itinérants en ouvrant des sessions depuis divers ordinateurs.
224 Partie II Installation et configuration

■ Testez les appartenances de groupes en effectuant des tâches qu’elles sont censées
permettre (ou interdire), par exemple en essayant d’ouvrir une session sur un serveur.
Il est préférable de découvrir un paramètre mal configuré dans un environnement de test.
Testez les paramètres de la Stratégie de groupe en vous servant du Jeu de stratégie résultant,
décrit au chapitre 13 du tome 1.

Gérer les comptes utilisateur


La gestion des comptes utilisateur, surtout sur les grands réseaux, est un processus
permanent d’ajouts, de suppressions et de modifications. Ces tâches ne sont guère difficiles,
mais sont gourmandes de votre précieux temps, mieux vaut donc les gérer avec minutie.

Localiser un compte utilisateur


Sur les petits réseaux, rien de plus simple que de localiser un utilisateur grâce à Utilisateurs et
ordinateurs Active Directory. Sur de grands réseaux, des techniques plus élaborées s’imposent.
Pour localiser un compte utilisateur, ouvrez Utilisateurs et ordinateurs Active Directory et,
dans la barre d’outils, cliquez sur l’icône Rechercher.

Dans la boîte de dialogue Rechercher Utilisateurs, contacts et groupes, cliquez sur la flèche de la liste
déroulante Rechercher. Notez que cette boîte de dialogue permet également de localiser des
ordinateurs, des imprimantes, des dossiers partagés, des OU, etc., comme le montre la figure 11-6.

Figure 11-6 L’outil de recherche autorise des recherches spécifiques.


Chapitre 11 Gestion des utilisateurs et des groupes 225

Dans la zone Dans, sélectionnez l’étendue de la recherche. Tapez tout ou partie du nom et
cliquez sur Rechercher. Une recherche sur une partie du nom retourne tous les utilisateurs,
contacts et groupes dont le nom contient cette chaîne.
Choisissez une autre option dans la liste Rechercher et les paramètres possibles s’adaptent.
Par exemple, si vous sélectionnez Requêtes communes, la boîte de dialogue vous propose
immédiatement de rechercher les comptes désactivés ou les comptes ayant un mot de passe
expiré.
Pour une recherche encore plus précise, cliquez sur l’onglet Avancé (qui n’apparaît que pour
certains choix dans la liste déroulante). La liste déroulante Champ vous propose de préciser
n’importe quelle information d’un enregistrement d’utilisateur, de contact, de groupe ou de
tout autre objet. La figure 11-7 montre une recherche pour une imprimante qui saurait
imprimer en recto verso, au format A4, avec une résolution de 600 dpi au minimum, à raison
de quatre pages par minute au minimum.

Figure 11-7 Localisation d’une imprimante dans Active Directory


possédant des critères spécifiques

Désactiver et activer un compte utilisateur


Il est possible de désactiver un compte utilisateur de domaine pour un certain temps, sans le
supprimer définitivement. Pour cela, localisez le compte de l’utilisateur, cliquez droit sur le
nom de l’utilisateur, puis choisissez Désactiver le compte (figure 11-8).
226 Partie II Installation et configuration

Figure 11-8 Désactivation d’un compte utilisateur

Une boîte de message signale alors que l’objet a été désactivé. Pour réactiver un compte,
suivez la même procédure mais en choisissant Activer le compte.

Supprimer un compte utilisateur


Chaque compte utilisateur du domaine est associé à un SID unique qui n’est jamais réutilisé.
En d’autres termes, un compte supprimé l’est définitivement. Si vous supprimez, par
exemple et par mégarde, le compte de Jérémy et que vous voulez par la suite le recréer, vous
devrez non seulement recréer le compte mais redéfinir aussi les autorisations, les paramètres,
les appartenances de groupes, ainsi que toutes les autres propriétés associées au compte
utilisateur d’origine. En conséquence, mieux vaut commencer par désactiver un compte et ne
le supprimer que lorsqu’on est certain qu’il ne sert plus à rien.
Dans la mesure où il faut supprimer de temps en temps des comptes, voici la manœuvre la
plus adéquate : localisez le compte de l’utilisateur. Cliquez droit sur son nom et choisissez
Supprimer. Active Directory vous demande de confirmer la suppression. Cliquez sur Oui
pour supprimer le compte.

Déplacer un compte utilisateur


Pour transférer un compte utilisateur d’un conteneur à un autre, localisez le compte dans
Active Directory, cliquez droit sur le compte utilisateur et choisissez Déplacer. Sélectionnez le
conteneur de destination et cliquez sur OK. Vous pouvez aussi faire glisser le compte vers le
nouveau conteneur. Pour sélectionner plusieurs comptes utilisateur à déplacer
simultanément, servez-vous des touches CTRL et MAJ.
Chapitre 11 Gestion des utilisateurs et des groupes 227

Renommer un compte utilisateur


Si vous devez renommer un compte, par exemple, si vous avez configuré les paramètres d’un
compte pour un poste spécifique de l’entreprise et que ce poste échoit à une autre personne,
vous pouvez modifier le prénom, le nom et le nom d’ouverture de session du compte. Voici
comment renommer un compte :
1. Localisez le compte utilisateur existant. Cliquez droit sur son nom et choisissez
Renommer dans le menu contextuel (vous pouvez aussi cliquer deux fois).
2. Appuyez sur la touche SUPPR, puis ENTRÉE pour ouvrir la boîte de modification du
nom de l’utilisateur.
3. Procédez aux modifications et cliquez sur OK. Le nom du compte change, mais toutes
les autorisations et autres paramètres restent tels quels. Il faut aussi modifier toutes les
autres données personnelles de la boîte de dialogue des propriétés du compte. S’il
existe un répertoire de base, il ne sera pas renommé et il faut en créer un pour le nouvel
utilisateur.

Réinitialiser le mot de passe


Un mot de passe n’est efficace que s’il est difficile à deviner. L’inconvénient de ce type de mot de
passe est que l’on risque de l’oublier. Si l’utilisateur ne se souvient plus de son mot de passe,
vous pouvez le réinitialiser. La meilleure stratégie consiste à créer un mot de passe simple et à
obliger l’utilisateur à redéfinir son mot de passe lors de la première ouverture de session.
Voici comment réinitialiser un mot de passe :
1. Localisez le compte utilisateur dont vous voulez réinitialiser le mot de passe.
2. Cliquez droit sur le nom du compte et choisissez Réinitialiser le mot de passe dans le
menu contextuel.
3. Dans la boîte de dialogue du même nom, illustrée par la figure 11-9, saisissez deux fois
le nouveau mot de passe. Si vous effectuez la modification parce que l’utilisateur a
oublié son mot de passe et qu’il a tenté plusieurs fois d’ouvrir une session, vous devrez
éventuellement supprimer la coche de la case Déverrouiller le compte de l’utilisateur.
Cliquez sur OK pour appliquer les changements.

Figure 11-9 Réinitialisation d’un mot de passe utilisateur


228 Partie II Installation et configuration

Déverrouiller un compte utilisateur


Si l’utilisateur enfreint une stratégie de groupe, en excédant par exemple le nombre maximal
de tentatives d’ouverture de session échouées ou en ne parvenant pas à modifier un mot de
passe expiré, les Services de domaine Active Directory verrouillent le compte. Un compte
verrouillé ne peut plus servir pour ouvrir de session. Voici comment déverrouiller un compte
utilisateur :
1. Localisez le compte verrouillé dans Utilisateurs et ordinateurs Active Directory. Cliquez
droit sur le compte et choisissez Propriétés.
2. Cliquez sur l’onglet Compte.
3. Supprimez la coche de la case Le compte est verrouillé. Cliquez sur OK.
Par défaut, la Stratégie de groupe ne verrouille pas les comptes en cas de tentatives ratées
d’ouverture de session. On définit ce paramètre pour des raisons de sécurité. Pour de plus
amples informations sur la Stratégie de groupe, reportez-vous au chapitre 13 du tome 1.

Remarque Pour apprendre comment déléguer le droit de déverrouiller les


comptes verrouillés, repor tez-vous au chapitre 14, « Gestion des tâches
quotidiennes ».

Dossiers de base
Le dossier de base de l’utilisateur lui permet d’entreposer ses documents. Placer les répertoires
personnels sur un serveur de fichiers du réseau offre plusieurs avantages :
■ Centralisation de la sauvegarde des documents des utilisateurs ;
■ Les utilisateurs accèdent à leurs répertoires personnels depuis n’importe quel poste
client ;
■ Les dossiers de base sont accessibles à tous les systèmes d’exploitation Microsoft (y
compris les clients MS-DOS et les clients Windows, antérieurs à Windows 2000).
Le contenu des dossiers de base ne faisant pas partie des profils utilisateur, il n’affecte pas le
trafic engendré par les ouvertures de session (il est possible de créer un dossier de base sur un
ordinateur client, mais on perd ainsi l’essentiel de son objectif).

Créer des dossiers de base sur un serveur


Voici comment créer un dossier de base sur un serveur de fichiers réseau :
1. Sur le serveur, créer un nouveau dossier qui accueillera les dossiers de base et appelez-
le Dossiers de base. Cliquez droit sur le nouveau dossier et choisissez Propriétés dans
le menu contextuel.
Chapitre 11 Gestion des utilisateurs et des groupes 229

2. Cliquez sur l’onglet Partage, puis sur le bouton Partager.


3. Dans la boîte de dialogue Partage de fichiers, tapez Utilisateurs, comme le montre la
figure 11-10, et cliquez sur Ajouter.

Figure 11-10 Partage du dossier Dossiers de base avec le groupe Utilisateurs

4. Dans la liste Niveau d’autorisation de l’entrée Utilisateurs, sélectionnez Copropriétaire


et cliquez sur Partager.

Remarque Stockez les dossiers de base sur une partition NTFS. Les dossiers de
base créés sur une par tition FAT ne peuvent être protégés que par des
autorisations de niveau partage, définies pour chaque utilisateur.

Donner accès aux dossiers de base aux utilisateurs


Pour proposer un dossier de base à un utilisateur, ajoutez le chemin d’accès du dossier dans
les propriétés du compte utilisateur. Voici comment donner accès à un dossier de base :
1. Dans Utilisateurs et ordinateurs Active Directory, localisez le compte utilisateur.
Cliquez droit sur le nom d’utilisateur et choisissez Propriétés dans le menu contextuel.
2. Cliquez sur l’onglet Profil. Dans la section Dossier de base, sélectionnez Connecter et
indiquez la lettre de lecteur à utiliser pour se connecter au serveur de fichiers.
3. Dans la zone À, indiquez le nom UNC de la connexion, par exemple,
\\nom_serveur\dossier_partagé\nom_connexion_utilisateur. Si vous utilisez la variable
%username%, comme dans la figure 11-11, le dossier de base sera créé avec le nom
d’ouverture de session de l’utilisateur.
230 Partie II Installation et configuration

Figure 11-11 Spécification du dossier de base

Profils utilisateurs
Un profil est un environnement spécifiquement conçu pour un utilisateur. Il contient les
paramètres du bureau et des applications de l’utilisateur. Tout utilisateur possède un profil,
qu’il soit créé par l’administrateur ou créé par défaut lors de l’ouverture de session de
l’utilisateur sur un ordinateur. Les profils présentent un certain nombre d’avantages :
■ Plusieurs utilisateurs peuvent utiliser le même ordinateur, les paramètres de chaque
utilisateur étant restaurés chaque fois qu’il ouvre une session.
■ Toute modification apportée au bureau par un utilisateur n’affecte pas les autres
utilisateurs.
■ Si les profils sont stockés sur un serveur, ils suivent les utilisateurs sur n’importe quel
ordinateur Windows Server 2008, Windows Vista, Windows Server 2003,
Windows XP Professionnel ou Windows 2000 du réseau.
Du point de vue de l’administrateur, le profil est un outil précieux qui permet de créer des
profils par défaut pour tous les utilisateurs du réseau ou de créer des profils adaptés aux
différents services ou postes de l’entreprise. Il est également possible de créer des profils
obligatoires qui permettent aux utilisateurs de modifier la configuration du bureau alors
qu’ils ont ouvert une session, sans que celle-ci soit enregistrée lors de la fermeture de la
Chapitre 11 Gestion des utilisateurs et des groupes 231

session. Un profil obligatoire présente toujours la même apparence chaque fois qu’un
utilisateur ouvre une session. Voici les types de profils :
■ Profil local. Profil créé sur un ordinateur quand un utilisateur ouvre une session. Ce
profil est spécifique à un utilisateur, local à cet ordinateur et stocké sur le disque dur de
celle-ci.
■ Profil itinérant. Profil créé par un administrateur et stocké sur un serveur. Ce profil
suit l’utilisateur concerné sur tout ordinateur du réseau exécutant Windows
Server 2008, Windows Vista, Windows Server 2003, Windows XP Professionnel ou
Windows 2000.
■ Profil obligatoire. Profil itinérant qui ne peut être modifié que par un administrateur.

En pratique Contenu d’un profil


Tous les profils sont, au départ, des duplicatas du profil Default User installé sur chaque
ordinateur Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP
Professionnel ou Windows 2000. Les données du registre relatives à Default User se
trouvent dans le fichier Ntuser.dat, contenu dans le profil Default User. Chaque profil
Windows Server 2008 et Windows Vista contient les dossiers suivants :
■ Contacts Contient les contacts configurés par l’utilisateur.
■ Bureau Contient les paramètres de bureau personnalisés par l’utilisateur.
■ Documents Documents de l’utilisateur.
■ Téléchargement Fichiers téléchargés.
■ Favoris Favoris sélectionnés par l’utilisateur sur Internet Explorer.
■ Liens Raccourcis vers les dossiers Documents, Musique, Images, Public, Modifié
récemment et Recherches.
■ Musique Fichiers de musique stockés.
■ Images Images stockées.
■ Parties enregistrées Parties incomplètes qui ont été enregistrées.
■ Recherches Recherches récentes et enregistrées.
■ Vidéos Vidéos stockées.

Au sein de chaque profil Windows Server 2008, Windows Vista, Windows Server 2003,
Windows XP Professionnel ou Windows 2000, se trouvent les dossiers suivants :
■ Bureau Fichiers, dossiers, raccourcis et apparence du bureau.
■ Favoris Raccourcis vers les emplacements favoris, en particulier les sites web.
■ Paramètres locaux Données d’application, historique et fichiers temporaires.
■ Documents partagés Documents de l’utilisateur et Images, contenant les fichiers
images de l’utilisateur.
232 Partie II Installation et configuration

Selon le système d’exploitation, on trouve également les dossiers suivants :


■ AppData Paramètres spécifiques à un programme, déterminés par l’éditeur du
programme, plus les paramètres spécifiques à l’utilisateur.
■ Cookies Messages envoyés à un navigateur web par un serveur web et stockés en
local pour suivre les informations et préférences de l’utilisateur.
■ Voisinage réseau Raccourcis vers les éléments de Favoris réseau.
■ Voisinage d’impression Raccourcis vers les éléments du dossier Imprimantes.
■ Récent Raccourcis vers les dossiers et fichiers récemment accédés.
■ SendTo Éléments du menu Envoyer vers.
■ Menu Démarrer Éléments du menu Démarrer de l’utilisateur.
■ Modèles Modèles pour les applications.

Par défaut, seuls certains dossiers sont visibles dans l’Explorateur Windows. Les autres
sont masqués. Pour les afficher, DNS le menu Outils de l’explorateur, sélectionnez
Options des dossiers. Cliquez sur l’onglet Affichage et sélectionnez l’option Afficher les
fichiers et dossiers cachés.

Profils locaux
Les profils locaux sont créés sur les ordinateurs lorsque les utilisateurs ouvrent des sessions. Sur
un ordinateur Windows NT 4 mis à niveau, le profil est stocké dans le dossier Profiles du
répertoire système. Sur les ordinateurs Windows Server 2008 et Windows Vista, les profils
locaux se trouvent dans le dossier Utilisateurs du lecteur C:\, comme le montre la figure 11-12.
Sur un ordinateur Windows Server 2003, Windows XP Professionnel, Windows 2000 Server
ou Windows 2000 Professionnel, le profil de l’utilisateur est stocké dans le dossier Documents
and Settings.

Figure 11-12 Le profil utilisateur est configuré à la première ouverture de session.


Chapitre 11 Gestion des utilisateurs et des groupes 233

Lors de la première ouverture de session d’un utilisateur sur l’ordinateur local, Windows crée
un dossier de profil pour cet utilisateur, puis y copie le contenu du dossier Default User.
Toutes les modifications apportées au bureau par l’utilisateur sont enregistrées dans son
profil quand celui-ci ferme la session.
Si l’utilisateur possède un compte local sur l’ordinateur ainsi qu’un compte de domaine et
ouvre des sessions tantôt avec l’un ou l’autre de ces deux comptes, il aura deux dossiers de
profil sur l’ordinateur local, à savoir un pour les ouvertures de session sur le domaine et un
autre pour les ouvertures de session locales. Le profil local apparaît avec le nom d’ouverture
de session. Le profil de domaine est affiché avec le nom d’ouverture de session, complété par
le nom du domaine.

Profils itinérants
Les profils itinérants constituent un avantage certain pour les utilisateurs qui travaillent
régulièrement sur plusieurs ordinateurs. Le profil itinérant est stocké sur un serveur et, après
validation de l’ouverture de session par le service d’annuaire, dupliqué sur le poste local.
L’utilisateur retrouve ainsi le même bureau, la même configuration d’applications et les
mêmes paramètres, sur tout ordinateur Windows Server 2003, Windows 2000,
Windows XP Professionnel ou Windows NT 4. Lorsque l’utilisateur ouvre une session sur un
ordinateur Windows Vista ou Windows Server 2008, un profil itinérant distant se crée.
Voici comment cela fonctionne : on spécifie un emplacement sur un serveur pour les profils
et on crée un dossier partagé pour chaque utilisateur qui doit disposer un profil itinérant.
Dans la boîte de dialogue des propriétés de l’utilisateur, on saisit le chemin d’accès à ce
dossier. La prochaine fois que l’utilisateur ouvre une session sur l’ordinateur, son profil est
téléchargé du serveur vers le poste local. Quand l’utilisateur ferme la session, le profil est
enregistré en local et sur le serveur. Spécifier le chemin du profil de l’utilisateur suffit pour
transformer un profil local en profil itinérant disponible sur tout le domaine.
Quand l’utilisateur ouvre une nouvelle session, le profil situé sur le serveur est comparé au
profil local et c’est la version la plus récente qui est alors chargée pour l’utilisateur. Si le
serveur est inaccessible, c’est le profil local qui est utilisé. Si le serveur est inaccessible et que
c’est la première ouverture de session de l’utilisateur sur l’ordinateur, il y a création d’un
profil local via duplication du profil Default User. Si le profil n’est pas téléchargé sur le poste
local en raison de problèmes relatifs au serveur, le profil itinérant n’est pas actualisé lorsque
l’utilisateur ferme la session.

Remarque Placez les profils sur un ser veur membre plutôt que sur un
contrôleur de domaine. Vous accélérez ainsi l’authentification et évitez l’utilisation
du temps processeur et de la bande passante du contrôleur de domaine pour
télécharger les profils. Placez aussi les profils sur un serveur régulièrement
sauvegardé, pour disposer de copies à jour des profils itinérants.
234 Partie II Installation et configuration

Configurer les profils itinérants


Il est simple de configurer les profils itinérants, il suffit de choisir un emplacement sur un
serveur et de procéder ensuite de la manière suivante :
1. Créez un dossier partagé pour les profils sur le serveur. Partagez le dossier avec les
groupes ou les OU qui contiendront des profils itinérants.
2. Sur l’onglet Profil de la boîte de dialogue des propriétés de l’utilisateur, tapez le chemin
du profil de l’utilisateur, par exemple \\serveur\Profils\%username%.
La figure 11-13 montre un exemple de chemin d’accès d’un profil itinérant. Si vous utilisez la
variable %username%, Windows Server 2008 remplace automatiquement la variable par le
nom du compte utilisateur.

Figure 11-13 Configuration d’un chemin d’accès pour un profil itinérant

Après avoir créé le dossier du profil partagé sur un serveur et fourni le chemin d’accès du
profil dans le compte utilisateur, le profil itinérant est activé. La configuration du bureau de
l’utilisateur est copiée et stockée sur le serveur et reste accessible à l’utilisateur à partir de
n’importe quel ordinateur. Pour simplifier la vie des utilisateurs et de l’administrateur, le
mieux, toutefois, est d’affecter aux usagers des profils personnalisés avec des raccourcis, des
connexions réseau et un menu Démarrer préconfigurés. Pour ce faire, il vous faut créer des
profils personnalisés.
Chapitre 11 Gestion des utilisateurs et des groupes 235

Créer des profils itinérants personnalisés


Le processus de création d’un profil itinérant personnalisé est simple, mais comporte
plusieurs phases :
1. Créez un compte utilisateur avec un nom descriptif, comme Commerciaux ou
Responsables Agence, qui servira uniquement de modèle pour créer des profils
personnalisés.
2. Ouvrez une session sous l’identité de ce compte, puis configurez les paramètres de
bureau (applications, raccourcis, apparence, connexions réseau, imprimantes, etc.).
3. Fermez la session. Windows Server 2008 crée un profil utilisateur dans le répertoire
racine du système, dans le dossier Documents and Settings.
4. Ouvrez une session sous une identité administrative. Localisez les comptes auxquels
vous voulez affecter le profil itinérant personnalisé.
5. Pour chaque compte, cliquez sur l’onglet Profil et dans la zone Chemin du profil, tapez
\\nom_serveur\dossier_profil\%username%. Cliquez sur OK.
6. Dans le Panneau de configuration, sélectionnez Système.
7. Sous Tâches, cliquez sur Paramètres systèmes avancés puis, dans la section Profil des
utilisateurs, cliquez sur Paramètres. Sélectionnez le compte modèle et cliquez sur
Copier dans.
8. Dans la boîte de dialogue, saisissez le chemin d’accès du dossier des profils sur le
serveur, comme \\nom_serveur\dossier_profils_itinérants\%username%. Servez-vous
cette fois du vrai nom du profil itinérant sans quoi le profil sera stocké sous le nom de
la personne ayant ouvert la session.
9. Dans la section Autorisé à utiliser, cliquez sur Modifier pour donner aux utilisateurs
l’autorisation d’utiliser le profil. Cliquez sur OK pour copier le modèle de profil.

Profils obligatoires
Après vous être donné la peine de créer des profils personnalisés, vous en ferez sans doute
des profils obligatoires. Pour rendre un profil obligatoire, il suffit de renommer le fichier
caché Ntuser.dat en Ntuser.man.

Remarque Si vous ne voyez pas le fichier Ntuser dans le dossier de profil de


l’utilisateur, dans le menu Organiser, choisissez Options des dossiers et de
recherche et cliquez sur l’onglet Affichage. Dans la zone Paramètres avancés,
sélectionnez l’option Afficher les fichiers et dossiers cachés.
236 Partie II Installation et configuration

Affecter un script d’ouverture de session


à un profil utilisateur
Vous pouvez assigner des scripts d’ouverture de session, par le biais des profils ou de la
Stratégie de groupe (la stratégie de groupe est traitée au chapitre 10 du tome 1). Voici
comment affecter un script à un profil :
1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active
Directory.
2. Dans l’arborescence, cliquez sur le conteneur approprié. Cliquez droit sur le compte
utilisateur et choisissez Propriétés.
3. Cliquez sur l’onglet Profil et tapez le nom du script d’ouverture de session dans la zone
Script d’ouverture de session.
4. Lorsque vous avez terminé, cliquez sur OK.
Windows Server 2008 recherche toujours les scripts d’ouverture de session au même
emplacement : sur le contrôleur de domaine d’authentification, sur le chemin d’accès
%SystemRoot%\SYSVOL\sysvol\nom_domaine\scripts. Inutile donc de saisir le chemin
d’accès du script d’ouverture de session, son nom suffit. Si vous utilisez des dossiers placés
dans le dossier Scripts, insérez cette partie du chemin d’accès dans le chemin d’accès du
script d’ouverture de session. Le tableau 11-7 donne les variables spéciales, susceptibles
d’être utilisées pour la création des scripts d’ouverture de session, sachant que vous pouvez
aussi créer les scripts en VBScript et JScript. Si vous avez déployé Windows PowerShell dans
l’environnement, vous pouvez également vous servir de scripts PowerShell. La réplication
des scripts d’ouverture de session sur tous les contrôleurs du domaine est automatique sur
les serveurs Windows 2000 et ultérieurs.

