Windows Server 2003 Et Windows Server 2008 - Tome 1

Copyright © 2007 Micro Application
20-22, rue des Petits-Hôtels

75010 Paris
1ère Édition - Novembre 2007
Auteurs Jean-Georges SAURY et Sylvain CAICOYA
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de

MICRO APPLICATION est illicite (article L122-4 du code de la propriété intellectuelle).
Cette représentation ou reproduction illicite, par quelque procédé que ce soit, constituerait
une contrefaçon sanctionnée par les articles L335-2 et suivants du code de la propriété
intellectuelle.
Le code de la propriété intellectuelle n’autorise aux termes de l’article L122-5 que les repro-
ductions strictement destinées à l’usage privé et non destinées à l’utilisation collective d’une
part, et d’autre part, que les analyses et courtes citations dans un but d’exemple et
d’illustration.
Avertissement Les informations contenues dans cet ouvrage sont données à titre indicatif et n’ont aucun
aux utilisateurs caractère exhaustif voire certain. A titre d’exemple non limitatif, cet ouvrage peut vous pro-
poser une ou plusieurs adresses de sites Web qui ne seront plus d’actualité ou dont le
contenu aura changé au moment où vous en prendrez connaissance.
Aussi, ces informations ne sauraient engager la responsabilité de l’Editeur. La société MI-
CRO APPLICATION ne pourra être tenue responsable de toute omission, erreur ou lacune
qui aurait pu se glisser dans ce produit ainsi que des conséquences, quelles qu’elles soient,
qui résulteraient des informations et indications fournies ainsi que de leur utilisation.
ISBN : 978-2-7429-8448-0
Tous les produits cités dans cet ouvrage sont protégés, et les marques déposées par leurs
titulaires de droits respectifs.
Cet ouvrage n’est ni édité, ni produit par le(s) propriétaire(s) de(s) programme(s) sur
le(s)quel(s) il porte.
Couverture réalisée par Com’Back
MICRO APPLICATION Support technique

20-22, rue des Petits-Hôtels disponible sur
75010 PARIS www.microapp.com
Tél. : 01 53 34 20 20 - Fax : 01 53 34 20 00
http://www.microapp.com
Mister O’net, l’homme à la référence, vous montre le chemin !

Rendez-vous sur le site Internet de Micro Application
www.microapp.com. Dans le module de recherche, sur la page
9448
d’accueil du site, retrouvez Mister O’net. Dans la zone de saisie,
entrez la référence à 4 chiffres qu’il vous indique sur le présent livre.
Vous accédez directement à la fiche produit de ce livre.
Avant-propos
La collection Bible Micro Application a été conçue pour permettre aux utilisateurs avancés
à experts d’approfondir leurs connaissances d’un thème précis. Exhaustifs, ces ouvrages
permettent d’acquérir une connaissance intégrale du sujet étudié, à la fois en théorie et en
pratique.
Conventions typographiques
Afin de faciliter la compréhension des techniques décrites, nous avons adopté les
conventions typographiques suivantes :
j gras : menu, commande, boîte de dialogue, bouton, onglet.
j italique : zone de texte, liste déroulante, case à cocher, bouton radio.
j Police bâton : instruction, listing, texte à saisir.
✂ : indique un retour à la ligne dû aux contraintes de la mise en page.
Au cours de votre lecture, vous rencontrerez les encadrés suivants :
Propose des trucs pratiques.
Met l’accent sur un point important qu’il ne faut négliger à aucun prix.
Vous recommande une technique ou une marche à suivre.
Vous indique le nom et l’emplacement des fichiers à télécharger.
Renvoi à un site où vous trouverez des infos complémentaires ou des outils à

télécharger.
Il s’agit d’informations supplémentaires relatives au sujet traité.
Fait référence à un chapitre où vous trouverez des informations complémentaires.

Contenu en un clin d’œil
Partie A Installation, déploiement et généralités 27

Chapitre 1 Étude de cas 29
Chapitre 2 État des lieux de Windows Server en entreprise 55
Chapitre 3 Windows Server 2003 Service Pack 2 et R2 87
Chapitre 4 L’installation et le déploiement de Windows Server 2003 105
Chapitre 5 L’installation de Windows Vista 135
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise –
phase 1 185
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise –
phase 2 247
Chapitre 8 Les services de déploiement Windows 301
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure 351
Chapitre 10 Windows PowerShell 399
Chapitre 11 La maintenance des serveurs 429
Chapitre 12 Windows Server 2008 477
Partie B Active Directory 509

Chapitre 13 Introduction à LDAP et Active Directory 511
Chapitre 14 La planification d’un projet Active Directory 535
Chapitre 15 La conception de l’infrastructure logique Active Directory 545
Chapitre 16 La conception de la topologie de sites 563
Chapitre 17 La conception et l’implémentation de la structure des unités
d’organisation 593
Chapitre 18 L’implémentation des serveurs d’infrastructure Active Directory 613
Chapitre 19 Les fonctions et les rôles dans Active Directory 661
Chapitre 20 La maintenance d’Active Directory 695
Chapitre 21 La sécurisation d’Active Directory 715
Chapitre 22 Active Directory Application Mode et Active Directory Federation
Services 733
Partie C Sécurité 765

Chapitre 23 Introduction à la sécurité 767
Chapitre 24 La conception de la sécurité des serveurs 789
Chapitre 25 Évaluation de la sécurité 805
Chapitre 26 La sécurisation des postes de travail 823
Partie D Annexes 859

Chapitre 27 Annexe I - Liste alphabétique des commandes 861
Chapitre 28 Annexe II - Les services et les ports réseau sous Windows Ser-
ver 2003 927
Chapitre 29 Annexe III - Glossaire 967
Sommaire
Partie A Installation, déploiement et généralités 27

Chapitre 1
Étude de cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Le contexte : présentation de la société . . . . . . . . . . . . . . . . . . . . . . . . . 31
L’activité de la société . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
La situation géographique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
L’infrastructure informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Le détail des sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Les dysfonctionnements de la situation actuelle . . . . . . . . . . . . . . . . . 37
Les enjeux de la direction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Les sociétés partenaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
La communication entre les sociétés . . . . . . . . . . . . . . . . . . . . . . . . . 41
Résumé du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Réduire les coûts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Intégrer les trois sociétés dans une nouvelle organisation . . . . . . . . . . 43
Sécuriser l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
La mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Comment réduire les coûts à plusieurs niveaux ? . . . . . . . . . . . . . . . . 45
Comment créer une organisation unique et intégrer les deux sociétés
partenaires ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Comment sécuriser l’infrastructure ? . . . . . . . . . . . . . . . . . . . . . . . . 52
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Chapitre 2
État des lieux de Windows Server en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Les différentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Standard Edition . . . . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Enterprise Edition . . . . . . . . . . . . . . . . . . . . . 58
Windows Server 2003 Datacenter Edition . . . . . . . . . . . . . . . . . . . . . 58
Windows Server 2003 Web Edition . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Sommaire
Comparaison des caractéristiques des différentes versions de Windows

Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ? . . 62
Les nouveaux outils et les anciennes tâches . . . . . . . . . . . . . . . . . . . . 62
Les dossiers et les utilitaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Le Panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ? . . . 65
Les améliorations apportées à Active Directory . . . . . . . . . . . . . . . . . . 66
Les améliorations du côté de TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . 68
Les changements mineurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Les petits plus de la version 2003 et les Feature Packs . . . . . . . . . . . . . 69
Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . 71
Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 73
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Chapitre 3
Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Les mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Scalable Networking Pack (SNP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
La bibliothèque XmlLite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Les services de déploiement Windows WDS (Windows Deployment
Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Microsoft Management Console 3.0 (MMC 3.0) . . . . . . . . . . . . . . . . . 96
Wireless Protected Access 2 (WPA2) . . . . . . . . . . . . . . . . . . . . . . . . . 96
La version améliorée de l’outil CACLS . . . . . . . . . . . . . . . . . . . . . . . . 97
Les fonctions existantes améliorées . . . . . . . . . . . . . . . . . . . . . . . . . 98
Qu’apporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . 99
Une gestion simplifiée des serveurs dans les agences et les succursales . . 99
La gestion améliorée des identités et des accès . . . . . . . . . . . . . . . . . 100
Les coûts de gestion du stockage réduits . . . . . . . . . . . . . . . . . . . . . 101
Une plateforme web enrichie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Une virtualisation de serveur à moindre coût . . . . . . . . . . . . . . . . . . 102
Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . 102
La version majeure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Sommaire
La version mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Les Service Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Chapitre 4
L’installation et le déploiement de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . 105
Considérations sur l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Les prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Vérifier la compatibilité du système . . . . . . . . . . . . . . . . . . . . . . . . 108
Nouvelle installation ou mise à niveau ? . . . . . . . . . . . . . . . . . . . . . 109
Le double amorçage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
L’installation manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
L’installation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . . . . 133
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Chapitre 5
L’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Découvrir les différentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Que faire ? Avec quelle version . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Windows Vista Starter Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Windows Vista Édition Familiale Basique . . . . . . . . . . . . . . . . . . . . . 139
Windows Vista Édition Familiale Premium . . . . . . . . . . . . . . . . . . . . 139
Windows Vista Professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Windows Vista Entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Windows Vista Édition Intégrale . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Valider la configuration matérielle minimale recommandée . . . . . . . . . . . 142
Vista Édition Familiale Basique . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Vista Édition Familiale Premium, Professionnel, Entreprise et Intégrale . 142
Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . 143
L’activation et la licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Transférer les fichiers et les paramètres via le réseau . . . . . . . . . . . . . 152
Transférer les fichiers et les paramètres à l’aide d’un support
amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Transférer les fichiers et les paramètres: à l’aide d’un CD ou d’un DVD . 165
Sommaire
Préparer la mise à jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 167

Choisir une version de mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . 167
Vérifier la compatibilité matérielle . . . . . . . . . . . . . . . . . . . . . . . . . 169
Installer le Framework .NET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Installer MSXML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Installer le Conseiller de mise à niveau Windows Vista . . . . . . . . . . . . 170
Utiliser le Conseiller de mise à niveau Windows Vista . . . . . . . . . . . . . 173
Sauvegarder les données importantes . . . . . . . . . . . . . . . . . . . . . . . 179
Mettre à jour le système d’exploitation vers Windows Vista . . . . . . . . . . . . 181
Dépanner la mise à niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . 182
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Chapitre 6
Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 . . . . . . . . . . . . 185
Le processus d’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . 187
Introduction à l’installation de Windows Vista . . . . . . . . . . . . . . . . . 187
Les méthodes d’exécution du programme d’installation Windows . . . . . 193
Les passes de configuration du programme d’installation de Windows
Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Les méthodes conseillées pour l’installation de Windows Vista . . . . . . 206
L’Assistant Gestion d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
L’architecture de l’Assistant Gestion d’installation . . . . . . . . . . . . . . . . . . 208
L’interface graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Créer un fichier de réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Le fichier autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Le fichier Corp_autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . 215
Attribuer des fichiers Unattend à des images . . . . . . . . . . . . . . . . . . . 218
Quelques points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Présentation des partages de distribution et des jeux de configuration . 221
Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Introduction à Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Implémenter Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Les options d’extinction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Le processus de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Réinitialiser l’activation de Windows Vista . . . . . . . . . . . . . . . . . . . . 227
Utiliser des fichiers de réponses en conjonction avec Sysprep . . . . . . . 229
Les fichiers journaux de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Sommaire
Les limitations de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Introduction à WIN PE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Les versions de Windows PE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Win PE 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
L’utilisation de Win PE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Les limitations de Win PE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Les outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Personnaliser un Win PE non préparé . . . . . . . . . . . . . . . . . . . . . . 241
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Chapitre 7
Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 . . . . . . . . . . . . 247
Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Présentation d’ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
L’architecture d’ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
La commande ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Capturer une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
La commande Imagex /apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Personnaliser l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Le fichier Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Le fonctionnement d’Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Implémenter Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
La maintenance de l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Ajouter une image dans une image . . . . . . . . . . . . . . . . . . . . . . . . . 284
Le Gestionnaire de packages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
La commande Pkgmgr.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Ajouter des pilotes à une image de Windows hors connexion . . . . . . . . 289
Activer ou désactiver les fonctionnalités Windows lorsque le système
d’exploitation est hors connexion . . . . . . . . . . . . . . . . . . . . . . . . . 293
Installer ou supprimer des packages hors connexion à l’aide du
Gestionnaire de package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Installer un pack de langues dans une image hors connexion . . . . . . . . 296
Les limitations du Gestionnaire de packages . . . . . . . . . . . . . . . . . . 298
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Sommaire
Chapitre 8
Les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Le fonctionnement des services de déploiement Windows . . . . . . . . . . . . . 303
Installer les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . 305
Les modes de fonctionnement des services de déploiement Windows . . . . . . 309
Le mode hérité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Le mode mixte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Le mode natif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Configurer les services de déploiement Windows . . . . . . . . . . . . . . . . . . 310
Configurer DHCP pour les services de déploiement Windows . . . . . . . . . . . 312
L’option DHCP 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Le port 67 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Les images de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Ajouter une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exporter une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . 318
Supprimer une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . 319
Les images d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Les groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Créer des groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Ajouter une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Supprimer une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . 323
Exporter une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . . 325
La stratégie de noms de clients et l’emplacement de compte . . . . . . . . . . . 326
L’administrateur spécifie le nom de l’ordinateur et l’unité d’organisation . 326
Spécifier la stratégie de noms de clients et l’unité d’organisation lors de
l’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Le serveur spécifie le nom de l’ordinateur et l’unité d’organisation . . . . 328
Définir la stratégie de noms d’ordinateurs . . . . . . . . . . . . . . . . . . . . 329
Effectuer toutes les actions d’ajout à un domaine lors du premier
démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Le programme de démarrage par défaut . . . . . . . . . . . . . . . . . . . . . . . . 332
WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Configurer l’option 60 en ligne de commandes . . . . . . . . . . . . . . . . . 335
Configurer le port 67 en ligne de commandes . . . . . . . . . . . . . . . . . . 336
Ajouter une image de démarrage en ligne de commandes . . . . . . . . . . 336
Supprimer une image de démarrage en ligne de commandes . . . . . . . . 337
Sommaire
Obtenir des informations sur le serveur de déploiement en ligne de

commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Démarrer le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . 346
Arrêter le serveur en ligne de commandes . . . . . . . . . . . . . . . . . . . . 347
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Chapitre 9
L’intégration de Windows Vista dans l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . 351
L’intégration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . 353
Changer rapidement d’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Les stratégies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . 362
Les fichiers ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Les stratégies de groupe locales multiples . . . . . . . . . . . . . . . . . . . . 379
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Gérer les réseaux filaires IEEE 802.3 . . . . . . . . . . . . . . . . . . . . . . . 383
Gérer les réseaux sans fil IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . 387
Gérer Bitlocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Chapitre 10
Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Présentation de Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . 401
Installer Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Exécuter Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Les applets de commande Windows PowerShell . . . . . . . . . . . . . . . . . . . 404
Le traitement d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Les pipelines d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
L’interaction et les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
La stratégie d’exécution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Utiliser Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
L’importance de l’aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Utiliser des applets de commande . . . . . . . . . . . . . . . . . . . . . . . . . 418
Mettre en forme la sortie des commandes . . . . . . . . . . . . . . . . . . . . 419
Utiliser des alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Naviguer dans Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Naviguer dans le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 424
Sommaire
Naviguer dans le Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Naviguer dans le magasin de certificats . . . . . . . . . . . . . . . . . . . . . . 426
PowerShell et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
Chapitre 11
La maintenance des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Préparer l’administration d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . 431
Utiliser les appartenances de groupe pour administrer un serveur . . . . 431
La commande Exécuter en tant que . . . . . . . . . . . . . . . . . . . . . . . . . 433
L’outil Gestion de l’ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Le Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . 451
Pourquoi analyser les performances ? . . . . . . . . . . . . . . . . . . . . . . 451
Établir une ligne de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Choisir entre analyse programmée et analyse en temps réel . . . . . . . . 453
Les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Les alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Les compteurs de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Chapitre 12
Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Les prérequis à l’installation de Windows Server 2008 . . . . . . . . . . . . . . . 479
Qu’est-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . 480
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Les services par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Gérer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Les tâches de configuration initiales . . . . . . . . . . . . . . . . . . . . . . . . 489
La console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . 490
Les assistants Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Les rôles et les fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Les améliorations liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Les fonctionnalités de sécurité avancée du pare-feu Windows . . . . . . . 501
La protection : NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Le chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 504
Sommaire
Enterprise PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504

La cryptographie nouvelle génération (CNG) . . . . . . . . . . . . . . . . . . 505
RODC (contrôleurs de domaine en lecture seule) . . . . . . . . . . . . . . . 505
L’isolement de serveur et de domaine . . . . . . . . . . . . . . . . . . . . . . . 506
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Partie B Active Directory 509

Chapitre 13
Introduction à LDAP et Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Généralités sur l’annuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Qu’est-ce qu’un annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Un peu d’histoire sur le protocole . . . . . . . . . . . . . . . . . . . . . . . . . 514
LDAP version 2 et version 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Le standard LDAP v3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
La conformité LDAP de Windows Server 2003 . . . . . . . . . . . . . . . . . . 519
La compatibilité LDAP et InetOrgPerson . . . . . . . . . . . . . . . . . . . . . 521
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Les avantages d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
La structure logique d’Active Directory . . . . . . . . . . . . . . . . . . . . . . 524
Le partitionnement de la base de données Active Directory . . . . . . . . . 528
La structure physique d’Active Directory . . . . . . . . . . . . . . . . . . . . . 529
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Chapitre 14
La planification d’un projet Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Le processus de conception d’Active Directory . . . . . . . . . . . . . . . . . . . . 538
Le processus de planification d’un projet Active Directory . . . . . . . . . . . . . 539
Les définitions communes dans un projet Active Directory . . . . . . . . . . . . . 541
Définition du service d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Définition du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Définition du catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Définition d’un nom unique et d’un nom unique relatif . . . . . . . . . . . . 544
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Sommaire
Chapitre 15
La conception de l’infrastructure logique Active Directory . . . . . . . . . . . . . . . . . . . . 545
Du projet d’entreprise à la conception d’Active Directory . . . . . . . . . . . . . 547
Les modèles de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Le modèle de forêt basé sur l’organisation . . . . . . . . . . . . . . . . . . . . 548
Le modèle de forêt basé sur les ressources . . . . . . . . . . . . . . . . . . . . 549
Le modèle de forêt à accès restreint . . . . . . . . . . . . . . . . . . . . . . . . 550
Principe de conception des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Les modèles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Le modèle de domaine unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Le modèle de domaine régional . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
Le modèle de domaine basé sur les entités de l’entreprise . . . . . . . . . . 554
Choisir le domaine racine de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Le domaine racine d’une forêt dans un modèle de domaine unique . . . . 556
Le domaine racine d’une forêt dans un modèle de domaine régional
ou basé sur les entités de l’entreprise . . . . . . . . . . . . . . . . . . . . . . . 557
Les avantages du domaine racine vide . . . . . . . . . . . . . . . . . . . . . . . 559
Les avantages d’un domaine régional ou d’entité en tant que racine
de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
Conception de domaine et sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 560
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Chapitre 16
La conception de la topologie de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Les mécanismes de conception : définitions . . . . . . . . . . . . . . . . . . . . . 565
Les fonctionnalités liées aux sites . . . . . . . . . . . . . . . . . . . . . . . . . 566
Les concepts de réplication d’Active Directory . . . . . . . . . . . . . . . . . . 569
Collecter les informations sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . 580
Prévoir l’emplacement des contrôleurs de domaine . . . . . . . . . . . . . . . . 581
Prévoir l’emplacement des contrôleurs de domaine racine de la forêt . . 582
Prévoir l’emplacement des contrôleurs de domaine régionaux . . . . . . . 582
Prévoir l’emplacement des serveurs de catalogue global . . . . . . . . . . . 584
Déterminer l’emplacement des rôles maîtres d’opération . . . . . . . . . . 585
Concevoir des sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
Concevoir les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Concevoir les ponts de liaison de sites . . . . . . . . . . . . . . . . . . . . . . . . . 590
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Sommaire
Chapitre 17
La conception et l’implémentation de la structure des unités d’organisation . . . . . . . . . 593
Planifier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
La collecte des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Les modèles administratifs informatiques . . . . . . . . . . . . . . . . . . . . 597
Concevoir une structure d’unités d’organisation – les modèles de structure
d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modèle basé sur l’emplacement . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modèle basé sur l’organisation . . . . . . . . . . . . . . . . . . . . . . . . . 599
Le modèle basé sur la fonction . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
Le modèle hybride basé sur l’emplacement, puis sur l’organisation . . . 600
Le modèle hybride basé sur l’organisation, puis sur l’emplacement . . . 601
Implémenter la structure d’unités d’organisation . . . . . . . . . . . . . . . . . . 601
Les outils de création . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
Le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Les outils de service d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
L’outil Ldifde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
L’outil de scripts Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Chapitre 18
L’implémentation des serveurs d’infrastructure Active Directory . . . . . . . . . . . . . . . . 613
Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Déterminer les contraintes matérielles pour les contrôleurs de domaine . 616
Les conditions requises pour l’installation d’Active Directory . . . . . . . 618
Déployer le domaine racine de la forêt puzzmania.com . . . . . . . . . . . . . . 619
Le processus d’installation d’Active Directory . . . . . . . . . . . . . . . . . . 620
Installer le premier contrôleur de domaine . . . . . . . . . . . . . . . . . . . 622
L’installation détaillée d’Active Directory . . . . . . . . . . . . . . . . . . . . . 623
Vérifier le premier contrôleur de domaine . . . . . . . . . . . . . . . . . . . . 630
Configurer le serveur de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
Vérifier la résolution de noms récursive sur le premier contrôleur
de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
Après l’installation du premier contrôleur de domaine . . . . . . . . . . . . . . . 641
Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . 642
Modifier le nom d’un contrôleur de domaine . . . . . . . . . . . . . . . . . . 645
Supprimer un contrôleur de domaine dans Active Directory . . . . . . . . 646
Sommaire
Déployer le deuxième contrôleur de domaine sur le même site . . . . . . . . . 649

Installer un contrôleur de domaine via le réseau . . . . . . . . . . . . . . . . 649
Installer un contrôleur de domaine à partir d’un fichier de réponses . . . 651
Vérifier le deuxième contrôleur de domaine . . . . . . . . . . . . . . . . . . . 651
Reconfigurer le service DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
Activer le vieillissement et le nettoyage pour le DNS . . . . . . . . . . . . . . 653
Déployer les domaines enfants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
Chapitre 19
Les fonctions et les rôles dans Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Configurer les rôles maîtres d’opération . . . . . . . . . . . . . . . . . . . . . . . . 663
Les rôles maîtres au niveau de la forêt . . . . . . . . . . . . . . . . . . . . . . 663
Les rôles maîtres au niveau du domaine . . . . . . . . . . . . . . . . . . . . . 664
Le transfert des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Configurer le catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Élever les niveaux fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
Les relations d’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Les différentes approbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Le fonctionnement des approbations . . . . . . . . . . . . . . . . . . . . . . . 688
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Chapitre 20
La maintenance d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Sauvegarder Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Restaurer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Choisir une restauration non autoritaire . . . . . . . . . . . . . . . . . . . . . 701
Choisir une restauration autoritaire . . . . . . . . . . . . . . . . . . . . . . . . 703
Défragmenter et déplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . 704
Défragmenter Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
Déplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
Prendre les rôles maîtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
Prendre le rôle maître de schéma . . . . . . . . . . . . . . . . . . . . . . . . . . 707
Prendre le rôle maître d’attribution de noms de domaine . . . . . . . . . . 708
Prendre le rôle maître des ID relatifs . . . . . . . . . . . . . . . . . . . . . . . 709
Prendre le rôle maître d’émulateur PDC . . . . . . . . . . . . . . . . . . . . . 710
Prendre le rôle maître d’infrastructure . . . . . . . . . . . . . . . . . . . . . . 711
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Sommaire
Chapitre 21
La sécurisation d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
L’importance de la sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . 717
Identifier les types de menaces pour la sécurité Active Directory . . . . . . . . . 717
Établir des frontières sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
Sélectionner une structure Active Directory sécurisée . . . . . . . . . . . . . . . 720
Sécuriser les comptes d’administration des services . . . . . . . . . . . . . . . . 720
Limiter l’exposition des comptes d’administration des services . . . . . . . . . . 721
Sécuriser les méthodes d’administration des données . . . . . . . . . . . . . . . 723
Protéger les serveurs DNS et les données DNS . . . . . . . . . . . . . . . . . . . . 728
Sécuriser les relations interforêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
Chapitre 22
Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . 733
Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . 735
Les principes d’ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735
Implémenter ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
La maintenance d’ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
Synchroniser les données entre Active Directory et une instance ADAM . 752
Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . 754
Les principales fonctionnalités d’ADFS . . . . . . . . . . . . . . . . . . . . . . 754
L’extension d’Active Directory à Internet . . . . . . . . . . . . . . . . . . . . . 755
Les rôles des serveurs ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
Configuration requise pour ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . 757
Implémenter des composants ADFS . . . . . . . . . . . . . . . . . . . . . . . . 760
La terminologie ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Partie C Sécurité 765

Chapitre 23
Introduction à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
Qu’est ce que la défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . 769
La couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
Corruption possible de la couche physique . . . . . . . . . . . . . . . . . . . 771
Sommaire
Défense de la couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . 771

La couche Périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
Corruption possible de la couche Périmètre . . . . . . . . . . . . . . . . . . . 774
Défense de la couche Périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
La couche réseau interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
Corruption possible de la couche réseau . . . . . . . . . . . . . . . . . . . . . 776
Défense de la couche réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
La couche hôte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
Corruption possible de la couche hôte . . . . . . . . . . . . . . . . . . . . . . 779
Défense de la couche hôte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
La couche application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
Corruption possible de la couche application . . . . . . . . . . . . . . . . . . 781
Défense de la couche application . . . . . . . . . . . . . . . . . . . . . . . . . . 781
La couche Données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
Corruption possible de la couche Données . . . . . . . . . . . . . . . . . . . 783
Défense de la couche Données . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
Les notions fondamentales liées à la sécurité . . . . . . . . . . . . . . . . . . . . . 784
Les dix commandements de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . 786
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
Chapitre 24
La conception de la sécurité des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
Les problématiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Les serveurs assurant plusieurs rôles. . . . . . . . . . . . . . . . . . . . . . . 791
Des ressources limitées pour la mise en œuvre de solutions
de sécurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
La menace interne ou accidentelle . . . . . . . . . . . . . . . . . . . . . . . . . 791
Le manque de compétences en matière de sécurité . . . . . . . . . . . . . . 791
Les possibilités d’accès physique . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Les conséquences juridiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
L’utilisation de systèmes anciens . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Les concessions en matière de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 792
Sécurité et facilité d’emploi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Un faible coût . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
La sécurité de base des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Sécuriser les serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Quelques recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
Sommaire
La sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795

Planifier la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Établir des frontières de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . 797
Renforcer la stratégie de domaine . . . . . . . . . . . . . . . . . . . . . . . . . 798
Établir une hiérarchie basée sur les rôles . . . . . . . . . . . . . . . . . . . . 798
Protéger les serveurs membres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
Le modèle de sécurité Member Server Baseline . . . . . . . . . . . . . . . . . 799
Protéger les serveurs pour des rôles spécifiques . . . . . . . . . . . . . . . . . . . 800
Renforcer la protection des serveurs d’infrastructure . . . . . . . . . . . . 800
Renforcer la protection des serveurs de fichiers . . . . . . . . . . . . . . . . 801
Renforcer la protection des serveurs d’impression . . . . . . . . . . . . . . 801
Renforcer la protection des serveurs IIS . . . . . . . . . . . . . . . . . . . . . 801
Les méthodes conseillées pour renforcer la protection des serveurs
pour des rôles spécifiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
Chapitre 25
Évaluation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
Pourquoi réaliser des évaluations de la sécurité ? . . . . . . . . . . . . . . . . . . 807
Planification de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 808
Le concept de défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . 810
Définition du cadre de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . 811
Les objectifs de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 812
Les types d’évaluations de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
L’analyse des vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Le test de pénétration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
L’audit de sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
Publier les résultats de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . 818
Utiliser l’outil MSAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
Chapitre 26
La sécurisation des postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
Gérer les mises à jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
La sécurité sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Windows Defender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Sommaire
Le Centre de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

Le pare-feu personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
Le contrôle des comptes utilisateurs (UAC) . . . . . . . . . . . . . . . . . . . 846
L’antivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
Déploiement des logiciels antivirus . . . . . . . . . . . . . . . . . . . . . . . . 848
Mise à jour des logiciels antivirus . . . . . . . . . . . . . . . . . . . . . . . . . 849
Implémenter la sécurité des postes de travail à l’aide d’Active Directory . . . . 849
Utiliser des modèles de sécurité pour sécuriser les postes de travail . . . 850
Utiliser des modèles d’administration . . . . . . . . . . . . . . . . . . . . . . . 851
Vue d’ensemble des paramètres de sécurité des stratégies de groupe . . 852
Configuration recommandée des options de sécurité pour les postes
de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
Appliquer les modèles de sécurité et les modèles d’administration . . . . 855
Les méthodes conseillées pour sécuriser les postes de travail à l’aide
d’une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
Partie D Annexes 859

Chapitre 27
Annexe I - Liste alphabétique des commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861
A ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
B ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
C ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
D ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
E ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
F ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
G ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
L ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
M..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
N ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
P ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 906
R ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 913
S ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 916
T ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . 922
Sommaire
Chapitre 28
Annexe II - Les services et les ports réseau sous Windows Server 2003 . . . . . . . . . . . . 927
Les ports des services système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
Active Directory (autorité de sécurité locale) . . . . . . . . . . . . . . . . . . 929
Le service de la passerelle de la couche Application . . . . . . . . . . . . . . 930
Le service d’état ASP.NET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
Les services de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
Le service de cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
L’Explorateur d’ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932
Le Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932
Le Système de fichiers distribués (DFS) . . . . . . . . . . . . . . . . . . . . . . 933
Le Serveur de suivi de lien distribué . . . . . . . . . . . . . . . . . . . . . . . . 933
Le Coordinateur de transactions distribuées . . . . . . . . . . . . . . . . . . 934
Le Serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Le Journal des événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Les clients Microsoft Exchange Server et Outlook . . . . . . . . . . . . . . . 935
Le service de télécopie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 936
La réplication de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
Le Serveur de fichiers pour Macintosh . . . . . . . . . . . . . . . . . . . . . . . 937
Le service de publication FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
HTTP SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 938
Le service d’authentification Internet . . . . . . . . . . . . . . . . . . . . . . . 938
Le service Pare-feu de connexion Internet/Partage de connexion
Internet (ICF/ICS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 939
Le Centre de distribution de clés Kerberos . . . . . . . . . . . . . . . . . . . . 939
L’enregistrement de licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 940
Le service Message Queuing (MSMQ) . . . . . . . . . . . . . . . . . . . . . . . 940
L’Affichage des messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Les piles MTA Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . . . . . 941
Le Gestionnaire des opérations Microsoft 2000 . . . . . . . . . . . . . . . . 941
Le service POP3 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
Le service MSSQLSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
Le service MSSQL$UDDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943
L’Ouverture de session réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943
Le Partage de Bureau à distance NetMeeting . . . . . . . . . . . . . . . . . . . 943
Network News Transfer Protocol (NNTP) . . . . . . . . . . . . . . . . . . . . . 944
Le service Journaux et alertes de performance . . . . . . . . . . . . . . . . . 944
Le Spouleur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 944
Sommaire
L’Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945

L’Appel de procédure distante (RPC) . . . . . . . . . . . . . . . . . . . . . . . 945
Le Localisateur d’appels de procédure distante (RPC) . . . . . . . . . . . . 946
La Notification de stockage étendu . . . . . . . . . . . . . . . . . . . . . . . . . 946
Le Serveur de stockage étendu . . . . . . . . . . . . . . . . . . . . . . . . . . . . 946
Le Routage et accès distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 946
Le Serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947
Le service SharePoint Portal Server . . . . . . . . . . . . . . . . . . . . . . . . 948
Le service Simple Mail Transfer Protocol (SMTP) . . . . . . . . . . . . . . . 948
Les services TCP/IP simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 948
L’Agent de contrôle à distance SMS . . . . . . . . . . . . . . . . . . . . . . . . . 949
Le service SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 949
Le service d’interruption SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . 950
Le service SQL Analysis Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 950
Le service SQL Server : prise en charge des clients OLAP de niveau
inférieur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
Le service de découvertes SSDP . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
Microsoft Systems Management Server 2.0 . . . . . . . . . . . . . . . . . . . . 951
Le Serveur d’impression TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . 952
Le service Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 952
Les services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 952
La Gestion de licences Terminal Server . . . . . . . . . . . . . . . . . . . . . . 953
L’Annuaire de session des services Terminal Server . . . . . . . . . . . . . . 953
Le service Trivial FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 954
L’Hôte périphérique Plug-and-Play universel . . . . . . . . . . . . . . . . . . 954
Windows Internet Name Service (WINS) . . . . . . . . . . . . . . . . . . . . . 955
Les services Windows Media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Le service de temps Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . 956
Le service de publication World Wide Web . . . . . . . . . . . . . . . . . . . . 956
Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957
Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . 965
Chapitre 29
Annexe III - Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 967
Chapitre 30
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999
Préface
Nous vous remercions d’avoir choisi la Bible Windows Server 2003 Windows Server 2008
afin de développer vos compétences dans le domaine des infrastructures Microsoft.
Nous avons souhaité que cet ouvrage vous serve de guide aussi bien dans la conception
de votre infrastructure que dans l’implémentation étape par étape des fonctionnalités
techniques. Il vous aidera à faire face aux problématiques de tous les jours. Pour cela,
l’ouvrage s’articule autour d’une étude de cas, une société fictive, qui sert de point de
départ à l’exposition des problématiques et permet d’élaborer la conception de la
solution, puis l’implémentation technique.
Même si nous avons souhaité nous concentrer uniquement sur les infrastructures
Microsoft, nous avons aussi voulu donner une dimension bien réelle aux problématiques
d’entreprise en montrant que, de nos jours, la satisfaction de l’utilisateur final passe par
un savant équilibre entre les fonctionnalités des systèmes d’exploitation pour serveurs et
les fonctionnalités des systèmes d’exploitation pour clients et qu’une nouvelle version de
Windows ne chasse pas l’autre immédiatement. En effet, Windows Vista arrive dans un
contexte où le parc informatique est déjà composé de Windows XP et/ou
Windows 2000, et Windows Server 2008 arrive également dans un contexte où le parc
informatique est déjà composé de Windows Server 2003, Windows 2000 Server, voire
Windows NT 4.0 Server. Au travers de la conception et de l’implémentation des
serveurs Windows Server 2003, nous avons souhaité vous sensibiliser à cet état de fait et
voulu que vous ayez en mains tous les arguments qui vous permettront de faire les choix
structurants dans votre contexte. C’est pourquoi vous trouverez, par exemple, des
chapitres traitant tout autant du déploiement de Windows Server 2003 que du
déploiement de Windows Vista, de la sécurisation des serveurs comme de la sécurisation
des stations de travail ou que des problématiques comme la gestion des identités et des
services réseaux.
En raison de la masse d’informations que cela représente, la Bible Windows Server 2003
Windows Server 2008 est composée de deux tomes.
Le tome I développe les thèmes suivants :

j l’installation, le déploiement et les généralités des systèmes d’exploitation ;
j la conception, l’implémentation, la maintenance et la sécurité d’Active Directory ;
j la sécurité des serveurs, des stations de travail, du réseau et des données.
Le tome II développe les thèmes suivants :
25
j les problématiques d’entreprise comme l’authentification forte, la haute
disponibilité ou l’intégration de Windows Server 2008 ;
j la conception, l’implémentation, l’administration des services réseau ;
j l’administration centralisée de l’infrastructure, les outils améliorant
l’administration.
Tous les chapitres sont en rapport avec l’étude de cas, mais cela ne vous empêchera pas
d’utiliser ces livres pour un sujet précis selon vos besoins.
Bonne lecture à tous !
26
Partie
A
Installation,
déploiement
et généralités
Partie Installation,
déploiement
A et généralités
Chapitre 1 Étude de cas . . . . . . . . . . . . . . . . . . 29

Chapitre 2 État des lieux de Windows Server en entreprise . . . . . 55
Chapitre 3 Windows Server 2003 Service Pack 2 et R2 . . . . . . 87
Chapitre 4 L’installation et le déploiement de Windows Server 2003 . 105
Chapitre 5 L’installation de Windows Vista . . . . . . . . . . . 135
Chapitre 6 Le déploiement des ordinateurs Windows Vista
en entreprise – phase 1 . . . . . . . . . . . . . . 185
Chapitre 7 Le déploiement des ordinateurs Windows Vista
en entreprise – phase 2 . . . . . . . . . . . . . . 247
Chapitre 8 Les services de déploiement Windows . . . . . . . . 301
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure . . . 351
Chapitre 10 Windows PowerShell . . . . . . . . . . . . . . . 399
Chapitre 11 La maintenance des serveurs . . . . . . . . . . . . 429
Chapitre 12 Windows Server 2008 . . . . . . . . . . . . . . 477
Chapitre 1
Étude de cas
1.1 Le contexte : présentation de la société . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
1.2 Les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
1.3 La mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Le contexte : présentation de la société
Q uoi de mieux qu’une mise en situation afin d’expliquer les fonctionnalités de

Windows Server 2003 R2 et de montrer toute l’étendue des possibilités du système
d’exploitation serveur de Microsoft ! C’est par cette affirmation que nous est venue
1. Étude de cas
l’idée de présenter tous les concepts techniques au travers de la réalité des besoins
quotidiens d’une entreprise (bien que celle-ci soit inventée de toutes pièces pour les
besoins de l’ouvrage).
Nous espérons que ce mode de fonctionnement vous permettra d’établir la relation

entre le besoin d’entreprise et l’implémentation d’une fonctionnalité technique et que
vous aborderez l’ouvrage soit par rapport à une situation que vous vivez dans votre
travail quotidien, soit par rapport à un concept technique que vous souhaitez
approfondir.
Ce premier chapitre vous présente Puzzmania, une société à taille humaine, qui
ressemble à tant d’autres dans le domaine de l’informatique et qui a les problématiques
d’un grand nombre de sociétés en France de nos jours. Ce chapitre de référence détaille
également les noms des serveurs, le plan de nommage, le plan d’adressage utilisé tout au
long de l’ouvrage.
Pour avoir l’opportunité d’introduire la conception d’Active Directory dans cet ouvrage,
nous allons partir du postulat de base que Puzzmania est architecturée autour de
domaines Windows NT 4.0, sachant que la plupart des entreprises en France ont toutes
(ou presque) migré tout leur parc vers Active Directory. Cela va vous permettre de voir
tous les aspects de la conception et, par anticipation, vous donner les bonnes pratiques
de réflexion en cas de migration, puisque la migration vers Windows Server 2008 sera
bientôt d’actualité.
1.1. Le contexte : présentation de la société
L’activité de la société
Puzzmania est une société de conception et de fabrication de puzzles, composée de
300 personnes réparties autour de trois sites géographiques : Paris, Toulouse et Nice.
Elle enregistre de bons résultats grâce à une gamme de produits complète (pour tous les
âges et tous les niveaux) et connaît depuis peu un essor considérable en étant la seule à
proposer des puzzles 3D grâce à une technique d’impression holographique des pièces
unique au monde.
La situation géographique
La société est articulée autour de trois sites géographiques :
j le site de Paris, qui regroupe la direction, le marketing, les finances, les ressources
humaines ;
31
Chapitre 1 Étude de cas
j le site de Toulouse, qui regroupe l’usine de production et d’acheminement des

puzzles dits classiques ;
1. Étude de cas
j le site de Nice, qui regroupe le laboratoire à l’origine du développement de la

technique d’impression 3D unique au monde, ainsi que la production et
l’acheminement de ces puzzles.
L’infrastructure informatique
Le système d’information de Puzzmania est à l’image de la société : il a été bâti il y a
quelques années et il connaît maintenant une forte croissance.
Puzzmania est composée de trois domaines NT 4.0 indépendants, un sur chaque site
géographique, avec des relations d’approbation bidirectionnelles entre les sites.
Au fil des différents projets informatiques, dus à l’essor des puzzles 3D, des serveurs
Windows 2000 Server et Windows Server 2003 ont été ajoutés afin d’apporter de la
robustesse et des fonctionnalités, mais sans impact sur l’infrastructure. Le but principal
était de relier les sites, de communiquer, de répondre au besoin coûte que coûte.
Chaque site dispose de son propre service informatique (de l’administration au support
des utilisateurs).
Les utilisateurs sont administrateurs de leurs propres stations de travail : ils utilisent des
applications bureautiques (style Office), graphiques ou maison, selon leurs activités.
Plan d’adressage IP
La société utilise exclusivement le protocole TCP/IP comme protocole de
communication sur son réseau. Voici comment a été pensé le plan d’adressage IP
(serveurs, équipements actifs, stations de travail…) en tenant compte des trois sites
géographiques, basé sur une étendue d’adresses IP de classe B. Une règle appliquée au
troisième et quatrième octet de l’adresse IP offre un moyen mnémotechnique
sympathique qui permet d’avoir en tête rapidement la relation entre l’adresse IP et le
type de matériel. Dans certains cas, on peut également faire une correspondance entre
l’adresse IP et le nom du serveur, par exemple, bien qu’aucun plan de nommage officiel
n’ait été écrit.
Tableau 1.1 : Règle d’attribution des adresses IP

1er octet 2e octet 3e octet 4e octet Adresse IP
172 50 X = localisation Y = catégorie ZZZ = de 1 172.50.XY.ZZZ
à 254
Le masque de sous-réseau, quant à lui, sera le même sur tous les sites : 255.255.240.0.
Il est calculé selon le besoin en adresses.
32
En fonction du masque de sous-réseau et de l’étendue des adresses IP disponibles, il est

décidé de découper l’étendue en plusieurs sous-réseaux ; en outre, il est convenu que
chaque site géographique dispose de son propre sous-réseau, le tout correctement routé
1. Étude de cas
à travers les sites.
Tableau 1.2 : Liste des sous-réseaux affectés aux sites géographiques de Paris, Toulouse
et Nice
Site Numéro de sous- Adresse du sous- Adresses IP des Adresse de
géographique réseau réseau machines broadcast
Paris 1 172.50.0.0 De 172.50.0.1 à 172.50.15.255
172.50.15.254
Toulouse 2 172.50.16.0 De 172.50.16.1 172.50.31.255
à
172.50.31.254
Nice 3 172.50.32.0 De 172.50.32.1 172.50.47.255
à
172.50.47.254
Un tel découpage représente un total de 16 sous-réseaux disponibles de 4094 machines

chacun.
Définition du troisième octet

Selon la règle d’attribution des adresses IP, la variable X désigne le site géographique sur
lequel se trouve le serveur ou la station de travail.
Tableau 1.3 : Définition de la variable X du troisième octet du plan d’adressage IP

Valeur X Localisation
1 Paris
2 Toulouse
4 Nice
La variable Y désigne le type d’équipement.
Tableau 1.4 : Définition de la variable Y du troisième octet du plan d’adressage IP

Valeur Y Catégorie d’équipements
0 Équipements actifs du réseau (routeurs…)
1 Serveurs
2 Serveurs
3 Imprimantes
33
Valeur Y Catégorie d’équipements

4 Stations de travail
1. Étude de cas
5 Stations de travail
Il faut noter que le fait d’intégrer une variable Y dans la règle d’attribution des
adresses IP limite encore plus le champ des possibles au sein d’un même sous-réseau. En
effet, il va falloir segmenter une plage d’adresses IP qui est déjà segmentée elle-même.
Définition du quatrième octet

La variable ZZZ définit l’étendue des valeurs disponibles pouvant être affectées à une
adresse IP, soit une étendue de 1 à 254.
Il est quand même défini que les valeurs de 1 à 9 sont réservées aux contrôleurs de
domaine répartis sur les sites géographiques.
Exemple : l’adresse IP 172.50.10.254 fait référence à un routeur situé à Paris.

