Une nouveauté de plus dans cette Release 2 de Windows Server 2003, après le nouveau

système DFS et la console "Print Management" c'est au tour d'une nouvelle console nommée :
"File Server Ressource Manager" d'avoir les honneurs d'un article complet.

Son but est de permettre aux administrateurs systèmes de savoir comment le stockage est utilisé
sur leurs serveurs, de gérer leurs emplacements de stockage en créant des rapports, d'appliquer
des quotas sur les volumes et des dossiers et enfin de faire de la restriction de fichiers en fonction
de son extension.

Voici les différentes tâches que vous pouvez effectuer à l'aide de cette console :

 Création de quotas pour limiter l'espace utilisé sur un volume ou un dossier et générer une
notification quand la limite approche ou est dépassée.
 Générer et appliquer automatiquement des quotas à tous les dossiers existants et à tous les
nouveaux sous dossiers sur un volume
 Créer des listes d'extensions pour contrôler le type de fichiers qu'un utilisateur peut
sauvegarder et envoyer une notification si quelqu'un essaie de passer outre
 Définir des modèles (templates) de quotas ou de listes d'extensions qui pourront être
facilement applicables à des nouveaux volumes ou dossiers
 Planifier des rapports périodiques sur l'utilisation des emplacements de stockage

Cet article a été réalisé avec une version finale de Windows Server 2003 R2 en anglais. Pour
éviter tout problème de traduction nous allons garder les termes en anglais et ne pas essayer de
les traduire.

1. Présentation de la console : "File Server Ressource Manager"

1.1 Installation de la console

Par défaut cette console n'est pas installée sur votre serveur. Il suffit d'aller dans le panneau de
configuration puis dans ajout et suppression de programmes, cliquez sur les composants
Windows supplémentaires, dans la section "Outils et Gestion d'analyse" puis cochez la case
"File Server Ressource Manager".

Pour installer cette console, vous devez posséder des droits administratifs sur la machine. A la
fin de l'installation, vous devrez redémarrer votre ordinateur.
Vous pouvez également, installer cette console sur un autre système (notamment un poste client
sous Windows XP Pro SP2, attention il doit avoir la même langue que la console, ici seulement
en anglais) afin d'effectuer de l'administration à distance. Ceci permet d'éviter d'ouvrir de
sessions sur votre serveur et donc d'utiliser des ressources pour rien. Pour cela, il vous suffit de
télécharger fsrmgmt et de suivre la procédure d'installation classique.

1.2 Présentation de la console

La console "File Server Ressource Manager", que l'on surnommera FSRM, est tout
simplement un composant logiciel enfichable d'une MMC (Microsoft Management Console). La
grande nouveauté également est la version 3 de MMC qui est mis en place sous Windows Server
2003 R2. Cette version se différencie de la 2.0 en se divisant en 3 panneaux. Une arborescence à
gauche, un panneau de détails au centre, et une liste de tâches possibles dans un troisième
panneau à droite.

Deux possibilités pour lancer la console, soit en passant directement dans le menu Démarrer,
tous les programmes, Outils d'administration puis en cliquant sur File Server Ressource
Manager, soit en ouvrant une console MMC vierge et en ajoutant le composant logiciel
enfichable dédié.

La console
contient trois
nœuds principaux
dans
l'arborescence :

 Quota
Managem
ent pour
gérer
l'intégralit
é des
quotas.
Création,
maintenan
ce,
informatio
ns et
suppressio
n de
quotas.
C'est ici
que vous
pouvez
définir
une
notificatio
n via
email,
ajouter un
événemen
t, exécuter
une
command
e et un
script ou
 générer un
rapport si
un
utilisateur
approche
ou
dépasse sa
limite.
 File
Screening
Managem
ent afin
de bloquer
certain
type de
fichiers en
fonction
de leurs
extensions
. Vous
pouvez
définir des
exceptions
, des
modèles
ainsi que
regrouper
plusieurs
type de
fichier
afin de
créer des
catégories.
 Storage
Reports
Managem
ent pour
planifier
des
rapports
de gestion
du
stockage
ainsi que
lancer des
rapport
manuelle
ment.