Tableau 11-7 Variables des scripts d’ouverture de session

Variable Description
%homedrive% Lettre du lecteur contenant le dossier de base de l’utilisateur
sur la station de travail locale de l’utilisateur.
%homepath% Chemin d’accès complet du dossier de base de l’utilisateur.
%os% Système d’exploitation de l’utilisateur.
%processor_architecture% Type du processeur sur la station de travail de l’utilisateur.
%processor_level% Niveau de processeur sur la station de travail de l’utilisateur.
%userdomain% Domaine où est défini le compte de l’utilisateur.
%username% Nom du compte utilisateur.
Chapitre 11 Gestion des utilisateurs et des groupes 237

L’écriture et l’utilisation de scripts sont traitées au chapitre 15 du tome 1, « Administration


par les scripts ». Pour de plus amples informations sur l’écriture de script et des exemples de
scripts, consultez le site TechNet à l’adresse http://www.microsoft.com/technet/scriptcenter/
default.mspx.

Résumé
On mesure le bon fonctionnement d’un réseau grâce à la disponibilité de certaines
informations et ressources et par la restriction et la protection appliquées aux autres.
Windows Server 2008 offre à l’administrateur réseau des outils et fonctionnalités qui lui
permettent de satisfaire les besoins des utilisateurs, tout en protégeant les informations
sensibles stockées sur ou passant par le réseau. Ce chapitre a exploré les options à la
disposition de l’administrateur pour configurer les groupes, l’étendue des groupes et les
comptes utilisateur avec Windows Server 2008. Le prochain chapitre traite de la gestion des
ressources de fichiers, comme les partages, les autorisations et la collaboration.
Chapitre 12
Gestion des ressources
de fichiers
Autorisations de partage et autorisations de fichiers . . . . . . . . . . . . . . . . . . . . . . 240
Autorisations NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Dossiers partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Système de fichiers distribués . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

Dans la plupart des réseaux, les utilisateurs possèdent leurs propres fichiers, qu’ils stockent
localement ou sur un serveur, mais il est rare qu’un réseau ne comporte pas au moins
quelques fichiers et dossiers partagés. Dans Windows Server 2008, le partage de ressources
de fichiers existe sous quatre formes. Votre choix dépend des éléments à partager et du
nombre d’utilisateurs disposant d’un accès au partage.
■ Dossiers partagés Il s’agit essentiellement des dossiers partagés avec lesquels nous
avons l’habitude de travailler. Ce partage a néanmoins subi un changement significatif
depuis Windows Server 2003 SP1. Par défaut, le groupe Tout le monde dispose d’une
autorisation Lecture seule sur le partage d’un dossier. De plus, depuis Windows
Server 2003, ce groupe n’inclut plus les utilisateurs anonymes.
■ Dossiers partagés Active Directory Tous les dossiers partagés publiés dans Active
Directory. Pour créer un dossier partagé Active Directory, le dossier sous-jacent doit
préalablement être partagé sur l’ordinateur hôte.
■ Dossiers DFS Masque les complexités sous-jacentes du réseau et des emplacements de
fichiers pour simplifier la présentation des ressources de fichiers aux utilisateurs.
■ Dossiers partagés NFS Depuis Windows Server 2003 R2, Services Microsoft pour
NFS est un composant de Windows, qui comprend le serveur NFS et le client NFS,
ainsi que les différents utilitaires de prise en charge, dont le serveur de mappage de
noms d’utilisateurs. Les Services pour NFS sont analysés au chapitre 6 du tome 2,
« Interopérabilité ».

239
240 Partie II Installation et configuration

Autorisations de partage et autorisations de fichiers


Deux types d’autorisations s’appliquent avec n’importe quel dossier partagé : celles qui
régissent le partage réel et celles qui sont imposées par le système de fichiers sous-jacent. Ces
autorisations sont soustractives : la plus restrictive l’emporte. La gestion simultanée des
autorisations sur le partage et le système de fichiers mène souvent à la confusion et il est
difficile de suivre les détails relatifs. Dans la plupart des cas, on contrôle l’accès à l’aide des
autorisations de fichiers NTFS sous-jacentes et on définit les autorisations de partage à
Contrôle total pour tout le monde s’il s’agit de partage classique. Les autorisations de fichiers
NTFS accroissent la précision et le contrôle sur le niveau exact d’accès accordé. Cependant,
il est parfois utile de restreindre une autorisation de partage. Dans ce cas, indiquez dans le
nom de partage que celui-ci est restreint.

Remarque Pour mettre en œuvre le contrôle d’accès basé sur NFS des
systèmes de fichiers UNIX, accordez des autorisations à des ordinateurs clients et
groupes spécifiques à l’aide de noms de réseaux.

Autorisations de partage
Un partage peut impliquer un volume complet ou une simple arborescence de dossier. Si un
volume ou un dossier n’est pas partagé sur le réseau, les utilisateurs ne peuvent ni le voir, ni
y accéder. Par défaut, le groupe Tout le monde dispose d’un accès en lecture à tous les fichiers
du dossier, à tous les sous-dossiers de ce dossier et ainsi de suite, en supposant que les
utilisateurs bénéficient des autorisations du système de fichiers appropriées. Une fois qu’un
volume ou un dossier est partagé, il est possible d’ajouter ou de supprimer des restrictions
sous la forme d’autorisations de partage. Ces autorisations s’appliquent uniquement au niveau
du lecteur ou du dossier, et non au niveau du fichier, et elles se limitent à autoriser ou à
refuser les accès Contrôle total, Lecture et Modifier, comme l’indique le tableau 12-1.

Tableau 12-1 Autorisations de partage

Partage Type d’autorisation


Lecture Autorise la visualisation de noms de fichiers et de sous-dossiers, de données
de fichiers et l’exécution de programmes.
Modifier Accorde les autorisations Lecture et permet en outre d’ajouter des fichiers et
des sous-répertoires dans le dossier partagé, de modifier les données de
fichiers et de supprimer des fichiers et des sous-répertoires.
Contrôle total Accorde toutes les autorisations Modifier et permet en outre de modifier les
autorisations de fichiers et de prendre possession des fichiers (volumes NTFS
uniquement).

Les autorisations de partage déterminent l’accès maximal possible sur le réseau. Elles
n’affectent pas un utilisateur qui ouvre une session localement ou un utilisateur des Services
Terminal Server.
Chapitre 12 Gestion des ressources de fichiers 241

Autorisations de fichiers
Contrairement aux autorisations de partage, les autorisations de fichiers régissent l’accès des
utilisateurs, indépendamment de leur origine. Les utilisateurs locaux, des Services Terminal
Server et du réseau bénéficient tous du même traitement. Comme les systèmes de fichiers
FAT et FAT32 ne permettent pas de restreindre l’accès à des fichiers, il est important de
n’exploiter que le système de fichiers NTFS. Celui-ci emploie les listes de contrôle d’accès
(ACL, Access Control Lists) pour limiter l’accès aux ressources. Les autorisations NTFS
s’appliquent aux fichiers et aux dossiers et peuvent s’étendre à tout le réseau ou rester locales.
Sur un volume NTFS, il est possible de définir des autorisations jusqu’au niveau des fichiers.
Cela signifie que pour n’importe quel fichier, vous pouvez accorder des accès différents à des
utilisateurs individuels.
Essayez toujours de simplifier au maximum les autorisations que vous attribuez. Définissez le
moins d’autorisations possible. Attribuez-les à des groupes et non à des individus. Ne
définissez pas d’autorisations fichier par fichier, sauf si vous n’avez pas le choix. La gestion
des autorisations est une tâche qui s’organise minutieusement, car elle mobilise un temps
précieux.

À propos Contrôle de compte d’utilisateur


Depuis au moins dix ans, nous ne cessons de mettre en garde les administrateurs pour
qu’ils arrêtent de faire n’importe quoi avec le compte Administrateur. Nous leur disons
d’exploiter ce compte uniquement en cas de nécessité. Il est préférable d’employer un
compte utilisateur standard. Évidemment, aucun n’y a prêté attention et voilà le résultat :
Contrôle de compte d’utilisateur.
Le Contrôle de compte d’utilisateur est une nouvelle fonctionnalité de sécurité introduite
avec Windows Vista. Elle repose sur la théorie de sécurité des moindres privilèges : les
utilisateurs doivent bénéficier du strict minimum de privilèges nécessaires pour effectuer
leurs tâches. Si vous pensez que cela va à l’encontre de notre consigne de simplification
des autorisations, détrompez-vous. Les partages et les autorisations demeurent la seule
manière d’autoriser ou de restreindre l’accès aux fichiers et aux dossiers.
Le Contrôle de compte d’utilisateur réduit l’exposition du système d’exploitation en
imposant à tous les utilisateurs de travailler en mode utilisateur standard, en empêchant
au maximum les utilisateurs d’apporter des modifications susceptibles de déstabiliser
leur ordinateur ou d’exposer le réseau aux virus par l’intermédiaire de logiciels
malveillants non détectés ayant infecté leur ordinateur.
Problèmes de la mise en œuvre du Contrôle de compte *d’utilisateur
Avant Windows Vista, Windows reposait sur un modèle d’usage, à savoir l’un des droits
d’administration supposés. Les développeurs de logiciels supposaient que leur
programme pourrait accéder et modifier n’importe quel fichier, clé de registre ou
paramètre du système d’exploitation. Même quand Windows NT a introduit la sécurité
242 Partie II Installation et configuration

et la différenciation entre l’attribution de l’accès aux comptes utilisateurs standard et


administrateur, les utilisateurs étaient orientés vers un processus d’installation qui les
incitait à employer le compte Administrateur prédéfini ou un compte membre du groupe
Administrateurs. D’autre part, même les utilisateurs standards ont parfois besoin
d’effectuer des tâches qui nécessitent des droits d’administrateur, comme l’installation
d’un logiciel et l’ouverture de ports du pare-feu.
La solution apportée par le Contrôle de compte d’utilisateur est d’exiger moins
fréquemment les droits d’administrateur, d’autoriser les anciennes applications à
s’exécuter avec des droits d’utilisateur standard, de faciliter l’accès aux droits
d’administrateur des utilisateurs standards en cas de besoin et d’autoriser les utilisateurs
administrateurs à travailler comme s’ils étaient des utilisateurs standards.
Pour obtenir davantage d’informations sur le fonctionnement du Contrôle de compte
d’utilisateur, reportez-vous à l’adresse http://technet.microsoft.com/fr-fr/windowsvista/
aa906021.aspx.

Autorisations NTFS
Comme nous l’avons mentionné précédemment, l’attribution d’autorisations à des fichiers et
à des dossiers est une possibilité sous-jacente du système de fichiers NTFS. Lorsque vous
exploitez des fichiers et des dossiers sur NTFS, vous devez comprendre le fonctionnement
des autorisations et en quoi elles diffèrent selon qu’elles s’appliquent à un fichier ou au
dossier qui contient le fichier.

Signification des autorisations


Les autorisations NTFS contrôlent l’accès local et distant. D’autre part, les autorisations de
partage s’appliquent uniquement aux partages réseau et ne restreignent pas l’accès des
utilisateurs locaux (ou des Services Terminal Server) de l’ordinateur sur lequel vous avez défini
les autorisations. Windows Server 2008 propose un panel d’autorisations de dossiers standards
qui combinent les types d’accès spécifiques. Les autorisations individuelles sont Contrôle total,
Modifier, Lecture et exécution, Afficher le contenu du dossier, Lecture et Écriture. Chacune
d’elles consiste en un groupe d’autorisations spéciales. Le tableau 12-2 présente les
autorisations spéciales et les autorisations standards auxquelles elles s’appliquent.
Tableau 12-2 Autorisations spéciales applicables aux dossiers

Afficher
Autorisation Contrôle Lecture et le contenu
spéciale total Modifier exécution du dossier Lecture Écriture
Parcours du dossier/ Oui Oui Oui Oui Non Non
exécuter le fichier
Chapitre 12 Gestion des ressources de fichiers 243

Tableau 12-2 Autorisations spéciales applicables aux dossiers

Afficher
Autorisation Contrôle Lecture et le contenu
spéciale total Modifier exécution du dossier Lecture Écriture
Liste du dossier/ Oui Oui Oui Oui Oui Non
lecture de données
Attributs de lecture Oui Oui Oui Oui Oui Non
Lecture des attributs Oui Oui Oui Oui Oui Non
étendus
Création de fichier/ Oui Oui Non Non Non Oui
écriture de données
Création de dossier/ Oui Oui Non Non Non Oui
ajout de données
Attributs d’écriture Oui Oui Non Non Non Oui
Écriture d’attributs Oui Oui Non Non Non Oui
étendus
Suppression Oui Non Non Non Non Non
de sous-dossier
et fichier
Suppression Oui Oui Non Non Non Non
Autorisations Oui Oui Oui Oui Oui Oui
de lecture
Modifier les Oui Non Non Non Non Non
autorisations
Appropriation Oui Non Non Non Non Non
Synchroniser Oui Oui Oui Oui Oui Oui

Remarque Ces paramètres sont identiques depuis Windows Server 2003.


Lecture et exécution et Afficher le contenu du dossier semblent présenter les mêmes
autorisations, mais la différence apparaît dans l’héritage de ces autorisations. L’autorisation
Lecture et exécution s’hérite par les fichiers et les dossiers et elle est toujours présente lorsque
vous affichez les autorisations du fichier ou du dossier. Afficher le contenu du dossier s’hérite
uniquement par les dossiers et n’apparaît que si l’on affiche les autorisations du dossier.
Les autorisations de fichiers standards sont Contrôle total, Modifier, Lecture et exécution,
Lecture et Écriture. À l’instar des autorisations de dossiers, chacune de ces autorisations
contrôle un ensemble d’autorisations spéciales. Le tableau 12-3 rassemble les autorisations
spéciales associées aux autorisations standards.
244 Partie II Installation et configuration

Tableau 12-3 Autorisations spéciales applicables aux fichiers

Contrôle Lecture et
Autorisation spéciale total Modifier exécution Lecture Écriture
Parcours du dossier/ Oui Oui Oui Non Non
exécuter le fichier
Liste du dossier/ Oui Oui Oui Oui Non
lecture de données
Attributs de lecture Oui Oui Oui Oui Non
Lecture des attributs Oui Oui Oui Oui Non
étendus
Création de fichier/ Oui Oui Non Non Oui
écriture de données
Création de dossier/ Oui Oui Non Non Oui
écriture de données
Création de dossier/ Oui Oui Non Non Oui
ajout de données
Attributs d’écriture Oui Oui Non Non Oui
Écriture d’attributs Oui Oui Non Non Oui
étendus
Suppression de Oui Non Non Non Non
sous-dossier et fichier
Suppression Oui Oui Non Non Non
Autorisations de lecture Oui Oui Oui Oui Oui
Modifier les Oui Non Non Non Non
autorisations
Appropriation Oui Non Non Non Non

Remarque Ces paramètres sont identiques depuis Windows Server 2003.

Important Les groupes ou utilisateurs bénéficiant du Contrôle total sur un


dossier ont la possibilité de supprimer tous les fichiers et sous-dossiers, quelles
que soient les autorisations définies sur les fichiers ou sous-réper toires
individuels. N’importe quel utilisateur ou groupe qui dispose de l’autorisation
Appropriation peut devenir propriétaire du fichier ou du dossier, puis modifier les
autorisations et supprimer des fichiers ou des arborescences complètes de sous-
dossiers, quelles que soient les autorisations qui étaient en vigueur avant que cet
utilisateur ou groupe ne devienne propriétaire.
Chapitre 12 Gestion des ressources de fichiers 245

Fonctionnement des autorisations


Si vous ne touchez à rien, les fichiers et les dossiers contenus dans un dossier partagé ont les
mêmes autorisations que le partage et peuvent être assignées aux entités suivantes :
■ Groupes et utilisateurs individuels de ce domaine ;
■ Groupes globaux, groupes universels et utilisateurs individuels des domaines
approuvés par ce domaine ;
■ Identités spéciales, comme Tout le monde et Utilisateurs authentifiés.

Résumons les règles importantes qui régissent les autorisations :


■ Par défaut, un dossier hérite des autorisations de son dossier parent. Les fichiers
héritent des autorisations du dossier qui les accueille.
■ Les utilisateurs peuvent accéder à un dossier ou à un fichier à condition d’en avoir
l’autorisation ou d’appartenir à un groupe qui possède cette autorisation.
■ Les autorisations se cumulent, mais l’autorisation Refuser supplante toutes les autres.
Par exemple, si le groupe Ingénierie dispose de l’accès Lecture sur un dossier, que le
groupe Projet bénéficie de l’autorisation Modifier sur le même dossier et qu’Alexandre
est membre des deux groupes, ce dernier dispose du niveau le plus élevé
d’autorisation, à savoir Modifier. Cependant, si l’autorisation du groupe Ingénierie est
explicitement modifiée en Refuser, Alexandre verra son accès refusé au dossier en dépit
de son appartenance au groupe Projet, malgré son niveau maximal d’accès.
■ Les autorisations explicites ont priorité sur les autorisations héritées. L’autorisation
Refuser héritée n’empêche pas l’accès si un objet possède une autorisation Autoriser
explicite.
■ L’utilisateur qui crée un fichier ou un dossier en est propriétaire et peut définir des
autorisations pour contrôler son accès.
■ Un administrateur peut s’approprier n’importe quel fichier ou dossier.

Héritage
Pour compliquer un peu les choses, il existe deux types d’autorisations : explicites et
héritées. Les autorisations explicites sont définies sur les fichiers ou les dossiers que vous
créez. Les autorisations héritées sont celles qu’un objet enfant récupère d’un objet parent. Par
défaut, lorsque vous créez un fichier ou un sous-dossier, il hérite des autorisations du dossier
parent. Si les cases Autoriser et Refuser sont grisées lorsque vous affichez les autorisations
d’un objet, les autorisations sont héritées.
Si vous souhaitez que les objets enfants n’héritent pas des autorisations du parent, bloquez
l’héritage au niveau du parent ou de l’enfant. Le niveau où vous bloquez l’héritage est
important. Bloquez l’héritage au niveau du parent et aucun sous-dossier n’hérite
d’autorisations. Bloquez sélectivement au niveau de l’enfant et seulement certains dossiers
hériteront d’autorisations.
246 Partie II Installation et configuration

Voici comment modifier les autorisations héritées :


1. Cliquez droit sur le dossier et choisissez Propriétés.
2. Cliquez sur l’onglet Sécurité, puis Avancé.
3. Dans l’onglet Autorisations de la boîte de dialogue Paramètres de sécurité avancés
pour, sélectionnez l’autorisation à modifier et cliquez sur Modifier.
4. Supprimez la coche de la case Inclure les autorisations pouvant être héritées du parent
de cet objet.
Vous avez alors la possibilité de copier les autorisations existantes sur l’objet ou de supprimer
toutes les autorisations héritées (voir figure 12-1). L’objet ne va plus hériter des autorisations
de l’objet parent et vous pourrez modifier les autorisations ou supprimer des utilisateurs ou
des groupes de la liste Autorisations.

Figure 12-1 Supprimez des autorisations héritées.

On modifie également des autorisations héritées en modifiant les autorisations du dossier


parent ou en sélectionnant explicitement l’autorisation contraire – Autoriser ou Refuser –
pour annuler l’autorisation héritée. La figure 12-2 illustre un dossier avec des autorisations
héritées et non héritées.

Figure 12-2 Les autorisations de ce dossier sont un mélange d’autorisations héritées et explicites.
Chapitre 12 Gestion des ressources de fichiers 247

Configurer les autorisations de dossiers


Définissez toutes les autorisations du dossier d’un volume NTFS avant de le partager.
Lorsque vous définissez les autorisations d’accès à un dossier, vous paramétrez aussi les
autorisations des fichiers et des sous-répertoires qui se trouvent dans ce dossier ou qui y
seront placés. Pour définir des autorisations, il vous faut effectuer quelques actions :
■ Pour attribuer des autorisations à un dossier, cliquez droit sur le dossier et choisissez
Propriétés dans le menu contextuel. Cliquez ensuite sur l’onglet Sécurité.
■ Pour supprimer un utilisateur ou un groupe de la liste, cliquez sur Modifier.
Sélectionnez le groupe ou le nom d’utilisateur et cliquez sur Supprimer.
■ Pour ajouter un utilisateur ou un groupe à la liste, cliquez sur Modifier, puis sur Ajouter. La
boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes s’affiche. Tapez le nom
de l’objet ou cliquez sur Avancé. Assurez-vous que le type d’objet et son emplacement sont
corrects. Cliquez sur Avancé, puis sur Rechercher pour afficher une liste de tous les objets
existants du type sélectionné (voir figure 12-3). Sélectionnez ceux de votre choix (appuyez
sur CTRL+cliquez pour sélectionner plusieurs objets) et cliquez sur OK.

Figure 12-3 Retrouvez tous les objets sélectionnés à l’emplacement spécifié.

Attribuer des autorisations aux fichiers


Les autorisations des fichiers individuels s’attribuent de la même manière que celles des
dossiers. Toutefois, tenez compte des considérations suivantes :
■ Accordez des autorisations aux groupes plutôt qu’aux utilisateurs.
248 Partie II Installation et configuration

■ Créez des groupes de domaine et attribuez-leur les autorisations au lieu d’assigner


directement des autorisations à des groupes locaux.

Configurer des autorisations spéciales


Dans certains cas, vous devrez modifier, définir ou supprimer les autorisations spéciales d’un
fichier ou d’un dossier. Voici comment accéder aux autorisations spéciales :
1. Cliquez droit sur le fichier ou le dossier et choisissez Propriétés dans le menu
contextuel.
2. Cliquez sur l’onglet Sécurité.
■ Pour ajouter un utilisateur ou un groupe, cliquez sur Modifier, puis sur Ajouter.
Tapez le nom de l’objet ou cliquez sur les boutons Avancé puis Ajouter pour
afficher la liste de tous les objets des catégories spécifiées.
■ Pour afficher ou modifier des autorisations spéciales existantes, cliquez sur
Modifier. Sélectionnez le nom du groupe ou de l’utilisateur dont vous voulez voir
les autorisations.
■ Pour supprimer des autorisations spéciales, cliquez sur Avancé. Dans la boîte de
dialogue Paramètres de sécurité avancés pour, cliquez sur Modifier. Sélectionnez
le nom de l’utilisateur ou du groupe et cliquez sur Modifier. Cochez la case
Refuser en regard de l’autorisation spéciale héritée à supprimer. Pour les autres
autorisations, il suffit de supprimer la coche de la case Autoriser.
3. Dans la liste déroulante Appliquer de la boîte de dialogue Entrée d’autorisation pour de
la figure 12-4, choisissez où appliquer les autorisations. Le champ Appliquer n’est
disponible qu’avec les dossiers.

Figure 12-4 Choisissez où appliquer les autorisations.