L’adresse IP 172.50.41.6 fait référence à un contrôleur principal de domaine (CPD)
situé à Nice.
Le détail des sites

Paris
j Nombre d’utilisateurs : 120.
j Nombre de stations de travail : 140.
j Nombre de serveurs : 10.
Liste des serveurs d’infrastructure
Tableau 1.5 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de Paris
Nom du serveur Adresse IP Système d’exploitation Fonction
PADC01 172.50.11.1 Windows NT 4.0 Server Contrôleur principal de domaine,
serveur primaire DNS, serveur
primaire WINS, serveur DHCP
PADC02 172.50.11.2 Windows NT 4.0 Server Contrôleur secondaire de domaine
(CSD), serveur secondaire DNS,
serveur secondaire WINS partenaire
de réplication
TLDC06 172.50.11.6 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine TLSPUZZ
34

NCEDC08 172.50.11.8 Windows NT 4.0 Server Contrôleur secondaire de domaine
1. Étude de cas
pour le domaine NCEPUZZ
PABUR01 172.50.11.10 Windows 2000 Server Serveur de fichiers
PAPRINT01 172.50.11.11 Windows 2000 Server Serveur d’impression
PAMAIL01 172.50.11.12 Windows 2000 Server Serveur de messagerie
PAAV01 172.50.11.13 Windows Server 2003 Serveur antivirus
Standard Edition
PAWEB01 172.50.11.15 Windows Server 2003 Web Serveur web
Edition
PAWEB02 172.50.11.16 Windows Server 2003 Web Serveur web
Edition
Cas d’entreprise
La liste des serveurs montre la mixité des versions des systèmes d’exploitation
utilisées. En guise de serveurs web, par exemple, on a installé Windows Server 2003
afin d’utiliser les fonctionnalités d’IIS 6. On remarque également que le site de Paris
contient un CSD de chacun des autres domaines. En outre, dans la mesure du
possible, les noms de serveur sont représentatifs, bien qu’il n’y ait pas de plan de
nommage officiel, mais cela n’est pas le cas à tous les coups.
Le serveur DHCP du site, PADC01, distribue des adresses IP comprises dans une
étendue allant de 172.50.14.1 à 172.50.14.254 et de 172.50.15.1 à 172.50.15
.254. Elles sont distribuées aux stations de travail localisées au même endroit.
Toulouse
j Nombre de stations : 90.
35

1. Étude de cas
Tableau 1.6 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de
Toulouse
TLDC03 172.50.21.3 Windows NT 4.0 Server Contrôleur principal de domaine,
TLDC04 172.50.21.4 Windows NT 4.0 Server Contrôleur secondaire de domaine,
serveur secondaire DNS, serveur
secondaire WINS partenaire de
réplication
pour le domaine PARPUZZ
NCEDC09 172.50.21.9 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine NCEPUZZ
TLSBUR01 172.50.21.10 Windows 2000 Server Serveur de fichiers
TLSPRINT01 172.50.21.11 Windows 2000 Server Serveur d’impression
TLSMAIL01 172.50.21.12 Windows 2000 Server Serveur de messagerie
TLSAV01 172.50.21.13 Windows Server 2003 Serveur antivirus
Standard Edition
TLSBDD01 172.50.21.14 Windows 2000 Server Serveur de base de données
TLSAPP01 172.50.21.15 Windows Server 2003 Serveur applicatif
Standard Edition
TLSAPP02 172.50.21.16 Windows Server 2003 Serveur applicatif
Standard Edition
Cas d’entreprise
Si on compare les listes des serveurs d’infrastructure de Paris et de Toulouse, on
retrouve des doublons dans les rôles de serveur induits par le fait que le domaine
TLSPUZZ est indépendant du domaine de Paris. Cette remarque vaut pour tous les
sites. On constate également des différences dans la règle de nommage des serveurs
par rapport au site de Paris, sûrement dues à la précipitation (par exemple, le site de
Toulouse est mentionné sur deux ou trois caractères).
Le serveur DHCP du site, TLDC03, distribue des adresses IP comprises dans une
36
Nice
1. Étude de cas
j Nombre de stations : 90.
Tableau 1.7 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de Nice
NCDC06 172.50.41.6 Windows NT 4.0 Server Contrôleur principal de domaine,
NCEDC07 172.50.41.7 Windows NT 4.0 Server Contrôleur secondaire de domaine,
réplication
pour le domaine PARPUZZ
TLDC05 172.50.41.5 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine TLSPUZZ
NCEBUR01 172.50.41.10 Windows 2000 Server Serveur de fichiers
NCEPRINT01 172.50.41.11 Windows 2000 Server Serveur d’impression
NCEMAIL01 172.50.41.12 Windows 2000 Server Serveur de messagerie
NCEAV01 172.50.41.13 Windows Server 2003 Serveur antivirus
Standard Edition
NCEBDD01 172.50.41.14 Windows 2000 Server Serveur de base de données
NCAPPA 172.50.41.15 Windows Server 2003 Serveur applicatif en cluster
Enterprise Edition
NCEAPPB 172.50.41.16 Windows Server 2003 Serveur applicatif en cluster
Enterprise Edition
Le serveur DHCP du site, NCDC06, distribue des adresses IP comprises dans une
Les dysfonctionnements de la situation actuelle

Puzzmania est composée de trois domaines Windows NT 4.0 Server indépendants, avec
des relations d’approbation bidirectionnelles entre les sites. Cette architecture se
37
focalise sur la communication entre les sites géographiques. Elle n’est pas la plus
sécurisée qui soit, ni la plus simple à administrer d’ailleurs.
1. Étude de cas
Notons les points de dysfonctionnements suivants…
La non-uniformité des processus

Aujourd’hui, chaque site possède sa propre méthode de travail, ses choix de systèmes
d’exploitation et de logiciels. Pour ne citer qu’un seul exemple de cette complexité,
chaque site possède aujourd’hui un antivirus différent. Il reste très difficile, voire
souvent impossible, de mettre en place des solutions globales au niveau de l’organisation
de Puzzmania.
Les problèmes de coûts importants

L’organisation de Puzzmania regroupe, sur l’ensemble de ses trois sites, une diversité de
serveurs et de stations de travail importante. La gamme de serveurs s’étend de
Windows NT 4.0 Server pour les serveurs d’infrastructure, à Windows 2000 Server pour
les serveurs de base de données et de fichiers, en passant par différentes éditions de
Windows Server 2003 pour des serveurs applicatifs et web. La gamme des stations de
travail est à l’égale de la gamme des serveurs puisque l’on y retrouve des clients installés
au fil des livraisons matérielles.
Des coûts importants sont recensés au niveau du centre d’appels de la société. Les
techniciens sont obligés de connaître plusieurs systèmes d’exploitation clients tels que
Windows NT 4.0 Workstation, Windows 2000 Professionnel, Windows XP
Professionnel et maintenant Windows Vista Professionnel, ainsi que diverses
applications, souvent dupliquées quand elles ne sont pas triplées.
Les problèmes de réactivité

L’entreprise souffre de problèmes de réactivité à plusieurs niveaux. Vu la diversité des
versions des systèmes d’exploitation des stations de travail et des serveurs, la
qualification des logiciels se voit multipliée par trois. Prenons l’exemple de la suite
bureautique Office. Selon la version d’Office utilisée sur chaque site, il faut tester son
bon fonctionnement, aussi bien sous Windows NT 4.0 Workstation que Windows 2000
Professionnel, Windows XP Professionnel et Windows Vista Professionnel (car la
migration du parc vers Windows Vista est ou sera d’actualité). En outre, lorsqu’un
problème Office est détecté sur une plateforme ou qu’un Service Pack sort afin
d’améliorer la sécurité ou apporter des fonctionnalités, il faut le temps de le tester et de
le déployer sans impact sur les autres plateformes.
38
Le problème de gestion du parc informatique trop complexe

L’entreprise ne possède pas une méthode d’installation industrialisée pour les systèmes
1. Étude de cas
d’exploitation clients et serveurs. La mise en service de stations de travail ou de serveurs
se fait manuellement, ce qui touche considérablement la mise en production et le coût
des machines.
La sécurité du système d’information

Le maintien d’anciennes versions de systèmes d’exploitation apporte son lot de
problèmes de sécurité. Exemple : l’obligation de maintenir des protocoles de
communication non sécurisés. Le fait que tous les utilisateurs soient administrateurs de
leur station de travail augmente les risques : installation d’applications non conformes,
utilisation de périphériques externes (sans compter l’impact sur la gestion du parc et le
centre d’appels). De plus, Puzzmania ne possède pas de système centralisé de mise à
jour de correctifs.
Les enjeux de la direction

Afin d’optimiser ses performances, la direction décide de n’avoir plus qu’un seul site de
production et d’acheminement (Toulouse), tout en tirant parti et en communiquant au
mieux (c’est-à-dire de façon sécurisée) avec le laboratoire de Nice. Elle décide
également de la nécessité de consolider et d’homogénéiser l’infrastructure informatique
pour alléger les coûts.
Afin d’élargir ses compétences, la direction décide de racheter deux sociétés.
Les sociétés partenaires

Smart Com
Smart Com est une très petite société située à Londres, spécialisée dans le
développement des activités commerciales vers l’international. Le but de ce rachat est
d’en faire une antenne commerciale pour gagner de nouveaux marchés.
Son infrastructure informatique est constituée d’un seul domaine Windows NT 4.0
Server englobant tous les services de la société : 4 serveurs pour 15 stations de travail.
Les mêmes règles d’attribution d’adresses IP, énoncées dans le plan d’adressage IP de
Puzzmania, sont appliquées ici. Les seules exceptions concernent le sous-réseau dans
lequel se trouvent les machines ainsi que la variable X du troisième octet, qui prend ici la
valeur 5.
39
Tableau 1.8 : Sous-réseau affecté au site géographique de Londres pour Smart Com
Site géographique Numéro de sous- Adresse du sous- Adresses IP des Adresse de
1. Étude de cas
réseau réseau machines broadcast

Londres 4 172.50.48.0 De 172.50.63.255
172.50.48.1 à
172.50.63.254
Le nommage des serveurs est, quant à lui, propre à Smart Com.
Tableau 1.9 : Liste des serveurs d’infrastructure de Smart Com présents sur le site de
Londres
SMART−DC01 172.50.51.1 Windows NT 4.0 Server Contrôleur principal de domaine,
SMART−DC02 172.50.51.2 Windows NT 4.0 Server Contrôleur secondaire de domaine,
réplication
SMART−BUR01 172.50.51.10 Windows 2000 Server Serveur de fichiers et serveur
antivirus
SMART−BDD01 172.50.51.11 Windows 2000 Server Serveur de base de données et
serveur applicatif
Le serveur DHCP du site, SMART−DC01, distribue des adresses IP comprises dans une
Créadesign
Créadesign est une petite société high-tech située à Nice, spécialisée dans l’infographie.
Le but de ce rachat est de renforcer le développement autour de la technique qui fait le
succès de l’entreprise.
La société est constituée d’un domaine unique Active Directory Windows Server 2003
comprenant sept serveurs et cinquante postes.
Les mêmes règles d’attribution d’adresses IP, énoncées dans le plan d’adressage IP de
Puzzmania, sont appliquées ici. Les seules exceptions concernent le sous-réseau dans
lequel se trouvent les machines ainsi que la variable X du troisième octet, qui prend ici la
valeur 7.
40
Tableau 1.10 : Sous-réseau affecté au site géographique de Londres pour Smart Com
Site géographique Numéro de sous- Adresse du sous- Adresses IP des Adresse de
1. Étude de cas
réseau réseau machines broadcast
Nice 5 172.50.64.0 De 172.50.79.255
172.50.64.1 à
172.50.79.254
Le nommage des serveurs est, quant à lui, propre à Créadesign.
Tableau 1.11 : Liste des serveurs d’infrastructure de Créadesign présents sur le site de
Nice
crea−dc1 172.50.71.1 Windows Server 2003 Contrôleur de domaine, serveur
Standard Edition primaire DNS, serveur primaire
WINS, serveur DHCP
crea−dc2 172.50.71.2 Windows Server 2003 Contrôleur de domaine, serveur
Standard Edition secondaire DNS, serveur
réplication
crea−bur1 172.50.71.10 Windows Server 2003 Serveur de fichiers
Standard Edition
crea−av1 172.50.71.11 Windows Server 2003 Serveur antivirus
Standard Edition
crea−bda 172.50.71.12 Windows Server 2003 Serveur applicatif et de base de
Enterprise Edition données en cluster
crea−bdb 172.50.71.13 Windows Server 2003 Serveur applicatif et de base de
Enterprise Edition données en cluster
crea−web1 172.50.71.14 Windows Server 2003 Web Serveur web
Edition
Le serveur DHCP du site, crea−dc1, distribue des adresses IP comprises dans une
La communication entre les sociétés

Une fois l’annonce faite par la direction du rachat de Smart Com et de Créadesign, la
première étape, d’un point de vue informatique, est d’établir le contact entre les trois
sociétés. Pour ce faire, il faut créer de nouvelles relations d’approbation entre les
41
domaines, mais également configurer les serveurs WINS comme partenaires de

réplication afin de convertir les noms NetBIOS en adresses IP.
1. Étude de cas
Résumé du contexte
Puzzmania est une entreprise de taille moyenne, fonctionnant sous une architecture
Windows NT 4.0 Server, et repartie sur trois sites. Chaque site est autonome dans le
choix de ses machines et de ses logiciels, et dispose approximativement d’une dizaine de
serveurs, allant de Windows NT 4.0 Server à Windows Server 2003 Enterprise Edition,
et d’une centaine de postes utilisateurs, allant de Windows NT 4.0 Workstation à
Windows XP professionnel. Chaque site possède son propre domaine et communique
avec les autres domaines de l’entreprise à l’aide de relations d’approbation
bidirectionnelles, et parfois de comptes dupliqués pour l’administration.
Puzzmania travaille aujourd’hui essentiellement avec deux partenaires :

j Créadesign, pour la partie recherche et développement de nouveaux produits. Cette
société évolue dans une forêt Active Directory Windows Server 2003 regroupant
quelques serveurs et une cinquantaine d’utilisateurs. Créadesign possède une forte
expérience informatique dans les nouvelles technologies.
j Smart Com, pour la partie communication. Cette société de petite taille dispose
d’une petite structure informatique d’une quinzaine de personnes et de quatre
serveurs.
Pour que tous les sites puissent partager l’information, on est obligé de créer des
relations d’approbation dans tous les sens, ce qui a comme conséquence d’augmenter les
risques d’intrusion et de complexifier l’administration (placer les droits sur les serveurs
de fichiers est un vrai casse-tête !).
On s’aperçoit également que la mixité des systèmes d’exploitation au niveau des

fondements de l’infrastructure complique également le problème.
1.2. Les objectifs

Vu les stratégies de développement mises en œuvre par la direction et compte tenu des
contraintes techniques dues à l’arrêt programmé du support de Windows NT 4.0 Server,
la décision est prise de restructurer le système d’information autour de Windows
Server 2003.
Windows Server 2003 est le système d’exploitation serveur Microsoft de référence (en
attendant Windows Server 2008, son successeur). Puzzmania compte profiter des
nouveautés apportées par Windows Server 2003 R2 (sorti en 2005), des améliorations
de sécurité, de stabilité et de performances apportées par le Service Pack 2 ainsi que des
fonctionnalités d’anticipation à l’arrivée de Windows Vista dans l’infrastructure réseau
et système, apportées également par le Service Pack 2.
42
Les objectifs
Trois grands axes de travail sont retenus…
1. Étude de cas
Réduire les coûts
Vaste travail ! La première étape consiste à concevoir une nouvelle infrastructure qui
sera la base d’un travail de fond sur la réduction des coûts.
Une plus grande disponibilité de l’infrastructure, des serveurs et des stations de travail
va participer également à la réduction des coûts. Tout doit être mis en œuvre pour
simplifier l’accès aux données, mettre en place toutes les options et les services qui vont
accroître la productivité de l’utilisateur.
Une autre étape importante porte sur l’industrialisation des installations des stations de
travail et des serveurs, l’uniformité des choix logiciels et l’allégement de la charge de
travail du centre d’appels. En effet, en utilisant tout le potentiel de l’infrastructure
Windows Server 2003, il sera possible d’automatiser l’installation des serveurs et des
stations de travail, et également d’appliquer des stratégies de groupe qui définiront les
droits des utilisateurs (par exemple, les logiciels qu’ils ont le droit d’utiliser).
Dans le contexte de Puzzmania, le but est d’avoir une plateforme matérielle et logicielle
commune à tous les sites. Cela permettra d’être plus réactif lors de la sortie d’une
nouvelle version d’Office par exemple. En outre, la charge de travail du centre d’appels
sera allégée, non seulement parce que les compétences demandées aux techniciens de
support seront plus clairement exprimées, mais aussi parce que l’environnement de
travail de l’utilisateur sera contrôlé.
Intégrer les trois sociétés dans une nouvelle organisation

Concevoir le nouveau système d’information, c’est un peu comme bâtir une maison : il
faut toujours commencer par les fondations. Plus les fondations seront solides, plus il
sera facile de répondre aux besoins présents et futurs.
Il ne faut pas perdre de vue que l’infrastructure informatique doit répondre à une
problématique d’entreprise.
En ce qui concerne Smart Com et Créadesign, informatiquement parlant, il est possible

de travailler de plusieurs façons : soit on les considère comme des partenaires
communiquant avec Puzzmania, soit on les absorbe dans l’infrastructure de Puzzmania.
En faisant le parallèle avec les enjeux de la direction, on s’aperçoit que l’objectif est bien
de les absorber dans la nouvelle infrastructure tout en conservant leurs spécificités :
Smart Com doit devenir une antenne commerciale et Créadesign doit se rapprocher du
site de Nice et doit être sécurisée.
43
Sécuriser l’infrastructure
À l’heure actuelle, il est clair que les infrastructures informatiques doivent être les plus
1. Étude de cas
sécurisées possibles.
La sécurité doit être implémentée sur plusieurs niveaux fonctionnels.

j Sécurité du matériel d’infrastructure : les serveurs qui vont jouer un rôle important
dans l’infrastructure devront être sécurisés dans une salle prévue à cet effet.
j Sécurité des processus : prenons l’exemple des sauvegardes et des restaurations
d’Active Directory. Il faut savoir comment les réaliser. Tout prend un sens quand on
sait quel processus il faut suivre pour mettre la sauvegarde en lieu sûr afin d’éviter
un désastre.
j Sécurité des flux : certaines communications de l’entreprise doivent être protégées.
Il s’agit d’isoler l’activité de recherche et de développement du site de Nice de
Puzzmania et de Créadesign et de crypter les données sensibles.
j Sécurité des systèmes d’exploitation : tout doit être mis en œuvre pour avoir une
politique antivirale et de mise à jour des correctifs de sécurité la plus homogène et
la plus efficace possible.
1.3. La mise en œuvre

Pour atteindre les différents objectifs, on porte le choix sur des logiciels tournant sous
Windows Server 2003 pour la partie serveur : selon les besoins, soit Windows
Server 2003 sera installé, soit Windows Server 2003 R2 ; le Service Pack 2 sera installé
sur tous les serveurs. En ce qui concerne le poste de travail, les ordinateurs déjà présents
et aux capacités limitées seront sous Windows XP Professionnel. Les nouveaux
ordinateurs seront sous Windows Vista Professionnel. Windows Server 2003,
Windows XP Professionnel et Windows Vista Professionnel ont été choisis car ce sont
les systèmes d’exploitation qui répondent le mieux à l’ensemble des demandes de la
direction. Ils présentent toutes les qualités d’un système d’exploitation mature, robuste
et sécurisé.
L’équipe informatique a recensé l’ensemble des demandes de la direction et dégagé les

trois objectifs exposés précédemment :
j une réduction de coûts à plusieurs niveaux ;
j la mise en place d’une organisation unique avec l’intégration des deux sociétés
partenaires ;
j la sécurité.
44
La mise en œuvre
Comment réduire les coûts à plusieurs niveaux ?

Une réduction de coûts importante a été demandée par la direction. Cette réduction,
1. Étude de cas
pour être conséquente, devra s’appliquer sur les points suivants :
j la maîtrise du nombre des serveurs d’infrastructure ;
j la gestion des coûts liés aux stations de travail et aux serveurs ;
j la réorganisation des sites ;
j la stabilité des stations de travail des utilisateurs ;
j la gestion des coûts liés aux utilisateurs ;
j la réduction du nombre coups de téléphone au centre d’appels ;
j la réduction des interventions des techniciens sur les sites.
Maîtriser le nombre des serveurs d’infrastructure

Une étude va être réalisée sur la conception de la structure d’annuaire. Elle comportera
une réflexion autour des points suivants :
j la structure logique ;
j la topologie de site ;
j la planification de la capacité des contrôleurs de domaine.
À partir de cette étude, il sera possible de déterminer le nombre de sites ayant besoin de
serveurs d’infrastructure et les sites qui deviendront des succursales sans serveur
d’infrastructure. La charge des contrôleurs de domaine sera calculée. Le nombre de
serveurs et les configurations de chaque machine au niveau de la puissance et du
stockage en seront déduits.
Gérer les coûts liés aux stations de travail et aux serveurs

Pour pouvoir réduire le coût des serveurs et stations de travail, il sera important de
limiter le nombre d’interventions et le temps passé sur chaque machine. Pour cela, deux
actions de base vont être mises en place :
j Les serveurs seront installés à partir de techniques dites silencieuses, avec des
fichiers de réponses.
j Les stations de travail seront industrialisées avec l’installation des Service Packs et
autres, selon la technique de slipstream. Les postes utilisateurs seront préconfigurés
avec les logiciels nécessaires au fonctionnement de la station de travail de base.
45
Réorganiser les sites

1. Étude de cas
Figure 1.1 : Le futur plan des sites
L’entreprise sera réorganisée de la façon suivante : trois sites et une succursale. Chacun
des trois sites possédera des serveurs d’infrastructure du domaine auquel il appartient.
Les serveurs d’infrastructure auront les rôles de service réseau, tels que DNS, WINS,
DHCP, Active Directory et serveur de catalogue global.
Stabiliser les stations de travail utilisateurs

Pour ne plus avoir de problèmes de stabilité sur les stations de travail, les utilisateurs ne
seront plus administrateurs de leur station. Il faudra donc utiliser la politique du
moindre privilège. Pour garantir la bonne utilisation des postes, on publiera les logiciels
de base, ce qui aura comme intérêt de se remettre en place automatiquement en cas de
suppression volontaire ou involontaire de la part de l’utilisateur.
On utilisera des modèles de sécurité pour appliquer des paramètres de sécurité

cohérents sur l’ensemble des stations de travail de l’organisation. On créera des
stratégies de groupe en fonction des besoins des services (ressources humaines,
finances…) et des contraintes de domaine et de site, pour assurer la meilleure utilisation
des postes selon les besoins spécifiques, et uniquement les besoins.
46
La mise en œuvre
Gérer les coûts liés aux utilisateurs

Pour limiter l’utilisation des serveurs de fichiers, on appliquera des quotas pour
1. Étude de cas
maîtriser les dépenses dues à l’achat d’espace disque.
L’action d’un utilisateur sur un poste se limitera uniquement aux besoins de son
périmètre. Il sera important de limiter, voire d’empêcher l’installation de logiciels
exotiques (non nécessaires à l’entreprise), qui sont facteurs de réinstallation des postes
et de surplus de coups de téléphone au centre d’appels (help desk).
Réduire le nombre de coups de téléphone au centre d’appels

La mise en place de clichés instantanés permettra aux utilisateurs de gérer eux-mêmes
les sauvegardes des différentes versions de leurs fichiers. Par une interface très simple,
ils pourront restaurer des versions antérieures et ainsi diminuer le nombre de coups de
téléphone au centre d’appels.
L’étude des stratégies de compte en fonction des besoins de chaque domaine

contribuera également à l’effort de réduction de la charge d’appels.
Réduire les interventions des techniciens sur les sites

On déploiera les logiciels par l’intermédiaire de la technologie IntelliMirror.
Pour réduire les coûts liés aux interventions des techniciens sur les sites, on mettra en
place un modèle de poste standard.
Comment créer une organisation unique et intégrer les deux

sociétés partenaires ?
Mettre en place une architecture autour d’une organisation unique

Le choix retenu a été la mise en œuvre d’un annuaire Active Directory basé sur un
modèle de forêt unique. Cette solution permet d’exploiter les avantages de l’annuaire
Active Directory autour du nom puzzmania.com. Le fait de rassembler l’organisation
de l’entreprise sous une forme de forêt unique ne ferme pas les portes sur les possibilités
d’isoler une partie de l’entreprise ayant des besoins spécifiques, en matière de sécurité
par exemple.
L’annuaire Active Directory permet d’exploiter de nouvelles fonctionnalités telles que

la prise en compte des notions de site, d’unité organisationnelle, de groupe universel.
On pourra appliquer des stratégies de groupe aux utilisateurs et aux ordinateurs en
fonction de critères multiples.
47
1. Étude de cas
Figure 1.2 : Nouvelle organisation de domaines
Redéfinir l’organisation logique de l’entreprise tenant compte des

demandes de sécurité et de l’intégration des deux partenaires
L’entreprise Puzzmania et les sociétés Smart Com et Créadesign ont été réorganisées en
trois domaines. Les domaines de SmartCom et Créadesign ont disparu.
Le premier domaine, puzzmania.com, est la racine de la forêt. Il est vide. Il ne possède

que des contrôleurs de domaine configurés comme serveurs de catalogue global, ainsi
que les cinq rôles maîtres. Le deuxième domaine, corp.puzzmania.com, regroupe la
majeure partie des utilisateurs et des ressources. L’ancien domaine Smart Com est
intégré dans ce domaine. Le troisième domaine, rd.puzzmania.com, répond à des
besoins de sécurité spécifiques, qui ne peuvent être assurés dans le cadre d’un domaine
unique : flux cryptés, mise en place de certificats, modèles de sécurité, etc.
Par cette réorganisation, l’entreprise va réduire considérablement le trafic réseau et les

relations d’approbation au travers du réseau. Elle conservera une certaine
indépendance au niveau de l’administration, tout en intégrant les deux sociétés
partenaires au sein d’une organisation unique.
La succursale de Londres passe à dix utilisateurs : elle ne possédera ni contrôleur de

domaine ni serveur d’infrastructure.
Mettre en place un plan d’adressage IP et un plan de nommage

commun
Cette réorganisation est l’occasion rêvée de remettre à plat le plan d’adressage IP et le
plan de nommage afin d’harmoniser et de simplifier l’utilisation du réseau au travers des
48
La mise en œuvre
différents sites, de clarifier les rôles des serveurs et d’anticiper le futur : pourquoi pas le
rachat de nouvelles sociétés !
1. Étude de cas
Plan d’adressage IP
Une règle assez similaire à la règle existante chez Puzzmania est mise en place. Elle
permettra de conserver les habitudes prises par les administrateurs. Elle joue sur les
distinctions simplifiées du troisième et du quatrième octet. Le deuxième octet, quant à
lui, change et prend la valeur 100.
Tableau 1.12 : Nouvelle règle d’attribution des adresses IP

1er octet 2e octet 3e octet 4e octet Adresse IP
172 100 X = localisation ZZZ = de 1 à 254 172.100.Xxx.ZZZ
Le masque de sous-réseau, quant à lui, sera le même sur tous les sites, c’est-à-dire
255.255.240.0. En fonction du nombre d’adresses IP souhaitées et du nombre de sites
géographiques, il est convenu de découper l’étendue d’adresses IP en 16 sous-réseaux
afin de prévoir l’éventualité d’une future croissance et d’affecter un sous-réseau par site
géographique, à l’exception du site de Nice, qui disposera d’un sous-réseau
supplémentaire afin de sécuriser au mieux le domaine rd.puzzmania.com. Seuls
5 sous-réseaux seront utilisés pour l’instant.
Tableau 1.13 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris,
Toulouse, Londres et Nice R&D
Site Numéro de Adresse du sous- Adresses IP des Adresse de
géographique sous-réseau réseau machines broadcast
Nice 1 172.100.0.0 De 172.100.0.1 à 172.100.15.255
172.100.15.254
Toulouse 2 172.100.16.0 De 172.100.16.1 à 172.100.31.255
172.100.31.254
Paris 3 172.100.32.0 De 172.100.32.1 à 172.100.47.255
172.100.47.254
Londres 4 172.100.48.0 De 172.100.48.1 à 172.100.63.255
172.100.63.254
Nice R&D 5 172.100.64.0 De 172.100.64.1 à 172.100.79.255
172.100.79.254
Un tel découpage représente un total de seize sous-réseaux disponibles de

4094 machines chacun.
49
Définition du troisième octet

Selon la nouvelle règle d’attribution des adresses IP, la variable X désigne le site
1. Étude de cas
géographique sur lequel se trouve le serveur ou la station de travail. Dans le nouveau

plan d’adressage IP, la localisation des sites est déterminée tout simplement par
l’étendue disponible du troisième octet au sein du sous-réseau.
Tableau 1.14 : Définition de la variable X du troisième octet du nouveau plan

d’adressage IP
Valeur X comprise entre Localisation
0 et 15 Nice
16 et 31 Toulouse
32 et 47 Paris
48 et 63 Londres
64 et 79 Nice R&D
Définition du quatrième octet

La variable ZZZ définit l’étendue des valeurs disponibles pouvant être affectées à une
adresse IP, soit une étendue de 1 à 254.
Les valeurs de 1 à 9 sont réservées aux contrôleurs de domaine répartis sur les sites
géographiques.
Exemple : l’adresse IP 172.100.1.1 fait référence à un serveur ayant le rôle de

contrôleur de domaine pour puzzmania.com situé à Nice.
Plan de nommage
En complément du plan d’adressage IP, comme il est possible de déterminer le site
d’une machine en fonction de son adresse IP, pourquoi ne pas trouver une règle de
nommage qui permettrait d’en déterminer également le rôle et une partie de
l’adresse IP ?
Reprenons l’exemple du contrôleur de domaine pour puzzmania.com situé à Nice. Son

adresse IP est 172.100.1.1, son nom sera SNCERCDC01. Pour expliquer comment le
déterminer, il faut découper le nom en quatre sous-parties, S−NCE−RC−DC01, et établir
la correspondance selon des variables W−XXX−YY−ZZZZ :
50
La mise en œuvre
Tableau 1.15 : Nouvelle règle d’attribution des noms de serveur

Variable W Variable XXX Variable YY Variable ZZZZ
1. Étude de cas
Catégorie d’équipements Site géographique Domaine Rôle de l’ordinateur sur
2 caractères
S = serveur NCE = Nice RC = puzzmania Numéro sur 2 caractères
.com
I = imprimante TLS = Toulouse CP = corp DC01 = contrôleur de
.puzzmania.com domaine numéro 1
W = station de travail PAR = Paris RD = rd.puzzmania
.com
T = téléphonie LON = Londres
R = équipement actif
réseau
Comme la distinction entre le domaine de recherche et le reste de l’activité se fait par la

variable YY = RD, il n’est pas besoin d’avoir de valeur particulière pour la variable XXX
autre que NCE pour représenter le site géographique de Nice.
Les valeurs de la variable ZZZZ sont laissées à la libre appréciation de l’administrateur

selon le rôle du serveur ou de la station de travail. On peut imaginer les caractères
suivants pour des serveurs : AV pour antivirus, BD pour base de données, FS pour serveur
de fichiers (en anglais, File Server), etc., sachant que de nouvelles applications peuvent
sortir, engendrant de nouveaux caractères. On peut également imaginer la première
lettre du prénom et la première lettre du nom pour la station de travail d’un utilisateur
donné. L’énumération de toutes les possibilités est impossible.
Ce qu’il faut retenir, c’est qu’il est possible de rapprocher, de cette façon, le nom d’un
ordinateur et son adresse IP. Par exemple, STLSCPBD01, qui est un serveur de base de
données du domaine corp.puzzmania.com situé sur le site de Toulouse, a l’adresse IP
172.100.22.14. On ne peut évidemment pas retrouver l’adresse IP complète par le
nom à cause des deux derniers octets, mais on peut s’en rapprocher.
Voici les noms, les adresses IP et la localisation des contrôleurs de domaine qui
constitueront la forêt puzzmania.com.
Tableau 1.16 : Liste des contrôleurs de domaine de la forêt puzzmania.com

Nom d’ordinateur Adresse IP Adresse de sous- Domaine Site géographique
réseau
SNCERCDC01 172.100.1.1 172.100.0.0 puzzmania.com Nice
SNCERCDC02 172.100.1.2 172.100.0.0 puzzmania.com Nice
SNCECPDC01 172.100.11.1 172.100.0.0 corp.puzzmania Nice
.com
51
Nom d’ordinateur Adresse IP Adresse de sous- Domaine Site géographique

réseau
1. Étude de cas
STLSCPDC01 172.100.22.1 172.100.16.0 corp.puzzmania Toulouse

.com
SPARCPDC01 172.100.33.1 172.100.32.0 corp.puzzmania Paris
.com
SNCERDDC01 172.100.66.1 172.100.64.0 rd.puzzmania Nice
.com
SNCERDDC02 172.100.66.2 172.100.64.0 rd.puzzmania Nice
.com
Comment sécuriser l’infrastructure ?

Puisque les réseaux sont constamment menacés par des attaques provenant de sources
différentes, la direction souhaite se prémunir. En ce sens, elle a demandé la mise en
place d’un plan de sécurité à tous les niveaux de l’entreprise avec les exigences
suivantes :
j tenir compte du coût initial et continu de la sécurité ;
j considérer les exigences légales qui affectent la mise en œuvre de la sécurité ;
j mesurer l’impact des décisions de sécurité sur les utilisateurs finaux ;
j mesurer les risques en se fondant sur la probabilité et la criticité de la menace ;
j maintenir l’interopérabilité ;
j répondre aux besoins d’évolutivité ;
j sécuriser le service de R&D.
Pour ce faire, il est nécessaire d’étudier les solutions les moins onéreuses et de regarder
les technologies de sécurité apportées par Windows Server 2003, Windows XP
Professionnel et Windows Vista Professionnel (et les Service Pack 2 de Windows
Server 2003 et Windows XP) pouvant répondre au mieux au plan de sécurité.
Tenir compte du coût initial et continu de la sécurité

Pour répondre au mieux à cette demande, on définira une phase de conception en
introduction du plan de sécurité. Cette phase de conception s’orientera autour des
points suivants :
j la conception de la sécurité pour la gestion du réseau ;
j la conception d’une infrastructure de mise à jour des dispositifs de sécurité ;
j la conception d’un système de clients sécurisé.
52
La mise en œuvre
Ces phases de conception vont permettre d’analyser tous les facteurs qui, s’ils ne sont
pas identifiés, risquent d’augmenter le coût de la sécurité, et de rechercher les
technologies de sécurité qui, si elles ne sont pas employées, feront échouer le projet.
1. Étude de cas
Considérer les exigences légales qui affectent la mise en œuvre de la
sécurité
Pour intégrer les dispositions légales au sein de l’entreprise, il est important de
demander au service juridique de l’entreprise de vérifier le plan de sécurité. Il s’agit
entre autres de réaliser un certain nombre de démarches auprès des organismes
gouvernementaux et des associations qui peuvent être des sources de conseils en
matière de sécurité.
Mesurer l’impact des décisions de sécurité sur les utilisateurs

finaux
Il faudra mesurer l’impact des décisions de sécurité sur l’utilisateur final. Prenons
comme exemple la stratégie de compte : une stratégie de mot de passe trop lourde, par
exemple 15 caractères + l’utilisation de la complexité stratégie de complexité de mot de
passe, forcerait l’utilisateur à conserver son mot de passe sur un papier, près de son
ordinateur. Une stratégie de verrouillage de comptes mal adaptée apportera un surplus
important de coups de téléphone au centre d’appels.
Mesurer les risques en se fondant sur la probabilité et la criticité de

la menace
Il est important de pouvoir mesurer les probabilités d’attaques, les moyens mis en œuvre
face à une menace ainsi que les réponses à ces menaces, afin d’en estimer les coûts.
Prenons le cas de la probabilité d’une menace. Si on définit une échelle des probabilités
allant de 1 à 9 – 9 étant la probabilité la plus importante qu’une menace se produise – et
si on définit une échelle du niveau de criticité allant de 1 à 9 – 9 étant la criticité la plus
élevée –, une menace avec une probabilité de 2 et une criticité de 8 sur cette échelle
devra être prise en compte selon certaines considérations.
Maintenir l’interopérabilité
Appliquer une sécurité importante dans l’entreprise ne signifie pas que l’activité doit
s’arrêter. Que l’on ne puisse plus communiquer, échanger des données ou encore piloter
des applications n’est pas forcément le signe d’un réseau sécurisé. Au contraire, il faut
pouvoir garantir les échanges de données en cryptant les informations, en s’assurant de
la compatibilité de certains protocoles avec les autres systèmes, en veillant à l’aspect
fonctionnel de l’infrastructure.
53
Les performances des machines doivent être prises en compte également : en effet,
l’utilisation excessive d’un protocole de cryptage peut empêcher un ordinateur de
communiquer dans un temps imparti.
1. Étude de cas
Répondre aux besoins d’évolutivité

L’implémentation de la sécurité à tous les niveaux ne doit pas être une contrainte dans
le cadre de futures migrations, le jour où Puzzmania achètera une autre société. Il ne
faut pas que l’infrastructure devienne une voie de garage dans laquelle il n’est plus
possible d’évoluer.
Sécuriser le service de R&D

Ce service étant celui qui génère la valeur ajoutée de la société, il faudra
particulièrement le sécuriser, tant au niveau des matériels, qu’au niveau de
l’infrastructure (définition d’un domaine dédié) et de la transmission des données.
1.4. En résumé
Nous avons voulu que cette étude de cas soit suffisamment générique et ouverte pour
que chaque administrateur y retrouve les informations dont il a besoin : soit par rapport
à une situation à laquelle il est confronté, soit par rapport à une fonctionnalité
technique. Nous souhaitons que tous les concepts techniques abordés par la suite
trouvent un sens dans une réalité quotidienne et vous permettent d’anticiper les phases
de migration : avec Windows Server 2003 et Windows Server 2008, avec Windows XP et
Windows Vista.
54
Chapitre 2
État des lieux de

Windows Server en
entreprise
2.1 Les différentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . 57
2.2 De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ? . . . 62
2.3 De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ? . . . . 65
2.4 Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . 71
2.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Les différentes versions de Windows Server 2003
Q ue de chemin parcouru par Windows en entreprise depuis dix ans ! Depuis

Windows NT 3.51, puis Windows NT 4.0 qui a fait décoller ce que l’on appelle la
"technologie NT" au sein de l’entreprise, force est de constater que la part de marché de
la branche serveur des produits Microsoft est en hausse constante. Les entreprises se
sont vite aperçues que Windows Server était adapté à la gestion des infrastructures de
comptes et de ressources. Petit à petit, grâce à l’étendue des possibilités des produits,
Windows Server est devenu une référence dans l’entreprise, non seulement pour gérer
Windows Server en
2. État des lieux de
l’infrastructure, mais aussi pour fournir une multitude de services (impression, base de
entreprise
données, messagerie, travail en collaboration, supervision, et bien d’autres). Dans les
grandes sociétés, il permet de gérer des milliers de comptes ; dans les petites, il permet
d’avoir un serveur à tout faire pas trop dur à installer et à administrer.
Aussi, quand Microsoft a introduit Windows 2000 et changé la façon de gérer les
comptes et les ressources en sortant Active Directory, l’impact a été très grand pour les
entreprises. De longs projets, parfois complexes, ont vu le jour et certaines entreprises
ont préféré attendre avant de migrer, convaincues de l’inéluctabilité de la migration.
C’est pourquoi, même de nos jours, plusieurs années après la mise à disposition d’Active
Directory, les migrations sont encore courantes dans l’industrie. Windows Server 2003
est arrivé à point, avec son lot de nouveautés, afin de compléter le processus.
Comme Windows Server 2003 s’appuie sur les dix ans d’histoire de Windows NT et des
serveurs Windows qui lui ont succédé, il offre une interopérabilité complète avec les
serveurs Windows 2000 Server et Windows NT Server, à condition que l’on respecte
certaines procédures. C’est pourquoi les entreprises peuvent immédiatement installer
de nouveaux serveurs exécutant Windows Server 2003, même si elles n’ont pas encore
déployé Active Directory. Elles bénéficieront immédiatement des améliorations en
matière d’administration, de fiabilité, de sécurité, de performances et d’intégration des
services web XML par exemple.
2.1. Les différentes versions de Windows Server 2003

Windows Server 2003 offre une gamme de solutions destinées à répondre aux divers
besoins des organisations de toutes tailles. Aussi, les scénarios d’utilisation et les besoins
en termes de puissance, de disponibilité et d’évolutivité, constitueront les critères de
choix entre les différentes éditions de Windows Server 2003.
Adresse Windows Server 2003

www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp
Windows Server 2003 Standard Edition

Windows Server 2003 Standard Edition est un système d’exploitation serveur réseau
polyvalent. Il répond aux besoins des petites et moyennes organisations et des services
57
Chapitre 2 État des lieux de Windows Server en entreprise
départementaux ou groupes de travail. Windows Server 2003 Standard Edition permet

le partage de fichiers et d’imprimantes, une connectivité Internet sécurisée, le
déploiement centralisé d’applications de bureautique, une collaboration performante
entre les employés, les partenaires et les clients. Il permet la mise en œuvre d’une
infrastructure d’entreprise (services réseau et de communications, sécurité, annuaire,
gestion de parc). Il prend en charge le support de systèmes multiprocesseurs
symétriques jusqu’à quatre processeurs et un maximum de 4 Go de mémoire vive.
Windows Server en
entreprise
Windows Server 2003 Enterprise Edition

Windows Server 2003 Enterprise Edition constitue un serveur de choix pour les
moyennes et grandes entreprises. Il permet la mise en œuvre d’une infrastructure
d’entreprise (services réseau et de communications, sécurité, annuaire, gestion de parc),
l’exploitation d’applications métier ou tournées vers Internet, comme les services web et
le commerce électronique. Windows Server 2003 Enterprise Edition permet la montée
en charge sur des serveurs (jusqu’à huit processeurs), et existe en deux versions
destinées au support des plateformes Intel 32 bits et 64 bits. Il prend en charge jusqu’à
32 Go de mémoire RAM sur plateforme 32 bits et 64 Go de mémoire RAM sur
plateforme 64 bits. Point d’entrée pour la consolidation des services d’infrastructure et
des serveurs d’applications, Windows Server 2003 Enterprise Edition bénéficie d’outils
de contrôle des ressources (processeurs et mémoires) associées aux applications. La
mise en œuvre de solutions de haute disponibilité s’appuiera sur le service de clusters
(jusqu’à huit nœuds) et le service de répartition de charge réseau.
Windows Server 2003 Datacenter Edition

Destiné à la mise en œuvre d’applications critiques et volumineuses, Windows
Server 2003 Datacenter Edition répond aux besoins des plus grosses bases de données,
systèmes transactionnels et applications métier spécifiques. Windows Server 2003
Datacenter Edition représente le système d’exploitation serveur le plus puissant et le
plus fonctionnel jamais conçu par Microsoft. Son architecture robuste permet la mise en
œuvre de solutions de base de données critiques et de logiciels de planification de
ressources d’entreprise (ERP). Il permet le traitement de volumes importants de
transactions en temps réel et constitue une excellente plateforme pour la consolidation
de serveurs, y compris pour la consolidation d’applications hétérogènes. Il prend en
charge jusqu’à 32 processeurs et 64 Go de mémoire sur les serveurs 32 bits et jusqu’à
64 processeurs et 512 Go de mémoire RAM sur les serveurs à base de processeurs
64 bits Intel Itanium. De quoi satisfaire les plus gros besoins en ressources !
Windows Server 2003 Web Edition

Spécifiquement conçu et optimisé pour la mise en œuvre de solutions web, Windows
Server 2003 Web Edition est un nouveau produit dans l’ensemble des serveurs web. Il
peut être utilisé aussi bien par les fournisseurs de services Internet que par les
organisations qui ont choisi d’héberger elles-mêmes leurs serveurs web. Il est optimisé
58
pour offrir aux entreprises une plateforme complète et robuste de services et

d’hébergement web, facile à déployer et à gérer. Grâce à la technologie ASP .NET de
Microsoft, qui fait partie du Framework .NET, Windows Server 2003 Web Edition
apporte aux développeurs une plateforme de création et de déploiement rapide de
services et d’applications web XML.
Windows Server en
Comparaison des caractéristiques des différentes versions de
entreprise
Windows Server 2003
Le tableau suivant compare les caractéristiques des différentes versions de Windows
Server 2003. Il vous aidera dans le choix des versions à installer en fonction de vos
besoins.
Légende utilisée…
j T : caractéristique totalement prise en charge ;
j P = caractéristique partiellement prise en charge ;
j - = caractéristique non prise en charge.
Tableau 2.1 : Comparaison des caractéristiques de Windows Server 2003

Caractéristique Standard Enterprise Datacenter Web Edition
Edition Edition Edition
Services d’application .NET
Framework .NET T T T T
IIS6.0 T T T T
ASP. NET T T T T
Service UDDI T T T -
Technologie de clusters
Équilibrage de la charge T T T T
réseau
Service cluster - T T -
Communications et services réseau
Réseau privé virtuel T T T P
(VPN)
Service d’authentification T T T -
Internet (IAS)
Pont réseau T T - -
Partage de connexion T T - -
Internet (ICS)
IPv6 T T T T
59

Service d’annuaire
Active Directory T T T P
Prise en charge de MMS - T T -
(Metadirectory Services)
Windows Server en
Services de fichiers et d’impression

entreprise
Système de fichiers T T T P
distribué (DFS)
Système de fichiers T T T T
cryptés (EFS)
Restauration de clichés T T T T
instantanés
Transport de clichés - T T -
instantanés
Stockage amovible T T T T
Stockage à distance - T T -
Service de télécopie T T T -
Service pour Macintosh T T T -
Services pour Unix T T T T
Virtual Disk Service T T T T
(VDS)
Virtual Shadow Copy T T T T
Service (VSS)
Service de gestion
IntelliMirror T T T P
Jeu de stratégie résultant T T T P
(RSoP)
Ligne de commande T T T T
Windows Management
Instruction (WMI)
Installation du système T T T T
d’exploitation à distance
Service d’installation à T T T -
distance (RIS)
Windows System - T T -
Resource Manager
(WSRM)
60

Services multimédias
Services Windows Media P T T -
Évolutivité
Windows Server en
Prise en charge 64 bits T T T -
pour les processeurs
entreprise
Ajout de la mémoire à - T T -
chaud
Accès non uniforme à la - T T -
mémoire (NUMA)
Programme Datacenter - - T -
Services de sécurité
Pare-feu Internet T T - T
Services de certificats, P T T P
infrastructure de clés
publiques et cartes à
puces
Services Terminal Server
Bureau à distance pour T T T T
l’administration
Terminal Server T T T -
Annuaire de session - T T -
Terminal Server
Configuration requise
Même si les configurations minimales ne sont pas vraiment réalistes pour faire tourner
en production un environnement Windows Server 2003, il reste toujours intéressant de
les connaître. Elles sont présentées dans le tableau suivant. Elles peuvent vous être
utiles par exemple en environnement de test ou de lab., sur des machines virtuelles.
Tableau 2.2 : Configurations requises