Bien évidemment ici, nous travaillons avec un seul serveur faisant office de serveur de fichiers
sur lequel nous avons installé la console, donc nous travaillons en local ! Il est possible
d'administrer à distance un serveur avec cette même console. Pour contrôler à distance vous
devez posséder un compte de domaine ayant des privilèges administratifs sur l'ordinateur distant.
Il suffit de faire un clique droit sur "File Server Ressource Manager (Local)" puis de sélectionner
: , entrez le FQDN ou l'adresse IP du serveur de fichiers distant que
vous souhaitez contrôler.

1.3 Utilisation des lignes de commande pour FSRM

Si le monde graphique vous horripile, il est possible de travailler en ligne de commandes.

Windows Server 2003 R2 met à votre disposition trois commandes, une pour chaque nœud
principal. Celles-ci sont automatiquement rajoutées sur votre serveur lors de l'installation de la
console.

 Dirquota.exe : correspond au premier nœud et permet donc de gérer l'intégralité des quotas.
Voici sa syntaxe :
 FileScrn.exe : correspond au deuxième nœud et permet de gérer le filtrage des fichiers en
fonction de leurs extensions. Voici sa syntaxe :

 Storept.exe : correspond au troisième nœud et sert à panifier vos rapports. Il peut être couplé
avec la commande Schtasks.exe. Voici sa syntaxe :

Bien évidemment, l'article se base sur l'utilisation de la console MMC et non sur l'utilisation des
lignes de commande, mais pour ceux qui souhaitent les utiliser, il suffit de taper le nom de la
commande suivi du commutateur ? (exemple : Dirquota.exe /?) pour avoir le détail de la
commande.

1.4 Configuration de la
notification par email

Lors de la mise en place de

quotas, vous avez la
possibilité d'activer l'option
de notification par email
quand un utilisateur
approche ou dépasse son
quotas, ou qu'il essaie de
sauvegarder des fichiers
interdits. Pour avertir les
administrateurs des
différentes événements
vous devez configurer les
options d'envoie d'emails.
Pour mettre en place la
notification vous devez
disposer d'un serveur
SMTP (celui fourni par IIS
convient parfaitement).

Ensuite dans la console de

gestion, clique droit sur File Server Ressource Manager puis Configure Options...

Dans l'onglet Email Notifications, remplissez les champs suivants :

 SMTP Server : rentrez l'adresse IP ou le FQDN du serveur SMTP de votre réseau qui
sera charger de l'envoie des emails
 Default administrator recipients : entrez l'adresse email de l'administrateur. Vous pouvez
mettre ici plusieurs adresses en les séparant par un "point virgule".
 Default "From" e-mail address : Il s'agît de l'adresse email de l'expéditeur. Une adresse
est générée automatique du type FSRM@nom de l'ordinateur.
Pour valider vos informations, cliquez sur le bouton "Send Test E-mail". Un message de
confirmation apparaît si l'email est parti correctement, il ne vous reste plus qu'a regarder votre
boîte aux lettres.

3. Mise en place des groupes de fichiers et de la restriction

3.1 Présentation et création de groupes de fichiers

Passons maintenant à la deuxième partie de cette nouvelle console : File Screening

Managementt !

Avant de commencer à parler de restriction de fichiers à

proprement parlé sur les quotas, il est important de comprendre la
notion de groupe de fichiers. Un groupe de fichiers consistent
simplement en un ensemble d'extensions de fichiers, qui sont regroupés en un package afin de
définir soit des règles d'inclusion soit d'exclusion.

Les fichiers inclus représentent, comme son nom l'indique, l'ensemble des types de fichiers pris
en compte dans le groupe. Par contre les fichiers exclus ne sont pas, comme on pourrait le
penser, tous les autres types de fichiers mais plutôt des exceptions !

Prenons un exemple concret : vous souhaitez interdire à vos utilisateurs de déposer de la musique
sur vos partage où des quotas sont appliqués !

Rien de plus de simple que de créer un groupe de fichier prenant en compte les formats audio,
donc vous créez un groupe avec comme fichier inclus : *.mp* afin d'englober les fichiers MP2,
MP3 etc etc. Le problème c'est que vos utilisateurs utilisent également Microsoft Project qui
génère des fichiers du type *.mpp, du coup il leur sera impossible de les sauvegarder sur leur
partage. Pour éviter ce genre de désagrément, il vous suffit d'exclure du groupe les fichiers
*.mpp, ce qui
résoudra tous
vos problèmes,
sans baisser
votre niveau
de sécurité.