Chapitre 12 Gestion des ressources de fichiers 249

4. Si les autorisations ne doivent pas être héritées, cochez la case Appliquer ces
autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce
conteneur.
5. Cliquez sur OK pour fermer la boîte de dialogue.

Important La case Appliquer ces autorisations uniquement aux objets et/ou


aux conteneurs faisant partie de ce conteneur a des effets et une portée
considérables. Le tableau 12-4 énumère les conséquences de la case cochée et
le tableau 12-5 celles de la case non cochée.

Tableau 12-4 Résultat lorsque la case Appliquer ces autorisations uniquement au conteneur
est sélectionnée

S’applique aux S’applique S’applique S’applique aux


Sélection S’applique au sous-dossiers aux fichiers aux sous- fichiers des
dans la zone dossier en du dossier en du dossier en dossiers sous-dossiers
S’applique à cours ? cours ? cours ? suivants ? suivants ?
Ce dossier X
seulement
Ce dossier, les X X X
sous-dossiers
et les fichiers
Ce dossier X X
et les sous-
dossiers
Ce dossier et X X
les fichiers
Les sous- X X
dossiers et les
fichiers
seulement
Les sous- X
dossiers
seulement
Fichiers X
seulement
250 Partie II Installation et configuration

Tableau 12-5 Résultat lorsque la case Appliquer ces autorisations uniquement au conteneur
n’est pas sélectionnée

S’applique aux S’applique S’applique aux


Sélection S’applique sous-dossiers aux fichiers S’applique aux fichiers des
dans la zone au dossier du dossier en du dossier sous-dossiers sous-dossiers
S’applique à en cours ? cours ? en cours ? suivants ? suivants ?
Ce dossier X
seulement
Ce dossier, les X X X X X
sous-dossiers
et les fichiers
Ce dossier et X X X
les sous-
dossiers
Ce dossier et X X X
les fichiers
Les sous- X X X X
dossiers et les
fichiers
seulement
Les sous- X X
dossiers
seulement
Fichiers X X
seulement

Notion de propriété et son fonctionnement


Tout objet d’un volume NTFS ou d’Active Directory a un propriétaire. Par défaut, le
propriétaire est celui qui a créé le fichier ou le dossier. Il contrôle les autorisations définies sur
l’objet et les bénéficiaires des autorisations. Même si son accès est refusé, il peut toujours
modifier les autorisations sur un objet. La seule manière de lui retirer cette possibilité est de
modifier la propriété.
Voici comment modifier la propriété d’un objet :
■ Un administrateur peut s’approprier un objet. Le groupe Administrateurs possède le
droit d’utilisateur Prendre possession de fichiers ou d’autres objets.
■ Tout utilisateur ou groupe bénéficiant de l’autorisation Appropriation sur l’objet peut
modifier la propriété de l’objet.
Chapitre 12 Gestion des ressources de fichiers 251

■ Tout utilisateur ou groupe bénéficiant du droit d’utilisateur Restaurer les fichiers et les
répertoires peut modifier la propriété de l’objet.
■ Le propriétaire peut transférer la propriété à un autre utilisateur.

Remarque Ces trois dernières méthodes ne fonctionnent que si le Contrôle de


compte d’utilisateur est désactivé ou si l’utilisateur possède des informations
d’identification d’administrateur.

Prendre possession d’un objet


Pour s’approprier un objet, vous devez au préalable ouvrir une session en tant
qu’Administrateur, utilisateur avec l’autorisation Appropriation ou utilisateur avec le droit
d’utilisateur Restaurer les fichiers et les répertoires. Voici alors comment procéder :
1. Cliquez droit sur l’objet et choisissez Propriétés dans le menu contextuel. Cliquez sur
l’onglet Sécurité.
2. Cliquez sur Avancé, puis sur l’onglet Propriétaire. Cliquez sur Modifier.
■ Pour attribuer la possession à un utilisateur ou un groupe qui ne figure pas dans
la liste, cliquez sur Autres utilisateurs ou groupes. Dans le champ Entrez le nom
de l’objet à sélectionner, tapez le nom de l’utilisateur ou du groupe, cliquez sur
Vérifier les noms, puis sur OK.
■ Pour attribuer la possession à un utilisateur ou à un groupe de la liste, cliquez sur
le nouveau propriétaire.
3. Pour changer le propriétaire de tous les sous-conteneurs et objets de l’arborescence,
cochez la case Remplacer le propriétaire des sous-conteneurs et des objets.

Transférer la propriété
Voici comment le propriétaire d’un objet transfère sa propriété :
1. Cliquez droit sur l’objet et choisissez Propriétés. Cliquez sur l’onglet Sécurité.
2. Cliquez sur Avancé, puis sur l’onglet Propriétaire. Cliquez sur Modifier.
3. Si le nouveau propriétaire proposé apparaît dans la liste Sélectionner un nouveau
propriétaire, sélectionnez son nom et cliquez sur OK. Sinon, cliquez sur Autres
utilisateurs ou groupes pour ouvrir la boîte de dialogue Sélectionnez utilisateur,
Ordinateur ou groupe.
4. Localisez le nouveau propriétaire et cliquez sur OK.
5. Sélectionnez le nouveau propriétaire dans la liste correspondante (figure 12-5) et
cliquez sur OK.
252 Partie II Installation et configuration

Figure 12-5 Sélectionnez un nouveau propriétaire.

Autorisations de partage
Comme nous l’avons précisé, il est généralement préférable d’appliquer des autorisations
de fichiers NTFS plutôt que des autorisations de partage pour contrôler l’accès aux
ressources partagées du réseau. Les autorisations de partage procurent un contrôle
moindre sur les autorisations spécifiques qui sont accordées et elles sont moins
sécurisées que celles du système de fichiers, car elles s’appliquent uniquement aux
utilisateurs qui se connectent au réseau.
Cependant, cette règle comporte quelques exceptions. Par exemple, vous souhaitez
autoriser tous les utilisateurs authentifiés à accéder au volume d’un sous-dossier
particulier mais en n’autorisant qu’un groupe spécifique à accéder au répertoire racine.
Vous créez alors deux partages de fichiers : un au niveau du sous-dossier, sans sécurité
de partage (Contrôle total pour Tout le monde) et un au niveau de la racine, avec la
sécurité du partage pour autoriser uniquement l’accès au groupe spécifié.
Il est également judicieux de masquer les partages de fichiers en ajoutant le caractère
dollar ($) à la fin du nom de partage. Ainsi, n’importe quel utilisateur peut se connecter
au partage, à condition qu’il connaisse le nom de partage. Une fois que l’utilisateur est
connecté, il est encore soumis aux autorisations de sécurité NTFS, mais cette approche
est intéressante si l’on souhaite stocker des outils avancés et autoriser l’administrateur à
y accéder à partir d’un système ou compte utilisateur d’un utilisateur. La sécurité des
fichiers ne constitue pas réellement un problème ; il faut juste faire en sorte que les
utilisateurs ne sèment pas la pagaille dans les fichiers.
Chapitre 12 Gestion des ressources de fichiers 253

Dossiers partagés
Dans Windows Server 2008, il existe plusieurs manières de configurer et d’administrer les
dossiers partagés : cliquer droit sur un dossier dans l’Explorateur Windows et choisir
Partager dans le menu contextuel, faire appel à l’outil Gestion du partage et du stockage du
menu Outils d’administration ou travailler en ligne de commandes.
Chaque approche présente ses avantages, mais la ligne de commandes reste idéale pour créer
ou modifier rapidement un partage. Il est préférable d’opter pour Gestion du partage et du
stockage si l’on souhaite davantage de fonctions de gestion à un seul emplacement.

Gestion du partage et du stockage


La console Gestion du partage et du stockage centralise la gestion des dossiers et des volumes
partagés sur le réseau. Elle se trouve dans le menu Outils d’administration. L’Assistant
Configuration d’un dossier partagé permet de partager aisément un dossier ou un volume et
de lui attribuer toutes les propriétés nécessaires. Voici comment procéder :
1. Ouvrez la console Gestion du partage et du stockage à partir du menu Outils
d’administration.
2. Dans le volet Actions, sélectionnez Prévoir le partage.
3. Saisissez l’emplacement du dossier ou cliquez sur Parcourir pour le localiser, comme le
montre la figure 12-6. Cliquez sur Suivant.

Figure 12-6 Identifiez le nom et l’emplacement du partage proposé.


254 Partie II Installation et configuration

4. Sur la page Autorisations NTFS, modifiez à votre guise les autorisations NTFS du
dossier. Cliquez sur Suivant.
5. Sur la page Protocoles du partage, choisissez le protocole employé par les utilisateurs
pour accéder au partage. Si NFS n’est pas installé sur l’ordinateur, le protocole par
défaut est SMB (Server Message Block), un protocole natif Windows utilisé pour les
partages depuis Windows NT. Cliquez sur Suivant.
6. La page Paramètres SMB indique le nombre maximal d’utilisateurs, l’énumération
basée sur l’accès et les paramètres hors connexion du dossier. Cliquez sur Avancé pour
y apporter une modification. Cliquez sur Suivant.
7. Sur la page Autorisations SMB, sélectionnez les autorisations de partage de votre choix
et cliquez sur Suivant.
8. Sur la page Publication de l’espace de noms DFS, choisissez de publier ou non le
partage sur un espace de noms DFS. L’emploi et la création d’espace de noms DFS sont
décrits plus loin dans ce chapitre. Cliquez sur Suivant.
9. Sur la page Revoir les paramètres et créer le partage, vérifiez les paramètres. Cliquez sur
Précédent pour modifier les paramètres. Si tout est correct, cliquez sur Créer.
La console Gestion du partage et du stockage permet également de modifier des autorisations
de dossier existantes, de visionner les connexions à un dossier et de déconnecter un
utilisateur si nécessaire. Sélectionnez le dossier partagé dans la liste des partages et cliquez
sur l’action de votre choix dans le volet Actions.

Supprimer un partage de dossier


Pour cesser de partager un dossier, vous pouvez vous servir de la console Gestion du partage
et du stockage. Il suffit de sélectionner le partage et de cliquer droit dessus pour choisir
Cesser de partager. Sinon, à l’invite de commandes, tapez la commande suivante :
net share <nompartage> /delete

Avec l’invite de commandes, il n’est même pas nécessaire de confirmer l’action. Soyez en
revanche attentif si vous supprimez un partage, car vous pourriez déconnecter tous les
fichiers ouverts sur lesquels des utilisateurs travaillent et entraîner la perte de données.

Partages spéciaux
Outre les partages créés par un utilisateur ou un administrateur, le système crée quelques partages
spéciaux qui ne doivent être ni modifiés, ni supprimés. Il s’agit des partages administratifs : le
partage ADMIN$ et les partages cachés de chaque volume de disque dur (C$, D$, E$, etc.). Ces
partages permettent aux administrateurs de se connecter aux lecteurs qui, autrement, ne seraient
pas partagés. Ils sont invisibles par défaut et seuls les administrateurs peuvent s’y connecter.
Les partages spéciaux sont créés dans le cadre de l’installation du système d’exploitation. La
configuration de l’ordinateur détermine si tout ou partie des partages spéciaux suivants sont
présents (aucun ne doit être modifié ou supprimé) :
Chapitre 12 Gestion des ressources de fichiers 255

■ ADMIN$ Exploité lors de l’administration à distance d’un ordinateur. Le chemin


d’accès correspond toujours à l’emplacement du dossier qui contient Windows (à
savoir la racine système). Seuls les groupes Administrateurs, Opérateurs de sauvegarde
et Opérateurs de serveur ont accès à ce partage.
■ lettrelecteur$ Dossier racine du lecteur nommé. Seuls les groupes Administrateurs,
Opérateurs de sauvegarde et Opérateurs de serveur ont accès à ces partages sur les
serveurs Windows. Sur les ordinateurs Windows XP Professionnel, Windows 2000
Professionnel et Windows Vista, seuls les groupes Administrateurs et Opérateurs de
sauvegarde ont accès à ces partages.
■ IPC$ Exploité lors de l’administration à distance et pour consulter les ressources
partagées. Ce partage est essentiel à la communication et ne peut être supprimé.
■ NETLOGON Utilisé pour traiter les requêtes d’ouverture de session au domaine. À ne
pas supprimer.
■ SYSVOL Requis sur tous les contrôleurs de domaine. À ne pas supprimer.
■ PRINT$ Ressource qui prend en charge les imprimantes partagées.

Pour vous connecter à un lecteur non partagé d’un autre ordinateur, vous devez ouvrir une
session avec un compte bénéficiant des droits nécessaires. Servez-vous de la barre d’adresse
de n’importe quelle fenêtre et tapez l’adresse selon la syntaxe suivante :
\\nom_ordinateur\[lettrelecteur]$

Pour vous connecter au dossier racine système (celui sur lequel Windows est installé) d’un
autre ordinateur, employez la syntaxe suivante :
\\nom_ordinateur\admin$

Remarque L’ajout d’un signe dollar ($) à la fin d’un nom de partage dissimule le
partage à tous les utilisateurs. Pour accéder à un partage caché, vous devez le spécifier
explicitement ; il est impossible de parcourir le réseau à la recherche du partage.

Ligne de commandes : Net Share


Pour les férus de la ligne de commandes, il n’existe rien de mieux que net share pour gérer les
partages réseau. Voici sa syntaxe :
NET SHARE
nompartage
nompartage=drive:path [/GRANT:user,[READ | CHANGE | FULL]]
[/USERS:number | /UNLIMITED]
[/REMARK:"texte"]
[/CACHE:Manual | Documents| Programs | None ]
Nompartage [/USERS:number | /UNLIMITED]
[/REMARK:"texte"]
[/CACHE:Manual | Documents | Programs | None]
{nompartage | nompériphérique | lecteur:cheminaccès} /DELETE
256 Partie II Installation et configuration

Il suffit de taper net share sans paramètre à l’invite de commandes pour obtenir la liste des
dossiers actuellement partagés. Tapez net share <nompartage> pour voir les paramètres en
vigueur sur le nom de partage.
Il existe deux autres commandes net bien pratiques pour gérer les partages : net view et net
session. La première retourne la liste des ordinateurs du réseau ou les ressources disponibles
sur un ordinateur particulier et la seconde les sessions de l’ordinateur en cours ou les détails
d’une session avec un ordinateur particulier. En voici les syntaxes :
NET VIEW
[\\nomordinateur [/CACHE] | /DOMAIN[:nomdomaine]]
NET VIEW /NETWORK:NW [\\nomordinateur]

NET SESSION
[\\nomordinateur] [/DELETE]

Remarque Les commandes net fonctionnent avec les noms NetBIOS et les
adresses IP et lorsque l’utilisateur est spécifié, elles peuvent employer les formats
DOMAINE\Utilisateur et d’adresse électronique, ce qui en fait des outils très flexibles
et pratiques.

Publier des partages dans Active Directory


Il est possible de publier des partages de fichiers de manière relativement permanente dans
Active Directory, facilitant ainsi la tâche aux utilisateurs qui les recherchent dans un réseau de
grande envergure. Voici comment procéder :
1. Ouvrez Utilisateurs et ordinateurs Active Directory à partir du menu Outils
d’administration.
2. Cliquez droit sur le domaine où publier le partage, choisissez Nouveau, puis
sélectionnez Dossier partagé dans le menu contextuel.
3. Dans la boîte de dialogue Nouvel objet, tapez le nom du dossier partagé, ainsi que son
chemin d’accès réseau, comme le montre la figure 12-7.

Figure 12-7 Publiez un dossier partagé dans Active Directory.

4. Cliquez sur OK lorsque vous avez terminé.


Chapitre 12 Gestion des ressources de fichiers 257

Système de fichiers distribués


Grâce au Système de fichiers distribués (DFS, Distributed File System), les administrateurs
regroupent des dossiers partagés situés sur différents serveurs et les présentent aux
utilisateurs en tant qu’arborescence virtuelle de dossiers, appelée espace de noms. Un espace
de noms comporte de nombreux avantages, dont la disponibilité accrue des données, le
partage de la charge réseau et la migration simplifiée des données. Réplication DFS permet
aux administrateurs de répliquer des dossiers sans consommer beaucoup de bande passante
à l’aide de l’algorithme de compression RDC (Remote Differential Compression, compression
différentielle à distance) qui réplique uniquement les blocs modifiés d’un fichier.
Les services Espaces de noms DFS et Réplication DFS servent plusieurs objectifs :
■ Organiser un grand nombre de partages de fichiers dispersés sur plusieurs serveurs
dans un espace de noms contigu afin que les utilisateurs retrouvent les fichiers dont ils
ont besoin ;
■ Améliorer la disponibilité et les performances des partages de fichiers, en particulier
dans les environnements de réseau comportant plusieurs sites, où les espaces de noms
DFS sont en mesure de rediriger les utilisateurs vers le serveur disponible le plus
proche ;
■ Mettre en cache les données dans une succursale afin que les utilisateurs puissent
accéder aux fichiers d’un serveur de fichiers local, lequel se réplique ensuite sur un
serveur de fichiers central via une connexion WAN ;
■ Centraliser la sauvegarde des succursales en répliquant toutes les données de la
succursale sur un serveur central sauvegardé régulièrement ;
■ Conserver au moins deux partages de fichiers synchronisés sur des liens LAN ou WAN.

Remarque DFS crée un environnement de collaboration avec peu de


dépendance où la réplication DFS réplique les données entre plusieurs serveurs.
Cependant, Réplication DFS n’offre pas la possibilité de « vérifier » les fichiers ou
de répliquer des fichiers en cours d’utilisation, comme les bases de données à
utilisateurs multiples. Par conséquent, exploitez Windows SharePoint Services
dans les environnements où les utilisateurs tentent régulièrement de modifier le
même fichier simultanément à des endroits différents.

Terminologie DFS
La plus grande part de la terminologie DFS est très spécifique à l’environnement DFS.
Mémorisez bien les concepts qui suivent pour éviter les potentielles futures confusions.
■ Espace de noms Affichage virtuel des dossiers partagés. Même si les dossiers se
trouvent dans différents emplacements, ils apparaissent à l’utilisateur sous forme d’une
arborescence unique.
258 Partie II Installation et configuration

■ Serveur d’espaces de noms Héberge un espace de noms. Il peut être serveur membre
ou contrôleur de domaine.
■ Racine de l’espace de noms Dossier partagé qui sert de racine à un espace de noms
particulier. Comme DFS est un système de fichiers virtuel, la racine de l’espace de
noms peut correspondre à n’importe quel dossier partagé sur une partition NTFS.
■ Dossiers Les dossiers d’un espace de noms DFS approfondissent la structure d’une
hiérarchie ou contiennent des cibles de dossiers qui se mappent sur les partages.
■ Cible de dossier Chemin d’accès UNC d’un dossier partagé ou d’un autre espace de
noms associé à un dossier d’un espace de noms. La cible de dossier stocke les données
et le contenu.

Remarque Les dossiers peuvent contenir des cibles de dossiers ou d’autres


dossiers, mais pas les deux au même niveau de la hiérarchie.
Les clients DFS choisissent automatiquement une cible de dossier dans leur site, si
disponible, ce qui réduit l’utilisation du réseau intersite. Si plusieurs cibles sont disponibles
dans le site du client, chaque client en sélectionne une de manière aléatoire, répartissant ainsi
la charge de manière égale sur tous les serveurs disponibles. Si une cible n’est plus
disponible, le client s’en remet automatiquement à une autre, processus que l’on appelle
basculement du client. Lorsque la cible d’origine se rétablit, le client la récupère
automatiquement si le serveur d’espaces de noms et le client prennent en charge cette
fonctionnalité. Les cibles fournissent donc une tolérance de pannes, un équilibrage de charge
réseau et la connaissance du site. Réplication DFS assure en outre la synchronisation
continue des cibles de dossier.

Types d’espaces de noms


Il existe deux types d’espaces de noms DFS : autonomes et basés sur le domaine. Un espace de
noms autonome (comme \\srv1\public) stocke toutes les informations sur l’espace de noms
dans le registre du serveur d’espaces de noms et non dans Active Directory. Tout serveur
Windows 2000 Server ou ultérieur peut héberger un espace de noms autonome, qu’il
appartienne à un domaine ou non (même si les serveurs Windows Server 2003 et
Windows 2000 Server ne prennent pas en charge les fonctionnalités des espaces de noms DFS).
Les espaces de noms autonomes hébergent davantage de dossiers (jusqu’à 50 000 dossiers avec
cibles) que les espaces de noms de domaine (jusqu’à 5 000 dossiers avec cibles), mais la seule
manière d’obtenir une redondance pour une racine d’espace de noms autonome est de faire
appel à un cluster de serveurs. Il est impossible d’employer plusieurs serveurs d’espaces de
noms pour héberger un espace de noms autonome, contrairement à l’espace de noms de
domaine. Cependant, on peut répliquer des dossiers d’un espace de noms autonome tant que
tous les membres de la réplication appartiennent à la même forêt Active Directory.
Les racines d’espaces de noms de domaine (comme \\monentreprise.com\public) diffèrent
des racines d’espaces de noms autonomes en plusieurs points. Premièrement, vous devez
héberger les racines d’espaces de noms de domaine sur un serveur membre ou un contrôleur
Chapitre 12 Gestion des ressources de fichiers 259

de domaine d’un domaine Active Directory. Deuxièmement, les racines d’espaces de noms de
domaine publient automatiquement la topologie DFS dans Active Directory. Cet
arrangement fournit une tolérance de pannes et optimise les performances du réseau en
dirigeant les clients vers la cible la plus proche.
Choisissez un espace de noms autonome si le réseau n’exploite pas Active Directory, si
l’espace de noms contient plus de 5 000 dossiers avec cibles ou si vous voulez héberger
l’espace de noms sur un cluster de serveurs. Sinon, préférez un espace de noms de domaine
si vous comptez exploiter plusieurs serveurs d’espaces de noms pour la redondance et tirer
profit d’Active Directory pour les références clients qui connaissent le site. Il reste possible de
combiner les deux ; par exemple, créez un espace de noms de domaine qui comprend une
racine autonome en tant que dossier.
Avant de créer des espaces de noms, concevez leur hiérarchie à l’image de la structure du
domaine de l’organisation. Reportez-vous à cet effet au chapitre 3 du tome 1, « Planification
de l’espace de noms et des domaines ». Créez une structure d’espace de noms logique, simple
d’utilisation (pour l’utilisateur final !) et qui correspond à celle de l’organisation, puis
impliquez toutes les parties prenantes dans le projet pour conclure la conception. Engagez
quelques utilisateurs représentatifs de l’organisation afin de connaître leur avis sur la
conception de l’espace de noms et de tirer profit de leur retour.
Le tableau 12-6 contient des indications sur les serveurs d’espaces de noms.