Critère Standard Edition Enterprise Edition Datacenter Edition Web Edition
Fréquence d’horloge 133 MHz 133 MHz (x86) 133 MHz (x86) 133 MHz
minimale du 733 MHz (Itanium) 733 MHz (Itanium)
processeur
61
Critère Standard Edition Enterprise Edition Datacenter Edition Web Edition

Fréquence d’horloge 550 MHz 733 MHz 733 MHz 550 MHz
recommandée
RAM minimale 128 Mo 128 Mo 512 Mo 128 Mo
RAM recommandée 256 Mo 256 Mo 1 Go 256 Mo
Windows Server en
RAM maximale 4 Go 32 Go (x86) 64 Go (x86) 2 Go

64 Go (Itanium) 512 Go (Itanium)
entreprise
Nombre de Jusqu’à 4 Jusqu’à 8 8 au minimum Jusqu’à 2

processeurs 64 au maximum
Espace disque 1,5 Go 1,5 Go (x86) 1,5 Go (x86) 1,5 Go
requis pour 2 Go (Itanium) 2 Go (Itanium)
l’installation
2.2. De Windows NT 4.0 Server à Windows

Server 2003, qu’est-ce qui a changé ?
Lors du processus de migration de Windows NT 4.0 vers Windows Server 2003, vous
allez, pendant un laps de temps plus ou moins long, devoir faire cohabiter des serveurs
sous Windows NT 4.0 et des serveurs sous Windows Server 2003. Vous serez obligé
d’utiliser les mêmes fonctionnalités, dossiers et utilitaires proposés par les deux
systèmes d’exploitation, mais accessibles différemment. En ce sens, mieux vaut disposer
de fiches mnémotechniques.
Les nouveaux outils et les anciennes tâches

Tableau 2.3 : Outils d’administration de Windows NT 4.0 et Windows Server 2003
Outils version Windows NT 4.0 Équivalence sous Windows Server 2003
Server
Administration du service d’accès Routage et accès distant
distant
Administration du client réseau Utilisez \I386\Adminpak.msi pour installer les outils d’administration
de Windows Server 2003 sur les stations de travail
Administrateur de disques Gestion de l’ordinateur/Stockage/Gestion des disques
Analyseur de performances Performances
Assistant d’administration Gérer un serveur
Diagnostics Windows NT Tous les programmes/Accessoires/Outils
système/Informations système
62
De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ?
Outils version Windows NT 4.0 Équivalence sous Windows Server 2003

Server
Éditeur de stratégie système Accessible depuis Utilisateurs et ordinateurs Active Directory
et d’autres consoles
Gestion des services Internet Gestionnaire des services Internet
Gestion de licences Gestionnaire des licences
Windows Server en
Gestion des sauvegardes Accessoires/Outils système/Utilitaire de sauvegarde
entreprise
Gestion de serveur Gestion de l’ordinateur/Outils système/Dossiers partagés
Utilisateurs et ordinateurs Active Directory (pour ajouter un ordinateur à
un domaine)
Sites et services Active Directory (pour forcer manuellement la
réplication de l’annuaire entre des contrôleurs de domaine)
Gestion des utilisateurs Gestion de l’ordinateur/Outils système/Utilisateurs et
groupes locaux (pour gérer les comptes locaux sur les serveurs
autonomes dans les groupes de travail)
Stratégie de sécurité locale (pour configurer les restrictions sur les mots
de passe, le verrouillage des comptes, la stratégie d’audit et les droits
des utilisateurs sur les serveurs autonomes dans les groupes de travail)
Gestion des utilisateurs pour le Utilisateurs et ordinateurs Active Directory (pour gérer les comptes de
domaine domaine et pour configurer les restrictions sur les mots de passe, le
verrouillage des comptes, la stratégie d’audit et les droits des
utilisateurs au travers de la stratégie de groupe)
Domaines et approbations (pour gérer les approbations)
Gestionnaire DHCP DHCP
Gestionnaire WINS WINS
Gestionnaire DNS DNS
Moniteur réseau Observateur réseau
Observateur d’événements Observateur d’événements
Outils de migration pour Netware Pas d’équivalence
Les dossiers et les utilitaires

Tableau 2.4 : Dossiers spéciaux de Windows NT 4.0 Server et Windows Server 2003
Dossier et utilitaire version Windows NT 4.0 Server Équivalence sous Windows Server 2003
Poste de travail Poste de travail
Voisinage réseau Favoris réseau
C:\winnt (dossier système) C:\windows
63
Dossier et utilitaire version Windows NT 4.0 Server Équivalence sous Windows Server 2003
C:\winnt\profiles (emplacement où les profils C:\documents and settings (sauf en cas de mise
d’utilisateurs locaux sont stockés) à niveau depuis NT, auquel cas l’emplacement originel
est conservé)
L’emplacement par défaut où les applications Dossier Mes documents pour les applications
enregistrent leurs fichiers varie sous Windows NT conformes (sauf en cas de mise à niveau depuis NT,
Windows Server en
auquel cas l’emplacement originel est conservé)

entreprise
Démarrer/Rechercher Démarrer/Rechercher
Démarrer/Aide Démarrer/Aide et support
Démarrer/Programmes/Invite de Démarrer/Invite de commandes
commande
Démarrer/Programmes/Explorateur Démarrer/Explorateur Windows
Windows NT
Démarrer/Paramètres/Active Desktop Clic droit sur le Bureau, Active Desktop
Démarrer/Paramètres/Options des dossiers Panneau de configuration/Options des
dossiers
Accessoires/Accès réseau à distance Panneau de configuration/Connexions
réseau
Accessoires/Telnet Commande Telnet
Le Panneau de configuration
Tableau 2.5 : Panneau de configuration de Windows NT 4.0 et Windows Server 2003
Panneau de configuration sous Équivalence sous Windows Server 2003
Windows NT 4.0
Alim. de secours Options d’alimentation/Onduleur
Cartes SCSI Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
Console Invite de commandes, clic droit sur le menu de contrôle, Par défaut
Internet Options Internet
Modems Options de modems et téléphonie
ODBC Outils d’administration/Sources de données (ODBC)
Paramètres régionaux Options régionales et linguistiques
Périphériques Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
Périphériques de bandes Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
64
De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?
Panneau de configuration sous Équivalence sous Windows Server 2003

Windows NT 4.0
Ports Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
Réseau/Identification Système/Nom de l’ordinateur
Windows Server en
Réseau/Services/Protocoles Connexions réseau/Connexion au réseau local/Propriétés

/Cartes
entreprise
Réseau/Liaisons Tous les
programmes/Accessoires/Communications/Connexions
réseau/Avancé/Paramètres avancés
Serveur Gestion de l’ordinateur/Outils système/Dossiers partagés
Services Outils d’administration/Services
Système/Général Système/Général
Système/Profils utilisateurs Système/Avancé/Profil des utilisateurs/Paramètres
Système/Performances Système/Avancé/Performances/Paramètres
Système/Environnement Système/Avancé/Variable d’environnement
Système/Arrêt/Démarrage Système/Avancé/Démarrage et récupération
Système/Profils matériels Système/Matériel/Profils matériels
Téléphonie Options de modems et téléphonie/Règles de numérotation
2.3. De Windows 2000 Server à Windows

Server 2003, qu’est-ce qui a changé ?
D’aucuns pourraient penser que rien n’a changé de Windows 2000 Server à Windows
Server 2003. Pour comprendre que cela est faux, il suffirait juste de parler de GPMC
(stratégies de groupe) ou tout simplement d’expliquer que, aujourd’hui, plus de 90 % du
système peut être administré en ligne de commande. Cette section a pour objectif de
présenter les principales améliorations et nouveautés apportées à Windows Server 2003.
Elle a aussi pour but d’aider les administrateurs de Windows 2000 Server à anticiper le
passage à Windows Server 2003 en mettant en avant les différences importantes entre
les deux systèmes d’exploitation. Le nombre d’améliorations étant trop important pour
être abordé dans ce seul chapitre, nous n’en traiterons qu’une partie, en nous focalisant
sur trois pôles :
j les améliorations apportées à Active Directory ;
j les améliorations du côté de TCP/IP ;
j les changements mineurs.
65
Même si Windows Server 2003 ne représente pas un changement aussi important

comparativement au passage entre Windows NT 4.0 Server et Windows 2000, il répond
bien souvent par ses améliorations aux interrogations et aux besoins des administrateurs
travaillant sous Windows 2000 Server.
Les améliorations apportées à Active Directory

Windows Server en
Si l’on voulait dresser un récapitulatif par thèmes des nouvelles fonctionnalités et des
entreprise
améliorations apportées à Active Directory, on constaterait que, au niveau intégration

et productivité, performances et évolutivité, ou encore administration, configuration et
amélioration de la sécurité, plus de 60 améliorations significatives mériteraient d’être
développées dans ce chapitre. Autant dire qu’on pourrait y consacrer la moitié de ce
livre ! Pour cette raison, vous ne trouverez qu’un récapitulatif des fonctions en
adéquation avec le contexte de l’étude de cas Puzzmania. Pour le reste des
améliorations, vous pouvez consulter les divers sites Microsoft traitant de Windows
Server 2003.
j Les domaines peuvent être maintenant renommés à l’aide d’outils gratuits
téléchargeables sur le site de Microsoft à l’adresse www.microsoft.com/
windowsserver2003/downloads/domainrename.mspx. Cet outil reste tout de même à utiliser
avec précaution, notamment sur le domaine racine.
j Les serveurs de catalogue global ne sont plus obligatoires sur chaque site pour
prendre en charge l’ouverture de session. Dans le cas d’une entreprise possédant
une ou plusieurs succursales ou sur des sites géographiques distants reliés à faible
bande passante, tel Puzzmania, Windows Server 2003 améliore le processus
d’ouverture de session de telle sorte que les sites géographiques distants n’ont plus
besoin d’accéder au serveur central du catalogue global chaque fois qu’un utilisateur
souhaite se connecter. Il n’est donc plus nécessaire de déployer un serveur de
catalogue global sur chaque site. Attention toutefois aux applications utilisant le
catalogue global, tel Exchange, car cela peut générer un trafic sur le lien réseau
distant, qui peut s’avérer important et donc avoir un impact sur la production.
Depuis Windows Server 2003, les contrôleurs de domaine placent régulièrement
dans un cache les informations d’appartenance à un groupe universel.
j Toujours du côté du trafic réseau, on note une amélioration dans la réplication de
l’appartenance au groupe. Une fois la forêt promue en mode natif Windows
Server 2003, l’appartenance au groupe est modifiée au niveau des membres
individuels plutôt qu’au niveau global. Cela diminue la charge de bande passante sur
le réseau lors de la réplication.
j La compression du trafic de réplication peut être désactivée entre les sites
sélectionnés.
j Même si cela ne nous concerne pas dans notre étude de cas, le générateur de
topologie intersite (ISTG, Inter-Site Topologie Generator) dispose d’un algorithme
amélioré qui accepte des forêts contenant un nombre de sites beaucoup plus élevé
que celui accepté sous Windows 2000 Server.
66
j Les objets utilisateurs dans les annuaires LDAP, qui emploient la classe
inetOrgPerson définie dans la RFC 2798 (comme ceux développés par Netscape et
Novell), sont désormais utilisables dans Active Directory.
j L’authentification PassPort est maintenant accessible à Internet Information
Services 6.0 et permet aux objets utilisateurs Active Directory d’être mis en
correspondance avec leur identification PassPort (si elle existe).
Windows Server en
j Un nouvel Assistant Configurer votre serveur simplifie la mise en œuvre d’Active
entreprise
Directory et propose des paramètres prédéfinis, tels les rôles qui définissent la
fonction des serveurs.
j Comme vous le verrez lors de l’implémentation des serveurs d’infrastructure, les
zones DNS et les serveurs peuvent être créés et automatiquement configurés lors de
l’installation d’un serveur de la famille Windows Server 2003.
j Au lieu de répliquer une copie complète de la base de données Active Directory via
le réseau, il est possible de créer un réplica à partir des fichiers existants d’un
contrôleur de domaine ou d’un serveur de catalogue global. Les fichiers de
sauvegarde, créés par l’utilitaire de sauvegarde d’Active Directory, sont gravés sur
support CD ou DVD et le réplica peut alors s’effectuer à partir du support (cette
pratique reste intéressante si l’on a un nombre élevé d’utilisateurs et qu’il existe
quelques agences avec des bandes passantes à faible débit).
j Le modèle actuel des niveaux fonctionnels de domaine et de forêt remplace le
modèle Windows 2000 Server précèdent (modes mixte/natif) et fournit une
interopérabilité entre les contrôleurs de domaine Windows NT 4.0, 2000 et 2003.
j Les classes et attributs de schéma qui ne sont plus nécessaires peuvent être
maintenant redéfinis.
j Tout administrateur aura pour souvenir la rétrogradation d’un contrôleur de
domaine qui se passe mal, avec tout ce que cela comporte. Désormais, la commande
dcpromo facilite l’opération.
j La partition applicative autorise un contrôle plus avancé sur la manière dont les
informations de l’annuaire sont répliquées (les informations du DNS y sont
maintenant stockées).
j L’authentification entre forêts permet aux utilisateurs d’une forêt d’accéder aux
ressources présentes dans une autre forêt. La notion d’approbation de royaume fait
aussi son apparition pour les approbations Kerberos.
j Un important travail a été réalisé sur les stratégies de groupe, tant sur les outils que
sur les nouveaux paramètres. Windows Server 2003 inclut plus de 150 nouveaux
paramètres de stratégie, qui permettent de personnaliser et de contrôler le
comportement du système d’exploitation vis-à-vis des groupes d’utilisateurs. Les
nouvelles fonctions couvrent les points présentés dans ce qui suit.
67
Les améliorations du côté de TCP/IP

Voici les nouveautés et améliorations sur la partie TCP/IP…
j Les services IIS ont totalement été revus, mais ils ne sont plus installés par défaut
pour plus de sécurité. Le traitement du trafic web se fait maintenant en mode noyau.
Nous pourrions aussi citer l’amélioration de l’isolation des processus, le verrouillage
Windows Server en
du serveur par défaut ou bien des nouvelles fonctionnalités de gestion. Mais pour
rendre justice à cette nouvelle version du serveur web, il faudrait y consacrer un
entreprise
ouvrage complet. Toutefois, il existe sur le site web de Microsoft, la publication d’un
kit de ressources techniques complet, en libre téléchargement à l’adresse
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/iis/default.mspx.
j Le protocole TCP/IP ne peut plus être supprimé. Mais une nouvelle commande,
netsh, permet, en ligne de commande, de reconfigurer la pile TCP/IP avec ses
valeurs par défaut sans devoir redémarrer le système (cette commande, très
puissante, sera décrite dans la partie réseau de l’ouvrage). Il est désormais inutile de
supprimer la pile du protocole puis de la réinstaller.
j Autodétermination des métriques de routage en fonction de la vitesse de l’interface
réseau de l’ordinateur : le protocole est capable de calculer lui-même la métrique de
chaque route en fonction de la configuration TCP/IP et de la vitesse de l’interface.
j La taille de la fenêtre de réception TCP/IP est déterminée en fonction de
l’adaptateur réseau de la machine. Cette taille de fenêtre conditionne le nombre
maximal d’octets qui peuvent être reçus avant l’envoi d’accusés de réception.
j La pile de protocole IPv6 est prise en charge.
j La procédure pour rejoindre un domaine a été améliorée de sorte qu’il est possible
de détecter un DNS mal configuré.
j Nouveauté de Windows Server 2003 sur le DNS toujours : les zones de stub et la
redirection conditionnelle. Qu’est-ce qu’une zone de stub ? C’est la copie d’une
zone contenant uniquement les enregistrements de ressources nécessaires à
l’authentification des serveurs DNS faisant autorité pour ladite zone. La fonction de
redirection conditionnelle inclut un mécanisme de redirection en fonction du nom
d’hôte.
j Le service DNS permet l’enregistrement d’un journal de débogage. Il enregistre
automatiquement les ressources NS et prend en charge la technique de Round
Robin pour tous les enregistrements RR (Record Ressources).
Les changements mineurs

Les améliorations suivantes sont peut-être moins importantes en termes
d’administration quotidienne, mais elles restent vraiment utiles dans certaines
situations.
68
j Par défaut, les écrans de veille sont maintenant protégés par mot de passe. Cette
amélioration est simple mais importante en matière de sécurité dans le contexte
d’une salle informatique avec, parfois, des accès plus ou moins restreints.
j Toujours côté sécurité, lors de l’installation de Windows Server 2003, il est demandé
un mot de passe fort pour le compte administrateur par défaut. Cette option est
facultative.
Windows Server en
j La sécurité est renforcée aussi sur le service Telnet. Il est maintenant désactivé au
entreprise
lieu d’être configuré pour un démarrage manuel, comme sous Windows 2000
Server.
j La base de données DHCP peut être sauvegardée alors que le service est en cours
d’exécution.
j Un pare-feu minimal est disponible. Il a été grandement amélioré depuis le Service
Pack 1.
j L’adresse IP et le numéro de port d’une source sont présents automatiquement dans
tous les événements d’audit d’ouverture de sessions.
j Les paramètres du client DNS peuvent être configurés à l’aide des stratégies de
groupe.
j Un serveur de messagerie POP3 fait son apparition. Il peut venir en complément du
composant SMTP du serveur IIS. Cette nouveauté reste mineure dans le sens où la
plupart des entreprises utilisent un serveur de messagerie dédié type Exchange.
Les petits plus de la version 2003 et les Feature Packs

Microsoft a ajouté, via des Feature Packs, de nouvelles fonctionnalités à Windows
Server 2003 depuis sa sortie en avril 2003 et prévoit de poursuivre ses efforts
d’innovation.
En fait, lorsque cela s’avère nécessaire, Microsoft fournit des extensions appelées
Feature Packs. Ces services additionnels sont généralement des composants importants
de Windows Server 2003 et sont donc officiellement pris en charge. L’ensemble des
fonctionnalités commentées ici peut être téléchargé à l’adresse www.microsoft.com
/windowsserver2003/downloads/featurepacks/default.mspx.
Voici la liste des fonctionnalités additionnelles qui sont d’ores et déjà téléchargeables
sur le site de Microsoft…
Active Directory Application Mode (ADAM)

Pour les organisations qui nécessitent une grande flexibilité, pour les applications
intégrées dans un système d’annuaire, ADAM est serveur d’annuaire au standard
LDAP v2 et v3. Pour plus d’informations concernant ADAM, rendez-vous à l’adresse
www.microsoft.com/windowsserver2003/adam/default.mspx.
69
Automated Deployment Services (ADS)

Disponible en téléchargement pour Windows Server 2003 Enterprise, ce module inclut
un ensemble d’outils de clonage qui permet d’automatiser le déploiement de systèmes
d’exploitation Microsoft. Pour plus d’informations sur ADS 1.0, rendez-vous à l’adresse
www.microsoft.com/windowsserver2003/techinfo/overview/adsbenefits.mspx.
Windows Server en
File Replication Services (FRS) Monitoring Tools

entreprise
Il s’agit d’un ensemble d’outils assurant les grandes opérations de gestion du système de
réplication de fichiers FRS. FRS est utilisé dans le cadre de l’accès au volume système
SYSVOL et aussi pour la synchronisation des partages du système de fichiers DFS. Ce
pack contient des outils, comme Ultrasound et Sonar, capables de surveiller le service
DFS, ou encore FRSDiag. Pour plus d’informations sur FRS, rendez-vous à l’adresse
www.microsoft.com/windowsserver2003/technologies/storage/dfs/tshootfrs.mspx.
Pour une présentation multimédia sur FRS, consultez le lien www.microsoft.com

/windowsserver2003/evaluation/frs/viewer.htm.
Group Policy Management Console (GPMC)

La nouvelle GPMC simplifie l’administration des stratégies de groupe en permettant de
mieux comprendre, de déployer et d’administrer l’implémentation des GPO. Pour plus
d’informations sur la GPMC, rendez-vous à l’adresse www.microsoft.com/technet
/prodtechnol/windowsserver2003/technologies/featured/gp/default.mspx.
Identity Integration
Identity Integration Feature Pack for Microsoft Windows Server Active Directory
permet la gestion des identités et coordonne les propriétés des objets utilisateurs entre
l’annuaire Active Directory et les différentes implémentations d’ADAM, de Microsoft
Exchange 2000 Server et d’Exchange Server 2003. Il permet ainsi de voir un utilisateur
donné ou une ressource donnée en une seule vue logique.
ISCSI Support
Ce module permet la prise en charge de l’interface iSCSI en fournissant une solution
économique pour la mise en œuvre de réseaux de stockage IP (sur SAN et NAS).
Windows SharePoint Services

Les services WSS permettent d’envisager une nouvelle vision du système de stockage.
Outre le stockage, WSS permet la mise en place d’une solution de collaboration pour les
groupes d’utilisateurs et les équipes devant travailler ensemble sur des documents, des
tâches, des contacts, des événements et d’autres informations pertinentes.
70
Windows Server 2003 Service Pack 2 et R2
Services for Unix

Les services pour Unix 3.5 permettent d’atteindre un haut niveau d’interopérabilité avec
les environnements Unix. Ce pack comprend un serveur NFS et NIS ainsi que de
nombreux outils pour aider les clients à faire migrer leurs applications d’Unix vers
Windows.
Windows Server en
Windows Rights Management Services (RMS)
entreprise
RMS est un élément clé de la stratégie de sécurité. En effet, il permet de mettre en
œuvre un très haut niveau de protection pour les applications RMS-aware. L’objectif est
de protéger les documents et les données critiques de l’entreprise contre tout accès non
autorisé.
2.4. Windows Server 2003 Service Pack 2 et R2

Tout le monde est maintenant habitué à la notion de Service Pack. Personne n’est plus
surpris par la sortie et la mise à disposition d’un Service Pack pour Windows (quelle que
soit la version). L’information est rapidement connue de tous. C’est donc avec une
certaine logique que Microsoft a mis à disposition le Service Pack 1 de Windows
Server 2003 en 2005, puis le Service Pack 2 en 2007. Vous trouverez la liste des
principales améliorations ci-après.
Par contre, qu’est-ce que R2 ? Ou plutôt Windows Server 2003 R2 ? Windows

Server 2003 R2 est une version améliorée de Windows Server 2003. C’est en quelque
sorte un ajout de fonctionnalités à Windows Server 2003. D’ailleurs, le produit est
constitué de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et
le second un pack de nouvelles fonctionnalités. Pour autant, ce n’est pas un Service Pack
car Windows Server 2003 R2 est soumis à licence. Il est à noter cependant que le Service
Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour
la version Windows Server 2003 R2.
Le produit étant construit sur la base de Windows Server 2003 SP1, les mêmes
applications sont compatibles pour les deux systèmes. Windows Server 2003 R2 apporte
de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut
installer (CD-Rom 2). Ces fonctionnalités ne sont pas présentes dans la version
Windows Server 2003 de base et la plupart ne sont pas disponibles séparément. Les
autres, le sont sous forme de Feature Packs.
Les nouveautés du Service Pack 1

Si vous souhaitez obtenir une bonne vue d’ensemble ou des informations détaillées sur
le Service Pack 1 de Windows Server 2003, consultez www.microsoft.com/france/windows/
windowsserver2003/downloads/servicepacks/sp1/overview.mspx. Ce site présente plusieurs arti-
cles avec des questions-réponses ainsi que de la documentation en français.
71
Rendez-vous également à l’adresse : www.microsoft.com/downloads/details.aspx?FamilyId=

C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en. Vous pourrez télécharger un do-
cument très complet sur le SP1 puisqu’il représente à lui seul 300 pages. Par contre, ce
site et la documentation qu’il propose sont en anglais.
Windows Server 2003 SP1 améliore les fonctionnalités faisant partie de Windows
Server 2003. De telles améliorations visent à optimiser le produit et à en augmenter la
Windows Server en
sécurité, la fiabilité et l’efficacité. Parmi les principales améliorations, citons les

entreprise
éléments suivants :
j Prise en charge de la fonction "Ne pas exécuter" incluse dans le matériel. Windows
Server 2003 SP1 permet à Windows Server 2003 d’utiliser les fonctionnalités
intégrées dans les processeurs d’Intel et d’AMD afin d’empêcher l’exécution de
code malveillant à partir de zones de la mémoire qui ne sont pas attribuées à du
code. Cette disposition élimine une large part des attaques actuelles.
j Audit de la métabase Internet Information Services (IIS) 6.0. La métabase est un
magasin de stockage XML hiérarchique qui contient les informations de
configuration d’IIS 6.0. L’audit de ce magasin permet aux administrateurs réseau de
voir qui a accédé à la métabase lorsqu’elle a été corrompue.
j Paramètres par défaut plus puissants et réduction des privilèges sur les services. Les
services tels que RPC et DCOM font partie intégrante de Windows Server 2003. De
ce fait, ils constituent une cible attrayante pour les personnes malintentionnées. En
exigeant une authentification plus forte lors de l’appel de ces services, Windows
Server 2003 SP1 relève le niveau de sécurité pour toutes les applications qui utilisent
ces services, même si elles sont elles-mêmes peu ou pas sécurisées.
j Ajout de composants Network Access Quarantine Control. Windows Server 2003 SP1
contient à présent les composants RQS.exe et RQC.exe, qui simplifient le déploiement
de Network Access Quarantine Control (contrôle de la mise en quarantaine pour
l’accès au réseau). Pour plus d’informations sur ce sujet, rendez-vous à l’adresse
www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.
Contrairement à d’autres Service Packs, SP1 ajoute de nouvelles fonctionnalités

puissantes à Windows Server 2003. Voici les principales :
j Pare-feu Windows. Également intégré dans Windows XP Service Pack 2, le
pare-feu Windows est le successeur du pare-feu de connexion Internet. Il s’agit d’un
pare-feu logiciel destiné à protéger chaque poste client et chaque serveur. Windows
Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un
contrôle à l’échelle du réseau via la stratégie de groupe.
j Mises à jour de sécurité post-installation (PSSU). Les serveurs sont vulnérables
entre le moment de l’installation et l’application des dernières mises à jour de
sécurité. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les
connexions entrantes après l’installation, jusqu’à ce que Windows Update soit
exécuté pour installer les dernières mises à jour de sécurité sur le nouvel ordinateur.
72
Cette fonctionnalité oriente également les administrateurs vers la mise à jour

automatique au moment de la première connexion.
j Assistant Configuration de la sécurité (SCW). Il pose des questions à
l’administrateur sur les rôles que doit tenir le serveur, puis il bloque les ports inutiles
à ces fonctions. Ainsi, de nombreuses voies d’attaques possibles sont fermées.
j Support de TLS dans Terminal Services. C’est la grande nouveauté sur TSE, qui
Windows Server en
permet d’identifier le serveur TSE (comme on identifie un serveur web en SSL) et
entreprise
d’utiliser TLS comme une méthode de chiffrement pour les communications entre
le client et le serveur.

Le Service Pack 2 (SP2) donne accès en un seul package aux dernières mises à jour,
améliorations et fonctionnalités disponibles pour Windows Server 2003. Ses
composants renforcent la sécurité, la fiabilité et les performances de Windows
Server 2003 et Windows Server 2003 R2.
Et Microsoft profite de l’opportunité offerte par la sortie du SP2 pour ajouter de

nouvelles fonctionnalités à Windows Server 2003.
Les mises à jour

L’administration des mises à jour constitue un véritable défi pour la sécurité des
ordinateurs. Malgré cela, les mises à jour doivent être appliquées car elles jouent un rôle
vital dans la sécurisation du parc informatique de l’entreprise en anticipant sur les
attaques et en bloquant les vulnérabilités. La fréquence des mises à jour est cruciale
pour résoudre les problèmes de sécurité dès qu’ils sont découverts. En regroupant
toutes les mises à jour dans SP2, Microsoft apporte en un seul package l’ensemble des
protections les plus récentes pour Windows Server 2003.
En plus de reprendre toutes les mises à jour correspondant aux bulletins de sécurité, SP2
installe tous les correctifs diffusés depuis la sortie de Windows Server 2003, ainsi que
certaines fonctions ou améliorations importantes réclamées par les clients.
Il n’est donc pas nécessaire que le SP1 soit installé, pour installer le SP2.
Scalable Networking Pack (SNP)

Les entreprises connaissent un développement rapide du trafic sur leurs réseaux interne
et externe. Cette croissance du trafic est due, au moins en partie, aux applications métier
en réseau et aux solutions de sauvegarde et de stockage sur le réseau. À cela s’ajoutent
les applications multimédias comme la visioconférence et les présentations audio et
vidéo.
73
Le déploiement d’Ethernet, puis du Gigabit Ethernet étend la bande passante

disponible afin de faire face à cette demande, mais plus le réseau présente un débit
important, plus la charge sur les serveurs s’accroît. La prise en charge des réseaux
rapides implique par conséquent la mise en place de serveurs puissants.
Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack), un pack de
réseau capable de monter en charge et qui aide à faire face à la montée du trafic sans
Windows Server en
surcharger les ressources processeurs. SNP prend en charge des technologies réseau qui
entreprise
visent à éliminer les goulets d’étranglement du système d’exploitation associés au

traitement des paquets. Voici les améliorations apportées par ce package :
j TCP Chimney Offload (allégement de la pile TCP). TCP Chimney Offload transfère
de façon automatique le traitement du trafic TCP (Transmission Control Protocol)
avec état à un adaptateur réseau spécialisé qui met en œuvre un moteur de
déchargement TCP (TOE, TCP Offload Engine). Pour les connexions à longue
durée de vie mettant en œuvre des paquets de grande taille, comme les connexions
avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour d’autres
applications sollicitant fortement le réseau, TCP Chimney Offload réduit largement
la charge du processeur en délégant à l’adaptateur réseau le traitement des paquets
du réseau, y compris la fragmentation et le réassemblage des paquets. En utilisant
TCP Chimney Offload, vous allégez le processeur qui peut se concentrer sur
d’autres tâches comme permettre davantage de sessions utilisateurs ou traiter les
requêtes des applications en réduisant la latence. Cette fonction était auparavant
proposée par certains constructeurs de serveurs, maintenant elle est disponible
directement par Windows.
j Montée en charge en fonction du trafic reçu. Cette technique permet de répartir le
trafic entrant (paquets reçus) entre plusieurs processeurs en exploitant de nouvelles
améliorations matérielles des interfaces réseau. Elle peut répartir dynamiquement
la charge du trafic entrant en fonction de la charge du système ou des conditions de
fonctionnement du réseau. Toute application recevant de nombreux paquets et
fonctionnant sur un système multiprocesseur, comme un serveur web ou un serveur
de fichiers, devrait bénéficier de la mise en place de ce dispositif.
j NetDMA. NetDMA autorise une gestion plus efficace de la mémoire en permettant
un accès direct à la mémoire (DMA) sur les serveurs équipés de la technologie
idoine comme l’I/OAT (I/O Acceleration Technology) d’Intel.
Le Scalable Networking Pack (SNP) de Microsoft Windows Server 2003 SP2 permet de
mieux répondre aux besoins des utilisateurs tout en conservant les investissements déjà
réalisés dans l’infrastructure existante. SNP évite d’envisager une remise à plat de la
topologie réseau, de changer les configurations des serveurs ou de passer du temps à
modifier des applications existantes et des services.
SNP donne de la souplesse pour choisir les technologies les mieux appropriées en
fonction des besoins, sans devoir changer de fournisseur de matériel.
74
Informations supplémentaires sur SNP

www.microsoft.com/snp
XmlLite
Windows Server en
La bibliothèque XmlLite permet aux développeurs de bâtir des applications à hautes
entreprise
performances, fondées sur XML, capables d’une large interopérabilité avec d’autres
applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite
sont la facilité d’utilisation, les performances et le respect des standards.
XmlLite fonctionne avec n’importe quel langage Windows qui utilise les bibliothèques
dynamiques. Il est quand même plutôt recommandé d’utiliser C++. La bibliothèque
XmlLite contient tous les fichiers nécessaires pour être utilisée avec C++.
Microsoft fournit plusieurs analyseurs XML (parsers) :

j XmlLite (natif) ;
j MSXML (SAX2, natif) ;
j System.XML.XmlReader (géré).
Les implémentations DOM (Document Object Model) suivantes intègrent des

analyseurs :
j MSXML (DOM) ;
j System.XML (XmlDocument).
XML peut servir comme format d’enregistrement de documents, comme dans la

dernière version de Word, et aussi pour encoder les données pour des appels de
méthodes de conversion de paramètres (marshaling) d’une machine à une autre
(SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes
et des factures. Le Web emploie XML pour envoyer des données du serveur web vers le
navigateur. Les serveurs de bases de données répondent aux requêtes en XML, ces
réponses étant ensuite traitées par d’autres applications. XML étant un format très
souple, vous pouvez l’utiliser dans de nombreux scénarios qui se répartissent en deux
catégories principales :
j Certains scénarios traitent des documents XML en provenance de sources externes,
sans pouvoir savoir s’il s’agit de documents XML valides ou non. Dans ces scénarios,
la vérification de la validité est importante. Généralement, les développeurs
utilisent des schémas XSD ou des DTD (Document Type Definition) pour vérifier la
validité. La performance s’en trouve réduite, mais l’application peut ainsi être sûre
qu’elle reçoit un document XML valide. Ce scénario s’applique à toutes les
applications qui enregistrent ou chargent des documents.
75
j Certains logiciels emploient XML comme un magasin de données ou un moyen de

communiquer. Dans ce cas, le développeur sait que le document est valide car une
autre partie de l’application (sous le contrôle du même programmeur ou du même
éditeur) a produit le code XML. La validité du document n’est donc plus un
problème. Par exemple, nous sommes dans cette situation lorsque le logiciel
s’exécute sur une ferme de serveurs, et XML sert à communiquer entre serveurs et
processus. Un autre exemple pourrait être fourni par une application complexe qui
Windows Server en
enregistre et relit de gros volumes d’informations. Le développeur contrôle

entreprise
totalement le format du document XML.
Puisque XmlLite a pour objectif d’améliorer les performances, cette bibliothèque est
particulièrement bien adaptée aux scénarios du second type. XmlLite permet aux
développeurs d’écrire un code efficace et rapide pour lire et écrire des documents XML.
Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans
MSXML ou que SAX2 dans MSXML.
Les services de déploiement Windows WDS (Windows Deployment

Services)
Windows Server 2003 SP2 inclut une version profondément remaniée de RIS (Remote
Installation Services, "services d’installation à distance"), désormais nommée Services de
déploiement Windows ou WDS, qui aide les entreprises à préparer l’arrivée de
Windows Vista et de Windows Server 2008. WDS assure le stockage, l’administration et
le déploiement des images qui utilisent le nouveau format WIM (Windows Imaging).
Si vous souhaitez obtenir plus d’informations sur RIS, consultez le chapitre Installer
et Déployer Windows Server 2003. Quant à WDS, nous y reviendrons en détail dans
le chapitre Service de déploiement spécialement dédié à cet outil.
Windows Deployment Services améliore RIS sur plusieurs points :

j prise en charge native de Windows PE comme système d’exploitation d’amorçage ;
j prise en charge native du format de fichier WIM (Windows Imaging) ;
j composant serveur PXE extensible et plus performant ;
j nouveau menu d’amorçage client pour choisir le système d’exploitation.
WDS réduit le coût total de possession et la complexité des déploiements en apportant

une solution de bout en bout pour déployer des systèmes d’exploitation Windows sur des
ordinateurs sans systèmes d’exploitation. WDS prend en charge des environnements
mixtes incluant Windows XP et Windows Server 2003.
76
Pour décrire le niveau de fonctionnalité associé à chaque configuration possible de

WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories,
connues sous le nom de "modes serveurs".
j Le mode compatible WDS est fonctionnellement équivalent à RIS. Les binaires de
WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera présent
comme système d’exploitation d’amorçage. Cependant, seules les images RISETUP
Windows Server en
et RIPREP sont prises en charge. Les nouveaux outils d’administration de WDS ne
sont pas utilisés. Les anciens utilitaires RIS sont les seuls moyens pour administrer
entreprise
le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows
Server 2003.
Tableau 2.6 : Le mode compatible WDS

Fonctionnalité Valeur
Environnement d’amorçage OSChooser
Types d’images RISETUP et RIPREP
Outils d’administration Utilitaires RIS
j Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage
OSChooser et Windows PE sont disponibles. Dans ce mode, l’accès aux anciens
types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est
possible d’exploiter le nouveau format WIM via une image d’amorçage
Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre
RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer
les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer
toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS
ne peut fonctionner que sur Windows Server 2003.
Tableau 2.7 : Le mode mixte WDS

Environnements d’amorçage OSChooser et Windows PE
Types d’images WIM, RISETUP et RIPREP
Outils d’administration Utilitaires RIS et administration WDS
j Le mode natif WDS correspond à un serveur WDS et à des images d’amorçage

uniquement de type Windows PE. Dans ce mode, OSChooser disparaît et les images
WIM sont les seules à être prises en charge pour un déploiement sur les clients.
L’administration du serveur s’effectue via les outils WDS. Le mode natif WDS
s’applique à Windows Server 2003 et à Windows Server 2008. Pour Windows
Server 2008, il s’agit du seul mode serveur WDS pris en charge.
77
Tableau 2.8 : Le mode natif WDS

Environnement d’amorçage Windows PE
Type d’image WIM
Outil d’administration Administration WDS
Windows Server en
entreprise
Ces différents modes permettent une transition en douceur entre les fonctionnalités
RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows
Server 2008.
Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS mais
fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS.
À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et
l’interface à la ligne de commande) pour initialiser le serveur fait passer WDS en mode
mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties
au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande
/forceNative).
Microsoft Management Console 3.0 (MMC 3.0)

Microsoft Management Console 3.0 (MMC 3.0) simplifie l’administration quotidienne
de Windows par des menus, des barres d’outils, une navigation et des flux de tâches qui
unifient les différents outils. Les outils MMC servent à administrer les réseaux, les
ordinateurs, les services, les applications et d’autres composants système. La console
MMC n’effectue pas par elle-même des tâches d’administration, mais héberge des
composants Microsoft et tiers qui le font.
MMC 3.0 abaisse le coût de l’administration des applications Windows en fournissant

une console de centralisation, simple à utiliser et cohérente. Pour les administrateurs,
cette console, dans sa version 3.0, améliore les performances, la fiabilité et la découverte
dans le contexte d’actions sensibles. Pour les développeurs, elle réduit le coût du
développement de composants logiciels enfichables en nécessitant moins de code et
moins de temps passé à la conception.
MMC 3.0 représente un cadre de travail pour écrire des composants logiciels
enfichables fondés sur .NET et destinés à administrer des applications. Le modèle de
programmation .NET simplifie le développement de ces composants. La réalisation
d’un composant pour MMC 3.0 nécessite beaucoup moins de lignes de code que dans les
versions précédentes. Cela simplifie la maintenance et réduit le risque de bogues.
Wireless Protected Access 2 (WPA2)

Microsoft a diffusé la mise à jour Wireless Protected Access 2 pour Windows XP Service
Pack 2 en avril 2005. Le SP2 de Windows Server 2003 ajoute cette fonctionnalité
78
principalement pour les éditions Windows XP 64 bits (car le SP2 de Windows

Server 2003 couvre aussi la version 64 bits de Windows XP, attention à la confusion !).
WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour
améliorer la sécurité des liaisons sans fil. WPA2 simplifie la connexion aux espaces
publics sécurisés équipés d’un accès Internet sans fil.
WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que l’équipement
Windows Server en
sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP
entreprise
(Wired Equivalent Privacy) et les autres fonctions de sécurité du standard 802.11
d’origine. La certification WPA2 prend en charge les fonctions de sécurité obligatoires
du standard IEEE 802.11i, supplémentaires par rapport à WPA.
La mise en œuvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge
les caractéristiques suivantes du standard WPA2 de l’IEEE :
j WPA2 Enterprise qui utilise l’authentification IEEE 802.1X et WPA2 Personal via
une clé prépartagée (PSK).
j Chiffrement avancé qui utilise le protocole CCMP (CM-CBC-MAC, Counter
Mode-Cipher Block Chaining-Message Authentication Code) afin de renforcer la
confidentialité des données, l’authentification de l’origine des données et l’intégrité
des données pour les transmissions sans fil.
j Utilisation optionnelle du cache de la clé principale (PMK) et mise en cache
opportuniste de la PMK. Dans ce type de cache, les clients et les points d’accès sans
fil mettent en cache les résultats des authentifications 802.1X. Par conséquent,
l’accès s’effectue plus rapidement lorsqu’un client sans fil se reconnecte via un point
d’accès sans fil auprès duquel il s’est authentifié précédemment.
j Utilisation optionnelle de la préauthentification. Lors d’une préauthentification, un
client sans fil WPA2 peut effectuer une authentification 802.1X avec d’autres points
d’accès sans fil à proximité, alors qu’il est toujours connecté à son premier point
d’accès.
La version améliorée de l’outil CACLS

ICACLS est une mise à jour de l’outil CACLS dans Windows Server 2003 SP2 que vous
pouvez utiliser pour réinitialiser les listes de contrôle d’accès (ACL) sur les fichiers à
partir de la Console de récupération. Cet outil sert aussi à sauvegarder des ACL.
Contrairement à CACLS, ICACLS propage correctement les créations et les
modifications vers des ACL héritées. En tapant icacls /? en ligne de commande, vous
obtiendrez des informations supplémentaires sur l’utilisation de ICACLS.
Les fonctions existantes améliorées

Enfin, le SP2 améliore certaines fonctionnalités existantes de Windows Server 2003 avec
le SP1. Voici une liste des améliorations apportées…
79
Tableau 2.9 : Fonctionnalités déjà existantes mais améliorées par le SP2 de Windows
Server 2003
Modification Description
Authentification par port de pare-feu Une authentification par port sécurise le trafic entre l’environnement
extranet et des ressources internes qui sont protégées par une
isolation de domaine IPSec. L’installation du SP2 active cette
Windows Server en
fonctionnalité par défaut.

entreprise
Amélioration des performances pour Le SP2 améliore les performances de SQL Server 2005 lorsque le
SQL Server serveur est soumis à de fortes charges. L’installation du SP2 active
cette amélioration par défaut.
Options de découverte améliorées dans MSConfig propose désormais un onglet supplémentaire qui constitue
MSConfig un point de lancement unique pour des outils de support qui
faciliteront la découverte de diagnostics. L’installation du SP2 active
cette amélioration par défaut.
Meilleure administration du filtre lPSec Le SP2 réduit l’ensemble des filtres qu’il faut gérer dans un scénario
d’isolation de domaine et de serveur, en faisant passer leur nombre
de plusieurs centaines à 2. Il supprime aussi le besoin d’une
maintenance permanente des filtres due à des modifications de
l’infrastructure. L’installation du SP2 active cette amélioration par
défaut.
Améliorations des performances dans Le SP2 améliore les performances lorsque le taux d’accès APIC
le cadre de la virtualisation de (Advanced Processor lnterrupt Control) est élevé. Windows
Windows Server 2003 fonctionnant comme système d’exploitation
multiprocesseur hébergé dans le cadre d’une virtualisation de
Windows.
Stockage par défaut plus vaste pour la Pour la file d’attente des messages, la limite de stockage par défaut
file d’attente des messages est passée à 1 Go. Il est possible de relever cette limite dans la
console MMC, via l’onglet Général des Propriétés de la file d’attente
des messages.
Améliorations des tests DNS DCDIAG De nouvelles options ont été ajoutées aux tests DNS (Domain
Name Service) Dcdiag.exe. Les nouvelles options sont /x et
/xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles
génèrent des balises XML lorsque les tests sont exécutés avec
l’option /test:dns. Ce nouveau mécanisme de sortie permet
d’analyser plus facilement les fichiers journaux verbeux produits par
les tests DNS.
De nouveaux événements pour les Un nouvel événement a été créé pour couvrir certaines situations
comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limité par la
stratégie appliquée au domaine. Ce nouvel événement porte le
numéro 1239. Son texte descriptif inclut des informations de
dépannage.
80
Qu’apporte Windows Server 2003 R2 ?