Bien
évidemment la
console
FSRM, vous
propose par
défaut un
certain nombre
de groupes de fichiers, mais vous pouvez tout à fait en ajouter ou alors modifier ceux existant en
changeant les fichiers inclus ou exclus. Voici la liste des groupes présent lors de l'installation de
la console. Le nom de ces groupes étant assez explicites, nous n'allons pas les décrire. On
remarquera quand même qu'il n'y a aucun fichier exclus configurés pour ces groupes (donc c'est
à vous de les modifier si besoin est).

Voici la procédure à suivre pour créer un nouveau groupe de fichiers :

Faîtes un clique droit sur le nœud "File Groups" puis sélectionnez "Create File Group...". Une
nouvelle fenêtre s'ouvre alors. Commencez par donner un nom explicite à votre groupe afin de
vous y retrouver plus facilement par la suite. Ensuite ajoutez les fichiers à inclure en remplissant
le champ "Files to include" et également les fichiers à exclure en complétant le champ "File to
exclude". Puis cliquez sur le bouton "OK" pour valider. Votre groupe de fichiers se rajoute donc
à la liste dans le panneau de détails, si ce n'est pas le cas, utilisez la fonction de "Refresh".

Pour supprimer, un groupe de fichiers, il vous suffit de le sélectionner et dans le menu contextuel
de cliquer sur "Delete File Groups".

3.2 Mise en place d'une restriction

Voyons maintenant comment mettre en place une restriction se basant sur les groupes de fichiers
vus précédemment. Au même titre que les quotas, il existe des modèles de restriction appelés
"File Screen Templates", 5 au total. Le principe de ces modèles est exactement le même que
pour les quotas, vous pouvez ainsi créer des restrictions à partir d'un modèle afin de gagner du
temps, et le jour où vous modifiez le modèle, toutes les restrictions créées à partir de celui-ci
seront mises à jour.

Pour créer une nouvelle restriction, faîtes un clique droit sur "File Screens" puis sélectionnez
"Create File Screen..." (ou utilisez le troisième volet de la console, tant qu'à faire...). Dans la
nouvelle fenêtre, rentrez un chemin sur lequel la restriction va s'appliquer (par exemple
D:\Ventes\Docs). Vous ne pouvez mettre qu'un seul chemin par restriction. Ensuite, choisissez
l'un des 5 modèles disponibles par défaut dans la liste déroulante en laissant cochée la case :
"Dervive properties from ths file screen template" ou alors sélectionnez l'option : "Define
custom file screen properties" afin de définir votre restriction et cliquez sur le bouton "Custom
Propertiers"(c'est ce que nous allons choisir pour notre exemple).

Vous pouvez partir d'un modèle en le copiant puis en modifiant juste la partie qui vous intéresse
ou alors partir de zéro. La deuxième chose à faire est de choisir le type de restriction : Actif ou
passif ! Le type actif vous permet donc d'empêcher les utilisateurs de mettre sur le partage les
types de fichier définis dans le ou les groupes joint à la restriction. Par contre ce n'empêche pas
les utilisateurs d'accéder à des fichiers interdits qui étaient présent avant le déploiement de la
restriction. Le type passif n'interdit pas aux utilisateurs de mettre les fichiers concernés mais
active quand même les fonctionnalités de notification définies dans les propriétés (envoie d'email
à l'utilisateur et/ou administrateur, enregistrement d'événements, exécution de commandes,
génération de rapport). Nous ne reviendrons pas sur la partie notification étant donné que celle-ci
a été suffisamment développé dans le chapitre précédent et que c'est sensiblement la même
chose.
La dernière partie consiste simplement à ajouter nos groupes de fichiers en cochant la case
correspondante. Une fois, toutes vos configurations effectuées, cliquez sur le bouton "Create"
une fenêtre s'ouvre alors vous demandant si vous souhaitez enregistrer la nouvelle restriction
comme un modèle ou non ? Sélectionnez l'option de votre choix.

Notre restriction apparaît donc le volet de détail :

il s'agît ici d'une restriction de
type active qui s'applique sur le dossier C:\Restriction et qui bloque les fichiers Audio, Vidéo et
Images, elle immédiatement "active" sur notre dossier.

Si nous essayons maintenant de copier un fichier musical (musique.mp3) dans notre répertoire,
nous recevons immédiatement le message suivant : "Cannot move Musique : Acces is denied".
Preuve que notre restriction fonctionne à
merveille.

Vous me direz, "Ba il suffit de changer

l'extension, pour passer outre ?" et je vous
répondrez alors en toute sérénité "Ba oui !".