Tableau 12-6 Indications sur les serveurs d’espaces de noms

Serveur hébergeant des espaces Serveur hébergeant des espaces


de noms autonomes de noms de domaine
Seuls les serveurs Windows Server 2008 Seuls les serveurs Windows Server 2008
prennent en charge l’énumération basée hébergent des espaces de noms de domaine
sur l’accès pour les espaces de noms en mode Windows Server 2008.
autonomes ou de domaine (en mode
Windows Server 2008).
Volume NTFS requis. Volume NTFS requis.
Contrôleur de domaine Contrôleur de domaine ou serveur membre
ou serveur membre. du domaine dans lequel l’espace de noms
est configuré.
Peut être hébergé par un cluster Peut employer plusieurs serveurs d’espaces
de basculement pour améliorer de noms pour améliorer la disponibilité.
la disponibilité. L’espace de noms ne peut être une ressource
en cluster d’un cluster de basculement.
Cependant, il est possible de placer l’espace
de noms sur un serveur qui fonctionne
également comme un nœud dans un cluster
de basculement si vous configurez l’espace
de noms de manière à exploiter uniquement
des ressources locales sur ce serveur.
260 Partie II Installation et configuration

Configuration minimale sur le serveur d’espaces de noms


Un serveur d’espaces de noms est un contrôleur de domaine ou un serveur membre qui
héberge un espace de noms. Le nombre d’espaces de noms qu’il est possible d’héberger
dépend du système d’exploitation du serveur de l’espace de noms.
Les serveurs suivants peuvent héberger plusieurs espaces de noms :
■ Windows Server 2008, Édition Enterprise
■ Windows Server 2008, Édition Datacenter
■ Windows Server 2003 R2, Édition Enterprise
■ Windows Server 2003 R2, Édition Datacenter
■ Windows Server 2003, Édition Enterprise
■ Windows Server 2003, Édition Datacenter

Les serveurs équipés des systèmes d’exploitation suivants n’hébergent qu’un seul espace de
noms :
■ Windows Server 2008, Édition Standard
■ Windows Server 2003 R2, Édition Standard
■ Windows Server 2003, Édition Web
■ Windows Server 2003, Édition Standard
■ Toute version de Windows 2000 Server

Configuration minimale sur le client de l’espace de noms


Pour accéder à la structure de dossiers DFS, il vous faut un client DFS. Les utilisateurs
accèdent aux partages de fichiers qui appartiennent à un espace de noms DFS sans client
DFS, mais ils ne bénéficient d’aucune des fonctionnalités DFS, telles que les espaces de noms
hiérarchiques, les cibles de dossier multiples et les références clients qui connaissent le site.
Les systèmes d’exploitation qui suivent prennent complètement en charge les espaces de
noms DFS, dont le basculement de client vers la cible de dossier préférée :
■ Windows Server 2008
■ Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate
■ Windows Server 2003 R2
■ Windows Storage Server 2003 R2
■ Windows Server 2003 SP2 ou SP1 et le correctif du basculement de client Windows
Server 2003
■ Windows XP Professionnel SP3 ou SP2 et le correctif du basculement de client
Windows XP
Les correctifs de basculement de client sont décrits dans l’article 898900 de la Base de
connaissances Microsoft à l’adresse http://support.microsoft.com/kb/898900.
Chapitre 12 Gestion des ressources de fichiers 261

Les utilisateurs qui exécutent les systèmes d’exploitation suivants ont accès aux espaces de
noms, mais si une cible de dossier n’est plus disponible et qu’elle redevient accessible à
nouveau, l’ordinateur ne va pas revenir vers la cible de dossier préférée :
■ Windows Storage Server 2003
■ Windows XP Professionnel
■ Windows PE (Preinstallation Environment), lequel peut accéder aux espaces de noms
autonomes, mais pas à ceux qui sont basés sur le domaine
■ Windows 2000 Server
■ Windows 2000 Professionnel
■ Windows NT Server 4.0 avec Service Pack 6a
■ Windows NT Workstation 4.0 avec Service Pack 6a

Pour profiter au maximum des avantages du système de fichiers distribués, les clients qui
prennent en charge le basculement sont privilégiés.

Réplication DFS
Avant de déployer Réplication DFS, vérifiez que toutes les tâches suivantes ont été
effectuées :
■ Étendre (ou mettre à jour) le schéma des Services de domaine Active Directory pour
inclure les additions de schéma Windows Server 2003 R2 ou Windows Server 2008.

Remarque Le chapitre 2 du tome 1, « Présentation des ser vices


d’annuaire », contient une description du schéma et son fonctionnement.
Pour de plus amples informations sur l’extension du schéma des Services
de domaine Active Directory, reportez-vous à l’adresse
http://msdn.microsoft.com/en-us/library/ms676900.aspx.
■ Placez les dossiers répliqués pour les clusters de basculement dans l’emplacement de
stockage d’un nœud. Le service Réplication DFS ne va pas se coordonner avec les
composants du cluster ni basculer vers un autre nœud.
■ Installez le rôle Services de fichiers avec le service de rôle Réplication DFS sur tous les
serveurs qui vont agir comme membres d’un groupe de réplication.
■ Assurez-vous que tous les membres du groupe de réplication exécutent Windows
Server 2008 ou Windows Server 2003 R2.
■ Installez Gestion du système de fichiers distribués DFS sur un serveur pour gérer la
réplication. Ce serveur ne peut pas exécuter l’installation Server Core du système
Windows Server 2008.
■ Assurez-vous que tous les serveurs d’un groupe de réplication se situent dans la même
forêt. Il est impossible d’activer la réplication sur des serveurs de forêts différentes.
■ Stockez les dossiers répliqués sur des volumes NTFS.
■ Vérifiez que votre logiciel antivirus est compatible avec Réplication DFS.
262 Partie II Installation et configuration

Service de réplication de fichiers


Le Service de réplication de fichiers, introduit avec Windows Server 2000, réplique les
fichiers et les dossiers stockés dans des dossiers DFS ou dans le dossier SYSVOL des
contrôleurs de domaine. Dans Windows Server 2008, il est devenu un service de rôle
facultatif du rôle de serveur Services de fichiers. Il réplique le contenu sur les autres serveurs
qui exploitent ce même service et non Réplication DFS.
Réplication DFS remplace le Service de réplication de fichiers pour la réplication des dossiers
DFS sur les serveurs Windows Server 2003 R2 ou Windows Server 2008. Dans les domaines
qui s’exécutent à un niveau fonctionnel de domaine Windows Server 2008, Réplication DFS
remplace également le Service de réplication de fichiers pour le dossier SYSVOL.
Ni Réplication DFS, ni le Service de réplication de fichiers n’assurent la vérification ou la
fusion. Si plusieurs utilisateurs modifient simultanément le même fichier sur différents
serveurs, Réplication DFS fait appel à une méthode de résolution de conflits qui conserve la
copie du fichier la plus récente (ou le premier créateur s’il s’agit de dossiers). Réplication DFS
déplace les autres copies vers un dossier de fichiers en conflit et supprimés du serveur
« perdant » mais ne réplique pas ce dossier par défaut, contrairement au Service de
réplication de fichiers ; par conséquent, le dossier demeure sur le serveur local. Pour éviter
les conflits, exploitez Windows SharePoint Services lorsque des utilisateurs distants ont
besoin de travailler sur les mêmes fichiers simultanément (Windows SharePoint Services
permet aux utilisateurs de vérifier les fichiers).
À l’instar du Service de réplication de fichiers, Réplication DFS est un moteur de réplication
multimaître qui détecte les modifications d’un fichier en surveillant le journal de l’USN (Update
Sequence Number) et en répliquant le fichier modifié dès sa fermeture. Contrairement au Service
de réplication de fichiers, Réplication DFS exploite un protocole version vector exchange pour
déterminer les parties du fichier qui ont changé, puis il fait appel à la compression différentielle
à distance pour répliquer uniquement les blocs modifiés du fichier supérieurs à 64 Ko. Voilà
pourquoi Réplication DFS est bien plus efficace que le Service de réplication de fichiers, ce qui
est très important lorsque la réplication a lieu sur des serveurs par le biais d’un lien WAN.
Réplication DFS ne réplique pas les fichiers qui exploitent le chiffrement EFS.

Topologies de réplication
Réplication DFS exploite plusieurs topologies : Hub and Spoke, Maille pleine et
Personnaliser. Elles sont déjà bien connues de la plupart des administrateurs réseau, mais en
voici tout de même un bref résumé :
■ Hub and Spoke Également appelée topologie en étoile. Chaque serveur se réplique sur
un serveur central, ce qui réduit l’exploitation des liens WAN. Cette topologie est
similaire à un réseau Ethernet qui emploie un concentrateur (hub) ou un commutateur
comme centre du réseau. Choisissez cette topologie pour réduire l’usage du réseau
lorsque le groupe de réplication compte plus de 10 membres ou lorsque les membres
du groupe de réplication se trouvent dans un site connecté via un lien WAN.
Chapitre 12 Gestion des ressources de fichiers 263

■ Maille pleine Tous les serveurs se répliquent sur les autres serveurs. Optez pour cette
topologie si le groupe de réplication compte moins de 10 serveurs et que tous les liens
présentent des coûts assez bas (en termes de performances ou financiers) pour
permettre à chaque serveur de se répliquer sur tous les autres serveurs. Cette topologie
réduit le temps nécessaire pour répercuter les modifications sur tous les membres du
groupe de réplication et améliore la fiabilité en répliquant sur tous les membres du
groupe de réplication, mais elle augmente également le trafic réseau.
■ Personnaliser Cette topologie permet de spécifier manuellement les connexions de
réplication.

Installer Gestion du système de fichiers distribués DFS


Pour gérer un espace de noms DFS et Réplication DFS, vous devez préalablement installer la
console Gestion du système de fichiers distribués DFS. Ouvrez le Gestionnaire de serveur et
installez le rôle Services de fichiers sur le serveur. Ensuite, procédez comme suit :
1. Dans le Gestionnaire de serveur, sélectionnez Rôles.
2. Sélectionnez Services de fichiers et cliquez sur Ajouter des services de rôle pour ouvrir
l’Assistant Ajouter des services de rôle.
3. Sélectionnez Système de fichiers distribués (DFS), comme le montre la figure 12-8,
puis cliquez sur Suivant.

Figure 12-8 Sélectionnez les services de fichiers à installer.


264 Partie II Installation et configuration

4. Sur la page Créer un espace de noms DFS, sélectionnez Construire un espace de noms
maintenant et indiquez un nom. Vous pouvez aussi choisir de créer l’espace de noms
ultérieurement. Cliquez sur Suivant.
5. Sur la page Sélectionnez un type d’espace de noms, sélectionnez le type d’espace de
noms que vous créez.
6. Sur la page Configurer l’espace de noms, cliquez sur Ajouter pour ajouter des dossiers
à l’espace de noms. Au cours de cette étape, illustrée par la figure 12-9, il est possible
de rechercher des cibles de dossiers et de les placer dans les dossiers choisis.

Figure 12-9 Ajoutez un dossier à l’espace de noms.

7. Une fois que vous avez ajouté les partages à l’espace de noms, cliquez sur Suivant.
8. Vérifiez vos paramètres et cliquez sur Installer.

Créer ou ouvrir une racine d’espace de noms


Pour exploiter Espaces de noms DFS, la première étape consiste à créer un espace de noms
ou à ouvrir une racine d’espace de noms existante. Si vous avez créé une racine d’espace de
noms en installant Gestion du système de fichiers distribués DFS, vous y accédez de la
manière suivante ; sinon, créez-en une nouvelle :
1. Démarrez la console Gestion du système de fichiers distribués DFS à partir du menu
Outils d’administration. Sélectionnez le nœud Espaces de noms.
2. Pour ouvrir une racine d’espace de noms existante, cliquez droit sur Espaces de noms
et choisissez Ajouter des espaces de noms à afficher. Pour créer une nouvelle racine
d’espace de noms, cliquez droit sur Espaces de noms et choisissez Nouvel espace de
noms. L’Assistant Nouvel espace de noms s’affiche.
3. Sur la page Serveur d’espaces de noms, tapez le nom du serveur qui va héberger la
racine d’espace de noms, puis cliquez sur Suivant. Si le service Système de fichiers
distribués est désactivé, cliquez sur Oui dans la boîte de dialogue d’avertissement pour
démarrer le service et définir son paramètre de démarrage à Automatique.
Chapitre 12 Gestion des ressources de fichiers 265

4. Sur la page Nom et paramètres de l’espace de noms, tapez le nom à attribuer à la racine
de l’espace de noms. Ce nom apparaît comme nom de partage aux utilisateurs (par
exemple \\monentreprise.com\public). L’Assistant Nouvel espace de noms crée la
racine d’espace de noms dans le dossier %SYSTEMDRIVE%:\DFSRoots\nom et accorde
à tous les utilisateurs les autorisations en lecture seule. Pour modifier ces paramètres,
cliquez sur Modifier les paramètres. Cliquez sur Suivant.
5. Sur la page Type d’espace de noms, illustrée par la figure 12-10, choisissez de créer un
espace de noms de domaine ou un espace de noms autonome :
■ Sélectionnez Espace de noms de domaine pour stocker l’espace de noms sur
plusieurs serveurs dans Active Directory. \\monentreprise.com\public est un
exemple d’espace de noms de domaine.
■ Sélectionnez l’option Espace de noms autonome pour créer l’espace de noms sur
un seul serveur ou sur un cluster de serveurs. \\srv1\public est un exemple
d’espace de noms autonome. Cliquez sur Suivant.

Figure 12-10 Choisissez le type d’espace de noms.

6. Sur la page Revoir les paramètres et créer l’espace de noms, cliquez sur Créer.
L’Assistant Nouvel espace de noms crée la racine de l’espace de noms. Corrigez les
éventuelles erreurs à l’aide du bouton Précédent et cliquez sur Fermer.
266 Partie II Installation et configuration

Pour créer un espace de noms à l’invite de commandes, servez-vous des commandes Dfsutil
/Addftroot ou Dfsutil /Addstdroot. Par exemple, voici comment créer le même espace de noms
que celui de la figure 12-10 :
1. Ouvrez la fenêtre Invite de commandes. Démarrez le service Système de fichiers
distribués et définissez son démarrage à Automatique si nécessaire en tapant les
commandes suivantes :
Sc Start Dfs
Sc Config Dfs Start= Auto

2. Créez le partage de dossier et de fichier de la racine d’espace de noms en tapant :


Md E:\Public
Net Share Public=E:\Public

3. Créez la racine d’espace de noms de domaine en tapant :


Dfsutil /Addftroot /Server:Srv1 /Share:Public

Ajouter des serveurs d’espaces de noms


La racine d’espace de noms constitue la partie la plus importante de l’espace de noms. Sans
elle, les clients ne peuvent pas accéder aux dossiers DFS. Ainsi, la première étape de la
création d’un espace de noms à tolérance de pannes consiste à ajouter des serveurs d’espaces
de noms à la racine de l’espace de noms. Si possible, ajoutez au moins un serveur d’espaces
de noms sur chaque site où les utilisateurs doivent accéder à l’espace de noms DFS.
1. Dans la console Gestion du système de fichiers distribués DFS, cliquez droit sur la
racine d’espace de noms de domaine à répliquer, puis choisissez Ajouter un serveur
d’espaces de noms.
2. Dans la boîte de dialogue Ajouter un serveur d’espaces de noms, tapez le chemin
d’accès au serveur d’espaces de noms et cliquez sur OK. Windows crée la racine
d’espace de noms sur le serveur cible dans le dossier %SYSTEMDRIVE%:\DFSRoots\
nom et accorde à tous les utilisateurs les autorisations en lecture seule. Pour modifier
ces paramètres, cliquez sur Modifier les paramètres.
3. Si le service Système de fichiers distribués est désactivé, cliquez sur Oui dans la boîte
de dialogue d’avertissement pour démarrer le service et définir son paramètre de
démarrage à Automatique.
4. Pour ajouter un serveur d’espaces de noms à l’invite de commandes, créez le dossier
partagé approprié, vérifiez que le service Système de fichiers distribués est démarré et
que son démarrage est défini à Automatique, puis servez-vous de la commande Dfsutil
/Addftroot. Par exemple, ouvrez une invite de commandes et tapez Dfsutil /Addftroot
/Server:Srv2/Share:Public.
Chapitre 12 Gestion des ressources de fichiers 267

Ajouter des dossiers DFS


Les dossiers DFS permettent aux utilisateurs de naviguer de la racine d’espace de noms vers
les autres partages de fichiers du réseau sans laisser la structure de l’espace de noms DFS.
Voici comment créer un dossier DFS :
1. Cliquez droit sur la racine d’espace de noms où ajouter un dossier, puis choisissez
Nouveau dossier. La boîte de dialogue Nouveau dossier de la figure 12-11 s’affiche.

Figure 12-11 Créez un nouveau dossier.

2. Tapez le nom du dossier dans le champ Nom. Pour créer un dossier contenant d’autres
dossiers DFS, cliquez sur OK sans ajouter de dossiers cibles. Vous créez ainsi une
couche de structure pour l’espace de noms.
3. Pour ajouter des dossiers cibles, cliquez sur Ajouter et tapez le chemin d’accès UNC ou
DNS du dossier partagé ou cliquez sur Parcourir pour rechercher le dossier partagé.
4. Ajoutez toutes les cibles de dossiers supplémentaires et cliquez sur OK.
Si vous avez plusieurs cibles de dossiers, cliquez sur Oui dans la boîte de dialogue
Réplication pour créer un groupe de réplication associé aux cibles de dossiers ou choisissez
Non pour configurer un groupe de réplication ultérieurement (ou pas du tout). Si vous
cliquez sur Oui, l’Assistant Réplication de dossier s’affiche avec quelques paramètres déjà
définis. Pour en savoir plus, reportez-vous à la section « Créer un groupe de réplication »,
plus loin dans ce chapitre.
Pour créer un dossier DFS à l’invite de commandes, créez les partages de fichiers appropriés,
puis servez-vous de la commande Dfscmd /Map. Il est impossible d’ajouter de dossiers DFS
sans cible de dossiers en ligne de commandes. Par exemple, ouvrez la fenêtre Invite de
commandes et tapez les commandes suivantes :
Dfscmd /Map \\monentreprise.com\Public\Software \\Dc1\Software
Dfscmd /Add \\monentreprise.com\Public\Software \\Srv2\Software
268 Partie II Installation et configuration

Remarque Pour publier un dossier DFS ou une racine d’espace de noms dans
Active Directory de manière à ce que les utilisateurs retrouvent le dossier ou l’espace
de noms lorsqu’ils parcourent Active Directory à la recherche de dossiers partagés,
cliquez droit sur le conteneur approprié dans la console Utilisateurs et ordinateurs
Active Directory, choisissez Nouveau, Dossier partagé, puis tapez le chemin d’accès
de l’espace de noms ou du dossier DFS dans le champ Chemin réseau.

Modifier les paramètres avancés


Les paramètres définis par défaut dans Gestion du système de fichiers distribués DFS
conviennent à la plupart des installations, mais s’il vous faut modifier des paramètres
d’espace de noms avancés, tels que l’ordre des références, changer la manière dont les
serveurs d’espaces de noms interrogent les contrôleurs de domaine pour les métadonnées
DFS ou déléguer des autorisations de gestion du système de fichiers distribués, servez-vous
des informations des sections suivantes.

Modifier les paramètres des références de l’espace de noms


Pour modifier la durée du cache, l’ordre dans lequel les contrôleurs de domaine ou les serveurs
d’espaces de noms réfèrent les clients aux serveurs d’espaces de noms et aux cibles de dossiers ou les
paramètres de basculement d’un espace de noms complet, cliquez droit sur une racine ou un dossier
d’espace de noms, choisissez Propriétés, puis cliquez sur l’onglet Références (voir figure 12-12).

Figure 12-12 Onglet Références de la boîte de dialogue Propriétés d’un espace de noms

Terminez le processus en définissant les paramètres suivants :


■ Dans le champ Durée du cache, indiquez la durée pendant laquelle les clients doivent
mettre en cache les références avant d’interroger les contrôleurs de domaine ou le
serveur d’espaces de noms pour une nouvelle référence.
Chapitre 12 Gestion des ressources de fichiers 269

■ Dans le champ Méthode de classement, choisissez la manière dont les contrôleurs de


domaine et les serveurs d’espaces de noms renvoient les cibles de dossiers et les
serveurs d’espaces de noms aux clients.
■ Sélectionnez l’option Restauration automatique des clients sur les cibles préférées pour
qu’un client bascule vers son serveur préféré lorsqu’il se rétablit.
Le serveur préféré dépend du site et des paramètres de classement des références
personnalisés que vous spécifiez sur les cibles de dossiers. Ce paramètre est pris en charge
par les clients Windows XP Service Pack 2 et le correctif de basculement de client
Windows XP ultérieur au Service Pack 2, Windows Server 2003 Service Pack 1 et le correctif
de basculement de client Windows Server 2003 et Windows Server 2003 R2. Lisez
l’article 898900 de la Base de connaissances à l’adresse http://support.microsoft.com/kb/
898900/ pour obtenir davantage d’informations sur ce correctif.

Remplacer les paramètres des références de dossiers individuels


Les dossiers DFS héritent des paramètres de références de la racine de l’espace de noms, sauf si
vous les remplacez spécifiquement. Pour ce faire, cliquez droit sur le dossier approprié,
choisissez Propriétés, cliquez sur l’onglet Références, puis spécifiez les paramètres à remplacer.
Pour définir explicitement une seule cible de dossier comme cible préférée ou définir la cible
de dossier comme cible de dernier recours, sélectionnez le dossier dans l’arborescence de la
console. Cliquez droit sur une cible de dossier dans le volet des résultats et choisissez
Propriétés dans le menu contextuel. Cliquez sur l’onglet Avancée, cochez la case Remplacer
l’ordre des références, puis spécifiez la priorité du dossier cible.

Déléguer des autorisations de gestion


Gestion du système de fichiers distribués DFS définit les autorisations sur l’objet espace de
noms dans Active Directory ou dans le registre du serveur d’espaces de noms (si l’espace de
noms est autonome). Pour changer les possibilités des utilisateurs en matière de tâches
d’administration courantes, servez-vous de la liste suivante :
■ Créer et gérer les espaces de noms Pour afficher, ajouter ou supprimer des groupes
en mesure de gérer des espaces de noms, cliquez droit sur le nœud Espaces de noms,
choisissez Déléguer les autorisations de gestion, puis servez-vous de la boîte de
dialogue Déléguer les autorisations de gestion.
■ Gérer des espaces de noms individuels et des groupes de réplication Pour afficher
les groupes autorisés à gérer un espace de noms ou un groupe de réplication,
sélectionnez l’espace de noms ou le groupe de réplication et cliquez sur l’onglet
Délégation. Pour retirer des autorisations de gestion à un groupe, cliquez droit sur le
groupe et choisissez Supprimer. Pour accorder à un groupe des autorisations de gestion
relatives à l’espace de noms, cliquez droit sur l’espace de noms, choisissez Déléguer les
autorisations de gestion, tapez le nom du groupe dans la boîte de dialogue Sélectionnez
Utilisateurs ou Groupes, puis cliquez sur OK.
270 Partie II Installation et configuration

■ Créer et gérer les groupes de réplication Pour afficher, ajouter ou supprimer des
groupes autorisés à gérer la réplication, cliquez droit sur le nœud Réplication,
choisissez Déléguer les autorisations de gestion, puis servez-vous de la boîte de
dialogue Déléguer les autorisations de gestion.

Modifier les paramètres d’interrogation de l’espace de noms


Pour changer la manière dont les serveurs d’espaces de noms interrogent les contrôleurs de
domaine afin d’obtenir les dernières métadonnées d’espace de noms de domaine, cliquez
droit sur l’espace de noms approprié, choisissez Propriétés, cliquez sur l’onglet Avancée, puis
choisissez l’une des méthodes d’interrogation suivantes :
■ Optimiser pour la cohérence Interroge l’émulateur du contrôleur de domaine
principal (PDC) pour obtenir de nouvelles données sur l’espace de noms toutes les
heures et à chaque modification de l’espace de noms. Choisissez cette option lorsque le
réseau compte au maximum 16 serveurs d’espaces de noms afin de minimiser le temps
nécessaire pour répercuter les modifications de l’espace de noms sur tous les serveurs
d’espaces de noms. Il s’agit du paramètre par défaut.
■ Optimiser pour l’évolutivité Interroge toutes les heures le contrôleur de domaine le
plus proche pour obtenir des informations sur les modifications de l’espace de noms.
Choisissez cette méthode lorsque le réseau contient plus de 16 serveurs d’espaces de
noms afin de réduire la charge sur l’émulateur PDC. Cependant, cette option augmente
le temps nécessaire pour répercuter les modifications de l’espace de noms sur tous les
serveurs d’espaces de noms. Les serveurs Windows 2000 Server ne prennent pas en
charge ce paramètre et utilisent toujours la méthode Optimiser pour la cohérence.
Pour activer la méthode Optimiser pour la cohérence à l’invite de commandes, exécutez la
commande Dfsutil /Rootscalability. Par exemple, ouvrez une invite de commandes, puis tapez
Dfsutil /Root:monentreprise.com\Public /Rootscalability /Enable.