Windows Server 2003 R2, qui est une version de Windows Server à part entière, basée
sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalités. En voici
quelques-unes, parmi les plus intéressantes…
j Gestion et déploiement des serveurs d’agences :
Windows Server en
− sauvegarde et administration centralisée des services de partage de fichiers et
entreprise
d’impression ;
− haute disponibilité ;
− gestion du hardware à distance.
j Active Directory Federation Services :

− authentification unique web ;
− interopérabilité avec les offres SSO (Single Sign On) web.
j Gestion du stockage :
− gestion plus simple des SAN ;
− File Server Migration Toolkit ;
− gestion des ressources de stockage.
j Intégration de packs de fonctionnalités Windows Server 2003 :

− Windows Share Point Services ;
− Active Directory Application Mode (ADAM) ;
− Services pour Unix ;
− iSCSI Initiator.
Windows Server 2003 R2 étend les fonctionnalités du système d’exploitation Windows

Server 2003 en proposant un moyen plus efficace de gérer et de contrôler l’accès aux
ressources locales et distantes, tout en s’intégrant facilement dans l’environnement
existant. La version R2 est dotée d’une plateforme hautement sécurisée et capable de
monter en charge, permettant la mise en œuvre de nouveaux scénarios : gestion
simplifiée des serveurs d’agences et de succursales, administration améliorée des
identités et des accès et gestion plus efficace du stockage…
Une gestion simplifiée des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilité et
l’efficacité des serveurs de succursales tout en évitant les difficultés généralement
inhérentes aux solutions serveurs pour les agences et les succursales, telles que les
problèmes de connectivité et les coûts de gestion.
81
Tableau 2.10 : Avantage de la gestion simplifiée des serveurs dans les agences et les
succursales
Avantage Description
Gestion simplifiée des Extension de la connectivité et la fiabilité aux agences et aux succursales tout en
serveurs dans les contrôlant le coût total de possession des infrastructures informatiques.
agences et les Administration mieux centralisée. Fournit des outils d’administration centralisée
Windows Server en
succursales pour les fonctions liées aux fichiers et à l’impression. Réduction de

l’administration à distance. Minimise l’administration locale et la sauvegarde sur
entreprise
site. Réseau étendu plus efficace. Accélère la réplication des données sur les
réseaux étendus.
Une gestion améliorée des identités et des accès

Windows Server 2003 R2 inclut Active Directory Federation Services (ADFS), qui
permet aux administrateurs de faire face aux problèmes posés par la gestion des
identités. Les organisations peuvent en effet partager les informations relatives à
l’identité d’un utilisateur de manière plus sécurisée, et par-delà les limites de sécurité.
Windows Server 2003 R2 fournit en outre une fonction de synchronisation des mots de
passe Unix. Il est ainsi plus facile d’intégrer les serveurs exécutant Windows et Unix du
fait de la simplification du processus de gestion des mots de passe sécurisés.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre ADAM et ADFS.
Tableau 2.11 : Avantage de la gestion améliorée des identités et des accès

Gestion améliorée des Ajoutez de la valeur aux déploiements Active Directory en vue de faciliter les accès
identités et des accès sécurisés au-delà des limites de l’organisation et des plateformes. Les entreprises
sont ainsi en mesure de gérer une même identité dans des applications
partenaires, Web et Unix.
Efficacité accrue pour l’utilisateur. Moins de mots de passe pour l’accès aux
applications internes ou hébergées chez des partenaires, grâce à l’authentification
unique sur extranet et à la fédération des identités.
Plus grande efficacité pour les administrateurs système. Administration centralisée
de l’accès aux applications sur les extranets, réduction des changements de mots
de passe et délégation possible de la gestion des utilisateurs à des partenaires de
confiance.
Meilleure sécurité. Blocage automatique de l’accès à l’extranet par le biais de la
désactivation du compte Active Directory d’un utilisateur.
Meilleure mise en conformité. Consignation des accès utilisateurs aux applications
partenaires dans les domaines de sécurité externes.
82
Meilleure interopérabilité des systèmes hétérogènes. Authentification web unique
entre les plateformes et fédération des identités. Les outils et les spécifications de
l’interopérabilité des services web permettent de gérer et de mettre à jour
dynamiquement les comptes et les mots de passe utilisateurs sur les systèmes
Windows et Unix à l’aide du service NIS (Network Information Service). À cela
Windows Server en
s’ajoute la synchronisation automatique des mots de passe entre les systèmes
d’exploitation Windows et Unix.
entreprise
Des coûts de gestion du stockage réduits
Windows Server 2003 R2 est doté de nouveaux outils qui fournissent une vue centralisée
du stockage. Cette version comprend également des fonctions simplifiées de
planification, de mise en place et de gestion du stockage ainsi que des outils améliorés de
contrôle et de génération de rapports.
Tableau 2.12 : Avantage de la gestion du stockage

Coûts de gestion du stockage Meilleur contrôle de la configuration du stockage et réduction des coûts de
réduits gestion grâce à des fonctions de gestion avancées.
Meilleure utilisation du stockage. Des rapports détaillés vous informent sur
l’utilisation du stockage.
Meilleure administration des quotas. Contrôle l’utilisation de l’espace disque à
l’aide de quotas sur les répertoires.
Meilleur filtrage des fichiers. Restriction des types de fichiers autorisés sur les
serveurs grâce au filtrage des fichiers.
Configuration SAN simplifiée. Configuration et dimensionnement aisés de
réseaux SAN.
Une plateforme web riche

Windows Server 2003 R2 permet aux entreprises d’étendre leur infrastructure sur le
Web tout en réduisant les coûts de développement et de gestion grâce à Windows
SharePoint Services, .NET Framework 2.0 et Internet Information Services 6.0.
83
Tableau 2.13 : Avantage de la plateforme web

Plateforme web riche Plateforme web plus performante. Les toutes dernières
technologies 64 bits et .NET permettent de doubler les
performances du Web.
Windows SharePoint Services constitue une solution de
Windows Server en
collaboration rentable pouvant être déployée, configurée et gérée

très rapidement.
entreprise
Avec ASP.NET, développez rapidement des services et des

applications web riches à l’aide de .NET Framework.
IIS 6.0 offre un serveur web haute performance plus sécurisé.
La prise en charge de la technologie 64 bits améliore les
performances pour un coût réduit.
La virtualisation de serveur à moindre coût

Windows Server 2003 R2 Enterprise Edition permet d’exécuter jusqu’à quatre instances
virtuelles de Windows Server 2003 R2 sur une même partition matérielle ou un même
serveur physique sous licence, ce qui entraîne une réduction notable du coût de la
virtualisation de serveur.
Tableau 2.14 : Avantage de la virtualisation de serveur

Virtualisation de serveur à Virtualisation à valeur ajoutée. Windows Server 2003 R2
moindre coût Enterprise Edition ajoute de la valeur à la virtualisation de serveur.
La nouvelle stratégie de licence permet désormais aux utilisateurs
d’exécuter jusqu’à quatre instances virtuelles de Windows
Server 2003 R2 Enterprise Edition sur une seule partition
matérielle ou un seul serveur physique sous licence.
Nouveau cycle de produits Windows Server

Microsoft essaie maintenant de définir un cycle d’évolution des prochaines versions de
Windows Server de telle sorte que les clients puissent planifier et budgétiser ces
évolutions. La règle est de fournir une version majeure de Windows Server tous les
quatre ans environ, puis une mise à niveau tous les deux ans après chaque version
majeure.
Version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi
capables de prendre en charge de nouveaux matériels, de nouveaux modèles de
84
En résumé
programmation et des évolutions fondamentales dans les domaines de la sécurité et de

la stabilité. Ces changements majeurs peuvent bien entendu générer des
incompatibilités entre le nouveau système et les matériels et logiciels existants.
Version mise à jour

Les versions mises à jour incluent la précédente version majeure ainsi que le dernier
Windows Server en
Service Pack, certains Feature Packs, et de nouvelles fonctionnalités additionnelles.
entreprise
Comme une version mise à jour est basée sur la précédente version majeure, les clients
peuvent l’incorporer dans leur environnement de production sans autres tests
supplémentaires que ceux que pourrait nécessiter un simple Service Pack. Toutes les
fonctionnalités additionnelles fournies par une mise à jour sont optionnelles et, de fait,
elles n’affectent pas la compatibilité des applications existantes. Par conséquent, les
clients n’ont pas à certifier ou à tester à nouveau leurs applications.
Service Packs
Les Service Packs incorporent toutes les corrections de type critique et non critique ainsi
que les dernières demandes de correction qui les concernent, émises par les clients. Les
Service Packs sont testés de manière intensive par Microsoft et par les clients et
partenaires participant à un programme de bêta test. Ils peuvent ainsi inclure des
améliorations importantes de la sécurité, comme le Security Configuration Wizard,
inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois nécessaire de
modifier certains programmes pour prendre en charge les nouveaux standards de
l’industrie ou des fonctionnalités demandées par les clients. Ces changements sont
soigneusement évalués et testés avant d’être finalement inclus dans un Service Pack.
Afin de permettre les extensions et les évolutions d’architecture, Microsoft maintient un
niveau de compatibilité entre les Service Packs en réalisant des tests intensifs sur les
applications et ces différents Service Packs. En règle générale, les problèmes de
compatibilité concernent les applications qui utilisent de manière inappropriée des
appels système, des interfaces internes ou des fonctions spécifiques.
2.5. En résumé
Ce chapitre vous a présenté la fiche signalétique de Windows Server 2003, du Service
Pack 1, du Service Pack 2 et de Windows Server 2003 R2. Maintenant que vous avez
déchiré l’emballage et sorti le CD-Rom du boîtier, il est temps de passer à l’installation
du produit, dans le cadre d’une entreprise, en l’occurrence Puzzmania.
85
Chapitre 3
Windows
Server 2003 Service
Pack 2 et R2
3.1 Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
3.2 Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.3 Qu’apporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
3.4 Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . . . 102
3.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
T out le monde est maintenant habitué à la notion de Service Pack. Personne n’est
plus surpris par la sortie et la mise à disposition d’un Service Pack pour Windows
(quelle que soit la version). L’information est rapidement connue de tous. C’est donc
avec une certaine logique que Microsoft a mis à disposition le Service Pack 1 de
Windows Server 2003 en 2005 puis le Service Pack 2 en 2007. Vous trouverez la liste des
principales améliorations ci-après.
Par contre, qu’est-ce que R2 ? Ou plutôt Windows Server 2003 R2 ? Windows

Server 2003 R2 est une version améliorée de Windows Server 2003. C’est en quelque
sorte un ajout de fonctionnalités à Windows Server 2003. D’ailleurs, le produit est
constitué de deux CD-Rom, le premier comprenant Windows Server 2003 avec SP1, et
2003 Service Pack 2 et

le second un pack de nouvelles fonctionnalités. Pour autant, ce n’est pas un Service Pack
3. Windows Server
car Windows Server 2003 R2 est soumis à licence. Il est à noter cependant que le Service
Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour
la version Windows Server 2003 R2.
R2
Le produit étant construit sur la base de Windows Server 2003 SP1, les mêmes
applications sont compatibles pour les deux systèmes. Windows Server 2003 R2 apporte
de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut
installer (CD-Rom 2). Ces fonctionnalités ne sont pas présentes dans la version
Windows Server 2003 de base et la plupart ne sont pas disponibles séparément. Les
autres, le sont sous forme de Feature Packs.
3.1. Les nouveautés du Service Pack 1

SP1 sur le site de Microsoft
Si vous souhaitez obtenir une bonne vue d’ensemble ou alors des informations
détaillées sur le Service Pack 1 de Windows Server 2003, consultez :
j www.microsoft.com/france/windows/windowsserver2003/downloads
/servicepacks/sp1/overview.mspx.
Ce site présente plusieurs articles avec des questions-réponses ainsi que de la
documentation en français.
Rendez-vous également à l’adresse :
j www.microsoft.com/downloads/details.aspx?FamilyId=C3C26254-8CE3-46E2
-B1B6-3659B92B2CDE&displaylang=en.
Vous pourrez télécharger un document très complet sur le SP1 puisqu’il représente à
lui seul 300 pages. Par contre, ce site et la documentation qu’il propose sont en
anglais.
Windows Server 2003 SP1 améliore les fonctionnalités faisant partie de Windows
Server 2003. De telles améliorations visent à optimiser le produit et à en augmenter la
89
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
sécurité, la fiabilité et l’efficacité. Parmi les principales améliorations, citons les

éléments suivants…
j Prise en charge de la fonction "Ne pas exécuter" incluse dans le matériel : Windows
Server 2003 SP1 permet à Windows Server 2003 d’utiliser les fonctionnalités
intégrées dans les processeurs d’Intel et d’AMD afin d’empêcher l’exécution de
code malveillant à partir de zones de la mémoire qui ne sont pas attribuées à du
code. Cette disposition élimine une large part des attaques actuelles.
j Audit de la métabase IIS 6.0 (Internet Information Services) : la métabase est un
magasin de stockage XML hiérarchique qui contient les informations de
configuration d’IIS 6.0. L’audit de ce magasin permet aux administrateurs réseau de
3. Windows Server
voir qui a accédé à la métabase lorsqu’elle a été corrompue.

j Paramètres par défaut plus puissants et réduction des privilèges sur les services :
les services tels que RPC et DCOM font partie intégrante de Windows Server 2003.
R2
De ce fait, ils constituent une cible attrayante pour les personnes malintentionnées.
En exigeant une authentification plus forte lors de l’appel de ces services, Windows
Server 2003 SP1 relève le niveau de sécurité pour toutes les applications qui utilisent
ces services, même si elles sont elles-mêmes peu ou pas sécurisées.
j Ajout de composants Network Access Quarantine Control : Windows Server 2003
SP1 contient à présent les composants RQS.exe et RQC.exe, qui simplifient le
déploiement de Network Access Quarantine Control (contrôle de la mise en
quarantaine pour l’accès au réseau). Pour plus d’informations sur ce sujet,
rendez-vous à l’adresse www.microsoft.com/windowsserver2003/techinfo/overview
/quarantine.mspx.
Contrairement à d’autres Services Packs, SP1 ajoute de nouvelles fonctionnalités

puissantes à Windows Server 2003. Voici les principales…
j Pare-feu Windows : également intégré dans Windows XP Service Pack 2, le
pare-feu Windows est le successeur du pare-feu de connexion Internet. Il s’agit d’un
pare-feu logiciel destiné à protéger chaque poste client et chaque serveur. Windows
Server 2003 Service Pack 1 installe le pare-feu Windows sur le serveur et permet un
contrôle à l’échelle du réseau via la stratégie de groupe.
j Mises à jour de sécurité post-installation (PSSU) : les serveurs sont vulnérables
entre le moment de l’installation et l’application des dernières mises à jour de
sécurité. Pour parer les attaques, Windows Server 2003 avec SP1 bloque toutes les
connexions entrantes après l’installation, jusqu’à ce que Windows Update soit
exécuté pour installer les dernières mises à jour de sécurité sur le nouvel ordinateur.
Cette fonctionnalité oriente également les administrateurs vers la mise à jour
automatique au moment de la première connexion.
j Assistant Configuration de la sécurité (SCW) : il pose des questions à
l’administrateur sur les rôles que doit tenir le serveur, puis il bloque les ports inutiles
à ces fonctions. Ainsi, de nombreuses voies d’attaques possibles sont fermées.
90
j Support de TLS dans Terminal Services : c’est la grande nouveauté sur TSE, qui
permet d’identifier le serveur TSE (comme on identifie un serveur web en SSL) et
d’utiliser TLS comme une méthode de chiffrement pour les communications entre
le client et le serveur.
3.2. Les nouveautés du Service Pack 2

Le Service Pack 2 (SP2) donne accès en un seul package aux dernières mises à jour,
améliorations et fonctionnalités disponibles pour Windows Server 2003. Ses

composants renforcent la sécurité, la fiabilité et les performances de Windows
3. Windows Server
Server 2003 et Windows Server 2003 R2.
Et Microsoft profite de l’opportunité offerte par la sortie du SP2 pour ajouter de
R2
nouvelles fonctionnalités à Windows Server 2003.
Les mises à jour

L’administration des mises à jour constitue un véritable défi pour la sécurité des
ordinateurs. Mais malgré cela, les mises à jour doivent être appliquées car elles jouent
un rôle vital dans la sécurisation du parc informatique de l’entreprise en anticipant sur
les attaques et en bloquant les vulnérabilités. La fréquence des mises à jour est cruciale
pour résoudre les problèmes de sécurité dès qu’ils sont découverts. En regroupant
toutes les mises à jour dans SP2, Microsoft apporte en un seul package l’ensemble des
protections les plus récentes pour Windows Server 2003.
En plus de reprendre toutes les mises à jour correspondant aux bulletins de sécurité, SP2
installe tous les correctifs diffusés depuis la sortie de Windows Server 2003, ainsi que
certaines fonctions ou améliorations importantes réclamées par les clients.
Il n’est donc pas nécessaire que le SP1 soit installé, pour installer le SP2.
Scalable Networking Pack (SNP)

Les entreprises connaissent un développement rapide du trafic sur leurs réseaux interne
et externe. Cette croissance du trafic est due, au moins en partie, aux applications métier
en réseau et aux solutions de sauvegarde et de stockage sur le réseau. À cela s’ajoutent
les applications multimédias comme la visioconférence et les présentations audio et
vidéo.
Le déploiement d’Ethernet, puis du Gigabit Ethernet étend la bande passante

disponible afin de faire face à cette demande mais plus le réseau présente un débit
important, plus la charge sur les serveurs s’accroît. La prise en charge des réseaux
rapides implique par conséquent la mise en place de serveurs puissants.
91
Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack, un pack de
réseau capable de monter en charge) qui aide à faire face à la montée du trafic sans
surcharger les ressources processeurs. SNP prend en charge des technologies réseau qui
visent à éliminer les goulets d’étranglement du système d’exploitation associés au
traitement des paquets. Voici les améliorations apportées par ce package…
j TCP Chimney Offload (allégement de la pile TCP) : TCP Chimney Offload
transfère de façon automatique le traitement du trafic TCP (Transmission Control
Protocol) avec état à un adaptateur réseau spécialisé qui met en œuvre un moteur de
déchargement TCP (TOE, TCP Offload Engine). Pour les connexions à longue
durée de vie mettant en œuvre des paquets de grande taille, comme les connexions
avec un serveur de fichiers, de stockage ou de sauvegarde, ou pour d’autres

3. Windows Server
applications sollicitant fortement le réseau, TCP Chimney Offload réduit largement

la charge du processeur en délégant à l’adaptateur réseau le traitement des paquets
du réseau, y compris la fragmentation et le réassemblage des paquets. En utilisant
R2
TCP Chimney Offload, vous allégez le processeur qui peut se concentrer à d’autres
tâches comme permettre davantage de sessions utilisateurs ou traiter les requêtes
des applications en réduisant la latence. Cette fonction était auparavant proposée
par certains constructeurs de serveurs, maintenant elle est disponible directement
par Windows.
j Montée en charge en fonction du trafic reçu : cette technique permet de répartir le
trafic entrant (paquets reçus) entre plusieurs processeurs en exploitant de nouvelles
améliorations matérielles des interfaces réseau. Elle peut répartir dynamiquement
la charge du trafic entrant en fonction de la charge du système ou des conditions de
fonctionnement du réseau. Toute application recevant de nombreux paquets et
fonctionnant sur un système multiprocesseur, comme un serveur web ou un serveur
de fichiers, devrait bénéficier de la mise en place de ce dispositif.
j NetDMA : ce composant autorise une gestion plus efficace de la mémoire en
permettant un accès direct à la mémoire (DMA) sur les serveurs équipés de la
technologie idoine comme l’I/OAT (I/O Acceleration Technology) d’Intel.
Le SNP (Scalable Networking Pack) de Microsoft Windows Server 2003 SP2 permet de
mieux répondre aux besoins des utilisateurs tout en conservant les investissements déjà
réalisés dans l’infrastructure existante. SNP évite d’envisager une remise à plat de la
topologie réseau, de changer les configurations des serveurs, ou de passer du temps à
modifier des applications existantes et des services.
SNP donne de la souplesse pour choisir les technologies les mieux appropriées en
fonction des besoins, sans devoir changer de fournisseur de matériel.
Informations supplémentaires sur SNP

www.microsoft.com/snp
92
La bibliothèque XmlLite
La bibliothèque XmlLite permet aux développeurs de bâtir des applications à hautes
performances, fondées sur XML, capables d’une large interopérabilité avec d’autres
applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite
sont la facilité d’utilisation, les performances et le respect des standards.
XmlLite fonctionne avec n’importe quel langage Windows qui utilise les bibliothèques
dynamiques. Il est quand même plutôt recommandé d’utiliser C++. La bibliothèque
XmlLite contient tous les fichiers nécessaires pour être utilisée avec C++.

Microsoft fournit plusieurs analyseurs XML (parsers) :
3. Windows Server
j XmlLite (natif) ;
j MSXML (SAX2) (natif) ;
R2
j System.XML.XmlReader (géré).
Les implémentations DOM (Document Object Model) suivantes intègrent des

analyseurs :
j MSXML (DOM) ;
j System.XML (XmlDocument).
XML peut servir comme format d’enregistrement de documents, comme dans la

dernière version de Word, et aussi pour encoder les données pour des appels de
méthodes de marshaling (conversion de paramètres) d’une machine à une autre
(SOAP). Les entreprises peuvent utiliser XML pour envoyer et recevoir des commandes
et des factures. Le Web emploie XML pour envoyer des données du serveur Web vers
le navigateur. Les serveurs de bases de données répondent aux requêtes en XML, ces
réponses étant ensuite traitées par d’autres applications. XML étant un format très
souple, vous pouvez l’utiliser dans de nombreux scénarios qui se répartissent en deux
catégories principales :
j Certains scénarios traitent des documents XML en provenance de sources externes,
sans pouvoir savoir s’il s’agit de documents XML valides ou non. Dans ces scénarios,
la vérification de la validité est importante. Généralement, les développeurs
utilisent des schémas XSD ou des DTD (Document Type Definition) pour vérifier la
validité. La performance s’en trouve réduite mais l’application peut ainsi être sûre
qu’elle reçoit un document XML valide. Ce scénario s’applique à toutes les
applications qui enregistrent ou chargent des documents.
j Certains logiciels emploient XML comme un magasin de données ou un moyen de
communiquer. Dans ce cas, le développeur sait que le document est valide car une
autre partie de l’application (sous le contrôle du même programmeur ou du même
éditeur) a produit le code XML. La validité du document n’est donc plus un
problème. Par exemple, nous sommes dans cette situation lorsque le logiciel
s’exécute sur une ferme de serveurs, et XML sert à communiquer entre serveurs et
93
processus. Un autre exemple pourrait être fourni par une application complexe qui
enregistre et relit de gros volumes d’informations. Le développeur contrôle
totalement le format du document XML.
Puisque XmlLite a pour objectif d’améliorer les performances, cette bibliothèque est
particulièrement bien adaptée aux scénarios du second type. XmlLite permet aux
développeurs d’écrire un code efficace et rapide pour lire et écrire des documents XML.
Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans
MSXML ou que SAX2 dans MSXML.
Les services de déploiement Windows WDS (Windows

3. Windows Server
Deployment Services)
R2
Windows Server 2003 SP2 inclut une version profondément remaniée de RIS (Remote
Installation Services, "services d’installation à distance"), désormais nommée Services de
déploiement Windows ou WDS, qui aide les entreprises à préparer l’arrivée de
Windows Vista et de Windows Server 2008. WDS assure le stockage, l’administration et
le déploiement des images qui utilisent le nouveau format WIM (Windows Imaging).
Si vous souhaitez obtenir plus d’informations sur RIS, consultez le chapitre

L’installation et le déploiement de Windows Server 2003. Quant à WDS, nous y
reviendrons en détail dans le chapitre Le service de déploiement spécialement dédié à
cet outil.
Windows Deployment Services améliore RIS sur plusieurs points :

j une prise en charge native de Windows PE comme système d’exploitation
d’amorçage ;
j une prise en charge native du format de fichier WIM (Windows Imaging) ;
j un composant serveur PXE extensible et plus performant ;
j un nouveau menu d’amorçage client pour choisir le système d’exploitation.
WDS réduit le coût total de possession et la complexité des déploiements en apportant

une solution de bout en bout pour déployer des systèmes d’exploitation Windows sur des
ordinateurs sans systèmes d’exploitation. WDS prend en charge des environnements
mixtes incluant Windows XP et Windows Server 2003.
Pour décrire le niveau de fonctionnalité associé à chaque configuration possible de

WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories,
94

Server 2003.


3. Windows Server
R2
j Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage,
OSChooser et Windows PE, sont disponibles. Dans ce mode, l’accès aux anciens

Environnement d’amorçage OSChooser et Windows PE

95

Types d’images WIM
Outils d’administration Administration WDS
Server 2008.
3. Windows Server
Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS, mais
R2
l’interface à la ligne de commande) pour initialiser le serveur fait passer WDS en mode
/forceNative).
Microsoft Management Console 3.0 (MMC 3.0)

Microsoft Management Console 3.0 (MMC 3.0) simplifie l’administration quotidienne
de Windows par des menus, des barres d’outils, une navigation et des flux de tâches qui
unifient les différents outils. Les outils MMC servent à administrer les réseaux, les
ordinateurs, les services, les applications et d’autres composants système. La console
MMC n’effectue pas par elle-même des tâches d’administration mais héberge des
composants Microsoft et tiers qui le font.
MMC 3.0 abaisse le coût de l’administration des applications Windows en fournissant

une console de centralisation, simple à utiliser et cohérente. Pour les administrateurs,
cette console, dans sa version 3.0, améliore les performances, la fiabilité et la découverte
dans le contexte d’actions sensibles. Pour les développeurs, elle réduit le coût du
développement de composants logiciels enfichables en nécessitant moins de code et
moins de temps passé à la conception.
MMC 3.0 représente un cadre de travail pour écrire des composants logiciels
enfichables fondés sur .NET et destinés à administrer des applications. Le modèle de
programmation .NET simplifie le développement de ces composants. La réalisation
d’un composant pour MMC 3.0 nécessite beaucoup moins de lignes de code que dans les
versions précédentes. Cela simplifie la maintenance et réduit le risque de bogues.
Wireless Protected Access 2 (WPA2)

Microsoft a diffusé la mise à jour Wireless Protected Access 2 pour Windows XP Service
Pack 2 en avril 2005. Le SP2 de Windows Server 2003 ajoute cette fonctionnalité
96
principalement pour les éditions Windows XP 64 bits (car le SP2 de Windows

Server 2003 couvre aussi la version 64 bits de Windows XP. Attention à la confusion !).
WPA2 permet la prise en charge de la nouvelle certification Wi-Fi Alliance pour
améliorer la sécurité des liaisons sans fil. WPA2 simplifie la connexion aux espaces
publics sécurisés équipés d’un accès Internet sans fil.
WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que l’équipement
sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP
(Wired Equivalent Privacy) et les autres fonctions de sécurité du standard 802.11
d’origine. La certification WPA2 prend en charge les fonctions de sécurité obligatoires
du standard IEEE 802.11i, supplémentaires par rapport à WPA.

3. Windows Server
La mise en œuvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge
les caractéristiques suivantes du standard WPA2 de l’IEEE :
R2
j WPA2 Enterprise utilise l’authentification IEEE 802.1X et WPA2 Personal via une
clé prépartagée (PSK).
j Le chiffrement avancé utilise le protocole CCMP (CM-CBC-MAC, Counter Mode –
Cipher Block Chaining – Message Authentication Code) afin de renforcer la
confidentialité des données, l’authentification de l’origine des données et l’intégrité
des données pour les transmissions sans fil.
j Utilisation optionnelle du cache de la clé principale (PMK) et mise en cache
opportuniste de la PMK. Dans ce type de cache, les clients et les points d’accès sans
fil mettent en cache les résultats des authentifications 802.1X. Par conséquent,
l’accès s’effectue plus rapidement lorsqu’un client sans fil se reconnecte via un point
d’accès sans fil auprès duquel il s’est déjà authentifié précédemment.
j Utilisation optionnelle de la pré-authentification. Lors d’une pré-authentification,
un client sans fil WPA2 peut effectuer une authentification 802.1X avec d’autres
points d’accès sans fil à proximité, alors qu’il est toujours connecté à son premier
point d’accès.
La version améliorée de l’outil CACLS

ICACLS est une mise à jour de l’outil CACLS dans Windows Server 2003 SP2 que vous
pouvez utiliser pour réinitialiser les listes de contrôle d’accès (ACL) sur les fichiers à
partir de la Console de récupération. Cet outil sert aussi à sauvegarder des ACL.
Contrairement à CACLS, ICACLS propage correctement les créations et les
modifications vers des ACL héritées. En tapant icacls /? en ligne de commande, vous
obtiendrez des informations supplémentaires sur l’utilisation de ICACLS.
97
Les fonctions existantes améliorées

Enfin, le SP2 améliore certaines fonctionnalités existantes de Windows Server 2003 avec
le SP1. Voici une liste des améliorations apportées :
Tableau 3.4 : Fonctionnalités déjà existantes mais améliorées par le SP2 de Windows
Server 2003
Modification Description
Authentification par port de Une authentification par port sécurise le trafic entre
pare-feu l’environnement extranet et des ressources internes qui sont
protégées par une isolation de domaine IPSec. L’installation du

3. Windows Server
SP2 active cette fonctionnalité par défaut.

Amélioration des performances Le SP2 améliore les performances de SQL Server 2005 lorsque le
R2
pour SQL Server serveur est soumis à de fortes charges. L’installation du SP2
active cette amélioration par défaut.
Options de découverte MSConfig propose désormais un onglet supplémentaire qui
améliorées dans MSConfig constitue un point de lancement unique pour des outils de
support qui faciliteront la découverte de diagnostics. L’installation
du SP2 active cette amélioration par défaut.
Meilleure administration du Le SP2 réduit l’ensemble des filtres qu’il faut gérer dans un
filtre lPSec scénario d’isolation de domaine et de serveur, en faisant passer
leur nombre de plusieurs centaines à deux. Il supprime aussi le
besoin d’une maintenance permanente des filtres due à des
modifications de l’infrastructure. L’installation du SP2 active cette
amélioration par défaut.
Améliorations des Le SP2 améliore les performances lorsque le taux d’accès APIC
performances dans le cadre de (Advanced Processor lnterrupt Control) est élevé. Windows
la virtualisation de Windows Server 2003 fonctionnant comme système d’exploitation
multiprocesseur hébergé dans le cadre d’une virtualisation de
Windows.
Stockage par défaut plus vaste Pour la file d’attente des messages, la limite de stockage par
pour la file d’attente des défaut est passée à 1 Go. Il est possible de relever cette limite
messages dans la console MMC, via l’onglet Général des propriétés de la
file d’attente des messages.
Améliorations des tests DNS De nouvelles options ont été ajoutées aux tests DNS (Domain
DCDIAG Name Service) Dcdiag.exe. Les nouvelles options sont /x et
/xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles
génèrent des balises XML lorsque les tests sont exécutés avec
l’option /test:dns. Ce nouveau mécanisme de sortie permet
d’analyser plus facilement les fichiers journaux verbeux produits
par les tests DNS.
De nouveaux événements pour Un nouvel événement a été créé pour couvrir certaines situations
les comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limité
par la stratégie appliquée au domaine. Ce nouvel événement porte
le numéro 1239. Son texte descriptif inclut des informations de
dépannage.
98
3.3. Qu’apporte Windows Server 2003 R2 ?

Windows Server 2003 R2, qui est une version de Windows Server à part entière, basée
sur Windows Server 2003 SP1, apporte de nouvelles fonctionnalités. En voici
quelques-unes, parmi les plus intéressantes…
j La gestion et le déploiement des serveurs d’agences :
− sauvegarde et administration centralisée des services de partage de fichiers et
d’impression ;
− haute disponibilité ;

3. Windows Server
− gestion du hardware à distance.
j Active Directory Federation Services :
R2
− authentification unique web ;
− interopérabilité avec les offres SSO (Single Sign On) web.
j La gestion du stockage :
− gestion plus simple des SAN ;
− File Server Migration Toolkit ;
− gestion des ressources de stockage.
j L’intégration de packs de fonctionnalités Windows Server 2003 :

− Windows Share Point Services ;
− Active Directory Aplication Mode (ADAM) ;
− services pour Unix ;
− iSCSI Initiator.
Windows Server 2003 R2 étend les fonctionnalités du système d’exploitation Windows

Server 2003 en proposant un moyen plus efficace de gérer et de contrôler l’accès aux
ressources locales et distantes, tout en s’intégrant facilement dans l’environnement
existant. La version R2 est dotée d’une plateforme hautement sécurisée et capable de
monter en charge, permettant la mise en œuvre de nouveaux scénarios : gestion
simplifiée des serveurs d’agences et de succursales, administration améliorée des
identités et des accès et gestion plus efficace du stockage…
Une gestion simplifiée des serveurs dans les agences et les

succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilité et
l’efficacité des serveurs de succursales tout en évitant les difficultés généralement
99
inhérentes aux solutions serveur pour les agences et les succursales, telles que les
problèmes de connectivité et les coûts de gestion.
Tableau 3.5 : Avantage de la gestion simplifiée des serveurs dans les agences et les
succursales
Gestion simplifiée des serveurs Extension de la connectivité et la fiabilité aux agences et aux
dans les agences et les succursales tout en contrôlant le coût total de possession des
succursales infrastructures informatiques. Administration mieux centralisée.
Fournit des outils d’administration centralisée pour les fonctions
liées aux fichiers et à l’impression. Réduction de l’administration

3. Windows Server
à distance. Minimise l’administration locale et la sauvegarde sur

site. Réseau étendu plus efficace. Accélère la réplication des
données sur les réseaux étendus.
R2
La gestion améliorée des identités et des accès

Windows Server 2003 R2 inclut ADFS (Active Directory Federation Services), qui permet
aux administrateurs de faire face aux problèmes posés par la gestion des identités. Les
organisations peuvent en effet partager les informations relatives à l’identité d’un
utilisateur de manière plus sécurisée, et par-delà les limites de sécurité. Windows
Server 2003 R2 fournit en outre une fonction de synchronisation des mots de passe
UNIX. Il est ainsi plus facile d’intégrer les serveurs exécutant Windows et UNIX du fait
de la simplification du processus de gestion des mots de passe sécurisés.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre Active Directory
Application Mode et Active Directory Federation Services.
Tableau 3.6 : Avantage de la Gestion améliorée des identités et des accès

Gestion améliorée des identités Ajoutez de la valeur aux déploiements Active Directory en vue de
et des accès faciliter les accès sécurisés au-delà des limites de l’organisation
et des plateformes. Les entreprises sont ainsi en mesure de gérer
une même identité dans des applications partenaires, web et
Unix.
Efficacité accrue pour l’utilisateur. Moins de mots de passe pour
l’accès aux applications internes ou hébergées chez des
partenaires, grâce à l’authentification unique sur extranet et à la
fédération des identités.
100
Plus grande efficacité pour les administrateurs système.
Administration centralisée de l’accès aux applications sur les
extranets, réduction des changements de mots de passe et
délégation possible de la gestion des utilisateurs à des partenaires
de confiance.
Meilleure sécurité. Blocage automatique de l’accès à l’extranet par
le biais de la désactivation du compte Active Directory d’un
utilisateur.
Meilleure mise en conformité. Consignation des accès utilisateurs
aux applications partenaires dans les domaines de sécurité

externes.
3. Windows Server
Meilleure interopérabilité des systèmes hétérogènes.
Authentification web unique entre les plateformes et fédération
des identités. Les outils et les spécifications de l’interopérabilité
R2
des services web permettent de gérer et de mettre à jour
dynamiquement les comptes et les mots de passe utilisateurs sur
les systèmes Windows et Unix à l’aide du service NIS (Network
Information Service). À cela s’ajoute la synchronisation
automatique des mots de passe entre les systèmes d’exploitation
Windows et Unix.
Les coûts de gestion du stockage réduits

Windows Server 2003 R2 est doté de nouveaux outils qui fournissent une vue centralisée
du stockage. Cette version comprend également des fonctions simplifiées de
planification, de mise en place et de gestion du stockage ainsi que des outils améliorés de
contrôle et de génération de rapports.
Tableau 3.7 : Avantage de la gestion du stockage

Coûts de gestion du stockage Meilleur contrôle de la configuration du stockage et réduction des
réduits coûts de gestion grâce à des fonctions de gestion avancées.
Meilleure utilisation du stockage. Des rapports détaillés vous
informent sur l’utilisation du stockage.
Meilleure administration des quotas. Contrôle l’utilisation de
l’espace disque à l’aide de quotas sur les répertoires.
Meilleur filtrage des fichiers. Restriction des types de fichiers
autorisés sur les serveurs grâce au filtrage des fichiers.
Configuration SAN simplifiée. Configuration et dimensionnement
aisés de réseaux SAN.
101
Une plateforme web enrichie

Windows Server 2003 R2 permet aux entreprises d’étendre leur infrastructure sur le
Web tout en réduisant les coûts de développement et de gestion grâce à Windows
SharePoint Services, .NET Framework 2.0 et Internet Information Services 6.0.
Tableau 3.8 : Avantage de la plateforme web

Plateforme Web riche Plateforme web plus performante. Les toutes dernières technologies
64 bits et .NET permettent de doubler les performances du Web.
Windows SharePoint Services constitue une solution de collaboration

3. Windows Server
rentable pouvant être déployée, configurée et gérée très rapidement.

Avec ASP.NET, développez rapidement des services et des
applications web riches à l’aide de .NET Framework.
R2
IIS 6.0 offre un serveur web haute performance plus sécurisé.

La prise en charge de la technologie 64 bits améliore les
performances pour un coût réduit.
Une virtualisation de serveur à moindre coût

Windows Server 2003 R2 Enterprise Edition permet d’exécuter jusqu’à quatre instances
virtuelles de Windows Server 2003 R2 sur une même partition matérielle ou un même
serveur physique sous licence, ce qui entraîne une réduction notable du coût de la
virtualisation de serveur.
Tableau 3.9 : Avantage de la virtualisation de serveur

Virtualisation de serveur à Virtualisation à valeur ajoutée. Windows Server 2003 R2 Enterprise
moindre coût Edition ajoute de la valeur à la virtualisation de serveur. La nouvelle
stratégie de licence permet désormais aux utilisateurs d’exécuter
jusqu’à quatre instances virtuelles de Windows Server 2003 R2
Enterprise Edition sur une seule partition matérielle ou un seul serveur
physique sous licence.
3.4. Un nouveau cycle de produits Windows Server

Microsoft essaie maintenant de définir un cycle d’évolution des prochaines versions de
Windows Server de telle sorte que les clients puissent planifier et budgétiser ces
évolutions. La règle est de fournir une version majeure de Windows Server tous les 4 ans
environ, puis une mise à niveau tous les 2 ans après chaque version majeure.
102
En résumé
La version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi
capables de prendre en charge de nouveaux matériels, de nouveaux modèles de
programmation et des évolutions fondamentales dans les domaines de la sécurité et de
la stabilité. Ces changements majeurs peuvent bien entendu générer des
incompatibilités entre le nouveau système et les matériels et logiciels existants.
La version mise à jour

Les versions mises à jour incluent la précédente version majeure ainsi que le dernier
3. Windows Server
Service Pack, certains Feature Packs, et de nouvelles fonctionnalités additionnelles.
Comme une version mise à jour est basée sur la précédente version majeure, les clients
peuvent l’incorporer dans leur environnement de production sans tests supplémentaires
R2
autres que ceux qu’un simple Service Pack pourrait nécessiter. Toutes les
fonctionnalités additionnelles fournies par une mise à jour sont optionnelles et, de fait,
elles n’affectent pas la compatibilité des applications existantes. Par conséquent, les
clients n’ont pas à certifier ou à tester de nouveau leurs applications.
Les Service Packs

Les Service Packs incorporent toutes corrections de type critique et non critique ainsi
que les dernières demandes de corrections qui les concernent, émises par les clients. Les
Service Packs sont testés de manière intensive par Microsoft et par les clients et
partenaires participant à un programme de bêta test. Ils peuvent ainsi inclure des
améliorations importantes de la sécurité, comme le Security Configuration Wizard,
inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois nécessaire de
modifier certains programmes pour prendre en charge les nouveaux standards de
l’industrie ou des fonctionnalités demandées par les clients. Ces changements sont
soigneusement évalués et testés avant d’être finalement inclus dans un Service Pack.
Afin de permettre les extensions et évolutions d’architecture, Microsoft maintient un
niveau de compatibilité entre les Service Packs en réalisant des tests intensifs sur les
applications et ces différents Service Packs. En règle générale, les problèmes de
compatibilité concernent les applications qui utilisent de manière inappropriée des
appels système, des interfaces internes ou des fonctions spécifiques.
3.5. En résumé
Ce chapitre vous a présenté la fiche signalétique de Windows Server 2003 Service Pack 1
et 2, et de Windows Server 2003 R2. Maintenant que vous avez déchiré l’emballage et
sorti le CD-Rom du boîtier, il est temps de passer à l’installation du produit, dans le
cadre d’une entreprise, en l’occurrence de Puzzmania.
103
Chapitre 4
L’installation et le
déploiement de
Windows Server 2003
4.1 Considérations sur l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
4.2 Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.3 Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
4.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Considérations sur l’installation
C e chapitre décrit les méthodes d’installation de Windows Server 2003 appliquées à

l’entreprise, qui simplifient la tâche d’installation du système d’exploitation et font
gagner du temps. Ce sera ensuite à vous de trouver laquelle est la plus pertinente dans
votre contexte de travail.
De tous les systèmes d’exploitation de Microsoft, Windows Server 2003 a la procédure

d’installation la plus simple et la plus intuitive. C’est à vous qu’il revient de veiller que
l’installation réponde à vos exigences d’entreprise et à vos contraintes d’environnement.
4.1. Considérations sur l’installation

Avant de réaliser l’installation proprement dite, vérifiez que vous disposez de la
configuration minimale et découvrez les caractéristiques et les contraintes qu’il vous
faut connaître.
Windows Server 2003
4. L’installation et le
La qualité et la stabilité du système d’exploitation installé sur votre équipement matériel
déploiement de
serveur en dépendent.
Les prérequis
Windows Server 2003 arrive évidemment avec une liste de préconisations, de
caractéristiques à respecter afin de faire tourner le système d’exploitation dans les
meilleures conditions, notamment en ce qui concerne la puissance de processeur, la
puissance de la mémoire vive (RAM) et l’espace disque minimal.
Le tableau suivant reprend les paramètres minimaux et recommandés en fonction des

différentes versions de Windows Server 2003 :
Tableau 4.1 : Configuration nécessaire au fonctionnement de Windows Server 2003

Configuration requise Windows Server 2003 Windows Server 2003 Windows Server 2003
Web Edition Standard Edition Enterprise Edition
Vitesse minimale du 133 MHz 133 MHz 133 MHz pour les
processeur serveurs x86
733 MHz pour les
serveurs Itanium
Vitesse recommandée du 550 MHz 550 MHz 733 MHz
processeur
Quantité minimale de 128 Mo 128 Mo 128 Mo
RAM
Quantité minimale de 256 Mo 256 Mo 256 Mo
RAM recommandée
107
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Configuration requise Windows Server 2003 Windows Server 2003 Windows Server 2003
Web Edition Standard Edition Enterprise Edition
Quantité maximale de 2 Go 4 Go 32 Go pour les
RAM prise en charge serveurs x86
64 Go pour les serveurs
Itanium
Prise en charge des Jusqu’à 2 processeurs Jusqu’à 4 processeurs Jusqu’à 8 processeurs
systèmes
multiprocesseurs
Espace disque pour 1,5 Go 1,5 Go 1,5 Go pour les
l’installation serveurs x86
2 Go pour les serveurs
Itanium
Windows Server 2003
déploiement de
Vérifier la compatibilité du système

L’une des considérations majeure à prendre en compte avant l’installation est de bien
vérifier la compatibilité de tous les composants matériels avec le système d’exploitation.
Microsoft tient à jour une liste des composants matériels qui sont certifiés compatibles
avec les différentes versions de Windows (que ce soit pour les versions clientes ou
serveurs). Il est très important de s’assurer que le serveur sur lequel vous allez installer
Windows Server 2003 ne contient que des composants matériels compatibles.
Malheureusement, on a souvent tendance, surtout dans les petites et moyennes
entreprises, à négliger cet aspect. Pourquoi ? Tout simplement parce que la recherche
de réduction du coût total de possession passe aussi par la recherche d’un fournisseur de
matériel compétitif et bon marché. Cependant, dans certains cas, cette réduction de
coût se fait au détriment de la stabilité du système d’exploitation, et le matériel est peu
fiable. Faites attention que votre fournisseur de matériel affiche clairement la
compatibilité du matériel avec le système d’exploitation (souvent par un logo). En outre,
depuis l’apparition de la fonctionnalité Plug and Play, tout le monde a pris la mauvaise
habitude de ne plus se soucier de ces préoccupations bassement matérielles.
Les problèmes que vous rencontrerez si vous installez le système d’exploitation sur un
équipement non compatible sont souvent aléatoires : par exemple, le système
d’exploitation se fige ou des erreurs de type écran bleu apparaissent. L’origine de ces
événements n’est pas évidente à identifier du premier coup et cette expérience risque de
mettre vos nerfs à rude épreuve. Dans certains cas, l’équipe de support de Microsoft
risque de refuser de vous aider si elle s’aperçoit que le système d’exploitation est installé
sur du matériel non compatible.
Pour toutes ces raisons, même si cela paraît une évidence, ne faites pas l’impasse sur la
vérification de la compatibilité de votre équipement avec le système d’exploitation.
108
Considérations sur l’installation
Windows Hardware Compatibility List

Vous trouverez la liste des composants matériels certifiés compatibles à l’adresse
www.microsoft.com/whdc/hcl/default.mspx.
Nouvelle installation ou mise à niveau ?