Alors pourquoi mettre en place ce type de

restriction ? Il s'agît tout simplement d'une mesure
simple et rapide pour éviter que vos partages ou
dossiers de profils ne soient rapidement submerger par des fichiers qui n'ont pas leur place sur
vos serveurs. Alors bien évidemment cette méthode à ses limites et n'est infaillible. Cependant
pour compliquer la tâche de vos utilisateurs dans le domaine, vous pouvez masquer les
extensions des fichiers connus (dans les options de dossiers de l'explorateur Windows) via GPO,
il faudra alors passer par l'invite de commandes MS-DOS (blocable aussi via GPO) donc au final
la tâche devient un petit plus ardue pour de simples utilisateurs mais toujours contournable :).

3.3 Configuration d'une exception à votre restriction

Maintenant que vous avez mis en place votre restriction sur le dossier de partage des vos
utilisateurs, il se peut que vous souhaitiez faire une exception pour un groupe de personnes en
particulier. Par exemple vous ne souhaitez pas que les utilisateurs puissent mettre de la musique
sur le partage sauf les membres de l'équipe audio auxquels vous voulez leur configurer une
exception. Pour cela, il va falloir leur créer un dossier enfant à la racine de votre partage. En effet
il est impossible de définir sur un même dossier une restriction et une exception (ce qui est est un
peu logique).

Pour continuer dans notre exemple, nous allons créer un répertoire nommé "Admin" dans
l'arborescence C:\Restriction. Par défaut, la restriction mise en place, dans la partie précédente,
s'applique bien à tous les sous-dossiers. C'est à dire qu'il est impossible à l'heure actuelle de
mettre des fichiers de type .mp3 dans le répertoire C:\Restiction\Admin.

Nous allons donc mettre en place une exception sur ce dossier. Dans la console FSRM, clique
droit sur "File Screens" puis sur . La première chose à faire est de
rentrer le "Exception Path" et ensuite sélectionnez le ou les groupes de fichiers qui devront être
appliqués dans cette exception (pour notre exemple nous prendrons .mp3).

Dans le panneau de détail nous retrouvons nos deux paramètres :

Maintenant nous pouvons copier des fichiers .mp3 dans le répertoire Admin. Ensuite il suffit de
jouer avec les autorisations NTFS pour limiter l'accès aux différents sous dossiers en fonction
des exceptions.

Nous allons maintenant passer à la dernière partie de cette article traitant de la génération de
rapports de stockage. Le but étant de faire de l'audit et d'être toujours au courant de l'évolution de
nos quotas et restrictions.

4. Génération de rapports de stockage

Le dernier nœud de la console FSRM va nous permettre de générer des
rapports afin de nous aider à surveiller l'activité de nos serveurs de fichiers. En effet, il est possible
d'utiliser les rapports de stockage pour surveiller l'utilisation de l'espace disque (soit par type de fichier
soit par utilisateur), d'identifier les fichiers en double ou encore les fichiers inactifs (ceux jamais
modifié), mais aussi de surveiller l'utilisation des quotas et d'auditer les restrictions de fichiers.

Voyons maintenant les différents type de rapports de stockage que vous allez pouvoir générer
(afin d'éviter tous problèmes de traduction, nous allons laisser la version anglaise) :

Type de rapport Description

Permet de lister les fichiers supérieurs à une taille spécifiée. Ceci permet de
voir rapidement quels sont les fichiers qui occupent le plus de place sur un
Large Files serveur. En effet si vos utilisateurs ne travaillent qu'avec des fichiers Word ou
Excel, il est peut probable de trouver des fichiers de plus de 650Mo (ce qui
laisserait imaginé des DIVX par exemple).

Permet de lister les fichiers regroupés par propriétaire. Ceci permet

Files by Owner
d'identifier les personnes utilisant le plus d'espace disque sur le serveur.

Permet de lister les fichiers regroupés par les groupes configurés. Ceci permet
Files by File Group de voir quels sont les types de fichiers les plus présents sur le serveur et
pourquoi de créer des restrictions en conséquence.

Permet d'identifier les fichiers en double (fichiers ayant la même taille et la

Duplicate Files même dernière date de modification). Ceci permet de voir quels sont les
fichiers en double sur le serveur qui occupent de la place inutilement
 Permet de lister l'ensemble des fichiers n'ayant subit aucun accès depuis un
Least Recently Used Files nombre de jours spécifiés. Ceci permet de vous rendre compte des fichiers
qui pourrait être archivés et donc supprimer du serveur.