Sauvegarder et restaurer les cibles de dossiers DFS


La base de données Espaces de noms DFS du Système de fichiers distribués basé sur le
domaine est stockée dans Active Directory. Il est donc possible de la sauvegarder et de la
restaurer à l’aide de méthodes de sauvegarde associées à Active Directory. Pour sauvegarder la
liste des cibles de dossiers d’une racine d’espace de noms autonome, tapez le texte suivant à
l’invite de commandes (remplacez NomServeur et EspaceDeNoms par le nom du serveur et
celui de la racine d’espace de noms appropriés) :
DFScmd /View \\NomServeur\EspaceDeNoms /Batch >DFS_backup.bat

Pour restaurer cette structure DFS, recréez l’espace de noms DFS et exécutez le fichier batch
que vous avez créé.

Remarque En plus de sauvegarder la topologie DFS, sauvegardez très


régulièrement le contenu des partages de fichiers. Vérifiez toujours la sauvegarde
Chapitre 12 Gestion des ressources de fichiers 271

a va n t t o u t e a c t i o n c ri t i q u e . S e r v e z - v o u s d e l a c o m m a n d e D f s ra d m i n
Replicationgroup pour exporter les paramètres Réplication DFS comme les
membres du groupe de réplication et les connexions.

Exploiter Réplication DFS


Un système de fichiers simple d’utilisation, à tolérance de pannes et ultra performant a peu
d’intérêt si les données auxquelles vous voulez accéder sont indisponibles ou obsolètes. Pour
garantir la disponibilité des fichiers aux utilisateurs si un serveur se déconnecte, créez des
cibles de dossier supplémentaires (comme décrit précédemment dans ce chapitre) et
exploitez Réplication DFS pour assurer leur synchronisation. Réplication DFS sert également
à synchroniser les dossiers qui n’appartiennent pas à un espace de noms DFS pour répliquer
par exemple des données d’une succursale sur un serveur du siège que vous sauvegardez
régulièrement et efficacement.

Créer un groupe de réplication


Un groupe de réplication se compose de plusieurs serveurs qui participent à la réplication. Ces
groupes définissent la topologie de réplication employée par les membres de la réplication.
Voici comment créer un groupe de réplication :
1. Cliquez sur Démarrer, Outils d’administration, puis Gestion du système de fichiers
distribués DFS.
2. Dans l’arborescence de la console, cliquez droit sur le nœud Réplication, puis cliquez
sur Nouveau groupe de réplication.
3. Suivez les instructions de l’Assistant Nouveau groupe de réplication.

Résolution des conflits lors de la réplication initiale


Si d’autres membres du groupe de réplication possèdent des données dans les dossiers
répliqués, lors de la réplication initiale, Windows entreprend plusieurs actions :
■ Si un fichier identique existe déjà sur le serveur cible (tout serveur autre que le
membre principal), le membre principal ne réplique pas le fichier.
■ Si un fichier existe déjà sur un serveur cible mais qu’il n’est pas identique à la version
du membre principal, Windows déplace le fichier sur le serveur cible dans le dossier
local des fichiers en conflit et supprimés, puis réplique la version du fichier du
membre principal, même si ce fichier est antérieur à la version du serveur cible.
■ Si un fichier existe sur un serveur cible qui n'est pas présent sur le membre
principal, Windows ne le réplique pas lors de la réplication initiale, mais au cours
des réplications suivantes sur les autres membres, y compris le membre principal.
Après la réplication initiale, le rôle de membre principal disparaît et la réplication
devient multimaître. Abstenez-vous de supprimer, de renommer ou de déplacer des
fichiers du membre principal ou de n’importe quel membre qui a déjà procédé à la
272 Partie II Installation et configuration

réplication tant que la réplication initiale n’est pas achevée (recherchez


l’événement 4104 dans le journal Réplication DFS). Les fichiers supprimés, renommés
ou déplacés risquent de réapparaître s’ils existaient sur une cible pas encore répliquée.

Répliquer un dossier DFS


Voici comment créer un dossier répliqué dans un nouveau groupe de réplication qui réplique
un dossier DFS :
1. Sous le nœud Espaces de noms de Gestion du système de fichiers distribués DFS,
cliquez droit sur le dossier approprié et choisissez Répliquer un dossier. L’Assistant
Réplication de dossier apparaît.
2. Sur la page Nom du groupe de réplication et du dossier répliqué, confirmez le nom du
groupe de réplication et du dossier répliqué. Le nom du groupe de réplication doit être
unique dans le domaine. Pour travailler avec un groupe de réplication existant, suivez
les instructions des sections suivantes.
3. Sur la page Éligibilité de la réplication, vérifiez les dossiers cibles à répliquer. Cliquez
sur Suivant.
4. Sur la page Membre principal, sélectionnez le serveur contenant les données à
employer comme source de la réplication initiale.
5. Sur la page Sélection de topologie, choisissez l’une des topologies de réplication suivantes :
■ Hub and Spoke Les serveurs spoke se répliquent sur un ou deux serveurs
concentrateurs centraux. Les serveurs concentrateurs se répliquent sur tous les
autres serveurs concentrateurs à l’aide de la topologie à maille pleine, ainsi que
sur les serveurs spoke désignés. Cette topologie est appropriée dans les
environnements de réseau de grande envergure et dans les environnements
comportant plusieurs succursales. Elle requiert un minimum de trois membres.
■ Maille pleine Tous les serveurs se répliquent sur les autres serveurs. Optez pour
cette topologie si le groupe de réplication compte moins de 10 serveurs et que
tous les liens présentent des coûts assez bas (en termes de performances ou
financiers) pour permettre à chaque serveur de se répliquer sur tous les autres
serveurs et non pas sur un serveur concentrateur central.
■ Aucune topologie Cette option ne spécifie pas de topologie et reporte la
réplication jusqu’à ce que vous spécifiiez manuellement une topologie de
réplication. Pour la spécifier après avoir créé le groupe de réplication, cliquez
droit sur le groupe de réplication dans le composant logiciel enfichable Gestion
du système de fichiers distribués DFS et choisissez Nouvelle topologie.
6. Sur la page Membres concentrateurs, qui s’affiche si vous avez choisi la topologie Hub
and Spoke, indiquez les serveurs concentrateurs.
Chapitre 12 Gestion des ressources de fichiers 273

7. Sur la page Connexions Hub and Spoke, qui s’affiche si vous avez choisi la topologie
Hub and Spoke, vérifiez que l’assistant liste les serveurs spoke appropriés. Pour
changer le serveur concentrateur requis sur lequel un membre spoke se réplique en
priorité ou changer le membre concentrateur optionnel sur lequel un membre spoke se
réplique si le membre concentrateur requis est indisponible, sélectionnez le serveur
spoke, cliquez sur Modifier, puis spécifiez le concentrateur requis et le concentrateur
optionnel.
8. Sur la page Planification du groupe de réplication et bande passante, choisissez le
moment de réplication et la quantité maximale de bande passante à attribuer à
Réplication DFS.
9. Pour personnaliser la planification, choisissez Répliquer pendant les jours et heures
spécifiés, puis cliquez sur Modifier la planification. Vous avez le choix entre l’heure
UTC (Coordinated Universal Time, Temps Universel Coordonné) ou l’heure locale du
serveur récepteur.
10. Sur la page Vérifier les paramètres et créer le groupe de réplication, vérifiez les
paramètres et cliquez sur Créer. Corrigez les éventuelles erreurs et cliquez sur Fermer.
Windows réplique alors la topologie et les paramètres de réplication sur tous les
contrôleurs de domaine. Un membre du groupe de réplication interroge régulièrement
son contrôleur de domaine le plus proche (par défaut, les membres du groupe de
réplication procèdent à une interrogation sommaire toutes les 5 minutes à propos des
objets Subscription sous le conteneur de l’ordinateur local et à une interrogation
complète toutes les heures). Il reçoit les paramètres une fois que Windows a mis à jour
le contrôleur de domaine. Pour changer l’intervalle d’interrogation de réplication,
exécutez la commande Dfsrdiag.
Pour répliquer un dossier DFS à l’invite de commandes, servez-vous de la commande
Dfsradmin. Par exemple, ouvrez la fenêtre Invite de commandes et suivez cette procédure :
1. Créez un dossier pour le dossier intermédiaire DFS (Staging) en tapant les commandes
suivantes sur chaque membre du groupe de réplication :
Md E:\Documents\DfsrPrivate\Staging
Attrib +H /S /D E:\Documents\DfsrPrivate

Remarque Servez-vous de la commande Dfsradmin Bulk ou d’un fichier


batch pour exécuter une liste de commandes à partir d’un fichier texte.
Vous retrouverez des exemples sur le site Web de Dunod à l’adresse
www.dunod.fr.
2. Créez un nouveau groupe de réplication :
Dfsradmin Replicationgroup New /Rgname:monentreprise.com\Public\Documents

3. Ajoutez des membres au groupe de réplication :


Dfsradmin Member New /Rgname:monentreprise.com\Public\Documents /Memname:Dc1 /Force
Dfsradmin Member New /Rgname:monenterprise.com\Public\Documents /Memname:Srv1 /Force
274 Partie II Installation et configuration

4. Créez un nouveau dossier répliqué :


Dfsradmin Replicatedfolder New /Rgname:monentreprise.com\Public\Documents/
Rfname:Documents
/Replicatedfolderdfspath:\\monentreprise.com\Public\Documents /Force

5. Ajoutez des membres au dossier répliqué :


Dfsradmin Membership Set /Rgname:monentreprise.com\Public\Documents /
Rfname:Documents
/Memname:Dc1 /Membershiplocalpath:E:\Documents
/Membershipstagingpath:E:\Documents\Dfsrprivate\Staging /
Isprimary:True
/Membershipenabled:True /Force
Dfsradmin Membership Set /Rgname:monentreprise.com\Public\Documents /
Rfname:Documents
/Memname:Srv1 /Membershiplocalpath:E:\Documents\
/Membershipstagingpath:E:\Documents\Dfsrprivate\Staging
/Membershipenabled:True /Force

6. Créez des connexions de réplication :


Dfsradmin Connection New /Rgname:monentreprise.com\Public\Documents
/Connectionsendingmembername:Dc1 /
Connectionreceivingmembername:Srv1
/Connectionenabled:True
Dfsradmin Connection New /Rgname:monentreprise.com\Public\Documents
/Connectionsendingmembername:Srv1 /
Connectionreceivingmembername:Dc1
/Connectionenabled:True

Créer un groupe de réplication de succursale


Pour créer un groupe de réplication qui procède à la réplication d’un seul serveur de
succursale sur un seul serveur concentrateur, procédez comme suit :
1. Dans la console Gestion du système de fichiers distribués DFS, cliquez droit sur
Réplication et choisissez Nouveau groupe de réplication. L’Assistant Nouveau groupe
de réplication s’affiche.

Remarque Il est plus rapide de créer des dossiers répliqués au sein d’un
groupe de réplication existant que de créer un nouveau groupe de
réplication pour chaque dossier répliqué, car le groupe de réplication
applique automatiquement ses paramètres de planification, de topologie
et de bande passante au nouveau dossier répliqué.
2. Sur la page Type de groupe de réplication, choisissez Groupe de réplication pour la
collecte de données.
3. Sur la page Nom et domaine, tapez un nom à attribuer au groupe de réplication et
unique dans le domaine, spécifiez dans quel domaine héberger le groupe et tapez si
besoin une description du groupe de réplication.
Chapitre 12 Gestion des ressources de fichiers 275

4. Sur la page Serveur de succursale, saisissez le nom du serveur de succursale contenant


les données à répliquer sur le serveur concentrateur.
5. Sur la page Dossiers répliqués, cliquez sur Ajouter, puis dans la boîte de dialogue
Ajouter un dossier à répliquer, indiquez le dossier local du serveur de succursale à
répliquer sur le serveur concentrateur. Lorsque vous avez terminé, cliquez sur OK.
6. Sur la page Serveur concentrateur, qui apparaît si vous avez choisi Groupe de
réplication pour la collecte de données, saisissez le nom du serveur concentrateur qui
sert de cible de réplication pour les dossiers répliqués.
7. Sur la page Dossier cible sur le serveur concentrateur, indiquez le dossier local du serveur
concentrateur où placer les données répliquées du serveur de succursale. Ce dossier se
situe généralement dans un dossier ou un volume que vous sauvegardez régulièrement.
8. Sur la page Planification du groupe de réplication et bande passante, choisissez le
moment de réplication et la quantité maximale de bande passante à attribuer à
Réplication DFS. Pour personnaliser la planification, choisissez Répliquer pendant les
jours et heures spécifiés, puis cliquez sur Modifier la planification. Vous avez le choix
entre l’heure UTC ou l’heure locale du serveur récepteur.
9. Sur la page Vérifier les paramètres et créer le groupe de réplication, vérifiez les
paramètres et cliquez sur Créer. Corrigez les éventuelles erreurs et cliquez sur Fermer.
Windows réplique alors la topologie et les paramètres de réplication sur tous les contrôleurs
de domaine. Un membre du groupe de réplication interroge régulièrement son contrôleur de
domaine le plus proche (par défaut, les membres du groupe de réplication procèdent à une
interrogation sommaire toutes les 5 minutes à propos des objets Subscription sous le
conteneur de l’ordinateur local et à une interrogation complète toutes les heures). Il reçoit les
paramètres une fois que Windows a mis à jour le contrôleur de domaine. Pour changer
l’intervalle d’interrogation de réplication, exécutez la commande Dfsrdiag.
Pour répliquer un groupe de réplication à l’invite de commandes, servez-vous de la
commande Dfsradmin. Par exemple, ouvrez la fenêtre Invite de commandes et suivez cette
procédure :
1. Créez un dossier pour le dossier intermédiaire DFS en tapant les commandes suivantes
sur chaque membre du groupe de réplication :
Md C:\Données\Utilitaires\Dfsrprivate\Staging
Attrib +H /S /D C:\Data\Utilitaires\Dfsrprivate

Remarque Servez-vous de la commande Dfsradmin Bulk ou d’un fichier


batch pour exécuter une liste de commandes à partir d’un fichier texte.
Vous retrouverez des exemples sur le site Web de Dunod à l’adresse
www.dunod.fr.
2. Créez un nouveau groupe de réplication :
Dfsradmin Replicationgroup New /Rgname:Utilitaires
276 Partie II Installation et configuration

3. Ajoutez des membres au groupe de réplication :


Dfsradmin Member New /Rgname:Utilitaires /Memname:Dc1
Dfsradmin Member New /Rgname:Utilitaires /Memname:Srv1

4. Créez un nouveau dossier répliqué :


Dfsradmin Replicatedfolder New /Rgname:Utilitaires /Rfname:Utilitaires

5. Ajoutez des membres au dossier répliqué :


Dfsradmin Membership Set /Rgname:Utilitaires /Rfname:Utilitaires /
Memname:Dc1
/Membershiplocalpath:C:\Data\Utilitaires
/Membershipstagingpath:C:\Data\Utilitaires\Dfsrprivate\Staging /
Isprimary:True
/Membershipenabled:True /Force
Dfsradmin Membership Set /Rgname:Utilitaires /Rfname:Utilitaires /
Memname:Srv1
/Membershiplocalpath:C:\Données\Utilitaires
/Membershipstagingpath:C:\Données\Utilitaires\Dfsrprivate\Staging
/Membershipenabled:True /Force

6. Créez des connexions de réplication :


Dfsradmin Connection New /Rgname:Utilitaires /
Connectionsendingmembername:Dc1
/Connectionreceivingmembername:Srv1 /Connectionenabled:True
Dfsradmin Connection New /Rgname:Utilitaires /
Connectionsendingmembername:Srv1
/Connectionreceivingmembername:Dc1 /Connectionenabled:True

Remarque Il est possible d’amorcer un membre de la succursale en


sauvegardant le dossier répliqué sur le membre principal et de le restaurer sur un
serveur cible avant de mettre en place la réplication. Vous réduisez ainsi la
quantité de données que Windows doit envoyer sur une connexion WAN lors de
la réplication initiale.

Créer un groupe de réplication multi-usage


Pour créer un groupe de réplication qui réplique un nombre illimité de serveurs sur un
nombre illimité d’autres serveurs, procédez comme suit :
1. Dans la console Gestion du système de fichiers distribués DFS, cliquez droit sur
Réplication et choisissez Nouveau groupe de réplication. L’Assistant Nouveau groupe
de réplication s’affiche.
2. Sur la page Type de groupe de réplication, choisissez Groupe de réplication multi-
usage.
3. Sur la page Nom et domaine, tapez un nom à attribuer au groupe de réplication et
unique dans le domaine, spécifiez dans quel domaine héberger le groupe et tapez si
besoin une description du groupe de réplication.
Chapitre 12 Gestion des ressources de fichiers 277

4. Sur la page Membres du groupe de réplication, ajoutez les serveurs sur lesquels
répliquer le contenu.
5. Sur la page Sélection de topologie, choisissez une technologie de réplication.
6. Sur la page Membres concentrateurs, qui s’affiche si vous avez choisi la topologie Hub
and Spoke, indiquez les serveurs concentrateurs.
7. Sur la page Connexions Hub and Spoke, qui s’affiche si vous avez choisi la topologie
Hub and Spoke, vérifiez que l’assistant liste les serveurs spoke appropriés. Pour
changer le serveur concentrateur requis sur lequel un membre spoke se réplique en
priorité ou changer le membre concentrateur optionnel sur lequel un membre spoke se
réplique si le membre concentrateur requis est indisponible, sélectionnez le serveur
spoke, cliquez sur Modifier, puis spécifiez le concentrateur requis et le concentrateur
optionnel.
8. Sur la page Planification du groupe de réplication et bande passante, choisissez le
moment de réplication et la quantité maximale de bande passante à attribuer à
Réplication DFS. Pour personnaliser la planification, choisissez Répliquer pendant les
jours et heures spécifiés, puis cliquez sur Modifier la planification. Vous avez le choix
entre l’heure UTC ou l’heure locale du serveur récepteur.
9. Sur la page Membre principal, sélectionnez le serveur contenant les données à
employer comme source de la réplication initiale.
10. Sur la page Dossiers à répliquer, cliquez sur Ajouter et spécifiez le dossier à répliquer.
Lorsque vous avez terminé, cliquez sur OK.
11. Sur la page suivante, sélectionnez un membre de la réplication à faire intervenir dans la
réplication du dossier spécifié, cliquez sur Modifier et dans la boîte de dialogue, activez
la réplication et spécifiez le dossier local du serveur cible où placer les données
répliquées du serveur concentrateur. Répétez cette étape pour tous les dossiers
répliqués qui figurent sur la page Dossiers à répliquer.
12. Sur la page Vérifier les paramètres et créer le groupe de réplication, vérifiez les
paramètres et cliquez sur Créer. Corrigez les éventuelles erreurs et cliquez sur Fermer.
Windows réplique alors la topologie et les paramètres de réplication sur tous les contrôleurs
de domaine. Un membre du groupe de réplication interroge régulièrement son contrôleur de
domaine le plus proche (par défaut, les membres du groupe de réplication procèdent à une
interrogation sommaire toutes les 5 minutes à propos des objets Subscription sous le
conteneur de l’ordinateur local et à une interrogation complète toutes les heures). Il reçoit les
paramètres une fois que Windows a mis à jour le contrôleur de domaine. Pour changer
l’intervalle d’interrogation de réplication, exécutez la commande Dfsrdiag.

Remarque Pour créer un groupe de réplication multi-usage en ligne de


commandes, reportez-vous à la section « Créer un groupe de réplication de
succursale », précédemment dans ce chapitre ; les deux procédures sont
identiques.
278 Partie II Installation et configuration

Gérer les groupes de réplication


Sélectionnez un groupe de réplication, puis servez-vous des onglets Appartenances,
Connexions, Dossiers répliqués et Délégation de la console Gestion du système de fichiers
distribués DFS pour gérer le groupe de réplication. Les sections qui suivent vous
accompagnent pour procéder à cette gestion.

Remarque Cliquez sur un en-tête de colonne pour changer le classement des


éléments. Pour ajouter ou supprimer des colonnes, cliquez droit sur un en-tête
de colonne et choisissez Ajouter/Supprimer des colonnes.
Les options de l’onglet Appartenances permettent d’afficher et de gérer les serveurs membres
pour chaque dossier répliqué :
■ Pour désactiver un membre du groupe de réplication, cliquez droit sur le membre et
choisissez Désactiver. Désactivez les membres qui n’ont pas besoin de répliquer de
dossier spécifique. Ne désactivez pas les membres pour les réactiver peu après, car cela
génère environ 1 Ko de trafic de réplication par fichier du dossier répliqué et annule
toutes les modifications du membre désactivé. Reportez-vous à l’encart « Résolution
des conflits lors de la réplication initiale ».
■ Pour supprimer un membre du groupe de réplication, cliquez dessus du bouton droit
et choisissez Supprimer.
■ Pour ajouter un serveur membre qui participe à la réplication, cliquez droit sur le
groupe de réplication dans la console, choisissez Nouveau membre, puis parcourez
l’assistant pour spécifier le chemin d’accès local des dossiers répliqués, les connexions
et la planification.
■ Pour changer la taille des dossiers intermédiaires ou des dossiers de fichiers en conflit
et supprimés ou pour désactiver la conservation des fichiers supprimés, cliquez droit
sur le membre, choisissez Propriétés, cliquez sur l’onglet Avancée, puis définissez les
options de quotas. Le dossier des fichiers en conflit et supprimés stocke les fichiers
« perdants » que Windows supprime lorsqu’il tombe sur deux versions du même
fichier lors de la réplication, les derniers fichiers supprimés du dossier répliqué et les
données de réplication sur les files d’attente du dossier intermédiaire.

Remarque Par défaut, la taille de chaque dossier intermédiaire est de


4 096 Mo, mais en augmentant sa taille, vous pouvez améliorer les
performances des membres du groupe de réplication qui travaillent avec
de nombreux partenaires de réplication ou qui contiennent des fichiers
volumineux ou variables. Recherchez l’ID d’événement 4208 dans le journal
d’événements de la réplication DFS ; si cet événement apparaît plusieurs
fois en une heure, augmentez la taille du dossier intermédiaire de 20 %
jusqu’à ce que l’événement n’apparaisse plus aussi fréquemment.
■ Pour créer un rapport indiquant l’état de santé de la réplication ainsi que l’efficacité de
la compression différentielle à distance, cliquez droit sur le groupe de réplication,
Chapitre 12 Gestion des ressources de fichiers 279

choisissez Créer un rapport de diagnostic, puis parcourez l’assistant pour créer le


rapport (voir l’exemple de rapport de la figure 12-13).