Comme à l’accoutumée, il est possible de procéder soit à une nouvelle installation, soit
à une mise à niveau du système d’exploitation existant.
Une nouvelle installation

Dans ce cas, vous démarrez l’installation de votre serveur sur une base saine, un disque
dur formaté et propre sur lequel vous pouvez tailler et sélectionner la partition sur
Windows Server 2003
laquelle vous voulez installer le système d’exploitation. Vous évitez d’importer
déploiement de
d’éventuels problèmes, de mauvais paramètres de configuration ou d’application, dus à
une instance de système d’exploitation existante et que l’on migre. Au contraire, vous
serez obligé, une fois le serveur installé, de procéder à l’installation et à la configuration
complète de la ou les applications associées. C’est la méthode la plus recommandée
pour les serveurs, notamment les serveurs d’infrastructure. Lorsque vous achetez un
nouveau serveur chez votre fournisseur, il est souvent livré sans système d’exploitation
installé, et vous devez passer par une nouvelle installation de Windows Server 2003. Le
service informatique de Puzzmania n’utilise que cette méthode afin d’éliminer le doute
en cas de problèmes durant cette phase.
Cette méthode est détaillée dans la section Installer Windows Server 2003 de ce
chapitre.
La mise à niveau
Dans ce cas, vous utilisez un serveur déjà en production, donc configuré, sur lequel
tourne une version antérieure à Windows Server 2003. Il s’agit de la faire migrer vers le
nouveau système d’exploitation lors d’une opération de maintenance au cours de
laquelle le service sera indisponible.
En utilisant cette méthode, vous n’avez pas à réinstaller les applications de production.
Vous gagnez donc du temps. Par contre, vous devez impérativement vous assurer que les
applications sont compatibles avec le nouveau système d’exploitation avant de
commencer la mise à niveau.
Toutes les versions antérieures de Windows ne sont pas forcément compatibles pour
être mises à niveau vers Windows Server 2003. Le tableau suivant vous en présente un
récapitulatif :
109
Tableau 4.2 : Mise à niveau vers Windows Server 2003

Système d’exploitation existant Mise à niveau possible
Windows NT 3.51 Non, il faut au préalable mettre à niveau vers Windows NT 4.0 Server SP5
au minimum, mais gageons que vous n’en avez pas dans votre
entreprise !
Windows NT 4.0 Server Oui, avec SP5 au minimum
Windows 2000 Server Oui
Windows 2000 Advanced Server Oui
Windows 2000 Professionnel Non, il faut un système d’exploitation de la gamme serveur
Windows XP Professionnel Non, il faut un système d’exploitation de la gamme serveur
Windows Server 2003
Test de compatibilité logicielle et matérielle

déploiement de
Vous pouvez tester la compatibilité du serveur à mettre à niveau en insérant le

CD-Rom de Windows Server 2003 et en exécutant la commande R:\i386\winnt32
/checkupgradeonly, où R est la lettre utilisée pour désigner le CD-Rom.
Il est fortement conseillé, en entreprise, de n’utiliser la mise à niveau que lorsque vous
connaissez parfaitement les impacts de l’application de production et que celle-ci n’a pas
un rôle essentiel dans l’infrastructure ou dans la gestion des données vitales. Vous
courez le risque, en cas de problèmes survenant après la mise à niveau, de ne pas pouvoir
déterminer si la source des ennuis vient de la mise à niveau elle-même ou d’ailleurs, et
donc de perdre le temps que vous auriez pu gagner en choisissant d’effectuer cette mise
à niveau.
Évidemment, pour ce type d’intervention, veillez à réaliser une sauvegarde complète

avant la mise à niveau et assurez-vous du bon fonctionnement de la restauration.
Le double amorçage
Le double amorçage (également appelé multiboot ou dualboot) est la fonctionnalité qui
permet d’installer, sur un même ordinateur, plusieurs instances (deux dans ce cas-là) de
système d’exploitation (indépendamment des versions) et de choisir de démarrer sur
l’un ou l’autre des systèmes d’exploitation disponibles.
Lorsque vous installez Windows Server 2003 sur un serveur à des fins de production,
pour fournir un service (contrôle du domaine, impression…), votre vœu est évidemment
que ce service soit fourni au mieux et sans temps d’arrêt. Vous n’allez certainement pas
installer un double amorçage Linux ou une version antérieure de Windows.
Par contre, il peut être judicieux de penser au double amorçage à des fins de dépannage,
voire de restauration de fichiers. En effet, en installant deux instances de Windows
110
Installer Windows Server 2003
Server 2003 sur le même serveur, il peut être intéressant d’utiliser une instance pour la
production et une autre en cas de problèmes. Cette dernière permettra d’accéder aux
fichiers si l’instance de production est complètement inutilisable et qu’aucun autre outil
de récupération ne donne de résultats. On peut alors très vite faire basculer les données
sur un autre serveur ou bien installer l’application nécessaire, et recommencer à
travailler au plus vite. La seconde instance peut aussi être très utile s’il faut restaurer des
données en cas de corruption de l’instance de production. En effet, certains logiciels de
sauvegarde et de restauration demandent à ce qu’une autre instance de système
d’exploitation soit installée pour pouvoir restaurer correctement. De plus, des
problèmes référencés par Microsoft dans la base de connaissances ne trouvent de
solution que par l’installation en parallèle d’une autre instance de Windows.
Nous supposons donc que vous allez installer deux instances de Windows Server 2003
sur le même serveur. Vous avez le choix entre deux méthodes d’installation.
j Installation sur la même partition : une fois que la première instance de Windows
Windows Server 2003
Server 2003 est installée (par défaut dans le répertoire C:\Windows), le programme
déploiement de
détecte la seconde instance et vous propose de l’installer dans un répertoire portant
un nom distinct. Il est fortement conseillé de lui donner un nom approprié, par
exemple C:\Winbackup.
j Installation sur une partition différente : une fois que la première instance de
Windows Server 2003 est installée (par défaut dans le répertoire C:\Windows), le
programme détecte la seconde instance et vous propose de l’installer dans un
répertoire portant un nom distinct. Sélectionnez une autre partition (ou créez-la) et
donnez un nom approprié au répertoire d’installation, par exemple D:\Winbackup.
Bien que ce double amorçage avec deux instances de Windows Server 2003 ne soit pas
une nécessité, vous pouvez toujours réfléchir à la possibilité de l’implémenter selon le
niveau critique de l’application et l’espace disque dont vous disposez.
4.2. Installer Windows Server 2003

Nous allons tout d’abord décrire une installation de Windows Server 2003 dite classique,
en d’autres termes manuelle ou assistée. Ensuite, nous étudierons une installation dite
automatique, en d’autres termes sans assistance.
L’installation manuelle
C’est la méthode d’installation la plus courante. Elle démarre lors du boot sur le
CD-Rom d’origine. Si vous avez déjà installé des versions antérieures de Windows, vous
ne serez pas surpris.
Cette méthode est divisée en trois phases :

j la préinstallation ;
111
j l’installation en mode texte ;

j l’installation en mode graphique.
L’installation du serveur SNCECPDC01, localisé à Nice, sera prise comme exemple. Il

aura le rôle de contrôleur de domaine pour corp.puzzmania.com.
Phase 1 : la préinstallation
Cette phase consiste en fait à collecter les renseignements suivants afin de simplifier et
d’accélérer l’installation du serveur…
j Le nom de l’ordinateur : notez le nom de l’ordinateur, respectez la convention de
nommage appliquée dans votre entreprise. Chaque nom doit être unique sur le
réseau.
Windows Server 2003
Attribution d’un nom d’ordinateur

déploiement de
Vous pouvez bien sûr attribuer un nom pouvant aller jusqu’à 63 caractères, mais
pensez que les versions antérieures à Windows 2000 ne reconnaissent que les
15 premiers caractères. Bien que l’implémentation du service DNS de Microsoft
permette d’employer certains caractères non standards sur Internet (tel le tiret de
soulignement ou underscore), cela pourrait générer des problèmes si des serveurs
DNS non Microsoft sont présents sur votre réseau. C’est pourquoi les
recommandations sont d’utiliser les lettres minuscules (de a à z) et majuscules (de A
à Z), les chiffres de 0 à 9 et le trait d’union.
j Le nom du groupe de travail ou du domaine : notez dans quel domaine vous voulez
installer votre ordinateur ou, si vous êtes en train de bâtir votre nouvelle
infrastructure, vous pouvez l’installer dans un groupe de travail et, une fois
l’installation terminée, lancer la procédure de création de domaine. Dans tous les
cas, vous pouvez installer l’ordinateur dans un groupe de travail et rejoindre le
domaine une fois l’installation terminée.
Pour plus d’informations sur la procédure de création de domaine, consultez le

chapitre L’implémentation des serveurs d’infrastructure Active Directory.
Différence entre domaine et groupe de travail

Un domaine est un ensemble d’ordinateurs partageant la même base de données de
sécurité afin de centraliser la sécurité et l’administration.
Un groupe de travail est un ensemble d’ordinateurs dont les paramètres liés à la
sécurité et à l’administration sont configurés indépendamment et localement.
112
j L’adresse IP de l’ordinateur : notez l’adresse IP que vous attribuerez au serveur

(elle sera déduite de la méthode et du plan d’adressage IP). Notez également le
masque de sous-réseau. Vous remarquerez que le choix du protocole réseau n’est
pas pris en compte bien qu’il soit possible de l’indiquer lors de l’installation. De nos
jours, à l’évidence, TCP/IP est le protocole le plus utilisé.
Les trois méthodes d’adressage IP durant l’installation

Trois méthodes d’adressage IP sont disponibles durant l’installation.
j L’adressage APIPA (Automatic Private IP Addressing) : choisissez cette

méthode si votre réseau est de petite taille et si vous n’avez pas de serveur DHCP.
Une adresse IP provenant de l’espace d’adressage IP LINKLOCAL est
automatiquement affectée au serveur. Cette adresse est toujours de la forme
169.254.xxx.xxx. Si le serveur détecte un serveur DHCP nouvellement installé sur
le réseau, il fera automatiquement une demande d’attribution d’adresse.
Windows Server 2003
j Adressage IP dynamique : choisissez cette méthode si un ou plusieurs serveurs
déploiement de
DHCP sont présents sur le réseau et que vous souhaitiez qu’ils distribuent des
adresses IP aux serveurs. Selon votre besoin, déterminez que le service fourni par
le serveur ne sera pas touché par le renouvellement d’adresse.
j Adressage IP statique : c’est la méthode la plus utilisée sur des serveurs, souvent
à cause de compatibilités applicatives et surtout pour ne pas que l’adresse IP
puisse expirer et changer. Cela consiste à configurer manuellement les
paramètres IP.
La phase de préinstallation de SNCECPDC01 se résume donc à ceci :
Tableau 4.3 : La phase de préinstallation de SNCECPDC01

Nom d’ordinateur Groupe de travail ou domaine Méthode Adresse IP
d’adressage IP
SNCECPDC01 WORKGROUP (ce serveur est installé Adresse IP statique 172.100.11.1
dans un groupe de travail afin de le
convertir en contrôleur de domaine par la
suite)
Phase 2 : l’installation en mode texte

L’installation commence par une partie dite installation en mode texte, lorsque vous
bootez sur le CD-Rom de Windows Server 2003 (cela sous-entend que votre serveur est
bien configuré pour accepter le boot sur CD-Rom au démarrage).
113
Lors du démarrage de la séquence d’installation, vous avez tout de suite la possibilité

d’appuyer sur la touche [F6] afin d’insérer le pilote du contrôleur de disque dur si celui-ci
est particulier (du style contrôleur SCSI récent, contrôleur Fibre Channel, contrôleur
RAID SATA…). La plupart des nouveaux serveurs requièrent cette manipulation.
Interrogez votre fournisseur de matériels afin d’obtenir la bonne version de pilote.
L’étape suivante consiste à sélectionner le disque dur sur lequel vous souhaitez installer
Windows Server 2003 et à créer la partition adéquate, puis à la formater.
Windows Server 2003
déploiement de
Figure 4.1 : Formatage de la partition d’installation
L’option de formatage rapide

L’option de formatage rapide peut vous faire gagner du temps. Elle ne fait qu’écrire la
table des entrées de fichier. Ne l’utilisez que sur des disques durs neufs ou contenant
des données non confidentielles.
Les différences entre FAT et NTFS ne seront pas exposées ici. De nos jours, en
entreprise, seul le système de fichiers NTFS (New Technology File System) est un choix
viable si vous voulez mettre en place un plan de sécurité pour votre infrastructure. Voici
quelques fonctionnalités de NTFS qui le rendent indispensable :
j gestion de la sécurité locale ;
j gestion des volumes de grande taille (jusqu’à 16 To) ;
j prise en charge des technologies de tolérance de pannes (niveaux de RAID) ;
j prise en charge de l’audit du système de fichiers ;
j prise en charge de la compression des fichiers ;
j prise en charge des quotas disque ;
114
j prise en charge du cryptage des fichiers (EFS) ;

j prise en charge du montage de volumes dans des répertoires ;
j prise en charge du stockage à distance ;
j prise en charge d’Active Directory.
Pour le serveur SNCECPDC01, le choix sera donc NTFS. Une fois le choix effectué, la
procédure d’installation se poursuit, formate la partition système, copie les fichiers
nécessaires, puis redémarre le serveur. Débute alors la phase 3 : l’installation en mode
graphique.
Phase 3 : l’installation en mode graphique

Dernière phase : vous devez fournir quelques informations afin que l’installation se
termine.
Windows Server 2003
Options régionales et linguistiques : ces options vous permettent de modifier
déploiement de
j
l’affichage des nombres, des dates, des monnaies, des heures, et de configurer votre
langue d’entrée et votre méthode de saisie de texte.
j Clé du produit : entrez la clé qui vous a été livrée avec le CD-Rom de Windows
Server 2003.
Programme de licence
Si vous avez acheté le CD-Rom de Windows Server 2003 chez un détaillant ou dans
un magasin spécialisé, vous serez obligé d’activer le produit soit par téléphone, soit
par Internet une fois l’installation terminée. Si vous avez acheté le produit par
l’intermédiaire du programme de licence en volume Open ou Select, aucune
activation ne sera nécessaire. De plus, une même clé pourra servir à toutes les
installations de l’entreprise, ce qui présente un intérêt certain dans le cas d’une
installation automatisée par script.
j Modes de licence : vous avez le choix entre deux modes, à savoir par serveur ou par
périphérique (voir fig. 4.2).
− Le mode de licence par serveur : dans ce mode, chaque serveur accepte un
nombre défini de clients autorisés à se connecter simultanément en fonction du
nombre de licences d’accès client (CAL) configuré. Si le nombre de clients
tentant de se connecter au serveur dépasse le nombre de licences, la connexion
est refusée. Il est possible de faire évoluer le nombre de licences une fois
l’installation terminée, sélectionnez dans le Panneau de configuration le lien
Licences. Ce mode de licence par serveur est conseillé dans les très petites
entreprises maîtrisant leur nombre de connexions simultanées et ayant très peu
de serveurs (un ou deux). C’est également le mode de licence le moins onéreux.
115
Windows Server 2003
déploiement de
Figure 4.2 : Les modes de licence
− Le mode de licence par périphérique (ou siège) : dans ce mode, chaque utilisateur
spécifique de l’entreprise est sujet à licence. Les serveurs ne disposent d’aucune
restriction quant au nombre maximal de connexions simultanées. C’est le mode
de licence le plus utilisé car, une fois que vous avez payé pour l’utilisateur, il peut
se connecter à un nombre illimité de serveurs Windows. Notre société
Puzzmania n’utilisera que ce mode pour tout son parc, et c’est donc le mode qui
est choisi lors de l’installation de SNCECPDC01.
Choix du mode de licence

Si vous avez un doute dans le choix du mode de licence, sélectionnez le mode de
licence par serveur. Vous pourrez passer en mode de licence par périphérique en
choisissant dans le Panneau de configuration l’option Licences. Attention, cette
opération est irréversible, et il n’est pas possible de passer du mode de licence par
périphérique au mode de licence par serveur.
j Nom d’ordinateur et mot de passe du compte local Administrateur : conformez-vous

à votre plan de nommage et à la phase de préinstallation pour déduire le nom du
serveur. Dans notre exemple, c’est SNCECPDC01. Entrez ensuite le mot de passe qui
correspondra au compte local Administrateur. Pour des raisons de sécurité
évidentes, surtout sur un serveur, choisissez-le le plus complexe possible. D’ailleurs,
s’il n’est pas assez complexe, vous verrez apparaître la fenêtre suivante :
116
Figure 4.3 :
Avertissement sur la
faiblesse du mot de passe
du compte local
Administrateur
Lisez bien les recommandations de cette fenêtre et appliquez-les. Il est possible de

continuer avec le mot de passe faible que vous avez saisi, mais c’est vivement
déconseillé.
Windows Server 2003
j Paramètres de gestion du réseau : entrez les paramètres réseau que vous avez
déploiement de
relevés dans la phase de préinstallation (méthode d’adressage IP et incorporation
ou non à un domaine). Dans le cadre de l’installation de SNCECDPDC01, les
renseignements indiqués dans le tableau de la phase de préinstallation seront
utilisés.
Une fois toutes les informations du mode graphique de l’installation correctement

indiquées, les fichiers nécessaires sont copiés sur le disque dur, l’installation est
finalisée, les fichiers temporaires sont détruits, le serveur redémarre. Votre serveur est
installé et prêt pour la suite : installation du SP1 (à moins que le CD-Rom en votre
possession soit celui qui contient Windows Server 2003 et SP1), des derniers correctifs
de sécurité, de l’antivirus, etc.
L’installation automatique
L’installation manuelle de Windows Server 2003 n’est pas compliquée. Quelques
interactions avec le processus sont nécessaires durant les phases en mode texte et en
mode graphique. Ce n’est pas des plus compliqué, certes, mais le processus est long et,
en raison de ces interactions, monopolise l’attention d’un administrateur.
En automatisant tout ou partie de cette installation, vous gagnez du temps et vous

libérez un administrateur pour une autre tâche. Dans une petite entreprise, qui dit
"gagner du temps", dit… Vous aurez deviné la suite.
Trois méthodes d’automatisation sont disponibles sous Windows Server 2003 :

j l’installation par script (ou fichier de réponses) ;
j le déploiement à l’aide de RIS (Remote Installation Service) ;
j l’utilisation d’un gestionnaire d’images et de l’utilitaire Sysprep.exe (System
Preparation).
117
Chaque méthode possède son propre champ d’application.
Tableau 4.4 : Champ d’application des méthodes d’automatisation de l’installation de

Windows Server 2003
Champ d’application Installation par script RIS Sysprep
(fichier de réponses)
Nouvelle installation × × ×
Mise à niveau ×
Équipements physiques × ×
différents
Installation par image × ×
Système d’exploitation et × ×
applications installés en même
temps
Windows Server 2003
Active Directory requis ×

déploiement de
L’installation par script (fichier de réponses)

Vous pouvez éliminer les interactions nécessaires lors des phases d’installation en mode
texte et en mode graphique en saisissant les différents paramètres (nom d’ordinateur,
adresse IP…) dans un fichier de réponses (appelé unattend.txt).
Cette méthode peut s’appliquer aussi bien à une nouvelle installation qu’à une mise à
niveau, sur des serveurs ou des stations de travail, équipés de matériels physiques
différents.
Pour créer le fichier unattend.txt, vous devez utiliser l’Assistant Gestion d’installation qui
se trouve sur le CD-Rom du SP1 de Windows Server 2003.
1. Insérez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers.
2. Ouvrez le répertoire support\tools et le fichier deploy.cab.
Assistant Gestion d’installation et CD-Rom du SP1 de Windows Server 2003

Si vous ne possédez pas le CD-Rom du SP1 de Windows Server 2003 et que vous ayez
récupéré l’exécutable du SP1 sur le site web de Microsoft, vous constaterez qu’en
décompressant les fichiers, vous ne trouverez pas le répertoire support\tools. Vous
devrez alors télécharger le package correspondant au fichier deploy.cab à l’adresse :
www.microsoft.com/downloads/details.aspx?FamilyID=a34edcf2-ebfd-4f99-bbc4
-e93154c332d6&DisplayLang=en.
118
3. Sélectionnez tous les fichiers qu’il contient, cliquez du bouton droit de la souris et
choisissez Extraire.
4. Sélectionnez ou créez un répertoire de destination et cliquez sur Extraire.
5. Ouvrez le répertoire de destination et exécutez setupmgr.exe.
Figure 4.4 :
Choix du type
d’installation dans
l’Assistant Gestion
d’installation
Windows Server 2003
déploiement de
6. Sélectionnez le type Installation sans assistance. Vous pouvez également créer un
fichier de réponses pour les installations de type RIS et Sysprep qui seront détaillées
ultérieurement.
7. Sélectionnez la version du système d’exploitation Windows qui sera installée à l’aide
de ce fichier de réponses, puis le type d’interaction que vous souhaitez, ou plutôt le
niveau d’automatisation du fichier de réponses, parmi les différentes propositions
décrites dans la fenêtre suivante :
Figure 4.5 :
Choix du type
d’interaction dans
l’Assistant Gestion
d’installation
119
8. Sélectionnez ensuite l’emplacement des fichiers sources de Windows Server 2003 et

validez le contrat de licence.
S’ouvre alors une interface vous permettant de remplir les différents champs qui
répondent aux interactions de l’installation et personnalisent la vôtre. En voici un
exemple :
Windows Server 2003
déploiement de
Figure 4.6 : Définition des paramètres d’interaction dans l’Assistant Gestion d’installation
Crypter le mot de passe du compte local Administrateur dans le fichier de réponses

Avec Windows Server 2003, il est désormais possible de crypter le mot de passe du
compte local Administrateur à l’intérieur du fichier de réponses grâce à une simple
option à cocher. N’oubliez pas de le faire.
Une fois que tous les champs sont remplis, votre fichier unattend.txt est généré dans le
dossier partagé de distribution. Voici ce que nous obtenons pour le serveur
SNCECPDC01 :
;SetupMgrTag
[Data]
AutoPartition=1
MsDosInitiated="0"
UnattendedInstall="Yes"
[Unattended]
UnattendMode=FullUnattended
OemSkipEula=Yes
OemPreinstall=Yes
TargetPath=\WINDOWS
120
[GuiUnattended]
AdminPassword=464993d6cb5eb807f0d412bd764ffe8173ecbccd10d1011b5b10daf955db377d
EncryptedAdminPassword=Yes
OEMSkipRegional=1
TimeZone=105
OemSkipWelcome=1
[UserData]
ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
FullName="PUZZMANIA Service Informatique"
OrgName="PUZZMANIA"
ComputerName=SNCECPDC01
[Display]
BitsPerPel=32
Xresolution=1024
YResolution=768
Windows Server 2003
déploiement de
[LicenseFilePrintData]
AutoMode=PerSeat
[SetupMgr]
DistFolder=C:\windist
DistShare=windist
[Identification]
JoinDomain=PUZZMANIA
DomainAdmin=Administrateur
[Networking]
InstallDefaultComponents=No
[NetAdapters]
Adapter1=params.Adapter1
[params.Adapter1]
INFID=*
[NetClients]
MS_MSClient=params.MS_MSClient
[NetServices]
MS_SERVER=params.MS_SERVER
[NetProtocols]
MS_TCPIP=params.MS_TCPIP
[params.MS_TCPIP]
DNS=Yes
UseDomainNameDevolution=No
EnableLMHosts=Yes
121
AdapterSections=params.MS_TCPIP.Adapter1
[params.MS_TCPIP.Adapter1]
SpecificTo=Adapter1
DHCP=No
IPAddress=172.100.112.1
SubnetMask=255.255.240.0
DefaultGateway=172.100.111.1
DNSServerSearchOrder=172.100.111.1,172.100.111.2
WINS=Yes
WinsServerList=172.100.111.1,172.100.111.2
NetBIOSOptions=0
Vous pouvez également pousser l’automatisation encore plus loin en créant un fichier
de réponses afin d’automatiser le processus de création de contrôleur de domaine.
9. Créez un fichier de réponses que vous appellerez unattenddcpromo.txt par exemple.
Windows Server 2003
Pour Puzzmania, et plus particulièrement pour le domaine corp.puzzmania.com,

le contenu de ce fichier est le suivant :

déploiement de
[DCInstall]
AllowAnonymousAccess = No
AutoConfigDNS = Yes
ChildName = corp.puzzmania.com
ConfirmGc = Yes
CreateOrJoin = Join
CriticalReplicationOnly = Yes
DatabasePath = D:\Data
DisableCancelForDnsInstall = Yes
DNSOnNetwork = Yes
DomainNetBiosName = CORP
IsLastDCInDomain = No
LogPath = D:\Logs
NewDomain = Child
NewDomainDNSName = corp.puzzmania.com
ParentDomainDNSName = puzzmania.com
Password = XXXXXXXX
RebootOnSuccess = NoAndNoPromptEither
ReplicaDomainDNSName = puzzmania.com
ReplicaOrNewDomain = Domain
ReplicationSourcePath = %SYSTEMDRIVE%\Source
SafeModeAdminPassword = XXXXXXXX
SiteName = Nice
Syskey = 12345
SysVolPath = %SYSTEMDRIVE%\Sysvol
TreeOrChild = Child
UserDomain = puzzmania.com
UserName = Administrateur
10. Ensuite, exécutez la commande dcpromo /answer:unattenddcpromo.txt une

fois que votre serveur est installé en tant que serveur autonome ou serveur membre.
122
Comme vous le savez, certains paramètres sont uniques sur le réseau comme le nom
d’ordinateur. Cela veut dire que le fichier unattend.txt n’est pas réutilisable tel quel sur
tous vos ordinateurs. Vous devez donc créer un fichier .udf en complément du fichier
unattend.txt afin de lister toutes les différences apparaissant d’une installation à l’autre.
Le fichier d’aide deploy.chm inclus dans deploy.cab vous sera précieux quant à la syntaxe
à respecter.
Enfin, pour l’exécution de votre installation automatisée, un fichier unattend.bat est

généré en même temps que le fichier unattend.txt. À partir du serveur que vous voulez
installer, vous devez atteindre le dossier de partage sur lequel se situe le fichier unattend
.bat et exécuter ce dernier. La plupart des serveurs que vous installerez seront souvent
sans système d’exploitation lorsque vous les démarrerez la première fois. Il vous faudra
donc booter sur une disquette contenant un client réseau DOS afin de charger une
gestion minimale de réseau, atteindre le fichier et le lancer. Voici un exemple où
SNCECPFS01, un serveur de fichiers, distribue les fichiers sources pour l’installation :
Windows Server 2003

@rem SetupMgrTag
déploiement de
@echo off
rem
rem Ceci est un EXEMPLE de script de commandes généré par
rem l’Assistant Gestion d’installation.
rem Si ce script est déplacé de l’emplacement dans lequel il
rem a été créé, il peut être nécessaire de le modifier.
rem
set AnswerFile=.\unattend.txt
set SetupFiles=\\SNCECPFS01\windist\I386
\\SNCECPFS01\windist\I386\winnt32 /s:%SetupFiles% /unattend:%AnswerFile%
Cette méthode d’installation automatisée peut aussi bien déployer Windows

Server 2003 sur les serveurs que Windows XP Professionnel sur les stations de travail.
Or, comme elle ne sait pas installer les applications en même temps que le système
d’exploitation, il est d’usage de ne l’utiliser que pour l’installation des serveurs.
Le déploiement à l’aide de RIS

Le service d’installation à distance RIS (Remote Installation Service) permet de déployer
le système d’exploitation (client ou serveur) sur les ordinateurs de l’entreprise sans
intervention de la part de l’administrateur.
Cette méthode ne s’applique que dans le cadre d’une nouvelle installation et se fonde
sur la technologie des images disques et/ou celle des fichiers de réponses. Une image
d’un ordinateur de référence (cette image pouvant également contenir des applications)
et/ou une image du CD-Rom de Windows sont prises, puis stockées sur le serveur RIS
qui distribuera l’installation aux clients autorisés. Le processus sera détaillé par la suite.
Cette méthode d’installation peut s’appliquer sur des serveurs ou des stations de travail
123
équipés de matériels physiques différents, à condition que vous utilisiez

convenablement l’image disque et/ou les fichiers de réponses.
Des vérifications préalables

Vous devez faire un certain nombre de vérifications avant d’installer le serveur RIS et de
bénéficier du déploiement automatisé des images :
j Le futur serveur RIS doit être membre du domaine (ou contrôleur de domaine).
Cela sous-entend que votre domaine et, donc, Active Directory et DNS doivent être
présents sur le réseau.
j Un serveur DHCP doit être présent sur le réseau, et doit être autorisé, ainsi que le
serveur RIS, dans Active Directory (même si le serveur RIS n’est pas serveur
DHCP).
j Les ordinateurs clients doivent être compatibles PXE 1.0 ou 2.3 (Preboot eXecution
Windows Server 2003
Environment). Ils doivent posséder une carte réseau équipée d’une Rom PXE ou
prise en charge par la disquette de démarrage.

déploiement de
Nouveautés de RIS avec Windows Server 2003 SP1

Grâce au SP1 de Windows Server 2003, il est maintenant possible d’exécuter RIS sur
une plateforme Windows Server 2003 SP1 x64. De plus, RIS assure aussi le
déploiement des images x64 à l’aide de l’Assistant Installation des services
d’installation à distance (Risetup.exe) et de l’Assistant Préparation d’une installation
à distance (Riprep.exe), à partir d’un serveur Windows Server 2003 SP1, quelle que
soit son architecture (x64, IA-64 et x86).
Installer le serveur RIS

Une fois que vous avez sélectionné le serveur membre qui fera office de serveur RIS
(chez Puzzmania, ce sera SNCECPFS01 pour le domaine corp.puzzmania.com) et que
les prérequis sont tous respectés, vous pouvez procéder à l’installation de RIS.
1. Ouvrez le Panneau de configuration, sélectionnez Ajout/Suppression de
programmes, puis Ajouter ou supprimer des composants Windows.
2. Cochez la case Services d’Installation à distance, puis cliquez sur Suivant et enfin sur
Terminer une fois que les fichiers sont copiés. Redémarrez le serveur.
3. Dans le menu Démarrer, sélectionnez Exécuter et lancez le programme Risetup.exe.
La boîte de dialogue suivante apparaît alors en vous rappelant les prérequis.
124
Figure 4.7 :
Assistant Installation des
services d’installation à
distance
Windows Server 2003
4. Sélectionnez ensuite l’emplacement où sera créé le dossier d’installation et qui
déploiement de
contiendra les images. Par défaut, le nom de ce dossier est RemoteInstall et il est
partagé sous le nom de REMINST. Il doit impérativement se situer sur une partition
NTFS, qui ne doit être ni la partition système ni la partition d’amorçage. Ce dossier
doit également avoir un espace minimal disponible de 2 Go.
5. Dans la boîte de dialogue suivante, vous avez la possibilité de prendre en charge les
ordinateurs clients. Il est conseillé de décocher toutes les options, en d’autres termes
de ne pas prendre en charge les ordinateurs clients dans l’immédiat. Vous pourrez
valider la prise en charge des ordinateurs clients une fois que votre serveur RIS sera
totalement opérationnel. Cliquez sur Suivant.
6. Spécifiez l’emplacement des fichiers d’installation de Windows à partir du
CD-Rom. Le serveur RIS a besoin d’au moins une image de CD-Rom qu’il sera
possible de déployer. La version du système d’exploitation peut aussi bien être
Windows Server 2003 que Windows XP Professionnel ou Windows 2000
Professionnel.
7. Entrez ensuite un nom de sous-dossier pour stocker les fichiers provenant de ce
CD-Rom. Cliquez sur Suivant et faites une description plus détaillée de l’image du
CD-Rom. Ces informations seront visibles sur l’écran de l’ordinateur qui installera
cette image.
8. Cliquez sur Suivant, vérifiez vos paramètres, puis cliquez sur Terminer. La copie
démarre et l’installation s’achève.
De nouveaux services sont ajoutés à la suite de l’installation de RIS sur le serveur :

j Boot Information Negociation Layer (BINL) : "couche de négociation des
informations de démarrage", ou service d’installation à distance, c’est le service
chargé de répondre aux requêtes des clients et d’interroger Active Directory pour
savoir si l’ordinateur dispose des droits nécessaires. Il permet d’attribuer les
paramètres adaptés aux clients.
125
j Trivial File Transfer Protocol (TFTPD daemon) : "service trivial FTP", c’est le service
qui permet aux clients de télécharger les fichiers et de rapatrier le Client Installation
Wizard (CIW) ou "assistant d’installation du client" et toutes les boîtes de dialogue
contenues dans ce dernier.
j Single Instant Store (SIS) : "stockage d’instance simple", c’est le service chargé de
réduire l’espace disque des volumes utilisés par les images d’installation RIS. Ce
service surveille l’apparition de plusieurs versions d’un même fichier sur le volume
et, dans ce cas, crée un lien vers ledit fichier, économisant ainsi de l’espace disque.
Mettre en œuvre le serveur RIS

Une fois l’installation terminée, vous devez suivre quatre étapes afin de passer le serveur
RIS en production :
j Autoriser le serveur ;
Windows Server 2003
j Activer la prise en charge des ordinateurs clients ;

déploiement de
j Créer les comptes d’ordinateur client ;

j Définir les autorisations des utilisateurs.
Autoriser le serveur
Bien que le serveur RIS ne soit pas un serveur DHCP, vous devez l’autoriser dans la
console DHCP.
1. Ouvrez les Outils d’administration et lancez la console DHCP.
2. Sélectionnez la racine de la console DHCP, cliquez du bouton droit de la souris et
choisissez Gérer les serveurs autorisés.
3. Cliquez sur Autoriser et saisissez le nom ou l’adresse IP du serveur RIS, puis
validez.
Figure 4.8 : Autorisation du serveur RIS dans la console DHCP
126
Activer la prise en charge des ordinateurs clients

L’action qui n’a pas été réalisée à l’étape 5 de l’installation du serveur RIS peut être
réalisée de la façon suivante :
1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, explorez votre
arborescence d’unités d’organisation (OU) jusqu’à trouver le compte d’ordinateur
du serveur RIS.
2. Cliquez du bouton droit de la souris sur le compte d’ordinateur et sélectionnez
Propriétés, puis allez sous l’onglet Installation à distance.
3. Cochez la case Répondre aux ordinateurs clients à la demande d’un service.
Figure 4.9 :
Prise en charge des
clients RIS
Windows Server 2003
déploiement de
Vous pouvez également cocher la case Ne pas répondre aux ordinateurs clients inconnus,
mais si vous le faites, vous devez avoir créé au préalable tous les comptes d’ordinateur
client dans Active Directory. Cette technique, dite de prestaging, est plus contraignante,
mais permet, d’une part, de ne pas déléguer à un utilisateur le droit de joindre un
ordinateur au domaine et, d’autre part, d’équilibrer la charge lorsque plusieurs serveurs
RIS sont présents sur le réseau.
Vérifier le serveur RIS

Vous avez la possibilité de lancer des tests de bon fonctionnement du serveur RIS en
cliquant sur le bouton Vérifier le serveur (uniquement à partir du serveur RIS
lui-même).
127
Créer les comptes d’ordinateur client

du serveur RIS.
2. Cliquez du bouton droit sur le compte d’ordinateur et sélectionnez Propriétés, puis
allez sur l’onglet Installation à distance et cliquez sur le bouton Paramètres
avancés. Vous avez alors la possibilité de personnaliser les futurs noms des
ordinateurs clients en fonction de votre convention de nommage.
Figure 4.10 :
Attribution des noms
d’ordinateur client
Windows Server 2003
déploiement de
Définir les autorisations des utilisateurs

Selon les options que vous avez choisies, vous serez peut-être amené à déléguer le droit
de joindre un ordinateur au domaine aux personnes qui réalisent les installations.
1. Ouvrez la console Utilisateurs et Ordinateurs Active Directory, cliquez du bouton
droit de la souris sur le nom de votre domaine, puis sur Déléguer le contrôle.
2. Dans l’Assistant Délégation de contrôle, cliquez sur Suivant, puis sur Ajouter.
Saisissez le nom du groupe (ou utilisateur) auquel accorder le droit nécessaire et
validez.
3. Activez la case à cocher Joindre un ordinateur au domaine, puis valisez.
4. Vérifiez en dernier lieu que le groupe ou l’utilisateur a le droit de lecture sur le
répertoire de distribution d’images.
128
Pour plus d’informations sur tous les termes relatifs à Active Directory, reportez-vous
au chapitre Introduction à LDAP et Active Directory.
Créer des images avec les outils RIS

Le serveur RIS prend en charge aussi bien les images basées sur le CD-Rom
d’installation de Windows et un fichier de réponses (dont l’une est obligatoirement
créée à l’installation du serveur RIS) que les images disque prises à partir d’un
ordinateur de référence (comme celles créées avec des outils spécialisés, tel Symantec
Ghost).
Les images basées sur le CD-Rom d’installation de Windows et un fichier de réponses

sont gérées par l’Assistant Installation des services d’installation à distance (Risetup.exe)
et les images basées sur la technologie des images disques sont gérées par l’Assistant
Préparation d’une installation à distance (Riprep.exe).
Windows Server 2003
déploiement de
Voyons comment créer ou ajouter des images des deux types au serveur RIS.
Les images de type CD-Rom (Risetup.exe)

du serveur RIS.
2. Cliquez du bouton droit de la souris sur le compte d’ordinateur et sélectionnez
Propriétés, puis allez sous l’onglet Installation à distance et cliquez sur le bouton
Paramètres avancés.
3. Cliquez ensuite sur l’onglet Images, puis sur Ajouter. Suivez alors les instructions
pour créer et stocker une nouvelle image.
Figure 4.11 :
Assistant de création
d’une nouvelle image
129
Les images de type Riprep (Riprep.exe)

RIS propose en standard l’outil Riprep.exe, semblable aux outils de duplication de disque
du marché. À partir d’un ordinateur maître sur lequel vous avez préalablement installé
tous les correctifs de sécurité et toutes les applications nécessaires, lancez l’utilitaire
Riprep.exe (se trouvant sur le serveur RIS) qui se chargera de créer une image propre,
c’est-à-dire en retirant les identificateurs de sécurité uniques (SID), et de la copier sur le
serveur RIS.
Prenons un ordinateur maître correctement configuré dans le contexte de Puzzmania.

1. Ouvrez une invite de commandes, ou cliquez sur Démarrer/Exécuter et saisissez
\\SNCECPFS01\Reminst\Admin\i386\Riprep.exe.
L’Assistant Préparation d’une installation à distance s’ouvre.

2. Suivez les instructions à l’écran.
Windows Server 2003
Figure 4.12 :
déploiement de
Assistant Préparation
d’une installation à
distance
Le déploiement à partir des ordinateurs clients

Une fois les opérations de mise en production du serveur RIS et de création d’images
terminées, vos ordinateurs clients sont prêts à recevoir les images d’installation. Il suffit
de procéder au redémarrage de l’ordinateur à partir de la carte réseau PXE (vous devez
pour cela modifier la séquence de boot ou les options du BIOS de l’ordinateur), puis de
sélectionner l’image d’installation de votre choix et l’exécuter.
Quelle stratégie choisir pour utiliser RIS convenablement en entreprise ? Tout dépend
du contexte. Il peut être intéressant de s’en servir pour installer les stations de travail
plutôt que les serveurs, parce que, avec Riprep.exe, vous possédez un outil semblable aux
outils spécialisés du marché qui permet de créer des images à partir d’un ordinateur de
130
référence configuré avec toutes vos applications standards. De l’affectation de

l’adresse IP via DHCP à l’intégration au domaine, vous pouvez tout paramétrer afin de
gagner du temps et de procéder à des installations parallèles en nombre. Quant aux
serveurs, vous pouvez toujours les déployer avec RIS. Vous êtes libre de procéder à une
installation via une image CD-Rom et les fichiers de réponses afin de maîtriser toute la
chaîne de mise en production du serveur, notamment l’installation des applications.
Comme les serveurs n’ont pas tous la même spécificité et les mêmes paramétrages, il
vous faudra créer une image par type de serveur. La méthode perd alors de son intérêt,
compte tenu du temps passé à créer les images.
Utiliser un gestionnaire d’images et Sysprep.exe (System

Preparation)
Une autre méthode d’installation consiste à dupliquer (cloner) le disque dur d’un
ordinateur préconfiguré et de reproduire l’installation. Pour cela, vous devez utiliser un
Windows Server 2003

outil de création d’image disque (par exemple Symantec Ghost).
déploiement de
Cette méthode est valable uniquement pour de nouvelles installations sur des
équipements matériels identiques. Vous n’avez pas besoin qu’une infrastructure de
domaine soit déployée.
La difficulté rencontrée avec les outils de création d’image disque est qu’il ne faut pas
régénérer les mêmes identificateurs de sécurité (SID) à chaque installation. Pour cela,
vous devez utiliser un programme qui permet de nettoyer les identificateurs de sécurité
(SID) avant le clonage afin de garantir l’unicité de chaque installation sur le réseau.
Vous pouvez vous servir de l’utilitaire fourni avec votre programme de création d’image
disque ou bien utiliser Sysprep.exe (System Preparation) fourni sur le CD-Rom de
Windows Server 2003 SP1. Procédez ainsi :
1. Installez un ordinateur de référence contenant toutes les applications et les
paramètres que vous désirez.
2. Insérez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers.
3. Ouvrez le répertoire support\tools et le fichier deploy.cab.
4. Sélectionnez tous les fichiers qu’il contient, cliquez du bouton droit de la souris et
choisissez Extraire.
5. Sélectionnez ou créez un répertoire de destination et cliquez sur Extraire.
6. Ouvrez le répertoire de destination et exécutez Sysprep.exe. Suivez alors les
instructions.
La boîte de dialogue suivante s’affiche :
131
Figure 4.13 :
Outil de préparation du
système 2.0
(Sysprep.exe)
Windows Server 2003
déploiement de
7. Après avoir sélectionné les options que vous désirez, cliquez sur le bouton Resceller.
Le processus se termine et arrête ou redémarre votre ordinateur.