C'est l'inverse du type précédent. C'est à dire qu'il permet de lister les fichiers
les plus sollicités depuis un certain de nombre de jours spécifié. Avec ce
Most Recently Used Files
rapport, vous pourrez ainsi voir les fichiers les plus importants à sauvegarder
par exemple ou encore ceux qui nécessitent une haute disponibilité.

Permet de lister les quotas dont leur utilisation est supérieur à un

pourcentage spécifié. Les rapports inclus tous les quotas créés sur des
Quota Usage
volumes ou des dossiers à partir de la console FSRM mais pas ceux créés
directement avec le système NTFS.

Permet de lister toutes les violations de restriction de fichiers qui sont arrivés
File Screening Audit
sur un serveur, pour un nombre de jours spécifié.

Maintenant que vous connaissez tous les types de rapports possibles, vous pouvez créer une
tâche de rapport pour planifier des rapports périodiques ou tout simplement en créer à la
demande.

Nous n'allons pas vous montrer comment créer tous ces rapports puisque à part quelques
renseignement à fournir selon le type, la procédure est la même.
Faîte un clique droit sur "Storage Reports Management" et sélectionnez : .

 Sélectionnez le volume ou le dossier sur lequel vous allez effectuer votre rapport
 Cochez les types de rapports que vous voulez générer. Si certains sont complexes, cliquez sur
le bouton "Edit Parameters..." pour remplir les données (Type de fichiers, nombre de jours,
pourcentage, taille de fichier).
 Choisissez un ou plusieurs format pour le rapport parmi les suivants : DHTML, HTML, XML,
CSV, Text.
 Dans le deuxième onglet "Delivery", vous pouvez choisir d'envoyer le rapport par email aux
administrateurs (très pratique).
Quand vous appuyez sur OK, une nouvelle fenêtre apparaît alors vous demandant si vous
souhaitez attendre que le rapport soit générer puis de l'afficher ou alors de générer juste le
rapport en arrière plan sans l'afficher.

Par défaut, les rapports (au format DHTML), sont enregistrés dans
%Systemroot%\StorageReports mais il est possible de modifier son emplacement dans les
options de FSRM dans l'onglet Report Locations. Il suffit de se rendre dans ce dossier pour
visualiser les rapports ou alors de regarder ses mails si l'option est activé (attention il se peut que
les mails arrivent dans votre dossier "Courriers indésirables").

Une autre possibilité est de planifier la génération du rapport plutôt que de la lancer
manuellement. Il suffit de choisir dans le menu contextuel : "Schedule a New Report Task...".
Le principe est exactement le même, vous disposez simplement d'un troisième onglet "Schedule"
afin choisir la période de création de ces rapports (heure, date, périodicité). Une fois tous vos
rapports planifiés, ils apparaissent tous dans le panneau de détail, vous pouvez alors les modifier,
les surveiller et les supprimer.

Conclusion
Windows Server 2003 R2 nous présente donc
une nouvelle console très pratique qui fera
rapidement l'unanimité chez tous les
administrateurs. Un peu comme avec la console
"Print Management" on a du mal à
comprendre pourquoi il a fallu attendre une
deuxième version de Windows Server 2003
pour voir ces fonctionnalités implémentées
seulement maintenant.

Cette console (comme toutes celles rajoutées avec R2), va réellement simplifier la vie des
administrateurs. La simplification et la centralisation de la mise en œuvre des quotas va
permettre son déploiement à plus grande échelle. Les modèles de quotas feront gagner un temps
précieux. Même si la restriction de fichier à ses faiblesses (elle est contournable), elle permet
cependant d'avoir un minimum de sécurité et surtout de contrôle des fichiers présents sur vos
serveurs et ainsi éviter qu'ils deviennent une source de partage de films ou de musiques.

Enfin, la génération de rapports complets (planifier ou à la demande), avec la possibilité d'envoie

par email, et les différents formats proposés, vous permettront d'être toujours attentif à ce qu'il se
passe sur votre réseau et pouvoir agir rapidement en cas d'alerte !

Pour ceux qui découvre ce "nouveau" Windows, posez vos question sur notre forum dédié.

N'hésitez plus maintenant à télécharger et à tester la console : File Server Ressource Manager.