Figure 12-13 Exemple d’un rapport de santé

■ Pour vérifier la topologie de réplication, cliquez droit sur le groupe de réplication et


choisissez Vérifier la topologie.
■ L’onglet Connexions présente toutes les connexions de réplication à gérer. Pour ajouter
une nouvelle connexion de réplication entre deux membres d’un groupe de
réplication, cliquez droit sur le groupe de réplication et choisissez Nouvelle connexion.
Dans la boîte de dialogue Nouvelle connexion, spécifiez le membre expéditeur, le
membre récepteur, la planification et choisissez entre une connexion de réplication
unidirectionnelle ou bidirectionnelle.
■ Définissez les options de l’onglet Dossiers répliqués pour afficher et gérer tous les
dossiers répliqués :
■ Pour ajouter un nouveau dossier répliqué au groupe de réplication, dans la
console Gestion du système de fichiers distribués DFS, cliquez droit sur le
groupe de réplication, puis parcourez l’assistant pour spécifier le membre
principal et les dossiers locaux à répliquer.
280 Partie II Installation et configuration

■ Pour exclure certains types de fichiers ou sous-dossiers de la réplication, cliquez


sur l’onglet Dossiers répliqués, cliquez droit sur le dossier répliqué, choisissez
Propriétés, puis dans l’onglet Général, définissez les options relatives aux filtres
des fichiers et des sous-dossiers.
■ Pour partager un dossier répliqué sur le réseau et ajouter si besoin le dossier à un
espace de noms DFS, cliquez droit sur le dossier répliqué, choisissez Partager et
publier dans l’espace de noms, puis parcourez l’Assistant Partage et publication
d’un dossier répliqué.

Remarque La compression différentielle à distance augmente l’utilisation


du processeur sur le serveur ; il est donc conseillé de la désactiver sur les
serveurs équipés de processeurs lents et dans les environnements qui
répliquent uniquement le nouveau contenu ou les fichiers inférieurs à
64 Ko. Pour désactiver la compression différentielle à distance sur une
connexion, cliquez sur l’onglet Connexions, cliquez droit sur le membre,
choisissez Propriétés, puis supprimez la coche de la case Utiliser la
compression différentielle à distance (RPC). Vous pouvez aussi changer la
taille minimale occupée par la compression différentielle à distance (64 Mo
par défaut) à l’aide de la commande Dfsradmin ConnectionSet. Surveillez
les statistiques relatives à la compression différentielle à distance et
l’utilisation du processeur avant et après l’avoir désactivé pour vérifier que
vous réduisez assez l’utilisation du processeur pour garantir le trafic réseau
augmenté.
■ L’onglet Délégation présente les autorisations d’administration que vous pouvez gérer.
Reportez-vous à la section « Déléguer des autorisations de gestion » de ce chapitre
pour en savoir plus sur l’onglet Délégation.

Remarque Pour changer l’intervalle d’interrogation de réplication, lequel


détermine la fréquence à laquelle un serveur recherche les fichiers mis à jour,
faites appel à la commande Dfsrdiag.

Résumé
Windows Server 2008 propose de nombreuses manières de gérer les ressources de fichiers,
de les sécuriser et de les rendre accessibles. Au chapitre suivant, nous allons nous consacrer
à la création et à la gestion des stratégies de groupe.
Chapitre 13
Stratégie de groupe
Nouveautés de Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Composants de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Objets de la stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Déléguer des autorisations sur les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Désactiver une branche de GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Actualiser la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Sauvegarder un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Restaurer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Restreindre la redirection des dossiers avec la Stratégie de groupe . . . . . . . . . . 339
Utiliser le Jeu de stratégie résultant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

La tâche d’un administrateur réseau se complexifie avec le temps. On attend de lui qu’il
remette et entretienne des configurations de bureau personnalisées pour les utilisateurs
itinérants, les employés de l’informatique et autres personnels affectés à des tâches définies,
comme la saisie des données. Il doit régulièrement modifier les images du système
d’exploitation standard, remettre avec promptitude les paramètres de sécurité et les mises à
jour aux ordinateurs et périphériques. Il doit rendre les nouveaux utilisateurs rapidement
productifs sans formation coûteuse. En cas de panne d’un ordinateur, il doit restaurer le
service avec un minimum de perte de données et d’interruption.
La Stratégie de groupe réduit la perte de productivité engendrée par les suspects habituels :
les utilisateurs qui suppriment accidentellement des fichiers de configuration système,
déplacent des fichiers essentiels ou introduisent par inadvertance un virus sur le réseau. En
outre, elle accroît la productivité en permettant aux utilisateurs de trouver rapidement les
éléments dont ils ont besoin pour travailler. L’administrateur limite les éléments de
l’environnement de bureau de l’utilisateur, en précisant les programmes disponibles, ceux
qui apparaissent sur le bureau et en choisissant les options accessibles depuis le menu
Démarrer.

281
282 Partie II Installation et configuration

Nouveautés de Server 2008


Les deux principaux changements de la Stratégie de groupe Windows Server 2008 sont les
objets de stratégie de groupe Starter et les extensions de préférences de la Stratégie de groupe.
L’interface profite également de quelques modifications mineures.
Dans ce chapitre, nous étudierons les fondamentaux de la Stratégie de groupe et détaillerons
plus particulièrement les GPO Starter et les extensions clientes.

Composants de la Stratégie de groupe


La Stratégie de groupe se compose des éléments configurables suivants :
■ Paramètres de sécurité Configurent la sécurité pour les utilisateurs, les ordinateurs et
les domaines.
■ Scripts Spécifient les scripts relatifs au démarrage et à l’arrêt de l’ordinateur, ainsi que
les événements d’ouverture et de fermeture de session.
■ Préférences Configurent les paramètres non applicables pour les utilisateurs et les
ordinateurs.
■ Redirection des dossiers Place les dossiers spéciaux comme Documents ou les
dossiers d’application spécifiés sur le réseau.
■ Paramètres logiciels Affecte les applications aux utilisateurs (reportez-vous au
chapitre 7 du tome 2, « Gestion des logiciels », pour de plus amples informations sur
la publication logicielle sur le réseau).

Objets de la stratégie de groupe


On appelle objet de stratégie de groupe (GPO, Group Policy Object) une collection de paramètres
de sécurité. Un GPO contient des stratégies qui affectent les ordinateurs et les utilisateurs.
Parmi les stratégies relatives à l’ordinateur, citons les paramètres de l’application, les
applications affectées et les scripts de démarrage et d’arrêt de l’ordinateur. Les stratégies
utilisateur définissent les paramètres de l’application, la redirection des dossiers, les
applications affectées et publiées, les scripts d’ouverture et de fermeture de session, ainsi que
les paramètres de sécurité. En cas de conflit entre stratégies, les paramètres de l’ordinateur
sont généralement prioritaires sur ceux de l’utilisateur.
Les GPO sont stockés au niveau du domaine et sont associés à un objet Active Directory :
site, domaine ou unité organisationnelle (OU, organizational unit). On peut appliquer un ou
plusieurs GPO à un site, un domaine ou une OU, de même qu’il est possible de lier un GPO
à plusieurs sites, domaines ou OU.
Chapitre 13 Stratégie de groupe 283

Important Lier des GPO entre domaines réduit significativement les


performances du réseau.

Ordre de mise en œuvre


Les stratégies de groupe sont traitées dans l’ordre suivant :
1. GPO local.
2. GPO liés au site, dans l’ordre précisé par l’administrateur. Reportez-vous au dossier
Objets de stratégie de groupe liés dans la console Gestion des stratégies de groupe. Le
GPO dont l’ordre de liaison est le plus faible est traité en dernier et possède donc la
priorité la plus élevée.
3. Les GPO du domaine dans l’ordre précisé par l’administrateur. Le GPO dont l’ordre de
liaison est le plus faible est traité en dernier et possède donc la priorité la plus élevée.
4. Les GPO d’unités d’organisation, de l’OU la plus grande à la plus petite (OU parent à
enfant).
Dans cet ordre, le dernier à écrire gagne. Si plusieurs GPO appliquent des paramètres
contradictoires, le GPO ayant la priorité la plus élevée l’emporte.

Ordre d’héritage
De manière générale, les paramètres de stratégie de groupe se passent des conteneurs parents
aux conteneurs enfants. Autrement dit, une stratégie appliquée à un conteneur parent
s’applique à tous les conteneurs enfants, y compris les utilisateurs et les ordinateurs, situés
sous le conteneur parent, dans l’arborescence hiérarchique Active Directory. Cependant, si
l’on affecte spécifiquement une stratégie de groupe à un conteneur enfant qui contredit celle
du conteneur parent, la stratégie du conteneur enfant surpasse celle du parent.
Si les deux stratégies ne sont pas contradictoires, elles sont toutes deux mises en œuvre. Par
exemple, si la stratégie d’un conteneur parent appelle le raccourci d’une application sur le
bureau d’un utilisateur et que la stratégie du conteneur enfant appelle le raccourci d’une
autre application, les deux apparaissent. Les paramètres de stratégie désactivés s’héritent
désactivés. Les paramètres de stratégie qui ne sont pas configurés dans le conteneur parent ne
sont pas hérités.

Surpasser l’héritage
Plusieurs options modifient le traitement de l’héritage. L’une des options empêche les
conteneurs enfants de surpasser n’importe quel paramètre de stratégie défini dans un GPO de
niveau supérieur. Dans la console Gestion des stratégies de groupe, on appelle cette option
appliquer le lien GPO. Elle n’est pas définie par défaut et doit être activée pour chaque GPO où
elle est souhaitée.
284 Partie II Installation et configuration

Appliquer un lien GPO


Pour appliquer un lien GPO, ouvrez la console Gestion des stratégies de groupe et procédez
comme suit :
1. Sélectionnez le GPO dans l’arborescence.
2. Sur l’onglet Étendue, cliquez droit sur le lien et sélectionnez Appliqué dans le menu
contextuel pour activer ou désactiver l’application du lien.
3. Cliquez sur OK.

Bloquer l’héritage
L’autre option qui modifie le traitement de l’héritage consiste à le bloquer. Lorsque l’on
sélectionne cette option, le conteneur enfant n’hérite aucune stratégie de ses conteneurs
parents. En cas de conflit entre ces deux options, l’option Appliqué/Pas de surpassement est
toujours prioritaire.
Autrement dit, Appliqué/Pas de surpassement est une propriété de lien, Bloquer l’héritage est
une propriété de conteneur et Appliqué est prioritaire sur Bloquer l’héritage. Pour bloquer
l’héritage, procédez de la manière suivante :
1. Démarrez la console Gestion des stratégies de groupe.
2. Dans l’arborescence, localisez le domaine ou l’OU dont vous voulez bloquer l’héritage.
3. Cliquez droit sur le domaine ou l’OU et choisissez Bloquer l’héritage.

Important Les autorisations explicites sont prioritaires sont les autorisations


héritées, même un Refuser hérité. Aussi, si vous octroyez explicitement l’accès à
un objet, le Refuser hérité n’empêchera pas l’accès.

Créer un objet de stratégie de groupe


La création d’un domaine Active Directory entraîne la création de la stratégie de domaine par
défaut (Default Domain Policy) et de la stratégie des contrôleurs de domaine par défaut (Default
Domain Controllers Policy). En général, pour simplifier l’administration et la modélisation de la
stratégie, il est préférable de mettre en œuvre plusieurs GPO avec peu de paramètres que peu
de GPO chacun soumis à de nombreux paramètres. Voici comment créer un GPO :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le dossier Objets de stratégie de groupe du domaine auquel le
nouveau GPO va s’appliquer. Sélectionnez Nouveau dans le menu contextuel.
3. Dans la boîte de dialogue Nouvel objet GPO, saisissez le nom du GPO et cliquez sur OK.

Modifier un objet de stratégie de groupe


Voici comment modifier un GPO existant :
1. Démarrez la console Gestion des stratégies de groupe.
Chapitre 13 Stratégie de groupe 285

2. Développez le dossier Objets de stratégie de groupe sous le domaine dans lequel se


trouve la stratégie.
3. Cliquez droit sur la stratégie et sélectionnez Modifier pour ouvrir l’Éditeur de gestion
des stratégies de groupe.
4. Développez Stratégies sous Configuration ordinateur ou Configuration utilisateur et
modifiez les paramètres.

Important Il est de bonne pratique de ne pas modifier les stratégies Default


Domain Policy et Default Domain Controllers Policy, à deux exceptions près : il
faut configurer les paramètres de stratégie de compte dans Default Domain
Policy et les paramètres des applications se trouvant sur des contrôleurs de
domaine dont on doit modifier la stratégie d’audit ou les droits utilisateur dans
Default Domain Controllers Policy.

Supprimer un objet de stratégie de groupe


Voici comment supprimer un GPO :
1. Démarrez la console Gestion des stratégies de groupe.
2. Dans l’arborescence, développez le dossier Objets de stratégie de groupe de la forêt et
du domaine qui contient le GPO à supprimer.
3. Cliquez droit sur le GPO et choisissez Supprimer dans le menu contextuel.
4. Dans le message de confirmation de la suppression, illustré par la figure 13-1, cliquez
sur Oui.

Figure 13-1 Confirmation de la suppression du GPO

Lorsque vous supprimez un GPO, la console Gestion des stratégies de groupe tente de
supprimer tous les liens vers ce GPO dans le domaine. Si vous ne bénéficiez pas des
autorisations suffisantes pour supprimer un lien, le GPO sera supprimé, mais pas le lien. Le
lien vers un GPO supprimé apparaît comme $$$Introuvable dans la console Gestion des
stratégies de groupe. Pour supprimer un tel lien, vous devez bénéficier de l’autorisation sur le
site, le domaine ou l’OU qui le contient.

Localiser un objet de stratégie de groupe


Voici comment localiser un GPO :
1. Démarrez la console Gestion des stratégies de groupe.
2. Double cliquez sur la forêt qui contient le domaine dans lequel effectuer la recherche.
286 Partie II Installation et configuration

3. Cliquez droit sur le domaine et choisissez Rechercher dans le menu contextuel.


4. Dans la boîte de dialogue Rechercher des objets de stratégie de groupe, illustrée par la
figure 13-2, choisissez où effectuer la recherche et ajoutez autant de critères que
possible.
5. Cliquez sur Ajouter.

Figure 13-2 Recherche d’un GPO

6. Cliquez sur Rechercher.

GPO Starter
Un GPO Starter dérive d’un GPO et permet de stocker un certain nombre de modèles
d’administration dans un même objet. Les GPO Starter sont faciles à importer et à exporter,
ce qui les rend parfaits pour la distribution.

Créer un GPO Starter


Il n’est rien de plus simple que de créer un GPO Starter :
1. Démarrez la console Gestion des stratégies de groupe.
2. Localisez le dossier Objets GPO Starter sous le domaine où le GPO doit être créé.
3. Cliquez droit sur le dossier Objets GPO Starter et choisissez Nouveau dans le menu
contextuel.
Chapitre 13 Stratégie de groupe 287

4. Dans la boîte de dialogue Nouvel objet GPO Starter, saisissez le nom du GPO Starter et
optionnellement un commentaire.
5. Cliquez sur OK.

Modifier un GPO Starter


Aucun des paramètres des modèles d’administration contenus dans les GPO Starter n’est
configuré. Voici comment configurer les paramètres d’un GPO Starter :
1. Démarrez la console Gestion des stratégies de groupe.
2. Localisez le dossier Objets GPO Starter.
3. Dans le volet Détails, cliquez droit sur le GPO Starter à modifier et sélectionnez
Modifier dans le menu contextuel. Le GPO Starter s’ouvre dans l’Éditeur d’objet de
stratégie de groupe Starter de la stratégie de groupe.
4. Sous Configuration ordinateur ou Configuration utilisateur, développez Modèles
d’administration et configurez les paramètres.

Créer un nouveau GPO à partir d’un GPO Starter


Lorsque l’on crée un nouveau GPO à partir d’un GPO Starter, le nouveau GPO contient tous
les paramètres de stratégie du modèle d’administration, ainsi que leurs valeurs telles que
définies dans le GPO Starter. Voici comment utiliser un GPO Starter comme point de départ
pour un nouveau GPO :
1. Démarrez la console Gestion des stratégies de groupe.
2. Développez le dossier Objets GPO Starter.
3. Cliquez droit sur le GPO Starter à utiliser et choisissez Nouvel objet GPO créé à partir
de l’objet GPO Starter.
4. Dans la boîte de dialogue Nouvel objet GPO, saisissez le nom du GPO et cliquez sur OK.

Générer un rapport des paramètres du GPO Starter


Au lieu de parcourir de nombreuses pages de paramètres, il est possible de générer un
rapport des paramètres d’un GPO Starter. Pour cela :
1. Démarrez la console Gestion des stratégies de groupe.
2. Développez le dossier Objets GPO Starter.
3. Cliquez droit sur le GPO Starter pour lequel vous voulez afficher un rapport.
Sélectionnez Enregistrer le rapport dans le menu contextuel.
4. Dans la boîte de dialogue Enregistrer le rapport sur les objets GPO Starter, sélectionnez
l’emplacement du rapport. Acceptez le nom du rapport ou tapez-en un nouveau.
Cliquez sur Enregistrer.
Vous pouvez ouvrir le rapport enregistré pour l’afficher ou l’imprimer.
288 Partie II Installation et configuration

Importer et exporter un GPO Starter


Pour exploiter un GPO Starter dans un autre environnement, on l’exporte en l’enregistrant en
tant que fichier cabinet. Après l’avoir transféré dans un autre environnement, on l’importe en
chargeant le fichier cabinet.
Voici comment exporter un GPO Starter :
1. Démarrez la console Gestion des stratégies de groupe.
2. Développez le dossier Objets GPO Starter.
3. Dans le volet Contenu, sélectionnez le GPO à exporter et cliquez sur Enregistrer en tant
que fichier CAB.
4. Dans la boîte de dialogue Enregistrer l’objet GPO Starter dans un fichier CAB,
sélectionnez l’emplacement du fichier. Cliquez sur Enregistrer.
Pour importer un GPO Starter, inversez le processus précédent :
1. Démarrez la console Gestion des stratégies de groupe.
2. Développez le dossier Objets GPO Starter.
3. Cliquez sur Charger le fichier CAB puis sur Rechercher le fichier CAB.
4. Localisez le fichier à importer. Cliquez sur son nom puis sur Ouvrir.
5. Cliquez sur OK pour achever le processus d’importation.

Préférences de la Stratégie de groupe


Les préférences de la Stratégie de groupe constituent une nouveauté de Windows Server
2008. Elles simplifient la configuration, le déploiement et la gestion du système
d’exploitation et des paramètres d’applications que l’on ne peut pas gérer par le biais de la
Stratégie de groupe, comme les lecteurs mappés, les tâches planifiées et les paramètres du
menu Démarrer. Pour configurer ces paramètres, les préférences de la Stratégie de groupe
constituent souvent une meilleure alternative aux scripts d’ouverture de session. On les
génère dans la console Gestion des stratégies de groupe.
Les réseaux possèdent généralement deux types de paramètres : les paramètres obligatoires
(Stratégie de groupe) et les paramètres optionnels (préférences). Les utilisateurs ne peuvent
pas modifier les premiers, alors qu’ils ont la possibilité de changer les deuxièmes. En
déployant spécifiquement les préférences, on crée des configurations plus adaptées à
l’organisation que les paramètres par défaut du système d’exploitation. Pour déployer les
préférences, on fait ensuite appel aux scripts d’ouverture de session ou aux profils utilisateur
par défaut.
Chapitre 13 Stratégie de groupe 289

Quelles sont les différences entre les préférences de la Stratégie de groupe et la Stratégie de
groupe ? La principale différence repose sur le fait que la Stratégie de groupe est obligatoire
et que les préférences ne le sont pas. Il existe toutefois d’autres différences détaillées dans le
tableau 13-1.

Tableau 13-1 Paramètres/Préférences de la stratégie de groupe

Paramètres de la Stratégie de groupe Préférences de la Stratégie de groupe


Les paramètres sont obligatoires. Les préférences ne sont pas obligatoires.
L’interface utilisateur est désactivée. L’interface utilisateur n’est pas désactivée.
L’ajout de paramètres à la stratégie exige Les éléments de préférences des fichiers
une prise en charge applicative et la et les paramètres de registre sont faciles
construction de modèle d’administration. à créer.
Nécessite des applications compatibles avec Prennent en charge les applications non
la Stratégie de groupe. compatibles avec la Stratégie de groupe.
Le filtrage est fondé sur WMI et demande Prennent en charge le ciblage d’éléments.
d’écrire des requêtes WMI.
Une autre interface utilisateur est proposée Exploitent une interface utilisateur familière
pour la plupart des paramètres de stratégie. et conviviale pour configurer la plupart
des paramètres.

La figure 13-3 est un arbre décisionnel permettant de choisir entre les paramètres de la
Stratégie de groupe et les préférences de la stratégie de groupe.

Imposer
le paramètre
et désactiver
l’interface
utilisateur ?

Oui Non

L’utilisateur
Sensible
peut-il modifier
à la Stratégie
définitivement
de groupe ?
ce paramètre ?

Oui Oui
Non Non
Utiliser Utiliser
les préférences les préférences
Utiliser la Stratégie de la Stratégie de la Stratégie
de groupe de groupe et de groupe et
désactiver les options activer les options
Appliquer une fois Appliquer une fois

Figure 13-3 Choisir entre les paramètres et les préférences de la Stratégie de groupe
290 Partie II Installation et configuration

Extensions clientes
Il n’est pas utile d’installer des services pour créer des GPO contenant les préférences de
la stratégie de groupe. Pour déployer les préférences sur des ordinateurs clients, vous
devez installer une CSE (client-side extension) des préférences de stratégie. Vous pouvez
télécharger la CSE à partir du site www.microsoft.com/downloads/. Elle prend en charge les
versions Windows suivantes :
Windows XP avec SP2
Windows Vista
Windows Server 2003 avec SP1
Windows Server 2008 inclut déjà la CSE.

Pour afficher les préférences de la stratégie de groupe, démarrez la Gestion des stratégies de
groupe à partir des Outils d’administration et procédez de la manière suivante :
1. Localisez le domaine. Cliquez droit sur Default Domain Controllers Policy et choisissez
Modifier dans le menu contextuel.
2. Sous Configuration ordinateur, développez Préférences, Paramètres Windows et
Paramètres du Panneau de configuration.
3. Sous Configuration utilisateur, développez Préférences, Paramètres Windows et
Paramètres du Panneau de configuration.
Comme le montre la figure 13-4, les listes Configuration ordinateur et Configuration
utilisateur sont très similaires. Cependant, si certains noms sont identiques, les propriétés
diffèrent. Les préférences suivantes ne se retrouvent que dans l’une des configurations :
Applications, Mappage de lecteurs, Paramètres Internet et Menu Démarrer sous
Configuration utilisateur ; Partages réseau et Options réseau sous Configuration ordinateur.
Chapitre 13 Stratégie de groupe 291

Figure 13-4 Extensions des préférences de la stratégie de groupe

Utiliser les préférences de la stratégie de groupe


pour Windows
À l’instar des paramètres de la stratégie de groupe, les préférences sont presque configurables
à l’infini. Dans les prochaines sections, nous étudierons une sélection des extensions les plus
courantes, en commençant par les paramètres Windows.

Mappages de lecteurs
Le paramètre Mappages de lecteurs permet de créer, d’actualiser et de supprimer des lecteurs
mappés et leurs propriétés. Voici comment créer un Lecteur mappé :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et
Paramètres Windows. Cliquez droit sur le nœud Mappages de lecteurs, pointez sur
Nouveau et choisissez Lecteur mappé.
292 Partie II Installation et configuration

4. Dans la boîte de dialogue Propriétés de Nouveau lecteur, sélectionnez l’une des actions
suivantes à réaliser par la Stratégie de groupe, comme le montre la figure 13-5.
■ Créer Crée un nouveau lecteur mappé.

■ Remplacer Supprime un lecteur mappé existant et en crée un nouveau.

■ Mettre à jour Modifie des paramètres spécifiques d’un lecteur mappé existant.

■ Supprimer Supprime un lecteur mappé.