8. Utilisez alors votre outil de création d’image disque pour générer une image avant
le redémarrage complet de l’ordinateur. Copiez cette image à l’emplacement distant
de votre choix.
L’installation de l’image disque sur l’ordinateur client s’effectue à partir de l’outil de

création d’image.
Sysprep.exe et Riprep.exe
Sysprep.exe et Riprep.exe ont des utilisations bien distinctes. Alors que vous utiliserez
Sysprep.exe en association avec un outil spécialisé de duplication d’image disque,
vous ne pourrez pas vous servir de Riprep.exe, qui nécessite impérativement la mise en
production d’un serveur RIS.
Cette méthode d’installation permet de tirer parti de votre outil tiers de création
d’image disque. Elle est plutôt orientée vers l’installation des stations de travail pour
deux raisons : elle n’est applicable que sur des équipements physiques identiques, et une
image peut contenir des applications. Cette méthode d’installation a l’avantage d’être
très simple à mettre en œuvre, sans nécessiter d’infrastructure de domaine.
132
Résoudre les problèmes d’installation
4.3. Résoudre les problèmes d’installation

Si vous rencontrez des problèmes durant l’installation ou à la fin, voici quelques
éléments simples à vérifier ainsi qu’une sélection d’outils et de fichiers très pratiques :
Tableau 4.5 : Problèmes d’installation et conseils de résolution

Symptôme Conseil
Matériel non reconnu Vérifiez que le matériel est présent sur la liste de compatibilité
matérielle Windows HCL à l’adresse www.microsoft.com/whdc/hcl/
default.mspx.
Lecteur de CD-Rom non pris Testez un autre lecteur ou utilisez une méthode d’installation via le
en charge réseau.
Disque dur non trouvé durant Vérifiez le type de contrôleur disque inclus dans votre serveur,
la phase d’installation récupérez le dernier pilote valide et ajoutez-le au démarrage de
Windows Server 2003
l’installation en appuyant sur la touche [F6].
déploiement de
Espace disque insuffisant Utilisez le programme d’installation en mode texte afin de recréer
la partition système.
Carte réseau non trouvée Mettez à jour le pilote de la carte ou installez momentanément
durant la phase d’installation une carte réseau virtuelle (carte de bouclage Microsoft) afin de
terminer l’installation, puis lancez des tests physiques afin de
déceler une panne matérielle.
Impossibilité de joindre le Vérifiez les paramètres de la carte ainsi que les paramètres
domaine TCP/IP. Vérifiez que vous pouvez contacter vos contrôleurs de
domaine et que vos serveurs DNS et vos comptes d’ordinateur
sont correctement configurés.
Pour les installations automatisées, consultez le fichier deploy.chm contenu dans

l’archive deploy.cab du CD-Rom de Windows Server 2003 SP1, il vous sera d’une aide
précieuse afin de trouver une solution à vos problèmes ou plus simplement pour vous
donner de plus amples informations.
Des outils gratuits

Vous pouvez aussi utiliser les outils gratuits que vous trouverez sur le site web www
.sysinternals.com, dans la catégorie File and Disks, en particulier l’outil Filemon, qui
permet de surveiller l’activité des fichiers système en temps réel, et l’outil NewSID, qui
permet de changer l’identificateur de sécurité (SID).
133
4.4. En résumé
Avec Windows Server 2003, vous pouvez choisir entre différentes méthodes
d’installation et vous avez même la possibilité de mettre en place une structure de
déploiement afin d’opérer des installations en nombre, qu’il s’agisse d’ailleurs de
Windows Server 2003 ou des versions clientes de Windows. Vous devez choisir la
solution qui correspond le mieux à vos attentes en fonction de votre contexte de travail.
Saisissez l’opportunité de gagner du temps sur les tâches d’installation. Prenons

l’exemple de la mise en place d’un serveur RIS afin d’automatiser l’installation de
Windows XP Professionnel sur les stations de travail… Dans le cadre de la réduction du
coût total de possession, si vous achetez en nombre des stations de travail ayant le même
équipement physique, vous serez à même de négocier un prix auprès de votre
fournisseur. En outre, Windows Server 2003 vous livrera sans surcoût la fonctionnalité
d’installation automatisée. De plus, comme vous n’aurez qu’une seule image à gérer, si
Windows Server 2003
vous devez modifier un pilote pour résoudre un problème donné, vous n’aurez qu’à
modifier une seule fois l’image pour que toutes les nouvelles installations prennent en
déploiement de
compte la modification.
134
Chapitre 5
L’installation de
Windows Vista
5.1 Découvrir les différentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.2 Valider la configuration matérielle minimale recommandée . . . . . . . . . . . . . . 142
5.3 Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.4 Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
5.5 Préparer la mise à jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . 167
5.6 Mettre à jour le système d’exploitation vers Windows Vista . . . . . . . . . . . . . . . 181
5.7 Dépanner la mise à niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 182
5.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Découvrir les différentes versions
D epuis la première installation de Windows 95 et ses 15 disquettes, les systèmes

d’exploitation ont demandé toujours plus de capacité pour passer du CD au DVD
avec l’installation de Windows Vista.
Au travers de ce chapitre, vous allez découvrir les différentes versions et les fonctions de
Windows Vista ainsi que son installation standard. Jusque-là rien de bien exceptionnel,
mais maîtriser cette base est nécessaire pour l’utilisation de cet ouvrage. Vous
découvrirez également les mécanismes de l’installation, un peu plus complexe mais
théorique cette fois-ci, de ce nouveau Windows ainsi que les changements apportés par
le format WIM. Pour terminer, vous apprendrez comment personnaliser votre média
d’installation et votre installation pour la rendre totalement automatique,
Voici en quelques lignes ce que vous réserve ce chapitre pour que l’installation de
Windows Vista n’ait plus de secret pour vous !
5.1. Découvrir les différentes versions

À la description des différentes versions de Vista, on retrouve un triptyque, une cible
d’utilisateurs en triangle, visé par Microsoft :
5. L’installation de
j les utilisateurs à la maison avec Home Basic, Home Premium et Intégrale ;
Windows Vista
j les utilisateurs/administrateurs en petites entreprises avec Business et Intégrale ;
j les utilisateurs/administrateurs en grandes entreprises avec Enterprise et Intégrale.
Voici un bilan des fonctionnalités techniques incluses dans chaque version :
Fonctionnalités techniques Vista Vista Entreprise Vista Édition

différenciées Professionnel Intégrale
Améliorations de base sur les Oui Oui Oui
performances et la sécurité
Fonctionnalités de recherche et Oui Oui Oui
d’organisation
Fonctionnalité de connexion poste à Oui Oui Oui
poste (P2P)
Centre de sauvegarde (via réseau et Oui Oui Oui
programmée)
Interface graphique Aero glass et Oui Oui Oui
animations, transparence
Media Center Non Non Oui
HD MovieMaker et DVD Authoring Non Non Oui
Network Projection Oui Oui Oui
Synchronisation de PC à PC Oui Oui Oui
137
Chapitre 5 L’installation de Windows Vista
Fonctionnalités techniques Vista Vista Entreprise Vista Édition

différenciées Professionnel Intégrale
Mobilité (fonctionnalité de Tablet PC) Oui Oui Oui
Cryptage EFS (Encrypted File Oui Oui Oui
System)
Bureau à distance Oui Oui Oui
Serveur Web personnel Oui Oui Oui
Utilitaire de fax et scanneur Oui Oui Oui
Jonction à un domaine Oui Oui Oui
Fichiers hors connexion Oui Oui Oui
Stratégies de groupe Oui Oui Oui
SUA (Unix Subsystem) Non Oui Oui
Cryptage complet de volume Non Oui Oui
Virtual PC Express Non Oui Oui
MUI-All Languages (multilingue) Non Oui Oui
Windows Intégrale Extras Non Non Oui
Windows Vista
Que faire ? Avec quelle version

Voici un bref descriptif de ce que vous êtes en mesure d’attendre de chaque version.
Windows Vista se décline en six versions. Ne faites pas ces grands yeux ronds, pas de
panique, vous allez rapidement vous y retrouver en posant votre besoin d’utilisateur
devant les descriptions de toutes ces versions de Windows Vista. De ces six versions,
sachez tout de même qu’il n’y aura pas de distinction bien précise avec une version
spéciale 64 bits. En effet, comme le 64-bits a des chances de devenir rapidement un
standard, toutes les versions de Vista, hormis la Starter Edition, auront leur pendant à
32 bits et à 64 bits. Sachez également que même si certaines versions apportent des
fonctionnalités en plus pour répondre à des besoins différents, aucun compromis n’a été
fait sur la sécurité. Toutes les versions, sans exception, bénéficieront des avancées
communes en matière de sécurité. Là-dessus, pas d’équivoque, choisissez la version qui
vous convient en fonction de vos besoins et pas sur des versions plus ou moins sécurisées.
Allons-y pour la présentation.
Windows Vista Starter Edition

À l’instar de Windows XP Starter Edition, une version de Vista pour les pays en voie de
développement sortira. Comme pour XP, cette version ne sera pas disponible chez nous.
Windows Vista Starter Edition ne connaîtra pas de déclinaison 64 bits, n’autorisera pas
plus de trois applications ou fenêtres ouvertes simultanément. La configuration de
138
réseau ne sera pas possible. Pas de changement rapide d’utilisateurs non plus, ni de
démarrage par validation de mot de passe, mais la connexion Internet restera accessible.
Windows Vista Édition Familiale Basique

Windows Vista Édition Familiale Basique est la version de base du système
d’exploitation pour les utilisateurs à la maison. Cette version a été conçue pour satisfaire
les besoins informatiques simples de tous les jours, plus particulièrement aux utilisateurs
qui ont recours à leur PC pour surfer sur Internet, échanger des messages électroniques
avec leurs parents et amis, créer et modifier des documents de base style Office, etc.
Bref, sans avoir besoin de fonctionnalités de haut vol.
Windows Vista Home Basic Edition offre tout de même un environnement d’une
grande sécurité, fiabilité et efficacité. Les utilisateurs pourront tirer parti de nouveaux
outils et de technologies modernes. Ils disposeront notamment d’un explorateur de
recherche très performant, de la Sidebar, des fonctions intégrées de contrôle parental
mais pas d’interface graphique évoluée, pas de Media Center, pas de MovieMaker HD,
pas de mise en réseau (hormis Internet évidemment), pas de cryptage, etc. On reste sur
des besoins simples et quotidiens.
Cette version s’intègre parfaitement sur les PC ou portables à bas prix, à base de
processeurs Intel Celeron par exemple.
Windows Vista
Windows Vista Édition Familiale Basique fait office de version de fondation pour les
deux autres versions destinées aux utilisateurs à la maison que sont Vista Édition
Familiale Premium et Vista Intégrale.
Windows Vista Édition Familiale Premium

Windows Vista Édition Familiale Premium s’adresse aux particuliers exigeants. Cette
version réunit toutes les fonctions de Windows Vista Édition Familiale Basique et offre
des fonctions supplémentaires. C’est le meilleur choix pour tirer pleinement parti de
toute l’ergonomie, la puissance et la versatilité des usages du PC à la maison : photos,
vidéos, télévision, films, musique et jeux.
Avec cette version, on grimpe d’un cran dans les fonctionnalités. Par exemple, la
nouvelle interface graphique Aero est disponible. Également, Windows Vista Édition
Familiale Premium intègre la recherche à l’ensemble du système d’exploitation : les
utilisateurs sont ainsi en mesure d’organiser aisément d’importantes collections de
documents, d’images, de films, de séquences vidéo et de morceaux de musique, et de
retrouver en un clin d’œil les fichiers recherchés.
Vista Édition Familiale Premium ajoute les fonctions de Media Center. Votre PC se
transforme alors en un centre multimédia pour animer les loisirs numériques de la
famille. Les fonctions de Media Center intégrées permettent d’enregistrer et de
139
regarder des émissions de télévision (y compris en haute définition) et découvrir de

nouveaux contenus multimédias en ligne.
Cette édition intègre également la possibilité de connecter Windows à une XBox 360 de
façon à profiter de ses loisirs numériques dans toutes les pièces de son domicile.
La technologie d’encre numérique du Tablet PC, qui permet d’interagir avec le PC à

l’aide du stylet numérique ou d’une pression tactile, sans passer par un clavier, est
également disponible dans cette édition de Windows Vista.
La fonction intégrée de gravure et de création de DVD permet aux utilisateurs de

graver, en toute transparence, leurs photos, vidéos et fichiers personnels sur un DVD
vidéo ou données. Ils peuvent également créer des DVD professionnels à partir de films
familiaux, et les partager avec leurs proches.
Cependant, Vista Édition Familiale Premium reste destiné aux utilisateurs à la maison.
Cela veut dire : pas de jonction à un domaine, pas de cryptage de fichiers par exemple.
Vous pouvez constater que cette version intègre les fonctions de Media Center et de
Tablet PC. Pas de versions dissociées. Bien sûr, il vaut mieux que votre portable ait un
écran tactile et un stylet pour tirer parti des fonctions d’encre numérique.
Windows Vista
Windows Vista Professionnel

Abordons maintenant des versions de Vista destinées aux entreprises.
Windows Vista Professionnel est la version du système d’exploitation destiné aux

entreprises de toutes tailles, mais plus particulièrement les entreprises de petite taille.
Windows Vista Édition Professionnelle aide les utilisateurs professionnels au sein d’une
PME à assurer le bon fonctionnement et la sécurité de leurs PC tout en réduisant leur
dépendance vis-à-vis du service informatique interne. Aux entreprises de taille
supérieure, Windows Vista Professionnel apporte des améliorations significatives en
termes de flexibilité et d’amélioration de gestion opérationnelle des postes de travail,
réduisant ainsi les coûts de maintenance et de support. Avec cette version, les équipes
informatiques pourront, dans la mesure du possible, s’affranchir des tâches de
maintenance quotidiennes et se consacrer davantage aux développements stratégiques
indispensables à la croissance des entreprises.
Parmi les caractéristiques incluses dans Windows Vista Professionnel, on retrouve la

nouvelle interface graphique Aero. On retrouve également la gestion de grands volumes
d’information. En intégrant des fonctions de recherche à l’ensemble du système
d’exploitation et en facilitant le classement des fichiers, Windows Vista Professionnel
aide les entreprises à trouver rapidement les informations qu’elles recherchent.
Les technologies Tablet PC qui permettent d’analyser et de reconnaître l’écriture sont

également présentes.
140
Cette édition, spéciale entreprise, intègre en sus des fonctions plus spécifiques dont la
jonction aux domaines, l’administration distante du poste de travail et de cryptage de
données sur disque dur.
Windows Vista Entreprise

Autre version pour les utilisateurs professionnels, Windows Vista Entreprise est là pour
mieux répondre aux besoins des grands groupes internationaux et des entreprises aux
infrastructures informatiques complexes. Windows Vista Entreprise a pour objectif
d’aider à réduire les risques et les coûts des infrastructures informatiques. Outre toutes
les fonctionnalités dont dispose Windows Vista Professionnel, Windows Vista
Entreprise apporte un niveau de protection accru des données en mettant en œuvre une
technologie de chiffrement matériel. Cette version propose également des outils pour
améliorer la compatibilité des applications et faciliter la standardisation. Autre
amélioration très importante pour les grands groupes : les entreprises pourront
désormais déployer, à l’échelle internationale, une seule image incluant toutes les
langues de l’interface utilisateur Windows.
Licence Windows Vista Entreprise

Petite particularité : la version Windows Vista Entreprise est proposée aux clients
Windows Vista
disposant d’ordinateurs couverts par un contrat Microsoft Software Assurance ou
Microsoft Enterprise Agreement.
Du côté des caractéristiques, BitLocker Drive Encryption (utilisation des technologies

TPM 1.2 pour les clés de chiffrement) fait parti de Vista et empêche les données
confidentielles et la propriété intellectuelle des entreprises de tomber en de mauvaises
mains en cas de vol ou de perte d’un ordinateur portable.
Virtual PC Express est l’un des nombreux outils intégrés qui améliorent la compatibilité
des applications avec les versions antérieures des systèmes d’exploitation de Microsoft.
Virtual PC Express permet d’exécuter une ancienne application sur un ancien système
d’exploitation Windows dans un environnement virtuel créé sous Windows Vista
Entreprise.
Le sous-système pour applications Unix est également présent sous Vista Entreprise et
permet aux utilisateurs d’exécuter des applications Unix directement sur un PC
Windows Vista Entreprise.
La nouvelle interface graphique Aero est également disponible.
Windows Vista Édition Intégrale

Enfin, terminons par le nec plus ultra, la Rolls-Royce des versions de Windows Vista !
La version Windows Vista Intégrale est un condensé des fonctionnalités et des
avantages de toutes les autres versions de Windows Vista. Elle contient tout, et vous
141
conviendra, que vous soyez utilisateur à la maison, utilisateur en entreprise ou

administrateur, à moins que vous ne soyez les trois à différents moments de la journée.
C’est le premier système d’exploitation à réunir toutes les fonctions de divertissement,
de mobilité et de productivité offertes par Windows Vista.
Les versions N de Windows Vista

Pour être plus précis, signalons l’existence, comme sous XP, des versions Vista
Édition Familiale Basique N et Vista Professionnel N, qui sont les versions sans
Windows Media Player intégré résultant des procès intentés par l’Union européenne.
5.2. Valider la configuration matérielle minimale

recommandée
La liste suivante décrit la configuration matérielle minimale recommandée pour les
fonctionnalités de base des différentes éditions. De fait, la configuration matérielle varie
en fonction de la version, des programmes et des fonctionnalités que vous installez.
Windows Vista
Vista Édition Familiale Basique

j Processeur 32 bits x86 ou 64 bits x64 cadencé à 800 MHz ;
j 512 Mo de mémoire système ;
j carte graphique de classe DirectX 9 ;
j 32 Mo de mémoire graphique ;
j disque dur de 20 Go, disposant de 15 Go d’espace libre ;
j lecteur de DVD interne ou externe ;
j accès Internet ;
j dispositif de sortie audio.
Vista Édition Familiale Premium, Professionnel, Entreprise et

Intégrale
j Processeur 32 bits x86 ou 64 bits x64 cadencé à 1 GHz ;
j 1 Go de mémoire système ;
j carte graphique compatible Windows Aero ;
j 128 Mo de mémoire graphique ;
142
Effectuer une installation interactive
j disque dur de 40 Go, disposant de 15 Go d’espace libre (pour le stockage des

fichiers temporaires lors de l’installation ou de la mise à niveau) ;
j lecteur de DVD interne ou externe ;
j accès Internet ;
j dispositif de sortie audio.
Pour plus d’informations sur la configuration requise de Windows Vista, vous pouvez
consulter le site technique de la base de connaissance Microsoft à l’adresse http://
support.microsoft.com/search/?adv=1 et sélectionner la fiche KB 919183 Configuration
requise de Windows Vista.
5.3. Effectuer une installation interactive

Vous pouvez installer Windows de manière interactive à partir du média Windows.
L’installation interactive nécessite une intervention de l’utilisateur, qui doit spécifier
notamment le lecteur de destination, son nom d’utilisateur et son fuseau horaire.
Windows Vista
L’installation standard de Windows Vista ne déroge pas aux règles de simplicité.
Windows Vista reste très élémentaire à installer puisqu’il vous suffit de démarrer
l’ordinateur avec le DVD d’installation pour que celle-ci se réalise presque seule. Il vous
sera demandé d’entrer le numéro de série et de répondre à trois ou quatre questions :
votre pays, votre nom, un mot de passe, etc.
Installation de Windows Vista sur un ordinateur disposant de 3 Go de RAM

Les ordinateurs disposent d’une mémoire vive de plus en plus élevée, et pour cause :
celle-ci arrive à des prix très accessibles et, de fait, il n’est pas rare de trouver des
ordinateurs disposant de 4 Go de RAM. Dans ce cas, durant l’installation de Windows
Vista, le message suivant peut apparaître : "STOP 0x0000000A (paramètre1,
paramètre2, paramètre3, paramètre4) IRQL_NOT_LESS_OR_EQUAL".
Le problème peut être lié à la quantité de mémoire. Pour résoudre ce problème,
Microsoft propose deux correctifs :
j la mise à jour KB929777 pour Windows Vista

(www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID
=240ac3f3-2b60-4b70-b709-06b2bc5b1336) ;
j la mise à jour KB929777pour Windows Vista, version 64 bits
(www.microsoft.com:80/downloads/details.aspx?displaylang=fr&FamilyID
=91672c7c-614b-404c-850c-377541e93c18).
143
Lancez l’installation de la manière suivante :

1. Démarrez le programme d’installation de Windows Vista en insérant le DVD, puis
redémarrez votre ordinateur.
Windows Vista
Figure 5.1 : Initialisation de l’installation de Windows Vista
2. Sélectionnez la langue et les paramètres régionaux et cliquez sur Suivant.
Figure 5.2 : Sélection des paramètres régionaux : la langue, les paramètres liaient au
pays ainsi que le clavier
144
3. À l’invite d’installation, cliquez sur Installer.

4. Dans la partie Entrez votre clé de produit pour activation, tapez le numéro de série du
produit dans le champ Clé de produits (les tirets de séparation sont ajoutés
automatiquement). Ce numéro est composé de 25 caractères alphanumériques.
Cliquez sur Suivant pour continuer.
Windows Vista
Figure 5.3 : Écran de saisie pour le déblocage de la version de Windows Vista
5. Windows Vista ne déroge pas à la règle : dans la fenêtre Veuillez lire le contrat de
licence, lisez et acceptez les termes du contrat de licence. Activez l’option J’accepte
les termes du contrat de licence (indispensable pour continuer). Cliquez sur Suivant.
Si vous ne validez pas cette option, vous serez obligé de mettre fin au programme
d’installation de Windows Vista.
6. Dans la fenêtre Quel type d’installation voulez-vous effectuer ?, deux choix s’offrent
à vous : une Mise à niveau ou une installation Personnalisée (options avancées).
Sélectionnez Personnalisée (option avancée).
Impossible de sélectionner ou de formater le disque dur

Lors de l’installation, il peut arriver que l’on ne puisse pas sélectionner ou formater
une partition destinée à l’installation de Windows Vista. Dans ce cas le message
suivant apparaît : "Windows ne trouve pas de volume système conforme à ses critères
d’installation".
145
Ce problème peut se produire dans les cas suivants :
j Le contrôleur de disque n’est pas compatible avec Windows Vista, voire il est
obsolète.
j Les pilotes ne sont pas à jour.
j Le disque dur est un disque converti en dynamique.
j Le disque dur a un problème matériel.
j La partition que vous sélectionnez est en FAT32 ou dans un format incompatible
pour Windows Vista.
Pour répondre à ces problèmes la fiche KB927520 : "Vous ne pouvez pas sélectionner
ou formater une partition de disque dur lorsque vous essayez d’installer Windows
Vista" vous propose huit solutions possibles.
j Méthode 1 : Vérification de la compatibilité de la partition avec Windows Vista.

j Méthode 2 : Mise à jour des pilotes pour le contrôleur de disque dur.
j Méthode 3 : Installation des pilotes corrects pour le contrôleur de disque dur.
j Méthode 4 : Examen du fichier Setupact.log afin de vérifier que la partition est
active.
Windows Vista
j Méthode 5 : Recherche de mises à jour du microprogramme et de mises à jour du

BIOS système.
j Méthode 6 : Vérification que le BIOS système détecte correctement le disque dur.
j Méthode 7 : Utilisation de l’utilitaire Chkdsk.exe pour identifier les problèmes.
j Méthode 8 : Utilisation de l’utilitaire Diskpart.exe pour nettoyer le disque, puis
nouvelle exécution du programme d’installation de Windows Vista.
7. Dans la fenêtre Où souhaitez-vous installer Windows ?, cliquez sur Options de

lecteurs (avancées) pour personnaliser la taille de la partition d’installation (voir fig.
5.4).
8. Cliquez sur Suivant pour démarrer la copie des fichiers.
Les étapes suivantes se succèdent :

j copie des fichiers de Windows ;
j décompression des fichiers ;
j installation des fonctionnalités ;
j installation des mises à jour ;
j fin de l’installation.
146
Windows Vista
Figure 5.4 : Personnalisation de la taille de la partition d’installation
Durée de l’installation
L’installation peut prendre plusieurs dizaines de minutes selon la puissance de votre
machine.
9. Dans la fenêtre de Windows Vista, cliquez sur Suivant.

10. Sélectionnez une image et entrez un mot de passe. Confirmez ce mot de passe, puis
cliquez sur Suivant.
11. Changez le nom de l’ordinateur et sélectionnez votre fond d’écran. Cliquez sur
Suivant.
12. Choisissez ou non d’activer et de configurer le pare-feu.
13. Configurez la Date et le Fuseau horaire.
14. Démarrez Windows Vista en cliquant sur l’icône Windows Vista. Dans la première
fenêtre, vous devez entrer votre mot de passe.
La configuration de votre Bureau commence.
147
Figure 5.5 : Configuration de votre Bureau
L’activation et la licence
C’est bien connu, l’utilisation de Windows nécessite une licence et, sur ce point,
Windows Vista
Windows Vista ne déroge pas à la règle. Cela veut dire qu’une fois votre système
d’exploitation installé avec un numéro de série, vous disposez d’une période de grâce de
30 jours. Après ce délai, l’utilisation de votre ordinateur deviendra compliquée.
Cependant, il peut arriver que l’on veuille faire des tests et que cette période ne suffise
pas. Pour répondre à cette contrainte, il existe une commande assez peu documentée
qui se nomme SLMGR.
Figure 5.6 :
Recherche
d’informations sur
SLMGR dans l’aide de
Windows Vista
148
Cette commande vous permet de repousser ce délai trois fois. Pour connaître les
extensions liées à cette commande, saisissez SLMGR /? dans une fenêtre en ligne de
commandes.
Figure 5.7 :
Extensions de la
commande SLMGR
Windows Vista
Pour savoir combien de temps il vous reste avant la fin de votre période de grâce,
procédez ainsi :
1. Cliquez sur le menu Démarrer/Tous les programmes/Accessoires. Cliquez avec le
bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en
tant qu’administrateur.
2. Dans la fenêtre d’Invite de commandes, saisissez slmgr –dli.
Figure 5.8 :
Informations sur le délai
d’enregistrement
149
Dans notre exemple, nous pouvons constater que le délai de grâce est de 20 jours.
Pour prolonger ce délai à 30 jours, procédez ainsi :

1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires. Cliquez avec le
2. Dans la fenêtre d’Invite de commandes, saisissez slmgr –rearm.
Windows Vista
Figure 5.9 : Renouvellement du délai de 30 jours
3. Redémarrez votre système d’exploitation pour que la commande soit validée. Pour
contrôler, lancer le mode en ligne de commandes en tant qu’administrateur, puis
saisissez la commande slmgr –dli.
Figure 5.10 :
Informations sur le
nouveau délai
d’enregistrement
Il reste 29 jours.
SLMGR
La commande slmgr −rearm ne peut pas être utilisée plus de trois fois. Cela veut dire
que vous pouvez utiliser Windows Vista durant une période totale de 120 jours.
150
Migrer vers Windows Vista
Si vous souhaitez connaître jusqu’où cette grâce vous conduit, tapez la commande
slmgr −xpr.
Figure 5.11 : Informations sur la période de grâce
5.4. Migrer vers Windows Vista

Pour procéder à la migration vers Windows Vista à partir d’une version antérieure de
Windows, vous devez disposer d’un ordinateur avec une version prise en charge de
Windows Vista
Windows contenant les applications, les paramètres et les données à déplacer vers un
nouvel ordinateur avec Windows Vista. Les outils de migration de Windows Vista vous
offrent trois possibilités pour la migration des paramètres et des fichiers :
j la connexion réseau (dans le premier cas, les deux ordinateurs doivent être en
mesure de communiquer directement de l’un à l’autre ; dans le second cas, si l’on
utilise un partage réseau, les deux ordinateurs doivent être capables de mapper ce
partage) ;
j un support amovible (par exemple une clé USB ou un disque dur externe) ;
j un CD ou un DVD.
Outre la méthode de transfert, vous avez le choix des outils de migration. L’Assistant
Migration de PC est inclus dans Windows Vista, mais également dans le DVD
d’installation. Il vous permet de faire migrer les paramètres et les fichiers de tous vos
utilisateurs d’un ordinateur vers un nouvel ordinateur.
Migration des utilisateurs

L’utilitaire ne fera migrer que les utilisateurs ayant déjà ouvert une session dans le
précédent système d’exploitation si, par exemple, vous avez trois utilisateurs qui
ouvrent des sessions sur le poste et un utilisateur que vous n’avez jamais utilisé et qui
vous sert d’utilisateur de secours. Seuls les trois utilisateurs auront migré. C’est
normal : aucun profil n’a été créé pour ce quatrième utilisateur.
151
L’Assistant Migration de PC de Windows Vista peut déplacer les paramètres suivants :

j les comptes des utilisateurs ;
j les fichiers et dossiers de tous les lecteurs ;
j les paramètres des programmes ;
j les paramètres et favoris Internet ;
j les paramètres de courrier électronique.
Transférer les fichiers et les paramètres via le réseau

Le transfert s’effectue en deux étapes. La première étape se déroule du côté poste cible,
c’est-à-dire le nouvel ordinateur qui exécute Windows Vista. Il va s’agir de préparer le
transfert. Dans notre cas, cela se passera par le réseau. Une fois le mode de transfert
sélectionné, l’ordinateur cible fournira une clé qui sera utilisée par l’ordinateur source
pour initier le transfert. Dans un deuxième temps, l’ordinateur source utilisera la clé
pour établir la communication entre les deux ordinateurs. Ensuite, il faudra sectionner
les utilisateurs, les paramètres et les fichiers à transférer.
Avant de démarrer les étapes entre les deux postes, il est important de vérifier que ces
derniers communiquent entre eux. Deux vérifications peuvent être réalisées. La

Windows Vista
première consiste à contrôler que les ordinateurs sont présents dans le voisinage réseau.
Figure 5.12 : Vérification de la présence des ordinateurs dans le voisinage réseau
152
L’autre vérification consiste à lancer un ping sur le second ordinateur. En cas de

problème avec le ping, vérifier que ce n’est pas lié au pare-feu :
C:\Documents and Settings\Sylvain>ipconfig
Configuration IP de Windows
Carte Ethernet Connexion au réseau local:
Suffixe DNS propre à la connexion :

Adresse IP. . . . . . . . . . . . : 172.100.16.100
Masque de sous-réseau . . . . . . : 255.255.240.0
Passerelle par défaut . . . . . . : 172.100.16.1
C:\Documents and Settings\Sylvain>ping 172.100.16.75
Envoi d’une requête ’ping’ sur 172.100.16.75 avec 32 octets de données :
Réponse de 172.100.16.75 : octets=32 temps=179 ms TTL=128

Windows Vista
Statistiques Ping pour 172.100.16.75:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 156ms, Maximum = 1074ms, Moyenne = 398ms
C:\Documents and Settings\Sylvain>
Côté poste cible

1. Ouvrez l’Assistant Migration de PC sur votre ordinateur Windows Vista. Cliquez
sur Démarrer/Tous les programmes/Accessoires/Outils système/Transfert de
paramètres et fichiers Windows (voir fig. 5.13).
2. Au lancement de l’interface graphique de l’outil de transfert, la fenêtre Contrôle du
compte utilisateur s’affiche, cliquez sur Continuer. Dans la fenêtre Transfert de
fichiers et paramètres de Windows, cliquez sur Suivant pour continuer (voir
fig. 5.14).
153
Figure 5.13 :
Lancement de l’utilitaire
de transfert depuis
Windows Vista
Windows Vista
Figure 5.14 : Assistant de transfert de fichiers et paramètres
154
3. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous pouvez choisir
d’enregistrer votre travail dans chaque programme, puis de les fermer
individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant Migration
de PC afin de fermer simultanément tous les programmes en cours d’exécution.
Windows Vista
Figure 5.15 : Fermeture de tous les programmes en cours d’exécution
4. Dans la fenêtre Voulez-vous commencer un nouveau transfert ou en continuer un ?,

cliquez sur Démarrer un nouveau transfert afin de lancer le processus de
préparation de l’Assistant Migration de PC pour la collecte des informations sur les
ordinateurs existants.
Figure 5.16 : Lancement d’un nouveau transfert depuis l’ordinateur cible
155
5. Dans la fenêtre Quel ordinateur utilisez-vous maintenant ?, Cliquez sur Mon

nouvel ordinateur.
Figure 5.17 : Choix de l’ordinateur cible ou de l’ordinateur source pour le paramétrage

de transfert
6. Dans la fenêtre Disposez-vous d’un câble de transfert ?, choisissez Non, afficher

d’autres options.
Windows Vista
Figure 5.18 : Sélection du mode de transfert, avec ou sans câble USB
7. Pour continuer, vous allez devoir anticiper le fait d’avoir déjà installé l’utilitaire de
transfert sur votre ancien ordinateur. Pour cela, dans la fenêtre Avez-vous installé
Transfert de fichiers et paramètres Windows sur votre ancien ordinateur ?,
sélectionnez Oui, je l’ai installé.
8. C’est à ce stade du paramétrage que vous pouvez sélectionner le mode de transfert,
soit en réseau par un support de type CD ou DVD. Sélectionnez Oui, je vais
transférer des fichiers et paramètres via le réseau.
9. Il va s’agir de sécuriser l’échange entre les deux ordinateurs. Pour cela, vous
disposerez d’une clé commune aux deux ordinateurs. Deux choix s’offrent à vous.
156
Vous avez la possibilité de cliquer sur Non, j’ai besoin d’une clé. Dans ce cas,
l’utilitaire va générer une clé que vous pourrez fournir à l’ordinateur source.
Seconde possibilité : vous démarrez simultanément le paramétrage de l’ordinateur
cible et demandez par le biais de l’ordinateur source une clé. Dans ce cas,
sélectionnez Oui, je dispose d’une clé.
Figure 5.19 : Demande d’une clé à l’utilitaire de transfert
10. Pour notre exemple, la clé sera demandée par l’ordinateur cible à l’utilitaire.
Windows Vista
Sélectionnez Non, j’ai besoin d’une clé. Notez la clé.
Figure 5.20 : L’ordinateur vous donne une clé aléatoire composée de chiffres et de lettres
en majuscules et minuscules
La deuxième partie va se dérouler à partir du poste source.
Côté poste source

1. Démarrez l’Assistant Migration de PC sur l’ordinateur à partir duquel vous
souhaitez faire migrer les paramètres et les fichiers en accédant au support amovible
ou au lecteur réseau contenant les fichiers de l’Assistant. Double-cliquez sur
migwiz.exe.
157
Figure 5.21 : L’exécutable Migwiz.exe provenant du DVD d’installation de Windows

Vista dans le répertoire support\migwiz
2. Au lancement de l’interface graphique de l’outil de transfert, cliquez sur Suivant

Windows Vista
pour continuer. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous
pouvez choisir d’enregistrer votre travail dans chaque programme, puis de les
fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant
Migration de PC afin de fermer simultanément tous les programmes en cours
d’exécution.
Figure 5.22 : Fermeture des programmes en cours d’exécution
158
3. Dans la fenêtre Choisissez la méthode de transfert des fichiers et des paramètres

vers le nouvel ordinateur, sélectionnez Transférer directement, en utilisant une
connexion réseau.
Figure 5.23 : Sélection de la méthode de transfert
Windows Vista
Méthode de transfert
Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par
exemple, les deux ordinateurs doivent être connectés au même réseau.
4. Cliquez sur Utiliser une connexion réseau afin de commencer le transfert. Vous
pouvez également cliquer sur Copier dans et à partir d’un emplacement réseau si
vous souhaitez stocker les fichiers et paramètres dans un fichier afin de le charger
ultérieurement. Si vous choisissez de stocker les données dans un emplacement
réseau, vous serez invité à indiquer le chemin.
Figure 5.24 : Sélection du mode de transfert, directement de PC à PC ou de l’ordinateur

source vers un partage réseau commun
159
5. Dans la partie précédente, l’utilitaire avait posé la question : "Avez-vous ou

souhaitez-vous une clé ?" Vous en avez demandé une. Dans la fenêtre
Disposez-vous d’une clé Transfert de fichiers et paramètres Windows ?, cliquez sur
Oui, je dispose d’une clé, puis saisissez la clé afin de pouvoir créer la communication
entre les deux ordinateurs et continuer.
Windows Vista
Figure 5.25 : Clé aléatoire composée de chiffres et de lettres en majuscules et minuscules

provenant de l’ordinateur cible
6. Saisissez la clé demandée et cliquez sur Suivant.

7. Puisque la communication entre les deux ordinateurs est réalisée, c’est le moment
de choisir ce qui doit être transféré. Trois possibilités : cliquez sur Tous les comptes
d’utilisateurs, fichiers et paramètres (recommandé) afin de transférer tous les
fichiers et paramètres ; vous pouvez également choisir de déterminer exactement les
fichiers à faire migrer, en cliquant sur Uniquement mon compte d’utilisateur, mes
fichiers et mes paramètres ou sur Options avancées (voir fig. 5.26).
8. Dans notre cas, nous allons choisir de tout transférer. Vous devez donc cliquer sur
Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé).
160
Figure 5.26 : Fenêtre Que voulez-vous transférer sur votre nouvel ordinateur
9. Examinez la liste des fichiers et des paramètres à transférer, puis cliquez sur
Transférer pour lancer le transfert. Malgré le fait d’avoir sélectionné Tous les
comptes d’utilisateurs, fichiers et paramètres (recommandé), vous avez la
possibilité de personnaliser votre sélection. Cela peut vous permettre d’ajouter des
données qui ne se trouvent pas forcément dans les paramètres utilisateurs. Pour
cela, cliquez sur Options avancées, puis sur Ajouter des répertoires.
Windows Vista
Figure 5.27 : Sélection des utilisateurs, des paramètres et des fichiers à transférer
10. Entrez un nouveau nom d’utilisateur ou sélectionnez-le sur la liste. Dans cette
fenêtre, vous avez la possibilité de renommer les comptes que vous avez
sélectionnés précédemment et de donner le nouveau nom qu’ils porteront sur
l’ordinateur cible. Cliquez sur Suivant.
161
Figure 5.28 : Sélection des noms utilisateur pour l’ordinateur cible

11. Dans le cas où vous posséderiez plusieurs lecteurs logiques ou simplement plusieurs
Windows Vista
disques durs, vous avez la possibilité de transférer les données, les paramètres et les
fichiers sur le lecteur de votre choix. Vous avez même la possibilité de ne posséder
qu’un lecteur, par exemple. Cliquez sur Suivant pour lancer le transfert.
Figure 5.29 : Correspondance des disques de l’ordinateur source vers l’ordinateur cible
162
Une estimation du temps de copie est réalisée, puis la copie est lancée.
Figure 5.30 : Estimation du temps de copie et lancement de la copie
12. Une fois le transfert terminé, un bref résumé s’affiche. Vous avez la possibilité
d’obtenir plus de détails sur l’ensemble des fichiers transférés en cliquant sur
Afficher tous les éléments transférés. Cliquez sur Fermer pour fermer l’utilitaire de
transfert sur le poste source.
Regardons à présent ce qu’il s’est passé sur l’ordinateur cible. Les utilisateurs et les
paramètres ont été transférés. Paul a été renommé en Polo, Julie en Juju et Sylvain reste
Sylvain. Seule remarque pour le moment, les profils avec des droits d’administrateurs au
Windows Vista
départ du transfert se retrouvent avec des droits de simples utilisateurs à l’arrivée ; idem
pour les données, elles sont à présent toutes sur le disque C.
Figure 5.31 : Contrôle du transfert des profils sur l’ordinateur cible
163
Transférer les fichiers et les paramètres à l’aide d’un support

amovible
Nous venons de voir en détail comment transférer les utilisateurs, les paramètres et les
données de poste à poste, mais il existe d’autres méthodes. Le transfert à l’aide d’un
support amovible en est une. Et selon les différentes méthodes, seuls deux ou trois
paramètres changent, mais le principe entre le poste source et le poste cible ne change
pas (c’est d’ailleurs pour cela que nous avons passé du temps sur ce sujet). Pour ne pas
répéter tout ce qui a été écrit précédemment, nous allons parcourir un peu plus
rapidement les deux méthodes restantes.
migwiz.exe.
individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant Migration
Cliquez sur Suivant.
3. Déterminez la méthode de transfert à utiliser. Sélectionnez Sur un CD ou un autre

Windows Vista
support amovible, tel qu’un lecteur flash.
Support
exemple, ils doivent prendre en charge le même type de support amovible.
4. Cliquez sur Vers un lecteur réseau afin d’enregistrer les fichiers dans un dossier
réseau ou un dossier sur un lecteur amovible.
5. Dans Où souhaitez-vous enregistrer vos fichiers ?, tapez le chemin d’un dossier sur le
lecteur amovible. Cliquez sur Suivant.
6. Cliquez sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé)
afin de transférer tous les fichiers et paramètres. Vous pouvez également choisir de
déterminer exactement les fichiers à migrer, en cliquant sur Seulement mon compte
utilisateur, mes fichiers et mes paramètres de programme ou sur Personnalisé.
7. Examinez la liste des fichiers et paramètres à transférer, puis cliquez sur Démarrer
pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou
supprimer des fichiers ou des paramètres.
8. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des
fichiers.
164
9. Déplacez le support amovible vers le nouvel ordinateur et lancez l’Assistant

Migration de PC. Cliquez sur Suivant.
10. Cliquez sur Continuer un transfert en cours.
11. Dans Où avez-vous copié vos fichiers ?, cliquez sur Support amovible. Si l’option
Support amovible n’est pas disponible, cliquez sur Lecteur réseau. Cliquez sur
Suivant.
12. Dans Localisez vos fichiers enregistrés, tapez le chemin vers vos fichiers enregistrés ou
cliquez sur Parcourir. Cliquez sur Suivant une fois que vous avez localisé les
fichiers.
13. Choisissez sur le nouvel ordinateur des noms d’utilisateurs qui correspondent à ceux
de l’ancien ordinateur. Vous pouvez être amené à créer de nouveaux comptes lors
de cette étape. Tapez un nom d’utilisateur afin de créer un compte sur l’ordinateur
local. Saisissez un nom d’utilisateur afin de créer un profil.
14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, sélectionnez
le lecteur de destination pour chaque emplacement du lecteur source. Par exemple,
pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez
indiquer vers quel lecteur ils doivent être déplacés sur le nouvel ordinateur.
15. Examinez la liste des fichiers et paramètres à transférer puis cliquez sur Démarrer
Windows Vista
fichiers.
Transférer les fichiers et les paramètres: à l’aide d’un CD ou

d’un DVD
Pour clore la partie sur les transferts de ce chapitre, voici de manière très rapide la
dernière méthode, celle par CD ou DVD :
migwiz.exe.
individuellement, ou vous pouvez cliquer sur Fermer tout dans l’Assistant Migration
3. Déterminez la méthode de transfert à utiliser. Cliquez sur Graver un CD ou un
DVD.
165
Support
exemple, ils doivent être équipés d’un lecteur de CD ou de DVD.
4. Dans Choisissez votre support, tapez le chemin vers le support CD ou DVD

réinscriptible. Cliquez sur Suivant.
5. Cliquez sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé)
afin de transférer tous les fichiers et paramètres. Vous pouvez également choisir de
déterminer exactement les fichiers à migrer, en cliquant sur Seulement mon compte
utilisateur, mes fichiers et mes paramètres de programme ou sur Personnalisé.
supprimer des fichiers ou des paramètres. S’il n’y a pas suffisamment d’espace
disponible sur le support réinscriptible, l’Assistant Migration de PC indique le
nombre de disques vierges nécessaires.
7. Cliquez sur Suivant une fois le processus de gravure du CD ou du DVD terminé.
fichiers.
Windows Vista
9. Déplacez le CD ou le DVD vers le nouvel ordinateur et lancez l’Assistant Migration

de PC. Cliquez sur Suivant.
10. Cliquez sur Continuer un transfert en cours.
11. Dans Où avez-vous copié vos fichiers ?, cliquez sur Lire le CD ou le DVD.
12. Dans Choisissez votre support, sélectionnez la lettre d’unité du lecteur de CD ou de
DVD ou se trouve le disque. Cliquez sur Suivant une fois que vous avez localisé les
fichiers.
13. Choisissez, sur le nouvel ordinateur, des noms d’utilisateurs qui correspondent à
ceux de l’ancien ordinateur. Vous pouvez être amené à créer de nouveaux comptes
lors de cette étape. Tapez un nom d’utilisateur afin de créer un compte sur
l’ordinateur local.
14. Dans Choisissez les lecteurs pour les fichiers sur votre nouvel ordinateur, sélectionnez
le lecteur de destination pour chaque emplacement du lecteur source. Par exemple,
pour les fichiers provenant du lecteur D: de votre ancien ordinateur, vous devez
indiquer vers quel lecteur ils doivent être déplacés sur le nouvel ordinateur.
fichiers.
166
Préparer la mise à jour vers Windows Vista
5.5. Préparer la mise à jour vers Windows Vista

Tout au long de ce chapitre, nous avons vu comment faire cohabiter Windows XP et
Windows Vista. Nous avons vu également comment transférer nos données d’un poste
utilisateur Windows XP vers un nouvel ordinateur équipé de Windows Vista. Nous
allons voir à présent comment mettre son ancien ordinateur à niveau vers Windows
Vista. Bien que cette opération semble simple, il est quand même nécessaire d’effectuer
quelques vérifications d’usage telles que la version vers laquelle l’on souhaite migrer ou
encore la compatibilité du matériel. Il ne faut pas oublier également de vérifier les
prérequis d’installation et réaliser une sauvegarde. Et pour terminer ce tour d’horizon,
vous devez bien comprendre ce qu’il se passe durant la migration. Pour atteindre notre
objectif, nous allons devoir réaliser les étapes suivantes :
j la vérification de la compatibilité de l’ordinateur avec Windows Vista ;
j l’installation du Conseiller de mise à niveau Windows Vista ;
j l’installation du Framework .NET 2.0 ;
j l’installation de MSXML ;
j la sauvegarde des données existantes ;
j l’installation de Windows Vista.
Windows Vista
Cette opération demande de répondre aux prérequis suivants :
j la mise à jour de Windows Vista avec le numéro de série ;
j un disque dur ou un DVD pour la sauvegarde des données ;
j un espace disque libre d’au moins 12 Go pour la mise à niveau.
Choisir une version de mise à jour

Voici un tableau récapitulatif :
Tableau 5.1 : Installation et mise à niveau vers Windows Vista

Windows XP Nécessite une Nécessite une Mise à niveau Mise à niveau
Professional nouvelle nouvelle possible sur la possible sur la
installation installation version existante version existante
Windows XP Mise à niveau Mise à niveau Mise à niveau Mise à niveau
Familial possible sur la possible sur la possible sur la possible sur la
version existante version existante version existante version existante
Windows XP Nécessite une Mise à niveau Nécessite une Mise à niveau
Media Center nouvelle possible sur la nouvelle possible sur la
installation version existante installation version existante
167

Professional nouvelle nouvelle possible sur la possible sur la
Tablet PC nouvelle nouvelle possible sur la possible sur la
Windows XP Nécessite une Nécessite une Nécessite une Nécessite une
Professionnel x64 nouvelle nouvelle nouvelle nouvelle
installation installation installation installation
Windows 2000 Nécessite une Nécessite une Nécessite une Nécessite une
nouvelle nouvelle nouvelle nouvelle
installation installation installation installation
Une fois l’analyse du tableau réalisée, il est nécessaire d’effectuer quelques tâches
préliminaires comme évaluer la configuration requise ou encore valider la version vers
laquelle vous souhaitez mettre l’ordinateur à jour. Pour cela, Microsoft propose un outil.
Deuxième étape importante : la sauvegarde des données. C’est seulement après avoir
réalisé les deux étapes préliminaires que vous pourrez passer à l’étape 3 qui consiste à
mettre à niveau un ordinateur possédant déjà un système d’exploitation vers Windows
Vista.
Windows Vista
À partir de Windows Vista Familiale Basic

Windows Vista Familiale Basic est la première version à fonctionner sur des ordinateurs
classiques. Elle fonctionne avec les prérequis suivants :
j un CPU d’au moins 800 MHz ;
j 512 Mo de mémoire ;
j une carte graphique DirectX 9 ;
j un disque de 20 Go, avec 15 Go d’espace libre.
Elle offre uniquement les fonctions de base de Windows Vista.
À partir de Windows Vista Familiale Premium

La version Windows Vista Home Premium est, quant à elle, la première version
multimédia de Windows Vista. Elle permet d’activer les fonctions graphiques. Le pilote
WDDM permet d’étendre le Bureau, ce qui apporte plusieurs fonctionnalités comme la
transparence, mais aussi et surtout la composition du Bureau au sein de la carte
graphique. Il va permettre aux processeurs graphiques de délester les processeurs
centraux. Cette version fonctionne avec les prérequis supplémentaires suivants :
j un CPU d’au moins 1 GHz ;
168
j 1 Go de mémoire ;
j une carte graphique avec pilote WDDM.
Vérifier la compatibilité matérielle

Lorsque l’on choisit de mettre à niveau son ancien ordinateur, il est important de vérifier
la compatibilité, cela peut épargner bien des problèmes en milieu d’installation. Par
exemple, la fiche KB927688, intitulée "Lorsque vous tentez d’installer Windows Vista,
l’option de mise à niveau n’est pas disponible", explique les problèmes liés à la
compatibilité matérielle. Pour ne pas rencontrer ce type de désagrément, Microsoft met
à votre disposition un Conseiller de mise à niveau Windows Vista. Cependant, il
nécessite l’installation de deux prérequis : le Framework .NET et MSXML.
Installer le Framework .NET