Figure 13-5 Création d’un nouveau lecteur mappé

5. Saisissez les paramètres du lecteur, décrits dans le tableau 13-2.


6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-2 Paramètres de Lecteur mappé

Nom du paramètre Action Description


Emplacement Créer, Remplacer Pour créer ou remplacer un lecteur mappé
ou Mettre à jour existant, saisissez un chemin d’accès UNC
complet. Pour modifier un mappage de lecteur
existant, laissez le champ vide. Sachez que ce
champ accepte également les variables de
traitement. Appuyez sur F3 pour afficher les
variables acceptées.
Reconnecter Créer, Remplacer Cochez cette option pour enregistrer le lecteur
ou Mettre à jour mappé dans les paramètres de l’utilisateur et s’y
reconnecter au cours des prochaines ouvertures
de session.
Chapitre 13 Stratégie de groupe 293

Tableau 13-2 Paramètres de Lecteur mappé

Nom du paramètre Action Description


Libeller en tant que Créer, Remplacer Permet d’attribuer un intitulé descriptif. Ce
ou Mettre à jour champ accepte également les variables de
traitement. Appuyez sur F3 pour afficher la liste.
Lettre de lecteur Créer, Remplacer Pour affecter la première lettre de lecteur
ou Mettre à jour disponible, sélectionnez Utiliser le premier
disponible en commençant à et choisissez une
lettre de lecteur. Pour affecter une lettre de
lecteur spécifique, sélectionnez Utiliser et
choisissez une lettre de lecteur.
Lettre de lecteur Mettre à jour Pour modifier un mappage de lecteur existant,
sélectionnez Existant et choisissez la lettre de
lecteur.
Lettre de lecteur Supprimer Pour supprimer tous les mappages de lecteurs,
sélectionnez Supprimer tout en commençant à
et sélectionnez la première lettre de lecteur. Pour
supprimer un mappage spécifique, sélectionnez
Supprimer et choisissez la lettre de lecteur.
Se connecter Créer, Remplacer Pour mapper un lecteur en se servant des
en tant que ou Mettre à jour informations d’identification d’une autre
personne que celle ayant actuellement ouvert
la session, tapez le nom et le mot de passe à
employer.
Masquer/Afficher Créer, Remplacer Pour empêcher l’affichage du lecteur dans
ce lecteur ou Mettre à jour l’Explorateur Windows, sélectionnez Masquer ce
lecteur. Pour autoriser l’affichage, sélectionnez
Afficher ce lecteur. Ces paramètres sont
prioritaires sur le paramètre Masquer/Afficher
Tous les lecteurs.

Environnement
L’extension Environnement permet de créer de nouvelles variables environnementales et de
modifier celles qui existent. Voici comment créer un nouvel élément de préférence Variable
d’environnement :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres Windows.
4. Cliquez droit sur le nœud Environnement, pointez sur Nouveau et choisissez Variable
d’environnement.
294 Partie II Installation et configuration

5. Dans la boîte de dialogue Propriétés de Nouveau Environnement, sélectionnez une


action à effectuer par la Stratégie de groupe.
6. Saisissez les paramètres de la variable environnementale que la Stratégie de groupe doit
configurer ou supprimer. Le tableau 13-3 décrit ces paramètres.
7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
8. Cliquez sur OK.
Tableau 13-3 Paramètres de Variables d’environnement

Nom du paramètre Description


Variable utilisateur Sous Configuration utilisateur, la variable affecte chaque utilisateur
indépendamment. Sous Configuration ordinateur, la variable affecte
uniquement l’utilisateur par défaut de l’ordinateur.
Variable système La variable affecte Tous les utilisateurs de l’ordinateur.
Nom Saisissez le nom de la variable. Pour sélectionner PATH, ne remplissez
pas le champ Nom.
PATH Cochez cette option pour créer ou remplacer la valeur de la variable
PATH. Cette option est uniquement disponible lorsque l’option
Variable système est sélectionnée.
Valeur Si PATH est sélectionné, tapez une liste de chemins d’accès à des
dossiers, délimitée par des points virgules. Si Partiel est sélectionné,
tapez un segment de la variable PATH en omettant les points
virgules.
Partiel Uniquement disponible si Variable système et PATH sont
sélectionnés. Si l’action choisie est Créer, la valeur spécifiée sera
ajoutée à la variable PATH. Si vous avez choisi Remplacer ou Mettre à
jour, la partie spécifiée de la variable PATH sera remplacée. Si vous
avez choisi Supprimer, le segment spécifié sera supprimé de la
variable PATH existante.

Fichiers
Avec l’extension Fichiers, vous copiez, remplacez, supprimez ou modifiez les attributs des
fichiers. L’extension prend en charge les caractères génériques dans les chemins d’accès et les
variables environnementales. Avant de configurer une préférence de fichier, examinez le
comportement de chaque type d’action et paramètre du tableau 13-4.
Voici comment créer un nouvel élément de préférence Fichier :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
Chapitre 13 Stratégie de groupe 295

3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou


Configuration utilisateur, Préférences et Paramètres Windows.
4. Cliquez droit sur Fichiers, pointez sur Nouveau et sélectionnez Fichier.
5. Dans la boîte de dialogue Propriétés de Nouveau Fichier, sélectionnez l’une des actions
suivantes dans la liste déroulante :
■ Créer Copie un ou plusieurs fichiers d’une source vers une destination et
configure ensuite les attributs du fichier pour les ordinateurs ou les utilisateurs.
■ Supprimer Supprime un ou plusieurs fichiers.

■ Remplacer Écrase les fichiers de l’emplacement de destination par les fichiers de


remplacement. Si les fichiers n’existent pas au niveau de la destination, l’action
remplace les copies de l’emplacement source vers la destination.
■ Mettre à jour Modifie les attributs d’un fichier existant.

6. Saisissez les paramètres du fichier, décrits dans le tableau 13-4.


7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-4 Paramètres de Fichiers

Paramètre Action Description


Fichier(s) source Créer, Remplacer ou Saisissez l’emplacement à partir duquel copier
Mettre à jour le fichier source. Le champ peut accueillir des
variables. Vous pouvez employer un lecteur
local ou mappé ou un chemin d’accès UNC
complet.
Fichier de Créer, Remplacer ou Saisissez l’emplacement où copier les fichiers
destination Mettre à jour et le ou celui des fichiers à remplacer. Vous pouvez
champ Fichier(s) employer un lecteur local ou mappé (du point
source (y compris les de vue du client) ou un chemin d’accès UNC
caractères génériques) complet.
Supprimer le ou Supprimer Saisissez le chemin d’accès au(x) fichier(s) du
les fichier(s) point de vue du client. Le champ peut accueillir
des caractères génériques.
Supprimer les Remplacer, Mettre à Sélectionnez cette option pour autoriser le
erreurs sur les jour ou Supprimer transfert de plusieurs fichiers pendant
actions de fichiers l’opération de remplacement, de suppression
individuels ou de mise à jour, même si le transfert échoue
pour un ou plusieurs fichiers.
Attributs Créer, Remplacer ou Sélectionnez les attributs du ou des fichiers
Mettre à jour transférés. Si nécessaire pour compléter une
opération, l’attribut Lecture seule sera
réinitialisé.
296 Partie II Installation et configuration

Dossiers
L’extension Dossiers est similaire à l’extension Fichiers. Vous créez, remplacez, mettez à jour,
supprimez et même nettoyez les dossiers des ordinateurs cibles. À l’instar de l’extension
Fichiers, l’extension Dossiers prend en charge les variables environnementales, mais elle
n’autorise pas les caractères génériques dans les chemins d’accès aux dossiers.
Avant de configurer une préférence de dossier, examinez le comportement de chaque type
d’action et paramètre du tableau 13-5.
Voici comment créer un nouvel élément de préférence Dossier :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres Windows.
4. Cliquez droit sur Dossiers, pointez sur Nouveau et sélectionnez Dossier.
5. Dans la boîte de dialogue Propriétés de Nouveau Dossier, sélectionnez l’une des actions
suivantes dans la liste déroulante :
■ Créer Crée un nouveau dossier pour les utilisateurs ou les ordinateurs.

■ Remplacer Supprime le contenu d’un dossier existant et écrase les paramètres


associés à ce dossier. Si le dossier n’existe pas, Remplacer crée un nouveau
dossier.
■ Mettre à jour Modifie un dossier existant.

■ Supprimer Supprime un dossier.

6. Saisissez les paramètres du dossier, décrits dans le tableau 13-5.


7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-5 Paramètres de Dossiers

Paramètre Action Description


Chemin d’accès Créer, Saisissez le chemin d’accès au dossier du point de vue du
Remplacer, client. N’utilisez pas de guillemets ou de barre oblique de
Mettre à jour fin. Le champ peut accueillir des variables.
ou Supprimer
Attributs Créer, Sélectionnez les attributs du dossier.
Remplacer ou
Mettre à jour
Chapitre 13 Stratégie de groupe 297

Tableau 13-5 Paramètres de Dossiers

Paramètre Action Description


Options Remplacer ou Supprimer ce dossier (s’il a été vidé) : sélectionnez cette
Supprimer option pour supprimer le dossier sur ce chemin d’accès s’il
est vide. Supprimer de manière récursive Tous les sous-
dossiers (s’ils sont vidés) : si vous sélectionnez cette
option, le plus bas niveau des dossiers (s’ils sont vidés)
sera supprimé, puis les dossiers parents, jusqu’à atteindre
le dossier du champ Chemin d’accès. Cette option prend
effet après que l’option Supprimer Tous les fichiers du ou
des dossiers a été traitée.
Supprimer Tous les fichiers du ou des dossiers :
sélectionnez cette option pour supprimer Tous les fichiers
autorisés à être supprimés du dossier. Si vous sélectionnez
aussi Supprimer de manière récursive Tous les sous-
dossiers, Tous les fichiers autorisés à être supprimés dans
Tous les sous-dossiers seront également supprimés.
Autoriser la suppression des fichiers/dossiers en lecture
seule : sélectionnez cette option pour désactiver l’attribut
Lecture seule des fichiers et dossiers à supprimer.
Ignorer les erreurs pour les fichiers/dossiers qui ne
peuvent pas être supprimés : si vous ne cochez pas cette
option, vous verrez une erreur lorsque l’élément dossier
tentera de supprimer un dossier qui n’est pas vide ou pour
lequel l’utilisateur n’a pas d’autorisation.

Fichiers .ini
La préférence Fichiers .ini permet d’ajouter, de remplacer ou de supprimer des sections ou
des propriétés dans les fichiers des paramètres de configuration (.ini) ou des informations de
configuration (.inf). Chaque section d’un fichier .ini ou .inf prend la forme suivante :
[SectionName]
PropertyName1=PropertyValue1
PropertyName2=PropertyValue2

Avant de configurer une préférence de fichier .ini, examinez le comportement de chaque type
d’action et paramètre du tableau 13-6.
Voici comment créer un nouvel élément de préférence Fichier .ini :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres Windows.
4. Cliquez droit sur Fichiers .ini, pointez sur Nouveau et sélectionnez Fichier .ini.
298 Partie II Installation et configuration

5. Dans la liste déroulante Action, choisissez l’une des options suivantes :


■ Créer Ajoute et configure une propriété pour un fichier .ini ou .inf. Si le fichier
n’existe pas, il est créé.
■ Remplacer Remplace une propriété dans un fichier .ini ou .inf. Si la propriété
n’existe pas, l’action Remplacer la crée.
■ Mettre à jour Même action que Remplacer.

■ Supprimer Supprime une section ou une propriété d’un fichier .ini ou .inf ou
supprime entièrement le fichier.
6. Saisissez les paramètres de configuration, décrits dans le tableau 13-6.
7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-6 Paramètres de Fichier .ini et .inf

Paramètre Action Description


Chemin d’accès Toutes Saisissez le chemin d’accès, du point de vue du client, vers
du fichier le fichier .ini ou .inf. N’utilisez pas de guillemets. Si le
fichier ou les dossiers parents n’existent pas, ils sont créés.
Nom de la Toutes Saisissez le nom de la section à configurer. Laissez ce
section champ vide pour supprimer tout le fichier.
Nom de la Toutes Saisissez le nom de la propriété à configurer. Si vous
propriété supprimez toute la section ou tout le fichier, laissez ce
champ vide.
Valeur de la Créer, Saisissez une valeur pour la propriété. Vous pouvez
propriété Remplacer ou utiliser des guillemets, mais ils sont généralement
Mettre à jour supprimés lorsque l’application ou le système
d’exploitation lit la valeur. Si vous laissez ce champ vide, la
propriété aura une valeur vide lue comme si la propriété
n’existait pas.

Partages réseau
L’extension Partages réseau permet de gérer les partages réseau sur plusieurs ordinateurs
ciblés (reportez-vous à la section « Configurer un élément de ciblage », plus loin dans ce
chapitre). Cette extension permet d’entreprendre les actions suivantes :
■ Créer et configurer un partage ;
■ Remplacer un partage et modifier ainsi son chemin d’accès de dossier ;
■ Supprimer un partage ;
■ Modifier les propriétés d’un partage.
Chapitre 13 Stratégie de groupe 299

Voici comment créer un nouvel élément de préférence Partage réseau :


1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur, Préférences et
Paramètres Windows.
4. Cliquez droit sur Partages réseau, pointez sur Nouveau et sélectionnez Partage réseau.
5. Dans la boîte de dialogue Propriétés de Nouveau Partage réseau, sélectionnez une
action dans la liste déroulante :
■ Créer Crée un nouveau partage.

■ Remplacer Supprime et remplace un partage. Si le partage n’existe pas,


Remplacer en crée un nouveau.
■ Mettre à jour Modifie un partage. Ce paramètre actualise uniquement les
paramètres définis. Si le partage n’existe pas, Mettre à jour en crée un nouveau.
■ Supprimer Supprime un partage des ordinateurs.

6. Saisissez les paramètres de partage réseau que la Stratégie de groupe doit configurer ou
supprimer. Le tableau 13-7 décrit ces paramètres.
7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-7 Paramètres de Partage réseau

Paramètre Action Description


Nom du partage Créer, Saisissez le chemin d’accès d’un dossier existant vers
Remplacer, lequel le partage va pointer. Appuyez sur F3 pour
Mettre à jour afficher la liste des variables autorisées dans ce champ.
ou Supprimer Le champ Chemin du dossier n’est pas accessible si vous
avez choisi Mettre à jour ou Supprimer et que vous
utilisez des modificateurs d’actions.
Chemin du Créer, Saisissez le nom du partage. Appuyez sur F3 pour
dossier Remplacer, afficher la liste des variables autorisées dans ce champ.
Mettre à jour Le champ Nom du partage n’est pas accessible si vous
ou Supprimer avez choisi Mettre à jour ou Supprimer et que vous
utilisez des modificateurs d’actions.
Commentaire Créer, Saisissez le texte à afficher dans le champ Commentaire
Remplacer ou du partage. Si vous actualisez un partage et laissez ce
Mettre à jour champ vide, le commentaire existant ne change pas.
Appuyez sur F3 pour afficher la liste des variables
acceptées dans ce champ.
300 Partie II Installation et configuration

Tableau 13-7 Paramètres de Partage réseau

Paramètre Action Description


Modificateurs Mettre à jour Mettre à jour/Supprimer les partages normaux :
d’action ou Supprimer actualise ou supprime Tous les partages excepté les
partages cachés (les partages dont les noms se
terminent par $) et les partages spéciaux (SYSVOL et
NETLOGON).
Mettre à jour/Supprimer Tous les partages cachés non
administratifs : actualise ou supprime les partages
masqués excepté les partages de lettre de lecteur
administratifs, ADMIN$, FAX$, IPC$ et PRINT$.
Mettre à jour/Supprimer Tous les partages de lecteurs
administratifs : actualise ou supprime Tous les partages
administratifs (les partages dont les noms se terminent
par $).
Nombre maximal Créer, Aucune modification : ne modifie pas le nombre
d’utilisateurs Remplacer ou maximal autorisé lors de la mise à jour du partage. Si
Mettre à jour vous créez ou remplacez un partage, cette option
définit le nombre d’utilisateurs au maximum autorisé.
Nombre maximal autorisé : sélectionnez cette option
pour ne pas limiter le nombre d’utilisateurs.
Autoriser ce nombre d’utilisateurs : sélectionnez cette
option pour configurer un nombre spécifique
d’utilisateurs autorisés.
Énumération Créer, Aucune modification : la visibilité des partages dans un
selon accès Remplacer ou dossier ne change pas.
Mettre à jour Activer : les dossiers du partage sont uniquement
visibles aux utilisateurs avec un accès en lecture.
Désactiver : les dossiers du partage sont visibles par
tous les utilisateurs.

Remarque Pour générer le point de partage, le dossier à partager doit déjà


exister sur les ordinateurs auxquels le GPO s’applique. Lorsque l’on supprime un
partage, le point de partage menant au dossier est supprimé, mais le dossier et
son contenu ne le sont pas. Reportez-vous à la section sur l’extension de la
préférence Dossiers, précédemment dans ce chapitre, pour créer ou supprimer
des dossiers avec la Stratégie de groupe.

Registre
L’extension de préférence Registre permet de copier des paramètres de registre sur un
ordinateur et de les appliquer à d’autres ordinateurs. Elle permet également de gérer les
valeurs et les clés de registre. Voici comment créer et gérer des éléments de préférence
Élément Registre :
1. Démarrez la console Gestion des stratégies de groupe.
Chapitre 13 Stratégie de groupe 301

2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres Windows.
4. Cliquez droit sur Registre, pointez sur Nouveau et sélectionnez Élément Registre.
5. Dans la boîte de dialogue Propriétés de Nouveau Registre, sélectionnez une action dans
la liste déroulante :
■ Créer Crée une nouvelle clé ou valeur de registre pour les utilisateurs ou les
ordinateurs.
■ Remplacer Supprime une valeur ou une clé de registre et la remplace.
Remplacer écrase tous les paramètres existants de la clé ou de la valeur. Si la clé
ou la valeur de registre n’existe pas, l’action Remplacer en crée une nouvelle.
■ Mettre à jour Modifie les paramètres d’une clé ou d’une valeur de registre
existante. L’action Mettre à jour modifie uniquement les paramètres définis dans
l’élément. Si la clé ou la valeur de registre n’existe pas, l’action Mettre à jour en
crée une nouvelle.
■ Supprimer Supprime la clé ou la valeur de registre et toutes les sous-clés ou valeurs.

6. Saisissez les paramètres du registre, décrits dans le tableau 13-8.


7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-8 Paramètres de Élément Registre

Paramètre Action Description


Chemin d’accès Toutes Cliquez sur le bouton Parcourir pour localiser la valeur ou
de la clé la clé sur laquelle agir. Si vous utilisez le bouton Parcourir,
les champs Ruche, Chemin d’accès de la clé et Par défaut
sont complétés automatiquement. Dans le cas contraire,
saisissez le chemin d’accès sans le nom de la ruche,
caractère de suite ou barre oblique. Appuyez sur F3 pour
afficher la liste des variables acceptées dans ce champ.
Ruche Toutes Sélectionnez la ruche si vous ne localisez pas la clé ou la
valeur avec le bouton Parcourir.
Nom de la Toutes Cochez Par défaut pour configurer la valeur par défaut ou
valeur tapez le nom de la valeur à configurer. Pour configurer
uniquement une clé, laissez ce champ vide. Appuyez sur F3
pour afficher la liste des variables acceptées dans ce champ.
Type de valeur Créer, Si vous avez saisi un nom de valeur, sélectionnez son type. Si
Remplacer ou vous configurez uniquement une clé, laissez ce champ vide.
Mettre à jour
Données de Créer, Si vous avez saisi un type de valeur, tapez les données de la
valeur Remplacer ou valeur du registre.
Mettre à jour
302 Partie II Installation et configuration

Créer plusieurs éléments de registre


Il est possible de créer plusieurs éléments de préférence du registre et de les classer dans un
dossier qui imite la structure du registre. Voici comment créer plusieurs préférences du
registre :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres Windows.
4. Cliquez droit sur Registre, pointez sur Nouveau et sélectionnez Assistant Registre.
5. Dans la boîte de dialogue Explorateur de Registre, sélectionnez l’ordinateur source.
Cliquez sur Suivant.
6. Parcourez le registre et cochez la case de chaque clé ou valeur à partir de laquelle vous
voulez créer un élément de préférence du registre, comme le montre la figure 13-6.
Cochez la case d’une clé uniquement si vous voulez créer un élément de registre pour
cette clé. Pour créer un élément de registre pour une valeur d’une clé, cochez la case de
la valeur.

Figure 13-6 Sélection de plusieurs éléments du registre

7. Cliquez sur Terminer. Les paramètres sélectionnés apparaissent comme éléments de


préférence dans la collection Valeurs de l’Assistant Registre.
8. Dans l’arborescence de la console, cliquez droit sur la collection Valeurs de l’Assistant
Registre et sélectionnez Renommer. Saisissez un nom descriptif.
Vous pouvez modifier un paramètre d’une collection en suivant la procédure décrite dans la
section sur le registre.
Chapitre 13 Stratégie de groupe 303

Raccourcis
En créant un élément de préférence Raccourci, vous créez un raccourci pour un fichier, un
dossier, un ordinateur, une imprimante, une page web, en fait tous les objets vers lesquels un
raccourci classique peut pointer, et l’appliquer via la Stratégie de groupe. Les éléments
Raccourci possèdent de nombreux paramètres : examinez-les attentivement.
Voici comment créer un nouvel élément de préférence Raccourci :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres Windows.

Important Si un chemin d’accès de la configuration contient un lecteur


m a p p é , l ’ é l é m e n t d e p ré f é re n c e R a c c o u rc i d o i t s e t ro u v e r s o u s
Configuration utilisateur. De même, vérifiez que la lettre de lecteur existe
avant de traiter l’élément Raccourci et sélectionnez Exécuter dans le
contexte de sécurité de l’utilisateur connecté, sur l’onglet Commun.
4. Cliquez droit sur Raccourcis, pointez sur Nouveau et sélectionnez Raccourci.
5. Dans la boîte de dialogue Propriétés de Nouveau Raccourci, sélectionnez une action
dans la liste déroulante :
■ Créer Crée un nouveau raccourci pour les utilisateurs ou les ordinateurs.

■ Supprimer Supprime un raccourci et le recrée. Si le raccourci n’existe pas,


Remplacer en crée un nouveau.
■ Mettre à jour Actualise uniquement les paramètres définis dans l’élément de
préférence. Si le raccourci n’existe pas, Mettre à jour en crée un nouveau.
■ Supprimer Supprime un raccourci pour les utilisateurs ou les ordinateurs.

6. Saisissez les paramètres du raccourci, décrits dans le tableau 13-9.


7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
plus loin dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-9 Paramètres de Raccourci

Paramètre Action Description


Nom Toutes Saisissez le nom du raccourci. Si vous remplacez,
actualisez ou supprimez un raccourci, le nom doit
correspondre à celui du raccourci existant. Ce
champ accepte également les variables de
traitement. Appuyez sur F3 pour afficher la liste
des variables acceptées.
304 Partie II Installation et configuration

Tableau 13-9 Paramètres de Raccourci

Paramètre Action Description


Type de cible Toutes Sélectionnez le type de cible dans la liste
déroulante.
Emplacement Toutes Dans la liste déroulante, sélectionnez
l’emplacement où doit apparaître le raccourci.
Tout emplacement autre que Tous les utilisateurs
s’applique à l’utilisateur ayant actuellement
ouvert une session. Pour placer un raccourci dans
un sous-dossier de l’emplacement, saisissez le
chemin d’accès dans le champ Nom, suivi du nom
d’affichage (par exemple, pour placer un raccourci
dont le nom d’affichage est Références dans le
sous-dossier Outils du menu Démarrer, tapez
Outils\Références dans le champ Nom et
sélectionnez Menu Démarrer comme
Emplacement).
Chemin d’accès Créer, Remplacer ou Saisissez un chemin d’accès local ou UNC ou une
cible Mettre à jour un lettre de lecteur vers lesquels pointe le raccourci.
Objet du système de Ce champ accepte également les variables de
fichiers ciblé traitement. Appuyez sur F3 pour afficher la liste
des variables acceptées.
URL cible Créer, Remplacer ou Saisissez l’URL vers laquelle pointe le raccourci. Ce
Mettre à jour une champ accepte également les variables de
URL ciblée traitement. Appuyez sur F3 pour afficher la liste
des variables acceptées.
Objet cible Créer, Remplacer ou Cliquez sur le bouton Parcourir et sélectionnez un
Mettre à jour un objet de l’environnement vers lequel pointe le
Objet de raccourci.
l’environnement
ciblé
Arguments Créer, Remplacer ou Saisissez les arguments à employer lors de
Mettre à jour un l’ouverture de l’objet cible.
Objet du système de
fichiers ciblé
Démarrer dans Créer, Remplacer ou Saisissez le chemin d’accès au dossier qui contient
Mettre à jour un les fichiers requis par le dossier ou cliquez sur le
Objet du système de bouton Parcourir pour le localiser. Appuyez sur F3
fichiers ciblé pour afficher la liste des variables autorisées dans
ce champ.
Touche de Créer, Remplacer ou Indiquez le raccourci clavier. Pour supprimer un
raccourci Mettre à jour raccourci clavier, cliquez dans le champ et
appuyez sur la touche SUPPR.
Exécuter Créer, Remplacer ou Dans la liste déroulante, choisissez la taille de la
Mettre à jour un fenêtre à ouvrir.
Objet du système de
fichiers ciblé
Chapitre 13 Stratégie de groupe 305

Tableau 13-9 Paramètres de Raccourci

Paramètre Action Description


Commentaire Créer, Remplacer ou Tapez le texte de l’infobulle qui s’affiche lorsque
Mettre à jour un le pointeur de la souris s’arrête sur le raccourci.
Objet du système de Appuyez sur F3 pour afficher la liste des variables
fichiers ou un Objet autorisées dans ce champ.
de l’environnement
ciblé
Chemin d’accès du Créer, Remplacer ou Pour sélectionner une icône autre que le type par
fichier d’icône et Mettre à jour défaut, cliquez sur le bouton Parcourir et faites
Index d’icône votre choix. Appuyez sur F3 pour afficher la liste
des variables autorisées dans ce champ.

Configurer les options communes


Tous les éléments de préférences de la stratégie de groupe possèdent un onglet Commun et
nombre d’éléments partagent des options communes, dont les suivantes :
■ Arrêter le traitement des éléments de cette extension si une erreur survient. Il est
possible de configurer plusieurs éléments par extension. Si vous cochez cette option,
tout échec d’élément arrête le traitement des éléments restants.

Remarque Les éléments de préférence sont traités à partir de la fin de la


liste vers le début. Si vous cochez cette option, le traitement des éléments
traités avant l’élément problématique se poursuit. Cette option arrête
uniquement les éléments qui suivent l’élément en échec.
■ Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de
stratégie utilisateur). Par défaut, les préférences utilisateur sont traitées dans le
contexte de sécurité du compte SYSTEM. Cochez cette option pour traiter les éléments
de préférence dans le contexte de sécurité de l’utilisateur ayant ouvert une session.
L’extension de préférence peut ainsi accéder aux ressources en tant qu’utilisateur et non
comme ordinateur. Cette option peut faire la différence lorsque l’on fait appel à des
lecteurs mappés et d’autres ressources réseau.
■ Supprimer l’élément lorsqu’il n’est plus appliqué. Par défaut, la Stratégie de groupe
ne supprime pas les préférences lorsque l’on supprime le GPO de l’utilisateur ou de
l’ordinateur. Si vous cochez cette option, l’élément est supprimé en même temps que le
GPO.
■ Appliquer une fois et ne pas réappliquer. Le résultat des éléments de préférence sont
réécrits chaque fois que l’on actualise la Stratégie de groupe, soit toutes les 90 minutes
par défaut. Si vous cochez cette option, les préférences s’appliquent une fois pour
l’ordinateur, quel que soit le nombre d’utilisateurs qui partagent l’ordinateur. Dans la
Configuration utilisateur, si cette option est cochée, l’élément s’applique une fois sur
chaque ordinateur sur lequel l’utilisateur ouvre une session.
306 Partie II Installation et configuration

■ Ciblage au niveau de l’élément. Utilisez le ciblage au niveau de l’élément pour


appliquer des éléments de préférence à des utilisateurs ou des ordinateurs individuels.
Il est possible d’inclure plusieurs éléments, chacun adapté aux utilisateurs ou
ordinateurs sélectionnés et chacun ciblé pour appliquer les paramètres uniquement
aux utilisateurs ou ordinateurs appropriés.

Utiliser les préférences de la stratégie de groupe


pour le Panneau de configuration
Outre la catégorie Windows, il est possible de configurer les paramètres de préférence
suivants pour le Panneau de configuration.

Sources de données
Servez-vous de l’élément de préférence Sources de données pour configurer des sources de
données ODBC (Open Database Connectivity) et stocker des informations relatives à la
manière dont les utilisateurs et les ordinateurs peuvent se connecter à un fournisseur de
données.
Voici comment créer un élément de préférence Source de données :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres du Panneau de configuration.
4. Cliquez droit sur Sources de données, pointez sur Nouveau et sélectionnez Source de
données.
5. Dans la boîte de dialogue Propriétés de Nouveau Source de données, sélectionnez une
action dans la liste déroulante :
■ Créer Crée un nouveau nom de source de données pour l’utilisateur ou
l’ordinateur. Si la source de données existe, ne la modifiez pas.
■ Remplacer Supprime et remplace le nom de la source de données. L’action
Remplacer écrase tous les paramètres existants du nom de la source de données.
Si le nom de la source de données n’existe pas, l’action Remplacer en crée un
nouveau.
■ Mettre à jour Modifie les paramètres d’un nom de source de données existant.
Les seuls paramètres modifiés sont ceux définis dans l’élément de préférence. Si
le nom de la source de données n’existe pas, Mettre à jour en crée un nouveau.
■ Supprimer Supprime un nom de source de données existant.

6. Saisissez les paramètres de l’élément source de données, décrits dans le tableau 13-10.
Chapitre 13 Stratégie de groupe 307

7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-10 Paramètres de Source de données

Paramètre Action Description


Source de données Toutes Sélectionnez Source de données de l’utilisateur pour
de l’utilisateur ou rendre l’élément visible uniquement aux utilisateurs
système qui reçoivent l’élément. Sélectionnez Source de
données système pour rendre la source de données
accessible à Tous les utilisateurs de l’ordinateur.
Nom de source de Toutes Saisissez le nom qui identifie la source de données.
données (DSN) Cliquez sur le bouton parcourir pour afficher une liste
des noms de sources de données sur l’ordinateur en
cours. Appuyez sur F3 pour afficher la liste des
variables acceptées dans ce champ.
Pilote Toutes Tapez le nom du pilote ODBC employé pour se
connecter au fournisseur de données. Cliquez sur le
bouton Parcourir pour afficher une liste de pilotes
ODBC.
Description Créer, Tapez une description de la source de données.
Remplacer ou Appuyez sur F3 pour afficher la liste des variables
Mettre à jour acceptées dans ce champ.
Nom d’utilisateur Créer, Saisissez le nom d’utilisateur servant à se connecter à
Remplacer ou la source de données.
Mettre à jour
Mot de passe et Créer, Saisissez le mot de passe servant à se connecter au
Confirmer le mot Remplacer ou fournisseur de données.
de passe Mettre à jour
Attributs Créer, Cliquez sur Ajouter pour créer de nouveaux attributs.
Remplacer ou Cliquez sur Supprimer ou Modifier pour les supprimer
Mettre à jour ou les modifier.

Périphériques
Servez-vous de l’élément de préférence Périphériques pour centraliser l’activation ou la
désactivation de types spécifiques de matériel pour les utilisateurs ou les ordinateurs. Vous
pouvez configurer une classe entière de périphériques comme les ports (COM et LPT) ou
restreindre la sélection à un type particulier de périphérique comme les ports de
communication (COM2). Voici comment configurer un élément de préférence Périphérique :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
308 Partie II Installation et configuration

3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou


Configuration utilisateur, Préférences et Paramètres du Panneau de configuration.
4. Cliquez droit sur Périphériques, pointez sur Nouveau et sélectionnez Périphérique.
5. Dans la liste déroulante de la boîte de dialogue Propriétés de Nouveau Périphérique,
choisissez Utiliser ce périphérique (activé) ou Ne pas utiliser ce périphérique
(désactivé).
6. Saisissez les paramètres du périphérique, décrits dans le tableau 13-11.
7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-11 Paramètres de Périphérique

Paramètre Action Description


Classe de Activé ou Cliquez sur le bouton Parcourir pour activer ou désactiver
périphérique désactivé la classe de périphérique ainsi que le type, si nécessaire.
Type de Activé ou Si un périphérique est sélectionné, il apparaît dans ce
périphérique désactivé champ.

Options des dossiers


L’extension de préférence Options des dossiers sous Panneau de configuration permet de
configurer les éléments de préférence Dossier, Fichier et Ouvrir avec.

Créer un élément Options des dossiers Windows XP


Les éléments Options des dossiers Windows XP s’appliquent uniquement aux ordinateurs
Windows Server 2003 et Windows XP. Voici comment créer un nouvel élément Options des
dossiers Windows XP :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et
Panneau de configuration.
4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Options
des dossiers (Windows XP).
5. Dans la boîte de dialogue Propriétés de Nouveau Options des dossiers (Windows XP),
illustrée par la figure 13-7, sélectionnez les options des dossiers que doit construire la
Stratégie de groupe.
Chapitre 13 Stratégie de groupe 309

Figure 13-7 Sélection des options d’un nouveau dossier

6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Configurer un élément Options des dossiers Windows Vista


Les options des dossiers Windows Vista s’appliquent uniquement aux ordinateurs Windows
Server 2008 et Windows Vista. Voici comment créer un nouvel élément Options de dossier
Windows Vista :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et
Panneau de configuration.
4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Options
des dossiers (Windows Vista).
5. Dans la boîte de dialogue Propriétés de Nouveau Options des dossiers (Windows
Vista), sélectionnez les options des dossiers que doit construire la Stratégie de groupe.
6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
310 Partie II Installation et configuration

Configurer un élément Ouvrir avec


La préférence Ouvrir avec est une association de fichier configurée. Voici comment créer un
élément de préférence Ouvrir avec :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et
Panneau de configuration.
4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Ouvrir
avec.
5. Dans la boîte de dialogue Propriétés de Nouveau Ouvrir avec, sélectionnez une action
dans la liste déroulante :
■ Créer Crée une nouvelle association Ouvrir avec. Si l’extension de fichier de
l’élément Ouvrir avec existe déjà dans le profil utilisateur, la nouvelle association
n’est pas créée.
■ Remplacer Supprime et recrée une association Ouvrir avec. L’action Remplacer
écrase tous les paramètres existants de l’association Ouvrir avec. Si l’association
n’existe pas, Remplacer en crée une nouvelle.
■ Mettre à jour Modifie une association Ouvrir avec existante. Seuls les
paramètres définis dans l’élément de préférence sont actualisés. Si l’association
n’existe pas, Mettre à jour en crée une nouvelle.
■ Supprimer Supprime une association Ouvrir avec existante.

6. Saisissez les paramètres de l’association Ouvrir avec. Le tableau 13-12 décrit les
paramètres disponibles.
7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-12 Paramètres de Ouvrir avec

Paramètre Action Description


Extension de Toutes Saisissez l’extension de fichier (sans point) à associer à
fichier l’application spécifiée. Appuyez sur F3 pour afficher la
liste des variables acceptées dans ce champ.
Programme Créer, Remplacer Saisissez le nom de l’application, y compris son chemin
associé ou Mettre à jour d’accès, à associer à l’extension de fichier.
Par défaut Créer, Remplacer Cochez cette option pour faire de l’association entre
ou Mettre à jour l’extension et l’application le paramètre par défaut.
Chapitre 13 Stratégie de groupe 311

Configurer un élément Type de fichier


L’élément de préférence Type de fichier permet de gérer et de créer des extensions de fichiers
associées à des types de fichiers particuliers. Voici comment créer un élément de préférence
Type de fichier :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur, Préférences et
Panneau de configuration.
4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Type de
fichier.
5. Dans la boîte de dialogue Propriétés de Nouveau Type de fichier, sélectionnez une
action dans la liste déroulante :
■ Créer Crée une nouvelle association de type de fichier.

■ Remplacer Supprime et recrée une association de type de fichier. L’action


Remplacer écrase tous les paramètres existants de l’association de type de fichier.
Si n’en existe aucune, Remplace en crée une nouvelle.
■ Mettre à jour Modifie une association de type de fichier existante. Mettre à jour
actualise uniquement les paramètres définis dans l’élément de préférence. Si
l’association n’existe pas, Mettre à jour en crée une nouvelle.
■ Supprimer Supprime l’association de type de fichier spécifiée.

6. Saisissez les paramètres du type de fichier, décrits dans le tableau 13-13.


7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-13 Paramètres de l’association Type de fichier

Paramètre Action Description


Extension du Toutes Saisissez l’extension à associer à l’application.
fichier
Classe associée Créer, Dans la liste déroulante, sélectionnez la classe
Remplacer ou enregistrée à associée au type de fichier. Appuyez sur
Mettre à jour F3 pour afficher la liste des variables autorisées dans ce
champ.
312 Partie II Installation et configuration

Tableau 13-13 Paramètres de l’association Type de fichier

Paramètre Action Description


Configurer les Créer, Sélectionnez pour configurer les paramètres de classes
paramètres de Remplacer ou avancés.
classe Mettre à jour Chemin d’accès aux fichiers d’icônes : pour associer
une icône particulière au type de fichier, cliquez sur le
bouton Parcourir et localisez l’emplacement de l’icône.
Le champ Index de l’icône sera automatiquement
complété.
Actions : cliquez sur Nouveau pour associer des
applications à ce type de fichier.

Paramètres Internet
La préférence Paramètres Internet propose plusieurs manières de configurer les paramètres
Internet, parmi lesquelles :
■ Définir une configuration initiale en permettant aux utilisateurs d’effectuer des
modifications ;
■ Configurer certains paramètres en autorisant les utilisateurs à en modifier d’autres.

Créer un élément Internet Explorer 7


L’élément Internet Explorer ne permet pas d’effectuer un choix d’actions, puisqu’il ne peut
pas être créé, supprimé ou remplacé, mais uniquement actualisé.
Voici comment créer un nouvel élément de préférence Internet Explorer 7 :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et
Panneau de configuration.
4. Cliquez droit sur Paramètres Internet, pointez sur Nouveau et choisissez Internet
Explorer 7.
5. Dans la boîte de dialogue Propriétés de Nouveau Internet Explorer 7, illustrée par la
figure 13-8, saisissez les options que doit configurer la Stratégie de groupe.
Chapitre 13 Stratégie de groupe 313

Figure 13-8 Configuration des options pour Internet Explorer 7

6. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres
ne sont pas configurables par le biais d’un élément de préférence et ne sont pas
disponibles (pour de plus amples informations sur l’onglet Commun, reportez-vous à
la section « Configurer les options communes », précédemment dans ce chapitre).
7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Créer un élément Internet Explorer 5 ou 6


L’élément Internet Explorer ne permet pas d’effectuer un choix d’actions, puisqu’il ne peut
pas être créé, supprimé ou remplacé, mais uniquement actualisé.
Voici comment créer un nouvel élément de préférence Internet Explorer 5 ou 6 :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et
Panneau de configuration.
4. Cliquez droit sur Paramètres Internet, pointez sur Nouveau et choisissez Internet
Explorer 5 et 6.
5. Dans la boîte de dialogue Propriétés de Nouveau Internet Explorer 5 et 6, illustrée par
la figure 13-9, saisissez les options que doit configurer la Stratégie de groupe.
314 Partie II Installation et configuration

Figure 13-9 Configuration des options pour Internet Explorer 5 et 6

6. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres
ne sont pas configurables par le biais d’un élément de préférence et ne sont pas
disponibles (pour de plus amples informations sur l’onglet Commun, reportez-vous à
la section « Configurer les options communes », précédemment dans ce chapitre).
7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Utilisateurs et groupes locaux


L’élément Groupe local centralise la création et la gestion des groupes locaux, ainsi que la
modification des appartenances de groupes. L’élément Utilisateur local permet de créer et de
gérer les utilisateurs locaux et de modifier les mots de passe de l’utilisateur local.

Créer un élément Utilisateur local


Voici comment créer un nouvel élément de préférence Utilisateur local :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres du Panneau de configuration.
4. Cliquez droit sur Utilisateurs et groupes locaux, pointez sur Nouveau et choisissez
Utilisateur local.
Chapitre 13 Stratégie de groupe 315

5. Dans la boîte de dialogue Propriétés de Nouveau Utilisateur local, sélectionnez une


action dans la liste déroulante :
■ Créer Crée un nouvel utilisateur local sur l’ordinateur local.

■ Remplacer Supprime et recrée un utilisateur local portant le même nom sur


l’ordinateur local. Remplacer écrase tous les paramètres de l’utilisateur existant.
Si l’utilisateur local n’existe pas, Remplacer en crée un nouveau. L’action
Remplacer affecte un nouveau SID à l’utilisateur, ce qui peut modifier l’accès de
l’utilisateur aux ressources.
■ Mettre à jour Renomme un utilisateur ou modifie ses paramètres. Seuls les
paramètres définis dans l’élément de préférence sont affectés. Si l’utilisateur local
n’existe pas, Mettre à jour en crée un nouveau. L’action Mettre à jour ne modifie
pas le SID de l’utilisateur.
■ Supprimer Supprime un utilisateur local.

6. Saisissez les paramètres de l’élément Utilisateur local, décrits dans le tableau 13-14.
7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-14 Paramètres de Utilisateur local

Paramètre Action Description


Nom d’utilisateur Toutes Saisissez le nom de l’utilisateur ciblé. Si
l’utilisateur n’existe pas, un nouvel
utilisateur sera créé. Si l’utilisateur existe,
il sera la cible de l’action sélectionnée.
Renommer en Mettre à jour Saisissez le nouveau nom de l’utilisateur
local.
Nom complet Créer, Saisissez le nom complet de l’utilisateur
Remplacer ou local. Appuyez sur F3 pour afficher la liste
Mettre à jour des variables autorisées dans ce champ.
Description Créer, Saisissez une description de l’utilisateur
Remplacer ou local. Appuyez sur F3 pour afficher la liste
Mettre à jour des variables autorisées dans ce champ.
Mot de passe et Confirmer le Créer, Tapez le mot de passe. Ce dernier est
mot de passe Remplacer ou crypté lors de l’enregistrement de
Mettre à jour l’élément de préférence. Il est décrypté
par l’extension Utilisateur local côté
client.
316 Partie II Installation et configuration

Tableau 13-14 Paramètres de Utilisateur local

Paramètre Action Description


L’utilisateur doit changer le mot Créer, Cochez l’option de gestion du mot de
de passe à la prochaine Remplacer ou passe.
ouverture de sessions, Mettre à jour
L’utilisateur ne peut pas changer
de mot de passe, Le mot de
passe n’expire jamais
Le compte est désactivé Créer, Cochez cette casse si le compte
Remplacer ou utilisateur doit être désactivé.
Mettre à jour
Le compte n’expire jamais Créer, Utilisez ce paramètre si vous ne voulez
Remplacer ou pas que le compte expire. Si la durée de
Mettre à jour vie d’un compte est définie, supprimez la
coche et choisissez une date d’expiration
dans la liste Le compte expire le.

Créer un élément Groupe local


Voici comment créer un nouvel élément de préférence Groupe local :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres du Panneau de configuration.
4. Cliquez droit sur Utilisateurs et groupes locaux, pointez sur Nouveau et choisissez
Groupe local.
5. Dans la boîte de dialogue Propriétés de Nouveau Groupe local, sélectionnez une action
dans la liste déroulante :
■ Créer Crée un nouveau groupe local sur l’ordinateur local.

■ Remplacer Supprime et recrée un groupe local portant le même nom sur


l’ordinateur local. Remplacer écrase tous les paramètres du groupe existant. Si le
groupe local n’existe pas, Remplacer en crée un nouveau. L’action Remplacer
affecte un nouveau SID au groupe, ce qui peut modifier l’accès du groupe aux
ressources.
■ Mettre à jour Renomme un groupe ou modifie ses paramètres. Seuls les
paramètres définis dans l’élément de préférence sont affectés. Si le groupe local
n’existe pas, Mettre à jour en crée un nouveau. L’action Mettre à jour ne modifie
pas le SID du groupe.
■ Supprimer Supprime un groupe local.

6. Saisissez les paramètres de l’élément Groupe local, décrits dans le tableau 13-15.
Chapitre 13 Stratégie de groupe 317

7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus
amples informations, reportez-vous à la section « Configurer les options communes »,
précédemment dans ce chapitre).
8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.
Tableau 13-15 Paramètres de Groupe local

Paramètre Action Description


Nom du groupe Toutes Saisissez le nom du groupe ciblé. Si le groupe n’existe
pas, Remplacer en crée un nouveau.
Renommer en Mettre à jour Saisissez le nouveau nom du groupe local.
Description Créer, Remplacer Saisissez une description du groupe local. Appuyez sur
ou Mettre à jour F3 pour afficher la liste des variables autorisées dans
ce champ.
Ajouter Créer, Remplacer Sélectionnez cette option pour inclure l’utilisateur
l’utilisateur ou Mettre à jour ayant actuellement ouvert une session comme
actuel membre de ce groupe. Cette option est uniquement
disponible si l’élément est créé sous Configuration
utilisateur.
Supprimer Créer, Remplacer Sélectionnez cette option pour retirer l’utilisateur
l’utilisateur ou Mettre à jour ayant actuellement ouvert une session des
actuel appartenances de ce groupe. Cette option est
uniquement disponible si l’élément est créé sous
Configuration utilisateur.
Ne pas Créer, Remplacer Sélectionnez cette option pour ne pas ajouter ou
configurer ou Mettre à jour supprimer de ce groupe l’utilisateur ayant
l’utilisateur actuellement ouvert une session.
actuel
Supprimer les Créer, Remplacer Supprime tous les comptes utilisateur de ce groupe.
utilisateurs ou Mettre à jour
Supprimer les Créer, Remplacer Supprime tous les comptes de groupes du groupe
groupes ou Mettre à jour local.
Ajouter Créer, Remplacer Ajoute des utilisateurs ou des groupes aux membres
ou Mettre à jour du groupe local.
Supprimer Créer, Remplacer Sélectionnez un nom de la liste des membres et
ou Mettre à jour cliquez sur Supprimer pour supprimer ce membre de
la liste.
Modifier Créer, Remplacer Sélectionnez un nom de la liste des membres et
ou Mettre à jour cliquez sur Modifier pour modifier ce membre.

Options réseau
Cet élément régit la configuration des connexions VPN et des connexions d’accès réseau à
distance.
318 Partie II Installation et configuration

Créer un nouvel élément Connexion VPN


Voici comment configurer un élément de préférence Connexion VPN :
1. Démarrez la console Gestion des stratégies de groupe.
2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez
Modifier dans le menu contextuel.
3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou
Configuration utilisateur, Préférences et Paramètres du Panneau de config