L’un des deux prérequis pour l’utilisation de l’utilitaire Upgrade Advisor est
l’installation du Framework .NET.
Téléchargement de Framework .NET
Windows Vista
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=0856eacb-4362
-4b0d-8edd-aab15c5e04f5
Une fois le Framework téléchargé, il vous faut procéder à l’installation en respectant les
étapes suivantes :
1. Cliquez une première fois sur le fichier téléchargé et, à son ouverture, cliquez sur
Exécuter.
2. Une fois le Framework décompressé, l’assistant d’installation se lance. Dans la
fenêtre Bienvenue dans le programme d’installation de Microsoft .NET
Framework2.0, cliquez sur Suivant.
3. Dans la fenêtre Contrat de Licence Utilisateur Final, acceptez les termes du contrat
de licence en cochant la case J’accepte les termes du contrat de licence et cliquez sur
Installer.
4. L’installation peut prendre quelques minutes. Dans la fenêtre Installation
terminée, cliquez sur Terminer.
169
Installer MSXML
Le deuxième prérequis pour l’utilisation de l’outil Upgrade Advisor est MSXML.
Téléchargement de MSXML
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=993c0bcf-3bcf
-4009-be21-27e85e1857b1
Une fois MSXML téléchargé, procédez à l’installation en respectant les étapes

suivantes :
1. Cliquez une première fois sur le fichier téléchargé. À l’ouverture, cliquez sur
Suivant.
2. Dans la fenêtre Contrat de licence, cochez la case J’accepte les termes du contrat de
licence et cliquez sur Suivant.
3. Dans la fenêtre Information, remplissez ou modifier les champs Nom et Société, puis
4. Cliquez sur Installer dans la fenêtre Prêt à installer le programme pour lancer
l’installation.
Windows Vista
5. Pour finir l’installation, cliquez sur Terminer.
Installer le Conseiller de mise à niveau Windows Vista
Téléchargement du Conseiller de mise à niveau Windows Vista

www.microsoft.com/france/windows/products/windowsvista/buyorupgrade
/upgradeadvisor.mspx
Sur le site, cliquez sur le lien Téléchargez le Conseiller de mise à niveau Windows Vista
pour que le téléchargement se lance.
Windows Vista Upgrade Advisor ne fonctionne qu’avec Windows XP. Il n’est pas
possible de le faire fonctionner avec Windows 98 ou Windows 2000. Pour l’installer,
procédez ainsi :
1. Lancez l’exécutable WindowsVistaUpgradeAdvisor. Une fenêtre d’avertissement de
sécurité s’ouvre, cliquez sur Exécuter.
170
Figure 5.32 :
La fenêtre
d’avertissement de
sécurité de l’installation
du Conseiller de mise à
niveau Windows Vista
2. Dans la fenêtre Assistant Installation du Conseiller de mise à niveau Windows

Vista, cliquez sur Suivant pour continuer.
Figure 5.33 :
La fenêtre de l’assistant
d’installation
Windows Vista
3. Dans la fenêtre Contrat de licence, cliquez sur J’accepte pour valider les termes de
licence et cliquez sur Suivant (voir fig. 5.34).
4. Dans la fenêtre Sélection du dossier d’installation, gardez le répertoire par défaut
et cliquez sur Suivant. Si vous souhaitez modifier le chemin d’installation, cliquez
sur Parcourir, sélectionnez le nouveau chemin et cliquez sur Suivant (voir fig. 5.35).
171
Figure 5.34 :
Validation du contrat de
licence
Figure 5.35 :
Sélection du dossier
d’installation
Windows Vista
5. L’assistant d’installation vous propose de créer un raccourci sur votre Bureau en

sélectionnant par défaut l’option Créer un raccourci sur le bureau. Si vous ne
souhaitez pas voir de raccourci, cliquez sur Ne pas créer de raccourci sur le bureau,
puis cliquez sur Suivant pour continuer.
172
Figure 5.36 :
Confirmation de
l’installation
6. Pour terminer l’installation, cliquez sur Fermer.
Figure 5.37 :
Windows Vista
Fin de l’installation
Utiliser le Conseiller de mise à niveau Windows Vista

Le Conseiller de mise à niveau Windows Vista permet également de vous aider à choisir
la version qu’il vous faut en fonction de vos besoins, en termes de multimédia, de
connectivité ou encore d’accès à l’information : "Qu’est-ce que je veux faire à l’intérieur
de l’entreprise ? Est-ce que je veux faire du partage collaboratif ?" Il va déterminer en
fonction des activités la version en adéquation avec ces besoins. Il est capable également
de mettre un certain nombre de points bloquants en avant.
173
À présent, vous allez utiliser le Conseiller de mise à niveau Windows Vista au travers de
plusieurs étapes.
1. Pour lancer le programme, cliquez sur le menu Démarrer/Tous les programmes/
Conseiller de mise à niveau Windows Vista ou cliquez tout simplement sur le
raccourci si vous avez sélectionné l’option durant l’installation.
Figure 5.38 :
Le raccourci du Conseiller de mise à
niveau Windows Vista sur le Bureau
2. Démarrez l’analyse de votre ordinateur en cliquant sur Démarrer l’analyse. Cette

analyse peut être réalisée à partir de Windows XP bien évidemment, mais
également depuis un ordinateur qui possède une version de Windows Vista que
vous souhaitez faire évoluer vers une version plus élaborée.
Windows Vista
Figure 5.39 : Lancement de l’analyse de votre ordinateur
174
Le Conseiller de mise à niveau Windows Vista se connecte à Internet pour actualiser sa

base. Ensuite, il commence à analyser votre ordinateur en fonction de quatre
déclinaisons de Windows Vista : Intégrale, Familial Premium, Professionnel et Familial
Basic.
Une fois l’analyse terminée, le programme affiche la version de Windows Vista la mieux
adaptée à votre ordinateur ainsi que trois rapports détaillés.
Windows Vista
Figure 5.40 : Le résultat de l’analyse
Chaque rapport détaillé présent des recommandations propres à sa partie. Le premier

rapport représente le système. Dans chaque rapport, un certain nombre d’actions sont
données avec les explications qui les accompagnent.
175
Le deuxième rapport représente les périphériques. Ce rapport se décompose en trois

parties à son tour.
j La partie Configuration requise correspond en quelque sorte aux problèmes à passer
en revue.
Windows Vista
Figure 5.41 : Le rapport de configuration
176
j La partie Périphériques correspond à la liste de périphériques pour lesquels le

programme n’a pas trouvé d’informations. Cependant, l’utilitaire se met
régulièrement à jour sur la base de données qui elle-même est régulièrement
actualisée.
Windows Vista
Figure 5.42 : Le rapport sur les périphériques
177
j La partie Programmes correspond aux programmes qui sont conformes à Windows

Vista, c’est-à-dire qui n’ont pas besoin d’action.
Windows Vista
Figure 5.43 : Le rapport sur les programmes
Les PC qui ne satisfont pas à la configuration matérielle pour le processeur, la
mémoire et la carte vidéo peuvent tout de même exécuter Windows Vista, mais ils
n’en offriront peut-être pas toutes les fonctionnalités et tous les avantages. Par
178
exemple, les PC avec des cartes graphiques qui ne prennent pas en charge WDDM
offriront simplement un graphisme comparable à celui de Windows XP avec les
bénéfices des fonctionnalités, de la stabilité et des performances ainsi que
l’amélioration de la sécurité.
Sauvegarder les données importantes

Avant de mettre son ordinateur à niveau, il est important de réaliser une sauvegarde de
ses données importantes. Bien que cette étape soit facultative, il est important, et même
recommandé, de disposer d’une sauvegarde récente des données importantes avant
d’apporter des modifications significatives à l’ordinateur, afin d’éviter la perte de
données.
Pour enregistrer vos données essentielles dans un emplacement sûr, les options
dépendent du système d’exploitation d’origine et des options de sauvegarde dont vous
disposez. La liste suivante présente quelques possibilités de sauvegarde :
j l’utilisation de Windows Backup ou tout autre logiciel de sauvegarde ;
j la copie des données importantes dans un point de partage sur le réseau ;
Windows Vista
j la gravure des données sur un CD ou un DVD ;
j la sauvegarde sur un disque dur externe.
Vous allez ici utiliser Windows Backup :

1. Pour lancer l’utilitaire de sauvegarde, cliquez sur Démarrer/Tous les programmes/
Accessoires/Outils système/Utilitaire de sauvegarde.
2. Dans la fenêtre Assistant de sauvegarde et restauration, cliquez sur Suivant.
3. La fenêtre suivante vous propose de sauvegarder ou de restaurer des données au
travers des options. Sélectionnez Sauvegarder les fichiers et les paramètres. Cliquez
sur Suivant.
Vous avez le choix d’effectuer quatre types de sauvegarde :

j L’option Mes documents et paramètres inclut le dossier Mes documents, les favoris,
votre Bureau et vos cookies.
j L’option Les paramètres et les documents de tout le monde consiste à sauvegarder les
paramètres et les documents de tous les utilisateurs.
j L’option Toutes les informations sur cet ordinateur permet de sauvegarder toutes les
informations sur l’ordinateur. Elle inclut toutes les données de l’ordinateur et crée
un disque de récupération du système qui permettra de restaurer Windows en cas de
problème majeur.
179
j L’option Me laisser choisir les fichiers à sauvegarder vous laisse le choix des
informations que vous souhaitez sauvegarder.
4. Sélectionnez la quatrième option et cliquez sur Suivant.
5. Sélectionnez dans la fenêtre Éléments à sauvegarder l’ensemble des éléments
que vous souhaitez sauvegarder. Une fois votre sélection réalisée, cliquez sur
Suivant.
6. Donnez un nom et une destination pour les stocker. Dans la fenêtre Type, nom
et destination de la sauvegarde, il est possible de sauvegarder vos données sur
une clé USB, voire sur un disque dur amovible. Nommez la sauvegarde, par
exemple Sauvegarde avant Vista. Cliquez sur Suivant.
7. Pour mettre fin à l’assistant de sauvegarde, cliquez sur Fin.
Une fois la sauvegarde terminée, il vous est possible de consulter le rapport de

sauvegarde pour vérifier qu’il n’y a pas eu d’erreur :
État de la sauvegarde
Opération : sauvegarde
Destination de sauvegarde active : Fichier
Nom du média : "sauvegarde avant installation de Vista.bkf créé le 29/08/2007 à 00:02"
Windows Vista
Sauvegarde (par clichés instantanés) de "C: "

Jeu de sauvegardes n° 1 sur le média n° 1
Description de la sauvegarde : "Jeu créé le 29/08/2007 à 00:02"
Type de sauvegarde : Normale
Sauvegarde commencée le 29/08/2007 à 00:03.

Sauvegarde terminée le 29/08/2007 à 00:05.
Répertoires : 280
Fichiers : 440
Octets : 222 557 106
Durée : 1 minute et 23 secondes
Sauvegarde (par clichés instantanés) de "E: DATA"
Jeu de sauvegardes n° 2 sur le média n° 1
Description de la sauvegarde : "Jeu créé le 29/08/2007 à 00:02"
Type de sauvegarde : Normale
Sauvegarde commencée le 29/08/2007 à 00:05.

Sauvegarde terminée le 29/08/2007 à 00:07.
Répertoires : 93
Fichiers : 1474
Octets : 554 711 280
Durée : 2 minutes et 11 secondes
180
Mettre à jour le système d’exploitation vers Windows Vista
5.6. Mettre à jour le système d’exploitation vers

Windows Vista
La procédure de mise à jour vers Windows Vista suppose que vous exécutiez déjà une
version antérieure de Windows sur votre ordinateur. Les mises à niveau sont prises en
charge pour les versions suivantes de Windows :
j Windows 2000 ;
j Windows XP ;
j Windows Vista.
Dans notre cas, la mise à jour va s’effectuer depuis Windows XP.
Impératif
Pour pouvoir mettre votre ordinateur à niveau vers Windows Vista, il vous faut plus
de 11 Go d’espace disponible. Autrement, l’option de mise à niveau restera grisée. En
cas de problème d’installation, il se peut que l’ordinateur se fige et que vous deviez
redémarrer l’ordinateur. Dans ce cas, une boîte de dialogue s’ouvre en vous indiquant
que l’installation a été arrêtée de façon inattendue. Or, celle-ci aura consommé de
Windows Vista
l’espace disque, et il se peut qu’il ne vous soit plus possible de mettre à niveau la
machine vers Vista à cause d’un manque d’espace disponible et que vous ne puissiez
plus utiliser votre ancienne version de Windows. La parade est de redémarrer depuis
le DVD d’installation en mode de réparation, d’utiliser l’utilitaire en ligne de
commandes et de supprimer les fichiers temporaires de l’installation, puis de répéter
l’étape d’installation.
Pour mettre votre ordinateur à jour vers Windows Vista, suivez ces étapes :
1. Démarrez le programme d’installation de Windows Vista en insérant le DVD, puis
en cliquant sur Installer. Si le programme d’exécution automatique n’ouvre pas la
fenêtre d’installation de Windows, accédez au dossier racine du DVD et
double-cliquez sur setup.exe.
2. Cliquez sur Suivant afin de lancer le processus d’installation.
3. Cliquez sur Rechercher les dernières mises à jour en ligne (recommandé) afin de
rechercher les dernières mises à jour importantes pour Windows Vista. Cette étape
est facultative. Si vous choisissez de ne pas rechercher les mises à jour au cours de
l’installation, cliquez sur Ne pas rechercher les dernières mises à jour.
4. Dans la partie Clé du produit, tapez le numéro de série du produit. Il est composé de
25 caractères alphanumériques. Cliquez sur Suivant pour continuer.
5. Windows Vista ne déroge pas à la règle : lisez et acceptez les termes du contrat de
licence. Sélectionnez J’accepte les termes du contrat de licence (indispensable pour
181
Windows), puis cliquez sur Suivant. Si vous ne validez pas cette option, vous serez obligé
de mettre fin au programme d’installation de Windows Vista.
6. Dans la fenêtre Quel type d’installation voulez effectuer ?, cliquez sur Mettre à
niveau pour procéder à la mise à jour de votre installation existante de Windows.
Le programme d’installation de Windows Vista se poursuit jusqu’à la fin sans autre

interaction de la part de l’utilisateur.
À la fin de la mise à niveau, les partitions, les partages et les paramètres de l’ancienne
version n’ont pas bougé. À présent, il ne vous reste plus qu’à restaurer vos anciennes
données. Pour cela, vous devez lancer l’utilitaire de sauvegarde et choisir l’option
Restauration de données. Suivez les instructions de restauration comme à l’étape
Sauvegarder des données de ce chapitre.
Journaux d’installation
Les fichiers journaux suivants sont créés lorsqu’une mise à niveau réussit :
j C:\Windows\Panther\Setupact.log ;
j C:\Windows\panther\setuperr.log ;
j C:\Windows\inf\setupapi.app.log ;
Windows Vista
j C:\Windows\inf\setupapi.dev.log ;
j C:\Windows\panther\PreGatherPnPList.log ;
j C:\Windows\panther\PostApplyPnPList.log ;
j C:\Windows\panther\miglog.xml.
5.7. Dépanner la mise à niveau vers Windows Vista

Bien que ce soit vraiment très rare, il arrive parfois que la mise à niveau vers Windows
Vista ne se déroule pas pour le mieux. Quelques informations sont mises à votre
disposition durant la migration pour vous permettre de mieux comprendre ce qu’il se
passe.
Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau pendant
l’installation et avant que l’ordinateur redémarre pour la seconde fois :
j C:\$Windows.~BT\Sources\panther\setupact.log ;
j C:\$Windows.~BT\Sources\panther\miglog.xml ;
j C:\Windows\setupapi.log.
182
Dépanner la mise à niveau vers Windows Vista
Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau pendant
l’installation et après que l’ordinateur redémarre pour la seconde fois :
j C:\Windows\panther\setupact.log ;
j C:\Windows\panther\miglog.xml ;
j C:\Windows\inf\setupapi.app.log ;
j C:\Windows\inf\setupapi.dev.log ;
j C:\Windows\panther\PreGatherPnPList.log ;
j C:\Windows\panther\PostApplyPnPList.log ;
j C:\Windows\memory.dmp.
Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau, lors de la
restauration du bureau :
j C:\$Windows.~BT\Sources\panther\setupact.log ;
j C:\$Windows.~BT\Sources\panther\miglog.xml ;
j C:\$Windows.~BT\sources\panther\setupapi\setupapi.dev.log ;
j C:\$Windows.~BT\sources\panther\setupapi\setupapi.app.log ;
Windows Vista
j C:\Windows\memory.dmp.
Lorsque vous tentez d’effectuer une mise à niveau vers Windows Vista, il se peut que
l’option Mettre à niveau située dans la boîte de dialogue Installer Windows ne soit pas
disponible. Pour tenter de résoudre ce problème, Microsoft met à votre disposition un
ensemble de fiches techniques disponibles sur le site de support…
j 927295 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous
essayez d’installer Windows Vista, et vous obtenez le message suivant : "Windows ne
peut pas déterminer si un autre système d’exploitation existe sur l’ordinateur."
essayez d’installer Windows Vista, et vous obtenez le message suivant : "Il existe
plusieurs systèmes d’exploitation sur votre partition de mise à niveau."
essayez d’installer Windows Vista, et vous obtenez le message suivant : "Vous devez
renommer ou supprimer <NomDossier> pour que la mise à niveau puisse continuer."
essayez d’installer Windows Vista, et vous obtenez le message suivant : "La mise à
niveau a été désactivée."
j 927688 : lorsque vous tentez d’installer Windows Vista, l’option de mise à niveau
n’est pas disponible, et un message d’erreur spécifique au matériel installé sur votre
ordinateur s’affiche.
183
j 928432 : l’option de mise à niveau n’est pas disponible lors du démarrage de

l’ordinateur à l’aide du DVD Windows Vista.
j 932004 : message d’erreur lorsque vous essayez de mettre à niveau un ordinateur
Windows XP vers Windows Vista : "Le système d’exploitation existant ne remplit pas
les conditions logicielles requises : ’Service Pack 2 pour Windows XP’."
j 932005 : l’option de mise à niveau n’est pas disponible pour Windows Vista, et le
message d’erreur suivant peut s’afficher : "Vous ne pouvez pas mettre à niveau
Windows en mode sans échec."
vers Windows Vista :"Impossible de démarrer la mise à niveau car la langue de
Windows installée est différente de celle de ce disque."
vers Windows Vista : "Le système d’exploitation installé ne prend pas en charge la mise
à jour vers Windows Vista."
j 932009 : message d’erreur lorsque vous essayez d’installer Windows Vista à partir
du support d’installation Windows Vista. Vous recevez le message : "La mise à
niveau a été désactivée — Pour la mise à niveau, démarrez l’installation à partir de
Windows."
Windows Vista
5.8. En résumé
Vous avez découvert l’installation détaillée de Windows Vista à partir d’un média ou
d’une mise à jour. Vous avez appris à transférer votre profil et vos données à partir de
votre ancien poste Windows XP.
184
Chapitre 6
Le déploiement des
ordinateurs Windows
Vista en entreprise –
phase 1
6.1 Le processus d’installation de Windows Vista . . ... . . . . . . . . . . . . . . . . . . 187
6.2 L’Assistant Gestion d’installation . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 208
6.3 L’architecture de l’Assistant Gestion d’installation .. . . . . . . . . . . . . . . . . . . 208
6.4 L’interface graphique . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 211
6.5 Créer un fichier de réponses . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 212
6.6 Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 223
6.7 Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 233
6.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 246
Le processus d’installation de Windows Vista
D ès à présent, les déploiements à venir à partir des infrastructures Active Directory

Windows Server 2003 vont concerner le déploiement de Windows Vista. En deux
chapitres, vous allez entrer dans le détail du déploiement de Windows Vista, d’abord
dans la préparation à la création d’une image, puis dans la création et l’application
proprement dites.
Puisque Windows Vista est le dernier-né des systèmes d’exploitation clients de

Microsoft, regardons de plus près son processus d’installation et les outils de
préparation à un déploiement d’entreprise.
6.1. Le processus d’installation de Windows Vista

Terminé les modes textes et les modes graphiques de l’installation de Windows, comme
avec Windows XP, terminé le répertoire I386, terminé la commande winnt32.exe : un
tout nouveau processus d’installation de Windows fait son apparition avec Windows
Vista, fondé sur une image système. Il est important de bien comprendre le mécanisme
de ce nouveau processus pour bien comprendre les outils de déploiement qui en
découle.
Introduction à l’installation de Windows Vista

Vous ne verrez plus de parties d’installation en mode texte et en mode graphique.
ordinateurs Windows Vista

en entreprise – phase 1
6. Le déploiement des
Figure 6.1 : Mode texte de l’installation de Windows XP
187
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Figure 6.2 : Mode graphique de l’installation de Windows XP
Mettez un DVD de Windows Vista dans votre lecteur et redémarrez. L’installation de

Windows Vista se lance. Sous les aspects simples de cette installation se cachent une
technologie avancée et un nouveau processus d’installation.
L’installation de Windows correspond au programme qui installe Windows ou procède

aux mises à niveau d’une installation de Windows existante. L’installation de Windows
constitue aussi la base des méthodes d’installation et de mise à niveau. Il existe trois
méthodes d’installation de Windows…
j L’installation interactive : elle consiste à être devant l’ordinateur et à répondre aux
quelques questions posées.
j L’installation en mode sans assistance : comme son nom l’indique, elle consiste en
une installation totalement automatisée et maîtrisée.
j WDS : c’est le service de déploiement Windows. Il consiste en l’automatisation de
l’installation et du déploiement en masse de Windows Vista.
Vous comprenez tout de suite que vous allez tendre le plus possible vers une installation
et un déploiement le plus automatisé possible car votre temps d’administrateur est
précieux et qu’il est plus utile à des tâches à plus forte valeur ajoutée.
Il existe deux types d’installation :

j L’installation de Windows peut effectuer une installation propre, c’est l’installation
classique qui se fait sur un disque dur vierge ou qui sauvegarde votre installation de
188
Windows précédente mais n’effectue pas de migration de vos paramètres.

L’installation de Windows précédente ne démarre alors pas après une installation
propre.
j L’installation de Windows peut effectuer une installation qui conserve vos
paramètres et préférences tout en mettant à niveau votre système d’exploitation.
C’est la mise à jour de Windows.
Lors du programme d’installation, vous le savez, Windows démarre et redémarre

l’ordinateur, regroupe des informations, copie des fichiers et crée ou règle des
paramètres de configuration. L’installation de Windows Vista est identique en ce qui
concerne la copie et la configuration de fichiers mais est différente au sens où elle se
déroule par phases (ou passes).
Tableau 6.1 : Phases d’installation globales de Windows Vista

Phase d’installation de Actions d’installation
Windows
Windows PE Spécification des configurations de l’installation de Windows à
l’aide des boîtes de dialogue d’installation de Windows
(interactive) ou d’un fichier de réponses (mode sans
assistance). Les configurations d’installation de Windows
incluent l’ajout d’une clé de produit et la configuration d’un
disque.
Application des paramètres de fichier de réponses dans l’étape
de configuration WindowsPE.
Configuration du disque.

Copie de l’image système Windows vers le disque.
Préparation des informations d’initialisation.
Traitement des paramètres de fichier de réponses dans l’étape
de configuration OfflineServicing.
Configuration Création des configurations spécifiques, en rendant l’installation
de Windows unique.
Accueil Windows Application des paramètres de fichier de réponses dans l’étape
de configuration OobeSystem.
Application des paramètres de fichier de contenu à partir du
fichier Oobe.xml.
Démarrage de l’Accueil Windows.
Le mode Audit et le mode personnalisé

Une fois Windows Vista installé, au premier démarrage, l’utilisateur peut démarrer en
mode Audit ou en mode personnalisé.
j Le mode personnalisé, également appelé OOBE (Out-Of-Box Experience),
représente la première expérience de l’utilisateur et permet aux utilisateurs finaux
189
de personnaliser leur installation Windows. Les utilisateurs finaux peuvent créer des
comptes d’utilisateur, lire et accepter les termes du contrat de licence logiciel
Microsoft et choisir leur langue et leur fuseau horaire. Par défaut, toutes les
installations Windows démarrent d’abord en mode personnalisé, avec l’accueil
Windows. C’est le mode classique que vous connaissez.
j Le mode Audit, lui, est utilisé par les fabricants d’ordinateurs et les entreprises afin
d’ajouter des personnalisations à leurs images Windows. Le mode Audit ne
nécessite pas l’application de paramètres dans l’Accueil Windows. En ignorant
l’accueil Windows, vous pouvez accéder plus rapidement au Bureau et apporter vos
personnalisations. Vous pouvez ajouter des pilotes de périphérique
supplémentaires, installer des applications et tester la validité de l’installation.
La personnalisation Oobe.xml
En plus du fichier de réponses de l’installation en mode sans assistance, vous pouvez
utiliser le fichier de contenu Oobe.xml pour configurer ce qu’aperçoit un utilisateur lors
du premier démarrage de Windows. Les paramètres d’un fichier de contenu Oobe.xml
sont appliqués après l’étape de configuration OobeSystem, avant le démarrage de
l’Accueil de Windows.
Oobe.xml est un fichier qui sert à collecter du texte et des images supplémentaires pour
la personnalisation de l’Accueil Windows. Si vous créez une image système Windows
unique comprenant plusieurs langues et pouvant être livrée dans plusieurs pays, vous
pouvez ajouter différents fichiers Oobe.xml afin de personnaliser le contenu en fonction
des sélections de langue et de pays de l’utilisateur final.
L’exécution automatique de scripts une fois l’installation de

Windows achevée
Vous pouvez procéder à des personnalisations complémentaires à votre installation de
Windows par l’intermédiaire d’un ajout de commandes au fichier
%WINDIR%\Setup\Scripts\SetupComplete.cmd. Ce fichier vous permet d’installer des
applications supplémentaires, d’apporter d’autres modifications au système avant une
ouverture de session d’utilisateur. Vous pouvez utiliser le fichier SetupComplete.cmd
pour exécuter des scripts Windows.
En outre, si l’installation de Windows rencontre une erreur, vous pouvez configurer le

système pour exécuter automatiquement un script.
L’état d’installation de Windows Vista

Il existe plusieurs états affectés à une image système Windows au cours de l’installation.
Ces informations d’état peuvent servir à détecter automatiquement les différents états
et étapes de l’installation de Windows.
190
L’état de l’image système Windows est stocké à deux emplacements, dans le Registre et
dans un fichier.
Dans le Registre, la clé associée est :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\State
TYPE : REG_SZ
VALEUR : NomÉtat
Figure 6.3 : Clé de Registre associée à l’état de l’installation
Dans un fichier, le champ associé est :

%WINDIR%\Setup\State\State.ini
Figure 6.4 :
Fichier associé à l’état de l’installation

Le tableau suivant décrit les différentes valeurs existantes que peuvent prendre la clé de
Registre ou le champ de fichier associé à l’état de l’installation :
Tableau 6.2 : Valeurs de l’état d’installation de l’image système Windows

Nom d’état Description
IMAGE_STATE_COMPLETE L’image a été correctement installée. Les passes Specialize et
OobeSystem sont terminées. Cette image ne peut être déployée vers un
autre matériel car elle dépend maintenant du matériel.
IMAGE_STATE Il s’agit de l’état par défaut d’une image dans une phase spécifique de
_UNDEPLOYABLE l’installation de Windows qui n’est pas encore achevée. Si un processus
interroge la valeur d’IMAGE_STATE et qu’IMG_UNDEPLOYABLE est
renvoyé, l’image se trouve dans l’un des états suivants :
– Le programme d’installation est en cours d’exécution et n’a pas encore
entièrement achevé la phase. Une fois qu’une phase spécifique est
terminée, IMAGE_STATE est défini par une valeur d’achèvement
appropriée.
191
Nom d’état Description

– Si une demande est effectuée en ligne alors que le programme
d’installation n’est pas en cours d’exécution, une erreur s’est produite
lors de l’achèvement de la phase d’installation. Cette image doit être
réinstallée.
– Si une demande est effectuée hors connexion, l’image n’a pas terminé
une phase et ne pourra jamais être déployée.
IMAGE_STATE_GENERALIZE L’image a correctement achevé la passe Generalize et continue avec
_RESEAL_TO_OOBE OobeSystem une fois le programme d’installation démarré.
IMAGE_STATE_GENERALIZE L’image a correctement achevé la passe Generalize et continue avec le
_RESEAL_TO_AUDIT mode Audit une fois le programme d’installation démarré.
IMAGE_STATE_SPECIALIZE L’image a correctement achevé la passe Specialize et continue avec
_RESEAL_TO_OOBE OobeSystem une fois le programme d’installation démarré.
IMAGE_STATE_SPECIALIZE L’image a correctement achevé la passe Specialize et continue avec le
_RESEAL_TO_AUDIT mode Audit une fois le programme d’installation démarré.
Si vous souhaitez contrôler par la suite une installation de Windows Vista, vous pouvez
utiliser ces deux procédés…
j Cliquez sur le logo Windows de démarrage, tapez cmd et validez pour ouvrir l’Invite
de commandes, puis tapez la ligne reg query HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Setup\State /v ImageState.
Figure 6.5 : Commande à saisir pour accéder à l’état de l’installation
j Cliquez sur le logo Windows de démarrage, tapez cmd et validez pour ouvrir l’Invite
de commandes, puis tapez type %windir%\Setup\State\State.ini.
Figure 6.6 : Commande à saisir pour accéder à l’état de l’installation
192
L’installation de Windows journalise également toutes les actions d’installation fondées

sur l’image. Servez-vous de cette multitude de fichiers en cas de problèmes.
Tableau 6.3 : Les différents journaux d’état d’installation de Windows Vista

Emplacement du fichier journal Description
$windows.~bt\sources Consigne l’emplacement dans un journal avant que le
\panther programme d’installation puisse accéder au lecteur
$windows.~bt\sources Consigne l’emplacement lorsque l’installation revient à un
\rollback événement à l’origine d’une erreur fatale
%WINDIR%\panther Consigne l’emplacement d’actions d’installation après une
configuration de disque
%WINDIR%\inf\setupapi* Sert à consigner des installations de périphérique Plug and
.log Play dans un journal
%WINDIR%\memory.dmp Emplacement du vidage de la mémoire à partir de
vérifications de bugs
%WINDIR%\minidump\* Emplacement des "mini-vidages" de journal à partir de
.dmp vérifications de bogues
%WINDIR%\system32 Emplacement de journaux Sysprep
\sysprep\panther

Les méthodes d’exécution du programme d’installation
Windows
Le programme d’installation Windows propose des méthodes d’installation interactive
ou sans assistance. Le programme d’installation propose également la commande setup
.exe qui permet de lancer l’installation.
L’installation avec Setup.exe

Sur le DVD d’installation de Windows Vista se trouve la commande setup.exe, qui
remplace winnt32.exe. Elle permet de lancer manuellement l’installation de Windows
Vista, que ce soit en mode interactif ou sans assistance, que ce soit une installation
propre ou une mise à jour.
La commande propose de nombreux commutateurs…
193
SETUP
Configure et exécute une installation de Windows Vista.
Syntaxe : setup.exe [/1394debug:canal [baudrate:DébitEnBauds]]

[/debug:canal [baudrate:DébitEnBauds]] [/dudisable]
[/emsport: {com1 | com2 | usebiossettings | off}
[/emsbaudrate:DébitEnBauds]] [/m:nom_dossier] [/noreboot]
[/tempdrive:lettre_lecteur] [/unattend:fichier_réponses]
[/usbdebug:nomhôte]
[/1394debug:
canal [baudrate:
DébitEnBauds]] Permet le débogage du noyau via un port IEEE 1394 (firewire)
pendant l’exécution de Windows et au cours de l’étape de
configuration WindowsPE de l’installation de Windows. Canal de
débogage. La valeur par défaut du canal est 1.
[baudrate:DébitEnBauds] spécifie le débit en bauds à utiliser
lors du transfert de données au cours du débogage. La valeur par
défaut est 19200. baudrate peut aussi posséder la valeur 115200
ou 57600. Par exemple : setup.exe /1394debug:1
/baudrate:115200.
[/debug:canal
[baudrate:Débit
EnBauds]] Permet le débogage du noyau via un port de communications (COM)

pendant l’exécution de Windows et au cours de l’étape de
configuration WindowsPE de l’installation de Windows. Canal de
débogage. La valeur par défaut du canal est 1.
[baudrate:DébitEnBauds] spécifie le débit en bauds à utiliser
lors du transfert de données au cours du débogage. La valeur par
défaut est 19200. baudrate peut aussi posséder la valeur 115200
ou 57600. Par exemple : setup.exe /debug:1
/baudrate:115200.
[/dudisable] Désactive la mise à jour dynamique de Windows au cours de son
installation. Seuls des fichiers d’installation de Windows d’origine
sont utilisés pour installer Windows. Cette option désactive des
mises à jour dynamiques même si l’option DynamicUpdate est
spécifiée dans un fichier de réponses d’installation de Windows en
mode sans assistance. Par exemple : setup.exe /dudisable.
194
[/emsport:
{com1 | com2 |
usebiossettings
| off}
[/emsbaudrate:
DébitEnBauds]] Active ou désactive les services de gestion d’urgence (EMS,
Emergency Management Services) pendant l’installation de Windows
et une fois le système d’exploitation serveur installé. Les arguments
suivants servent à spécifier le comportement des services de gestion
d’urgence au cours de l’installation de Windows : com1 autorise les
services de gestion d’urgence via COM1. Pris en charge pour les
systèmes x86 uniquement. com2 autorise les services de gestion
d’urgence via COM2. Pris en charge pour les systèmes x86
uniquement. usebiossettings utilise les paramètres spécifiés
dans le BIOS. Pour les systèmes x86, la valeur du tableau SPCR
(Serial Port Console Redirection) est utilisée. Pour les systèmes
fondés sur Itanium, l’interface EFI (Extensible Firmware Interface)
est utilisée. Si aucun tableau SPCR ou chemin de périphérique de
console d’interface EFI n’est spécifié dans le BIOS,
usebiossettings est désactivé. off (désactivé) désactive les
services EMS. Si vous désactivez les services EMS dans l’installation
de Windows, vous pouvez les activer ultérieurement en modifiant les
paramètres de démarrage. [/emsbaudrate:DébitEnBauds]
spécifie le débit en bauds à utiliser lors du transfert de données au

cours du débogage. La valeur par défaut est 19200. Le débit en
bauds peut aussi posséder la valeur 115200 ou 57600. Par
exemple : setup.exe /emsport:COM1 /emsbaudrate:
115200.
[/m:nom
_dossier] Spécifie au programme d’installation de copier des fichiers de
remplacement à partir d’un autre emplacement. Cette option
demande au programme d’installation de rechercher d’abord des
fichiers dans l’autre emplacement et, si des fichiers sont présents, de
les utiliser à la place des fichiers qui se trouvent à l’emplacement par
défaut. nom_dossier nom et emplacement du dossier contenant
les fichiers de remplacement. nom_dossier peut correspondre à
n’importe quel emplacement de lecteur local. Les chemins UNC ne
sont pas pris en charge. Vous devez savoir où les fichiers seront
installés dans l’installation de Windows. Tous les fichiers
supplémentaires doivent être copiés vers un dossier $OEM$ dans
votre source d’installation ou dans nom_dossier. La structure
$OEM$ fournit une représentation du disque d’installation de
destination. Par exemple : $OEM$\$1 effectue un mappage vers
195
%SYSTEMDRIVE% comme le lecteur C. $OEM$\$$ effectue un

mappage vers %WINDIR% comme C:\Windows\. $OEM$\$progs
effectue un mappage vers le répertoire Program files. $OEM$\$docs
effectue un mappage vers le dossier Utilisateurs.
[/noreboot] Demande à l’installation de Windows de ne pas redémarrer
l’ordinateur après l’achèvement de la phase de niveau inférieur de
l’installation de Windows. L’option /noreboot vous permet
d’exécuter des commandes supplémentaires avant le redémarrage
de Windows Vista. Cela supprime uniquement le premier
redémarrage. Les redémarrages suivants, le cas échéant, ne sont pas
supprimés. Par exemple : setup.exe /noreboot.
[/tempdrive:
lettre_lecteur] Indique à l’installation de Windows de placer les fichiers
d’installation temporaires sur la partition spécifiée. S’il s’agit d’une
mise à niveau, l’option /tempdrive affecte l’emplacement des
fichiers temporaires uniquement ; le système d’exploitation est mis à
niveau dans la partition à partir de laquelle vous avez exécuté le
ficher Setup.exe. lettre_lecteur est la partition où copier les
fichiers d’installation pendant l’installation de Windows. Par
exemple : setup.exe /tempdrive:H.
[/unattend:
fichier
_réponses] Active le mode d’installation de Windows sans assistance.
Vous pouvez également spécifier une valeur pour

fichier_réponses. Si vous spécifiez une valeur pour
fichier_réponses, l’installation de Windows applique les
valeurs dans le fichier de réponses au cours de l’installation. Si vous
ne spécifiez pas de valeur pour fichier_réponses, l’installation
de Windows met à niveau votre version existante de Windows. Tous
les paramètres proviennent de l’installation précédente,
l’intervention de l’utilisateur est donc minimale.
fichier_réponses est le chemin d’accès et nom du fichier de
réponses de l’installation de Windows en mode sans assistance. Les
chemins d’accès à un fichier de réponses peuvent être un chemin
local ou un chemin UNC. Par exemple : setup.exe
/unattend:\\SRV−DC−01 \partage\unattend.xml.
196
[/usbdebug:
nomhôte] Définit le débogage sur un port USB. Les données de débogage
entrent en vigueur lors du redémarrage suivant. nomhôte est le nom
de l’ordinateur à déboguer. Par exemple : setup.exe
/usbdebug:CVI−DK−01.
Utilisez Setup.exe pour configurer votre propre méthode d’installation ou pour créer un
script d’installation.
L’installation interactive de Windows Vista

Si l’utilisateur choisit cette méthode, il doit sélectionner l’emplacement d’installation de
Windows, lire et accepter les termes du contrat de licence logiciel et appliquer sa clé de
produit.
Cette méthode est utile pour un déploiement à petite échelle ou une installation sur un
seul ordinateur. Parce qu’elle utilise l’image par défaut fournie sur le média DVD de
Windows Vista, l’installation de Windows ne nécessite aucune tâche de préparation,
telle que la création de fichiers de réponses ou la capture d’images Windows. La
méthode interactive d’installation de Windows peut être utilisée en conjonction avec la
création et la capture d’images Windows personnalisées.
Vous pouvez installer Windows de manière interactive ou mettre à niveau l’installation

à partir du média Windows Vista ou depuis un emplacement réseau après avoir stocké
et partagé les fichiers d’installation à partir du support de Windows. L’installation

interactive nécessite une intervention de l’utilisateur, qui doit spécifier notamment le
lecteur de destination, son nom d’utilisateur et son fuseau horaire.
L’installation standard de Windows Vista ne déroge pas aux règles de simplicité.

Windows Vista reste très élémentaire à installer puisqu’il vous suffit de démarrer
l’ordinateur avec le DVD d’installation pour que celle-ci se réalise presque seule. Il vous
sera demandé d’entrer le numéro de série et de répondre à trois ou quatre questions, en
indiquant notamment votre pays, votre nom, votre mot de passe, etc.
L’installation sans assistance de Windows Vista

Le programme d’installation de Windows fait appel à un fichier de réponses
d’installation sans assistance pour automatiser les installations et les personnalisations
en ligne de Windows. Cette méthode est adaptée aux déploiements à grande échelle et
permet d’assurer une configuration cohérente et précise de chaque ordinateur. Le nom
le plus commun de ce fichier de réponses est Unattend.xml. Dans le jargon, on parle de
"fichier Unattend".
L’installation sans assistance nécessite la création d’un ou de plusieurs fichiers de

réponses contenant les personnalisations d’une installation. Vous pouvez par exemple
modifier la partition ou la configuration d’Internet Explorer.
197
Le programme d’installation de Windows applique les fichiers réponses, au choix, en

spécifiant explicitement un fichier de réponses ou en le recherchant implicitement :
j Vous pouvez spécifier explicitement un fichier de réponses à l’aide de la commande
setup.exe /unattend:\\SRV−DC−01\partage\unattend.xml. Ce fichier de
réponses permet de configurer l’installation Windows. Des redémarrages étant
nécessaires dans le cadre de l’installation, une copie de ce fichier de réponses est
placée en mémoire cache sur le système.
j Si vous ne spécifiez pas de fichier de réponses, le programme d’installation de
Windows recherche ce dernier dans divers emplacements. Il recherche un fichier de
réponses précédemment placé en mémoire cache, un fichier de réponses stocké sur
la racine d’un lecteur, ainsi que d’autres emplacements. Le programme
d’installation de Windows recherche un fichier de réponses au démarrage de chaque
étape de configuration. Lorsqu’il recherche un fichier de réponses, le programme
d’installation de Windows applique un ordre déterminé. Si un fichier de réponses
est détecté dans l’un des emplacements valides, il doit inclure des paramètres valides
associés à l’étape de configuration en cours. Si le fichier de réponses détecté ne
comprend pas de paramètre associé à l’étape de configuration spécifiée en cours
d’exécution, il n’est pas pris en compte.
Nom des fichiers de réponses

Seuls les fichiers de réponses nommés Unattend.xml sont utilisés. Cependant, parce
que certains fichiers de réponses comprennent des actions destructives telles que le
partitionnement de disque, vous devez attribuer à votre fichier Unattend.xml le nom
Autounattend.xml lors des étapes de configuration WindowsPE et OfflineServicing.

Ces actions s’exécutent lorsque vous exécutez pour la première fois WindowsPE ou
Setup.exe. Vous devez utiliser le fichier avec le nom Autounattend.xml lorsque vous
êtes dans le scénario où vous souhaitez automatiser l’installation de Windows Vista à
partir du DVD Vista tout en rajoutant le fichier de réponses stocké sur une clé USB.
Le programme d’installation de Windows identifie tous les fichiers de réponses

disponibles en fonction de l’ordre de recherche. Il utilise le fichier de réponses dont la
priorité est la plus élevée. Ce fichier est validé, puis placé en mémoire cache sur
l’ordinateur. Les fichiers de réponses valides sont placés en mémoire cache dans le
répertoire $Windows.~BT\Sources\Panther lors des étapes de configuration WindowsPE
et OfflineServicing. Une fois l’installation de Windows extraite sur le disque dur, le
fichier de réponses est placé en mémoire cache dans %WINDIR%\panther.
Tableau 6.4 : Ordre de recherche et emplacements du fichier de réponses

Ordre de Emplacement Description
recherche
1 Dans le Registre : Spécifie dans le Registre un pointeur vers un
HKLM\System\Setup\UnattendFile fichier de réponses. Le fichier de réponses
peut ne pas s’appeler Unattend.xml.
198
Ordre de Emplacement Description

recherche
2 %WINDIR%\panther\unattend Le fichier de réponses doit être nommé
Unattend.xml ou Autounattend.xml.
3 %WINDIR%\panther Le programme d’installation de Windows
place en mémoire cache les fichiers de
réponses dans cet emplacement.
4 Média amovible (clé USB, etc.), en fonction de Le nom du fichier de réponses doit
l’ordre de la lettre qui identifie le lecteur correspondre à Unattend.xml ou
Autounattend.xml, et le fichier de réponses
doit résider sur la racine du lecteur.
5 Média amovible en lecture seule, en fonction Le nom du fichier de réponses doit
de l’ordre de la lettre qui identifie le lecteur correspondre à Unattend.xml ou
Autounattend.xml, et il doit résider sur la
racine du lecteur.
6 Répertoire \sources lors des passes de Lors des passes de configuration
configuration WindowsPE et WindowsPE et OfflineServicing, le nom du
OfflineServicing fichier de réponses doit correspondre à
Répertoire %WINDIR%\system32\sysprep Autounattend.xml.
lors des autres passes de configuration Pour toutes les autres passes de
configuration, le nom du fichier de réponses
doit correspondre à Unattend.xml.
7 %SYSTEMDRIVE% Le nom du fichier de réponses doit
correspondre à Unattend.xml ou
Autounattend.xml.

Si vous avez intégré des données sensibles dans les fichiers de réponses, le programme
d’installation les supprime à la fin de l’étape de configuration en cours.
Cependant, si un fichier de réponses est incorporé à un emplacement dont la priorité est

plus élevée que celle du fichier de réponses mis en cache, alors la réponse en cache peut
être remplacée au début de chaque étape de configuration suivante si le fichier de
réponses incorporé répond aux critères de recherche. Si, par exemple, le fichier de
réponses est incorporé à %WINDIR%\panther\unattend\unattend.xml, le fichier de
réponses incorporé remplace alors le fichier de réponses mis en cache au début de
chaque étape de configuration. Si, par exemple, le fichier de réponses incorporé spécifie
les deux passes Specialize et OobeSystem, alors le fichier de réponses incorporé est
découvert pour la passe Specialize, mis en cache, traité et les données sensibles sont
effacées. Le fichier de réponses incorporé est à nouveau découvert au cours de la passe
OobeSystem et mis à nouveau en cache. Par conséquent, les données sensibles de la
passe Specialize ne sont plus effacées. Les données sensibles pour les étapes
précédemment traitées ne seront pas à nouveau effacées. Il vous faut donc incorporer
les fichiers à un emplacement avec une priorité inférieure.
199
Après le traitement d’une passe de configuration, l’installation de Windows Vista

marque le fichier de réponses mis en cache pour indiquer que l’étape a été traitée. Si la
passe de configuration est à nouveau entrée et que le fichier de réponses mis en cache
n’a pas été remplacé ni mis à jour entre-temps, les paramètres du fichier de réponses ne
sont pas traités une seconde fois.
Vous pouvez, par exemple, installer Windows avec un fichier de réponses qui contient
les commandes RunSynchronous dans l’étape Specialize. Au cours de l’installation, la
passe Specialize s’exécute et les commandes RunSynchronous s’exécutent. Après
l’installation, exécutez la commande sysprep /generalize. S’il n’existe aucun fichier
de réponses avec une priorité plus élevée que celle du fichier de réponses mis en cache,
le programme d’installation exécute la passe Specialize lors du prochain démarrage de
l’ordinateur. Puisque le fichier de réponses mis en cache contient une marque selon
laquelle les paramètres de cette passe ont déjà été appliqués, les commandes
RunSynchronous ne s’exécutent pas.
Les scénarios d’installation sans assistance de Windows Vista

Pour mieux comprendre l’application des fichiers de réponses, prenons deux cas
concrets…
Premier scénario : vous décidez d’utiliser le média DVD de Windows Vista pour faire
l’installation et d’utiliser un seul fichier de réponses pour automatiser les derniers
renseignements afin que vous n’ayez pas du tout à intervenir sur cette installation.
1. Créez un fichier de réponses nommé Autounattend.xml qui comprend des
paramètres associés à l’étape de configuration WindowsPE.

2. Copiez Autounattend.xml sur une clé USB.
3. Configurez le BIOS de votre ordinateur de sorte qu’il démarre à partir d’un lecteur
DVD.
4. Démarrez le DVD de Windows Vista.
5. Insérez la clé USB lors du démarrage de Windows.
Le programme d’installation de Windows démarre et identifie automatiquement

Autounattend.xml comme un fichier de réponses valide. Comme le fichier de réponses
utilise un nom de fichier valide, qu’il réside dans l’un des chemins de recherche valides
(la lettre de lecteur de la clé USB) et qu’il comprend des paramètres valides pour la
passe de configuration en cours (WindowsPE), il est utilisé.
Le fichier de réponses est placé en mémoire cache sur l’ordinateur. Si aucun autre
fichier de réponses n’est identifié par les passes de configuration ultérieures, le fichier
de réponses placé en mémoire cache est utilisé tout au long de l’installation de Windows.
Second scénario : sur la base du premier scénario, vous allez utiliser plusieurs fichiers de
réponses.
200
1. Installez Windows à l’aide d’un fichier de réponses en effectuant les procédures

décrites dans le cas de figure précédent. Le fichier de réponses utilisé pour installer
Windows est placé en mémoire cache sur le système dans le répertoire
%WINDIR%\panther.
2. Copiez un fichier Unattend.xml dans le répertoire %WINDIR%\system32\sysprep.
Ce fichier de réponses contient des paramètres associés à la passe de configuration
Generalize.
3. Exécutez la commande sysprep /generalize pour créer une image de référence.
Comme le répertoire %WINDIR%\system32\sysprep figure dans les chemins de

recherche, le fichier de réponses copié dans ce répertoire est détecté. Cependant, le
fichier de réponses utilisé pour installer Windows demeure en mémoire cache sur
l’ordinateur et contient des paramètres associés à la passe de configuration Generalize.
La priorité de ce fichier de réponses est plus élevée que celle du fichier copié dans le
répertoire Sysprep. Le fichier de réponses placé en mémoire cache est donc utilisé. Pour
utiliser le nouveau fichier de réponses, copiez-le dans un répertoire dont la priorité est
supérieure à celle du fichier de réponses placé en mémoire cache ou spécifiez le fichier
de réponses requis par le biais de l’option /unattend.
1. Copiez un fichier Unattend.xml sur une clé USB. Le fichier Unattend.xml ne contient
de paramètres que pour les passes de configuration AuditSystem et AuditUser.
2. Sur un système d’exploitation Windows installé, exécutez la commande sysprep
/generalize /oobe.

Bien que le fichier de réponses réside dans l’un des chemins de recherche, le fichier
Unattend.xml n’est pas pris en compte, car il ne contient pas de paramètre valide pour
l’étape de configuration Generalize.
Les passes de configuration du programme d’installation de

Windows Vista
Pour mieux expliquer et comprendre comment s’installe Windows Vista, il est plus
simple de découper le processus d’installation en différentes phases appelées passes de
configuration. La démarche est plus structurante, mais il est également important de
s’imprégner de cette notion de passes de configuration car les outils qui améliorent
l’automatisation de l’installation sont fondés sur le même principe de compréhension.
Les passes de configuration servent à spécifier différentes phases de l’installation de

Windows. Des paramètres d’installation sans assistance peuvent être appliqués dans une
ou plusieurs passes de configuration.
Les passes de configuration sont des phases d’installation de Windows qui servent à
appliquer des paramètres dans un fichier de réponses d’installation en mode sans
assistance.
201
Le tableau suivant décrit les différentes passes de configuration dans l’ordre dans
lesquelles elles se déroulent du lancement de l’installation jusqu’à ce que le système
d’exploitation soit opérationnel :
Tableau 6.5 : Les passes de configuration constituant une installation complète de

Windows Vista
Étape de configuration Description
WindowsPE Configure des options WindowsPE ainsi que des options de l’installation de
Windows de base. Ces options peuvent inclure le paramétrage de la clé de
produit et la configuration d’un disque.
OfflineServicing Applique des mises à jour à une image système Windows. Applique
également des packages, y compris des correctifs logiciels, des packs de
langue et autres mises à jour de sécurité.
Specialize Crée et applique des informations spécifiques au système. Vous pouvez, par
exemple, configurer des paramètres réseau, des paramètres internationaux et
des informations de domaine.
Generalize Vous permet de configurer sysprep /generalize de façon minime,
ainsi que de configurer d’autres paramètres Windows qui doivent persister sur
votre image de référence.
La commande sysprep /generalize supprime des informations
spécifiques au système. L’ID de sécurité unique (SID), par exemple, tout
comme d’autres paramètres spécifiques au matériel sont supprimés de
l’image.
L’étape Generalize s’exécute uniquement si vous exécutez sysprep
/generalize.
AuditSystem Traite des paramètres d’installation en mode sans assistance pendant que
Windows s’exécute dans un contexte de système, avant qu’un utilisateur se
connecte à l’ordinateur en mode Audit. L’étape AuditSystem s’exécute
uniquement si vous démarrez en mode Audit.
AuditUser Traite des paramètres d’installation en mode sans assistance après la
connexion d’un utilisateur à l’ordinateur en mode Audit. L’étape AuditUser
s’exécute uniquement si vous démarrez en mode Audit.
OobeSystem Applique des paramètres à Windows avant le démarrage de l’Accueil de
Windows.
202
Le schéma suivant illustre la relation entre les passes de configuration :
Figure 6.7 : L’installation de Windows Vista découpée en phases
Il faut maintenant détailler une par une les différentes passes afin de comprendre toutes
les actions qui se déroulent lors d’une installation.
La passe WindowsPE

La passe de configuration WindowsPE sert à configurer des paramètres spécifiques à
Windows PE, ainsi que des paramètres qui s’appliquent à l’installation.
Vous pouvez, par exemple, spécifier la résolution d’affichage de Windows PE,

l’emplacement d’enregistrement d’un fichier journal et d’autres paramètres associés à
Windows PE.
La passe de configuration WindowsPE vous permet aussi de spécifier des paramètres

relatifs à l’installation de Windows, dont le partitionnement et le formatage du disque
dur, la sélection d’une image système Windows spécifique à installer, le chemin d’accès
à cette image système et toute autre information d’identification requise pour accéder à
cette image système, la sélection d’une partition sur l’ordinateur de destination où vous
installez Windows, l’application de la clé de produit et du mot de passe d’administrateur,
l’exécution des commandes spécifiques au cours de l’installation de Windows.
La passe OfflineServicing
La passe de configuration OfflineServicing sert à appliquer des paramètres d’installation
sans assistance à une image système Windows qui n’est pas utilisée dans un processus
d’installation. Au cours de cette passe de configuration, vous pouvez ajouter des packs
203
de langues, des mises à jour Windows, des Service Packs ou même des applications
(packages) à l’image système hors connexion. La passe OfflineServicing est utile pour
optimiser la durée de vie de l’image : admettons que vous ayez créé une image puis,
quelques mois plus tard un nouvel équipement, nouveau type d’ordinateur fait son
apparition dans votre entreprise avec un nouveau pilote Vista associé, vous avez la
possibilité d’ajouter à froid le pilote à l’image créée précédemment sans avoir à refaire
l’image.
Les paramètres du fichier Unattend.xml dans la passe de configuration OfflineServicing

sont appliqués à l’image système Windows hors connexion. Vous utiliserez le
Gestionnaire de package (pkgmgr.exe) en complément d’un fichier de réponses pour
installer des packages.
La passe Generalize
L’étape Generalize de l’installation de Windows sert à créer une image système de
référence Windows qui peut être utilisée à travers l’organisation. Un paramètre de
l’étape Generalize vous permet d’automatiser le comportement pour tous les
déploiements de cette image de référence. En comparaison, un paramètre associé à
l’étape de configuration Specialize vous permet de remplacer le comportement d’un
déploiement unique et spécifique.
Lorsqu’un système est généralisé, des données de configuration spécifiques concernant

une installation donnée de Windows sont supprimées. Lors de l’étape Generalize, par
exemple, l’identificateur de sécurité unique (SID) tout comme d’autres paramètres
spécifiques au matériel sont supprimés de l’image.

La passe de configuration Generalize s’exécute uniquement lorsque vous utilisez la

commande sysprep /generalize. Les paramètres du fichier de réponses dans
Generalize sont appliqués au système avant que la généralisation de sysprep ne se
produise. Le système est ensuite arrêté.
Lors du démarrage suivant du système, La passe de configuration Specialize s’exécute

immédiatement.
La passe Specialize
Des informations spécifiques aux machines associées à l’image sont appliquées lors de
l’étape de configuration Specialize du programme d’installation Windows. Vous pouvez
par exemple configurer les paramètres réseau, les paramètres internationaux et les
informations relatives aux domaines.
La passe de configuration Specialize est utilisée en conjonction avec l’étape Generalize.

Celle-ci a pour objet de créer une image de référence Windows qui peut être utilisée
dans l’ensemble du parc informatique de l’entreprise. À partir de cette image de
référence Windows de base, vous pouvez ajouter d’autres personnalisations associées
204
aux diverses divisions d’une organisation ou à diverses installations de Windows. La

passe de configuration Specialize permet d’appliquer ces personnalisations spécifiques.
Lors de la passe de configuration Specialize, vous pouvez par exemple spécifier diverses
pages d’accueil associées dans Internet Explorer aux différents services ou
départements de l’entreprise. Ce paramètre remplace alors la page d’accueil par défaut
appliquée lors de la passe de configuration Generalize.
La passe AuditSystem
La passe AuditSystem, qui est facultative, traite des paramètres d’installation en mode
sans assistance dans le contexte d’un système en mode Audit. La passe AuditSystem
s’exécute immédiatement avant la passe AuditUser.
En général, AuditSystem sert à ajouter des pilotes de périphérique supplémentaires et à

affecter un nom au système spécifique pour le mode Audit.
Le mode Audit vous permet d’installer des pilotes de périphérique supplémentaires, des
applications et d’autres mises à jour. Lors du démarrage de Windows en mode Audit, les
paramètres d’installation de Windows en mode sans assistance AuditSystem et AuditUser
sont traités.
En utilisant le mode Audit, vous pouvez gérer moins d’images système Windows car
vous pouvez créer une image de référence avec un ensemble minimal de pilotes. L’image
peut être mise à jour à l’aide de pilotes supplémentaires au cours du mode Audit. Vous
pouvez ensuite tester et résoudre tout problème associé à un dysfonctionnement ou à

une installation incorrecte de pilotes sur l’image système Windows.
AuditSystem s’exécute uniquement lorsque vous configurez l’installation de Windows

pour un démarrage en mode Audit.
La passe AuditUser
La passe de configuration AuditUser, qui est facultative, traite les paramètres
d’installation sans assistance dans le contexte utilisateur en mode d’audit. Elle est
exécutée après l’étape de configuration AuditSystem.
En règle générale, AuditUser est utilisé pour exécuter des commandes RunSynchronous
ou RunAsynchronous. Ces commandes permettent d’exécuter des scripts, des
applications ou autres exécutables en mode d’audit.
Le mode d’audit vous permet d’installer d’autres pilotes de périphérique, applications et

mises à jour. Lorsque Windows démarre en mode d’audit, les paramètres AuditSystem et
AuditUser d’installation sans assistance sont traités.
L’utilisation du mode d’audit permet de gérer un nombre inférieur d’images Windows,

car vous pouvez créer une image de référence associée à un jeu minimal de pilotes. Vous
205
pouvez intégrer d’autres pilotes à l’image en mode d’audit. Vous pouvez alors identifier
et résoudre tout problème relatif à des périphériques qui ne fonctionnent pas
correctement ou dont l’installation est incorrecte dans l’image Windows.
AuditUser ne s’exécute que si vous configurez l’installation de Windows de sorte à

démarrer en mode d’audit.
La passe OobeSystem
Enfin, la passe de configuration OobeSystem configure des paramètres appliqués au
cours de l’expérience du premier démarrage pour l’utilisateur final, également appelé
Accueil Windows. Les paramètres OobeSystem sont traités avant la première ouverture
de session d’un utilisateur sous Windows Vista.
OOBE (Out-Of-Box-Experience) s’exécute lors du premier démarrage d’un nouvel

ordinateur. OOBE s’exécute avant que l’environnement Windows ou tout logiciel
supplémentaire ne soit exécuté, puis effectue un ensemble restreint de tâches
nécessaires à la configuration et à l’exécution de Windows.
Les administrateurs peuvent modifier la passe OobeSystem afin d’obtenir un Accueil

Windows personnalisé, qui peut s’avérer utile pour y renseigner les liens vers le site
intranet du centre d’appel de la société par exemple, ou le lien vers le site intranet des
Ressources Humaines ou le lien vers les sites internet des partenaires. OOBE peut
rajouter une certaine proximité entre l’utilisateur final et le service informatique par des
liens utiles toujours disponible dans l’Accueil Windows.
Vous pouvez configurer Windows pour qu’il démarre à partir de l’Accueil Windows en
exécutant la commande sysprep /oobe. Par défaut, après l’exécution de l’installation
de Windows, l’Accueil Windows démarre.
Les méthodes conseillées pour l’installation de Windows Vista

Voici quelques méthodes conseillées à utiliser avec l’installation de Windows Vista.
j Installer, capturer et déployer vers la première partition active. Lorsque vous
installez une image système Windows, vous devez utiliser un seul disque,
notamment la première partition active sur le disque. Cela garantit que le système
d’exploitation Windows est installé sur la même lettre de lecteur.
j Vérifiez que vous disposez d’un espace suffisant pour les fichiers temporaires de
l’installation de Windows Vista. Si vous installez Windows Vista à partir de
Windows XP, vérifiez que la quantité d’espace disque disponible est suffisante pour
les fichiers temporaires de l’installation de Windows. L’espace requis peut varier,
mais il peut atteindre jusqu’à 500 Mo.
j Les installations de Windows précédentes sont déplacées vers un dossier Windows
.old. Si vous installez Windows sur une installation précédente de Windows, tous les
fichiers et répertoires précédents de Windows sont déplacés vers un dossier
206
Windows.old. Vous pouvez accéder à vos données dans le dossier Windows.old une
fois l’installation de Windows terminée.
j Vérifiez toujours les logs. Si vous avez rencontré des problèmes au cours de
l’installation de Windows, analysez les fichiers journaux dans %WINDIR%\panther
et les emplacements adéquats.
Évoquons tout de même les limitations de tout ce processus d’installation :

j Déployez des images système Windows Vista vers la même lettre de lecteur. Si vous
appliquez une image Windows Vista, la lettre du lecteur sur lequel est installée
l’image de référence doit correspondre exactement à celle reconnue par l’image
système Windows déployée. Si, par exemple, vous capturez une image système
Windows personnalisée sur le lecteur C, vous devez déployer cette image système
sur la partition que Windows Vista reconnaît en tant que lecteur C sur l’ordinateur
de destination.
j Des applications peuvent nécessiter une lettre de lecteur cohérente. Si vous installez
des applications personnalisées sur votre image Windows Vista, installez Windows
sur la même lettre de lecteur sur l’ordinateur de destination, car certaines
applications nécessitent une lettre de lecteur cohérente. Les scénarios de
désinstallation, de maintenance et de réparation risquent de ne pas fonctionner de
manière appropriée si la lettre de lecteur du système ne correspond pas à celle
spécifiée dans l’application.
j Déploiement de plusieurs images vers différentes partitions. Si vous capturez et
déployez plusieurs images vers différentes partitions, les conditions requises

suivantes doivent être respectées :
− Le nombre de disques, la structure de partition et l’emplacement du bus doivent
être identiques sur les ordinateurs de référence et de destination.
− La partition et la lettre de lecteur sur lesquels l’image système de référence
Windows est installée doivent correspondre exactement à la partition et à la
lettre de lecteur reconnues par l’image système Windows déployée.
− Les types de partition (principale, étendue ou logique) doivent correspondre.
La partition active sur l’ordinateur de référence doit correspondre à
l’ordinateur de destination.
Il est primordial de bien comprendre les différentes installations, les modes et, surtout,
la manière dont se déroule une installation de Windows Vista. La notion de passes est
fondamentale afin de mieux comprendre les outils qui sont décrits dans les chapitres
suivants. L’illustration suivante vous montre une vue d’ensemble des passes de
configuration d’une installation :
207
Figure 6.8 : Vue d’ensemble des passes de configuration de l’installation de Windows Vista
6.2. L’Assistant Gestion d’installation

Il existe deux grandes méthodes de déploiement, la première par image, la seconde par
script. Windows Vista combine les deux méthodes, c’est-à-dire des images pour booter
et installer le système d’exploitation et des fichiers réponses pour personnaliser
l’installation. Puisque nous avons parcouru le déploiement par images avec Windows
Deployment Service, abordons maintenant l’outil de gestion de fichier Unattend.xml.
Pour créer les fichiers Unattend.xml, le resource kit de déploiement livre un outil en
interface graphique. Il s’agit de l’Assistant Gestion d’installation. L’ajout d’un fichier de
réponses à une image permet de descendre cette image dans un certain contexte avec
comme exemple la taille des partitions, les pilotes qui doivent être utilisés, etc. Ce fichier
sera lu par le Win PE pour être appliqué ensuite à votre image WIM.
6.3. L’architecture de l’Assistant Gestion

d’installation
L’Assistant Gestion d’installation crée un fichier de réponses XML indispensable à
l’élaboration d’une installation sans assistance. Cet assistant crée également un fichier
catalogue (.clg) pour assurer un suivi des packages et des paramètres, ce qui implique
des mises à jour périodiques. Un fichier appelé "jeu de configuration" peut être créé et
208
L’architecture de l’Assistant Gestion d’installation
copié sur un support amovible pour constituer une version mobile des dossiers partagés
et facultatifs de la distribution.

Figure 6.9 : Architecture de l’Assistant Gestion d’installation
L’Assistant Gestion d’installation utilise l’API CPI (Component Platform Interface) pour
créer un fichier de réponses sans assistance. Cet assistant se sert au départ de l’API CPI
pour monter une image système Windows. Les composants et les paramètres contenus
dans une image système Windows particulière sont utilisés pour créer un fichier
catalogue. Le fichier catalogue est ensuite exploité dans l’Assistant Gestion
d’installation pour créer des fichiers de réponses.
Un ensemble facultatif de dossiers, nommé "partage de distribution", peut être ajouté

pour assurer le stockage des fichiers que vous utiliserez lors d’une personnalisation
ultérieure de votre installation Windows.
L’Assistant Gestion d’installation peut créer un jeu de configuration, c’est-à-dire une

version d’un partage de distribution plus légère et plus mobile. Les jeux de configuration
permettent aux utilisateurs d’exploiter les versions de taille plus réduite d’un partage de
distribution. Ces fichiers moins volumineux peuvent se révéler plus faciles à gérer.
Il vous est également possible d’utiliser l’API CPI pour créer vos propres applications
personnalisées qui peuvent automatiser la création et la gestion de fichiers de réponses
d’installation de Windows sans assistance.
209
Tableau 6.6 : Terminologie spécifique à l’Assistant Gestion d’installation

Terme Définition
Fichier de réponses Fichier qui indique par script les réponses à apporter à une série de
boîtes de dialogue de l’interface graphique utilisateur. Le fichier de
réponses de l’installation de Windows se nomme généralement
Unattend.xml. Vous pouvez créer et modifier ce fichier de réponses en
utilisant l’Assistant Gestion d’installation ou les API CPI.
Fichier catalogue Fichier binaire qui contient l’état de tous les paramètres et de tous les
packages dans une image système Windows. Lorsqu’un catalogue est
créé, il interroge l’image système Windows afin d’obtenir la liste de tous
les paramètres contenus dans cette image. Dans la mesure où le contenu
d’une image système Win PE peut varier avec le temps, il est important
de recréer le fichier catalogue lors de la mise à jour d’une image
système.
Composant Partie du système d’exploitation Windows qui spécifie les fichiers, les
ressources et les paramètres d’une fonctionnalité spécifique de Windows,
ou seulement une partie de cette fonctionnalité. Certains composants
incluent les paramètres d’une installation sans assistance de Windows ;
ils sont utilisables pour les entreprises pour personnaliser l’installation.
Étape de configuration Phase de l’installation de Windows. Diverses parties du système
d’exploitation Windows sont installées au cours des différentes étapes de
configuration. Vous pouvez spécifier l’application des paramètres
d’installation sans assistance de Windows dans une ou plusieurs étapes
de configuration.
Jeu de configuration Structure de fichiers et de dossiers contenant les fichiers nécessaires au
contrôle du processus de préinstallation et définissant les informations

personnalisées des fabricants.

Partage de distribution Un dossier qui contient les fichiers sources des produits Windows que
vous installez. Il peut également contenir des pilotes de périphériques et
des fichiers d’applications supplémentaires. Ce dossier peut être créé
manuellement ou à l’aide de l’Assistant Gestion d’installation.
Chemin d’accès du pilote Chemin d’accès indiquant l’emplacement où récupérer le logiciel qui
permet au périphérique ou au composant matériel du pilote de
fonctionner.
Valeur d’image Valeur d’un paramètre de configuration dans une image système
Windows.
Élément de liste Paramètre de configuration présentant plusieurs entrées. Par exemple,
une liste de favoris, dans Internet Explorer, peut contenir aucun, un ou
plusieurs favoris.
Package Un groupe de fichiers fournis par Microsoft aux clients OEM en vue de
modifier les fonctionnalités de Windows. Les types de packages incluent
les Services Packs, les mises à jour de sécurité, les modules
linguistiques et les correctifs logiciels. Exemples de packages : Product,
Windows Foundation et Feature Pack.
210
L’interface graphique
Terme Définition
Paramètre Réglage de configuration d’un programme ou d’un système
d’exploitation.
Commande synchrone Permet d’exécuter une application ou tout autre fichier exécutable durant
l’installation de Windows. Vous pouvez indiquer l’étape de configuration
dans laquelle vous voulez que la commande s’exécute.
Valider le fichier de réponses Les paramètres doivent en premier lieu être validés pour que l’Assistant
Gestion d’installation puisse enregistrer un fichier de réponses. Lorsqu’un
fichier de réponses est correctement validé, toutes les valeurs des
paramètres de ce fichier sont applicables à l’image système Windows.
Fonctionnalité Windows Fonctionnalité facultative de Windows pouvant être activée ou désactivée.
Fichier image système Un seul fichier compressé contenant une collection de fichiers et de
Windows (.wim) dossiers qui duplique une installation de Windows sur un volume de
disque.
6.4. L’interface graphique

L’interface utilisateur de l’Assistant Gestion d’installation contient plusieurs volets. Ces
volets permettent d’ouvrir des fichiers image système Windows, de créer des fichiers de
réponses sans assistance et d’ajouter des composants et des packages aux cinq étapes de
configuration correspondantes dans un fichier de réponses.

Figure 6.10 : Interface graphique de l’Assistant Gestion d’installation
211
j Le volet Partage de distribution : il affiche le dossier de partage de distribution

actuellement ouvert dans l’arborescence. Vous sélectionnez, créez, explorez et
fermez les dossiers de partage de distribution en sélectionnant le nœud supérieur et
en cliquant avec le bouton droit de la souris sur le volet. Vous pouvez ajouter des
éléments à un fichier de réponses contenu dans un dossier de partage de distribution
en cliquant avec le bouton droit de la souris sur l’élément voulu.
j Le volet Fichier de réponses : il affiche les étapes de configuration de l’installation
de Windows, ainsi que les paramètres à appliquer à chaque étape et les packages à
installer. Vous pouvez ouvrir et modifier un fichier de réponses existant, valider les
paramètres contenus dans un fichier de réponses par rapport à une image système
Windows ou créer un nouveau fichier de réponses.
j Le volet Image système Windows : il affiche l’image système Windows actuellement
ouverte dans l’arborescence. Lorsque l’arborescence est développée, tous les
composants et les packages prévus pour l’image sont visibles et disponibles afin
d’être ajoutés à un fichier de réponses dans le volet Fichier de réponses.
j Le volet Propriétés : il affiche les propriétés et les paramètres d’un composant ou
d’un package sélectionné. Le volet Propriétés permet de modifier les paramètres et,
lorsqu’il s’agit de packages, de modifier les sélections des fonctionnalités de
Windows. Dans le bas du volet Propriétés, l’Assistant Gestion d’installation affiche
le nom du paramètre et le type .NET associé.
j Le volet Messages : il est composé de trois onglets nommés XML, Validation et Jeu
de configuration. En cliquant sur un des onglets du volet Messages, vous affichez le
type du message, un descriptif et l’endroit où le problème est survenu.
6.5. Créer un fichier de réponses

1. Chargez le fichier image. Dans la section Image Windows, cliquez avec le bouton
droit de la souris sur Sélectionner une image Windows ou un fichier catalogue, puis
sur Sélectionnez l’image Windows.
2. Sélectionnez l’image du DVD d’installation, par exemple Install.wim. Un catalogue
des images instanciées se lance. Un certain nombre de versions sont disponibles.
Choisissez la version de Windows Vista que vous souhaitez personnaliser, la version
Intégrale par exemple. Cliquez sur OK (voir fig. 6.11).
La partie Image Windows est la partie la plus importante de l’outil puisqu’elle comprend
un certain nombre de packages qui vous permettront de personnaliser votre installation
en ajoutant ou en supprimant des composants comme les jeux ou la personnalisation du
DNS. Tous les composants seront listés et modifiés à partir de cette fenêtre.
212
Créer un fichier de réponses
Figure 6.11 :
Sélection de la version de
Windows Vista à
personnaliser
3. Dans la fenêtre Fichier de réponses, cliquez avec le bouton droit de la souris, puis
sélectionnez Créer ou ouvrir un fichier de réponses.
Un fichier de réponses contenant sept parties est créé :

j WindowsPE ;
j OfflineServicing ;
j Generalize ;
j Specialize ;
j AuditSystem ;
j AuditUser ;

j OobeSystem.
Ces sections correspondent à une partie de l’installation de Windows Vista. Cette partie
permet de vous aiguiller au cours de la réalisation de votre fichier image. Cliquez avec le
bouton droit de la souris sur vos packages pour voir à quelle partie ils peuvent
appartenir. Par exemple, vous n’allez pas pouvoir créer une partition en fin
d’installation.
4. Pour personnaliser l’installation, cliquez avec le bouton droit de la souris sur les
packages afin de voir à quelle section ils peuvent appartenir.
5. Une fois les packages sélectionnés, personnalisez-les en donnant des paramètres
comme le nom de domaine, le compte utilisateur, un mot de passe ou encore la taille
d’une partition, bref, tout ce qui caractérise un système d’exploitation de bout en
bout.
6. Une fois le fichier réalisé, sauvegardez-le afin de pouvoir l’utiliser avec des images
WIM. Pour sauvegarder le fichier de réponses, cliquez sur Fichier/Enregistrer sous.
Indiquez le chemin souhaité.
213
Dans la plupart des cas, et en raison du nombre d’options à configurer, il est

recommandé de partir des deux fichiers que Microsoft propose en exemple : les fichiers
autounattend_sample et Corp_autounattend_sample.
Le fichier autounattend_sample
<?xml version="1.0" encoding="utf-8" ?>
- <unattend xmlns="urn:schemas-microsoft-com:unattend">
- <settings pass="windowsPE">
- <component name="Microsoft-Windows-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
+ <DiskConfiguration>
- <Disk>
- <CreatePartitions>
- <CreatePartition wcm:action="add">
<Order>1</Order>
<Size>20000</Size>
<Type>Primary</Type>
</CreatePartition>
</CreatePartitions>
- <ModifyPartitions>
- <ModifyPartition wcm:action="add">
<Active>true</Active>
<Extend>false</Extend>
<Format>NTFS</Format>
<Label>OS_Install</Label>
<Letter>C</Letter>
<Order>1</Order>
<PartitionID>1</PartitionID>
</ModifyPartition>
</ModifyPartitions>
<DiskID>0</DiskID>
<WillWipeDisk>true</WillWipeDisk>
</Disk>
<WillShowUI>OnError</WillShowUI>
</DiskConfiguration>
- <UserData>
- <ProductKey>
<Key><productkey></Key>
</ProductKey>
<AcceptEula>true</AcceptEula>
</UserData>
- <ImageInstall>
- <OSImage>
- <InstallTo>
<DiskID>0</DiskID>
214
</InstallTo>
</OSImage>
</ImageInstall>
</component>
- <component name="Microsoft-Windows-International-Core-WinPE"
✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft
✂ .com/WMIConfig/2002/State"
- <SetupUILanguage>
<UILanguage>en-us</UILanguage>
</SetupUILanguage>
<InputLocale>0409:00000409</InputLocale>
<SystemLocale>en-us</SystemLocale>
<UserLocale>en-US</UserLocale>
</component>
</settings>
- <settings pass="oobeSystem">
- <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86"
- <OEMInformation>
<Manufacturer><company name></Manufacturer>
<Model><computer model></Model>
<SupportHours><support hours></SupportHours>
<SupportPhone><phone number></SupportPhone>

</OEMInformation>
</component>
- <component name="Microsoft-Windows-Deployment" processorArchitecture="x86"
- <Reseal>
<Mode>Audit</Mode>
</Reseal>
</component>
</settings>
</unattend>
Le fichier Corp_autounattend_sample
- <unattend xmlns="urn:schemas-microsoft-com:unattend">
- <settings pass="windowsPE">
- <component name="Microsoft-Windows-Setup" processorArchitecture="x86"
215
- <DiskConfiguration>
- <Disk>
- <CreatePartitions>
- <CreatePartition wcm:action="add">
<Order>1</Order>
<Size>20000</Size>
</CreatePartition>
</CreatePartitions>
- <ModifyPartitions>
- <ModifyPartition wcm:action="add">
<Active>true</Active>
<Extend>false</Extend>
<Format>NTFS</Format>
<Label>OS_Install</Label>
<Letter>C</Letter>
<Order>1</Order>
</ModifyPartition>
</ModifyPartitions>
<DiskID>0</DiskID>
<WillWipeDisk>true</WillWipeDisk>
</Disk>
- <UserData>
- <ProductKey>
<Key><productkey></Key>
</ProductKey>
<AcceptEula>true</AcceptEula>
<FullName><user name></FullName>
<Organization><company organization></Organization>
</UserData>
- <ImageInstall>
- <OSImage>
- <InstallTo>
<DiskID>0</DiskID>
</InstallTo>
</OSImage>
</ImageInstall>
- <UpgradeData>
</UpgradeData>
- <Display>
<ColorDepth>16</ColorDepth>
<HorizontalResolution>1024</HorizontalResolution>
<RefreshRate>60</RefreshRate>
<VerticalResolution>768</VerticalResolution>
</Display>
216
</component>
- <component name="Microsoft-Windows-International-Core-WinPE"
- <SetupUILanguage>
</SetupUILanguage>
<InputLocale>0409:00000409</InputLocale>
<SystemLocale>en-us</SystemLocale>
<UserLocale>en-US</UserLocale>
</component>
</settings>
- <settings pass="oobeSystem">
- <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86"
- <OOBE>
<HideEULAPage>true</HideEULAPage>
<ProtectYourPC>3</ProtectYourPC>
<SkipMachineOOBE>true</SkipMachineOOBE>
<SkipUserOOBE>true</SkipUserOOBE>
</OOBE>
- <UserAccounts>
- <LocalAccounts>
- <LocalAccount wcm:action="add">

- <Password>
<Value><strongpassword></Value>
<PlainText>false</PlainText>
</Password>
<DisplayName><username></DisplayName>
<Name><username></Name>
<Group>administrators</Group>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
- <OEMInformation>
<Manufacturer><company name></Manufacturer>
<Model><computer model></Model>
<SupportHours><support hours></SupportHours>
<SupportPhone><phone number></SupportPhone>
</OEMInformation>
<RegisteredOrganization><Your Organization></RegisteredOrganization>
<RegisteredOwner><Your Organization></RegisteredOwner>
</component>
</settings>
- <settings pass="specialize">
- <component name="Microsoft-Windows-IE-InternetExplorer"
217

<BlockPopups>yes</BlockPopups>
<Home_Page><Company Home Page></Home_Page>
<IEWelcomeMsg>false</IEWelcomeMsg>
<PlaySound>true</PlaySound>
<ShowInformationBar>true</ShowInformationBar>
</component>
- <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86"
- <Identification>
- <Credentials>
<Domain><domain></Domain>
<Password><strongpassword></Password>
<Username><username></Username>
</Credentials>
</Identification>
</component>
</settings>
</unattend>
Attribuer des fichiers Unattend à des images

Les étapes suivantes se déroulent au niveau du serveur WDS (Windows Deployment
Services).
Vous entrerez dans le détail du fonctionnement du serveur WDS au chapitre Le

service de déploiement qui lui est dédié.
Une fois votre fichier de réponses créé, vous devez effectuer encore quelques
manipulations sur votre serveur pour accrocher vos images à vos fichiers de réponses.
Procédez ainsi :
1. Cliquez sur le menu Démarrer/Tous les programmes/Outils d’administration.
Sélectionnez Windows Deployment Services.
2. Il faut définir la première option qui consiste à spécifier un fichier de réponses par
défaut en fonction des architectures. Sélectionnez votre serveur WDS, cliquez avec
le bouton droit de la souris, puis choisissez Propriété et Windows DS Client.
3. Cochez la case Enable Unattend mode.
4. Pour x86 Architecture, cliquez sur Parcourir, sélectionnez le fichier Unattend puis
cliquez sur Ouvrir. Pour ia64 Architecture, cliquez sur Parcourir, sélectionnez le
fichier Unattend puis cliquez sur Ouvrir. Pour x64 Architecture, cliquez sur
218
Parcourir, sélectionnez le fichier Unattend puis cliquez sur Ouvrir. Une fois les
fichiers déclarés, cliquez sur OK.
5. Attribuez des fichiers spécifiques à des images spécifiques. Placez-vous dans le
serveur WDS. Sélectionnez Images d’installation, puis le groupe d’images
précédemment créé et choisissez l’image à laquelle vous souhaitez attribuer le
fichier de réponses.
6. Cliquez avec le bouton droit de la souris sur votre image, puis sur Propriété. Dans la
fenêtre Propriété de l’image, sélectionnez l’onglet General.
7. Sous l’onglet General, cochez la case Autoriser l’image à s’installer en mode sans
assistance, puis cliquez sur Sélectionner un fichier. Choisissez votre fichier à l’aide
du bouton Parcourir et cliquez sur OK. Pour terminer, cliquez sur OK.
Figure 6.12 :
Attribution d’un fichier
Unattend.xml à une
image spécifique

Le fichier ImageUnattend.xml est ajouté pour l’image WIM dans le répertoire
E:\RemoteInstall\Images\Vista\Windows_Vista_Ultimate-CQXQK\Unattend de l’image
Ultimate de Windows Vista.
Installation de packages
Une fois les différentes étapes de paramétrages réalisées, vous avez la possibilité
d’utiliser également des packages et des points de distribution qui pourront servir à
l’installation de logiciels supplémentaires après l’installation de Windows Vista.
Quelques points importants

Voici quelques points et étapes importants de la réalisation du fichier de réponses
Unattend.xml. D’abord, vous devez ouvrir le fichier de réponses précédemment créé.
Dans un premier temps, nous avions vu comment fonctionne le principe de fichier de
réponses Unattend.xml avec Windows Deployment Services et les images WIM. À
219
présent, nous allons voir comment fonctionne le paramétrage du fichier avec une étape
importante qui est la partie 1 WindowsPE.
1. Dans la partie gauche de l’interface graphique, sélectionnez Windows Image, puis la
version d’images déjà présente. Ouvrez la section Components.
2. Sélectionnez le package x86_Microsoft-Windows-Setyp_(version de build)_neutral.
C’est dans ce package que vous allez créer une partition pour l’installation de Windows
Vista.
Vous allez pouvoir indiquer si vous souhaitez créer une partition ou bien garder la
partition existante, préciser également le type de partition (FAT ou NTFS) ainsi que la
taille, mais aussi des actions liées à l’éventuelle présence d’un autre système sur la
machine, et beaucoup d’autres options encore.
Bien que toutes les parties soient importantes, la partie du package à considérer est
WindowsDeploymentServices. Elle est divisée en deux sections…
j ImageSelection : dans cette section, vous allez trouver le nom du fichier
d’installation, le groupe auquel il appartient (ce groupe a été précédemment créé
dans Windows Deployment Services pour descendre les images) ainsi que le nom
que vous avez donné à l’image sur le serveur WDS.
j Login : dans cette section, vous allez pouvoir spécifier les credantials, le nom de
domaine, le compte utilisateur et le mot de passe pour pouvoir entrer dans le
domaine lors de l’installation.
Validation du fichier de réponses

N’oubliez pas de valider régulièrement votre fichier de réponses pour voir si vous
n’avez pas fait d’erreur dans les informations que vous avez données au fichier.
Exemple d’une partie du fichier Unattend.xml qui a été généré à la suite du paramétrage
proposé :
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<servicing></servicing>
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral"
✂ versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/
✂ WMIConfig/2002/State"
<DiskConfiguration>
<Disk>
<CreatePartitions>
<CreatePartition wcm:action="add">
<Size>30000</Size>
220
<Order>1</Order>
</CreatePartition>
</CreatePartitions>
<DiskID>0</DiskID>
</Disk>
<WindowsDeploymentServices>
<ImageSelection>
<InstallImage>
<Filename>install.wim</Filename>
<ImageGroup>Vista</ImageGroup>
<ImageName>Ultimate</ImageName>
</InstallImage>
</ImageSelection>
<Login>
<Credentials>
<Domain>puzzmania.com</Domain>
<Username>admin</Username>
<Password>P@ssW0r2</Password>
</Credentials>
</Login>
</WindowsDeploymentServices>
</component>
</settings>
<cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />

Présentation des partages de distribution et des jeux de
configuration
Un "partage de distribution" est un ensemble facultatif de dossiers contenant des fichiers
utilisés pour personnaliser Windows via des fichiers de réponses sans assistance.
Lorsque vous ajoutez des éléments à un fichier de réponses contenu dans un partage de
distribution, les chemins d’accès de ces éléments sont inclus dans le fichier de réponses.
Au cours de l’installation, le programme d’installation de Windows utilise ces chemins
pour installer les applications et les pilotes de périphériques supplémentaires. Par
exemple, lorsque vous vous connectez à un partage de distribution sur un réseau, le
chemin d’accès au réseau est référencé dans le fichier de réponses.
Lorsque vous créez un partage de distribution à l’aide de l’Assistant Gestion

d’installation, trois dossiers sont automatiquement créés. Ils sont nommés Dossiers
$OEM$, Pilotes non fournis avec Windows et Packages. Si vous créez votre propre
partage de distribution, celui-ci doit contenir au moins un de ces trois dossiers pour être
reconnu comme dossier de partage de distribution valide par l’Assistant Gestion
d’installation.
Le dossier et les sous-dossiers $OEM$ sont uniquement utilisables au cours de la

création de jeux de configuration. Vous utilisez des dossiers $OEM$ pour intégrer des
logos dans le cadre d’une stratégie de marque et pour ajouter des applications et des
221
fichiers supplémentaires permettant de personnaliser l’installation sans assistance. Les

dossiers $OEM$ ont été utilisés dans des précédentes versions de Windows et, dans
certains cas, ils ne sont pas pris en charge dans Windows Vista.
En règle générale, vous ajoutez des ressources et des nouveaux fichiers à Windows par
l’intermédiaire d’une image de données.
Voici les sections d’un partage de distribution :
Tableau 6.7 : Prise en charge des anciens dossiers $OEM$

Ancienne dénomination Ancienne définition Prise en charge
$OEM$ Contient tous les fichiers et les dossiers supplémentaires Oui
qui permettent une installation automatisée ou
personnalisée.
\$OEM$\Textmode Contient les pilotes de stockage de masse et les fichiers Non
HAL mis à jour qui sont indispensables lors de la phase en
mode texte du programme d’installation.
\$OEM$\$$ Contient les fichiers copiés dans le dossier %WINDIR% Oui
(par exemple, C:\Windows) au cours de l’installation
Windows.
\$OEM$\$$\Help Contient les fichiers d’aide personnalisés copiés dans le Non
dossier %WINDIR%\Help au cours de l’installation
Windows.
\$OEM$\$$\System32 Contient les fichiers que copiés dans le dossier Oui
%WINDIR%\System32 au cours de l’installation

Windows.
\$OEM$\$1 Représente la racine du lecteur où est installé Windows Oui
(également appelée "partition de démarrage") et contient
des fichiers copiés dans la partition de démarrage au cours
de l’installation Windows.
\$OEM$\$1\pilotesPlug- Contient des pilotes Plug and Play (PnP) nouveaux ou mis Oui
and-Play à jour. L’utilisateur indique le nom du dossier dans le
fichier Unattend.xml pour les installations sans
assistance. Ce dossier peut par exemple être nommé
\$OEM$\$1\pilotesPnP.
\$OEM$\$1\SysPrep Contient les fichiers utilisés pour une installation préparée Non
avec Sysprep.
\$OEM$\$Docs Contient les fichiers copiés dans le dossier Non
%DOCUMENTS_AND_SETTINGS% au cours de
l’installation Windows.
\$OEM$\$Progs Contient les programmes copiés dans le dossier Non
%PROGRAM_FILES% au cours de l’installation
Windows.
222
Sysprep
Ancienne dénomination Ancienne définition Prise en charge

\$OEM$\$Progs\Internet Contient le fichier de paramètres pour personnaliser Non
Explorer Internet Explorer.
\$OEM$\lettre_lecteur Sous-dossier du lecteur qui contient les fichiers copiés Oui
\sous_dossier dans le sous-dossier au cours de l’installation Windows.
Plusieurs instances de ce type de dossier peuvent exister
dans le dossier \$OEM$\lettre_lecteur, par exemple
\$OEM$\D\MonDossier.
6.6. Sysprep
Dans la plupart des cas, en entreprise, pour déployer des ordinateurs Windows Vista,
vous souhaitez créer une image de Windows Vista personnalisée, qui contient les
applications métiers communes à la société afin de ne pas avoir à les installer une par
une sur chaque poste de travail.
Communément, vous allez utiliser un outil de création d’image pour créer une image
personnalisée. Ici, vous procéderez de la même façon qu’avec des outils tiers de création
et d’application d’images système (comme Symantec Ghost).
Voici un scénario de départ :

1. Vous installez Windows Vista sur un ordinateur de test.
2. Vous y installez les diverses applications et vous vous assurez qu’elles fonctionnent
correctement.
3. Vous utilisez Sysprep pour préparer l’ordinateur à la duplication.
4. Vous éteignez l’ordinateur.
5. Vous récupérez l’image système associée.
À la différence près qu’avec Windows Vista vous n’avez pas besoin d’outil tiers et que
l’image créée fonctionnera sur n’importe quelle plateforme matérielle. Voyez
maintenant comment fonctionne l’outil Sysprep sous Windows Vista.
Introduction à Sysprep
L’outil Sysprep prépare une installation de Windows à la duplication, à l’audit et à la
livraison à l’utilisateur final. La duplication, également appelée "acquisition d’images",
permet de capturer une image système Windows Vista personnalisée que vous êtes à
même de réutiliser dans toute votre entreprise. Pour cela, Sysprep exécute un certain
nombre de tâches pour nettoyer le système (informations relatives au Registre, à
l’utilisateur logué, à la licence, au SID d’ordinateur) afin de le rendre neutre et
223
réutilisable pour n’importe quel autre utilisateur. Grâce au mode Audit, vous pouvez
ajouter des applications ou des pilotes de périphériques supplémentaires à une
installation de Windows. Une fois les applications et les pilotes installés, vous avez la
possibilité de tester l’intégrité de l’installation de Windows. Sysprep permet également
de préparer une image qui sera ensuite livrée à un utilisateur final. Ainsi, lorsque le
client démarre Windows, les écrans d’accueil de Windows s’affichent.
Sysprep n’est utilisable que pour configurer de nouvelles installations de Windows

Vista. Cet outil peut être exécuté autant de fois qu’il est nécessaire pour élaborer et
configurer votre installation de Windows. Toutefois, vous ne pouvez pas réinitialiser
l’activation de la plateforme de Windows Vista pour la protection contre le piratage plus
de trois fois. Vous ne devez pas utiliser Sysprep pour reconfigurer une installation
existante de Windows déjà déployée. Cet outil est uniquement utilisable pour la
configuration de nouvelles installations de Windows.
L’outil Sysprep est maintenant inclus à la base dans Windows Vista, plus besoin de
télécharger le Deployment Pack Microsoft. Suivez le chemin %WINDIR%\
system32\sysprep.
Sysprep présente un certain nombre d’avantages :

j Il supprime des données spécifiques au système à partir de Windows. Il peut
supprimer toutes les informations spécifiques au système à partir d’une image
système Windows installée, y compris l’ID de sécurité. L’installation de Windows
peut ensuite être capturée et installée à travers toute l’entreprise.
j Il configure Windows pour démarrer en mode Audit. Le mode Audit vous permet
d’installer des applications et des pilotes de périphérique tiers et de tester la

fonctionnalité de l’ordinateur.
j Il configure Windows pour démarrer avec l’accueil du premier démarrage de
Windows. Il configure une installation de Windows pour initialiser l’accueil du
premier démarrage de Windows au prochain démarrage de l’ordinateur. En
général, vous configurez un système pour qu’il s’initialise à partir de cet accueil de
premier démarrage immédiatement avant la livraison de l’ordinateur à l’utilisateur
final. Celui-ci n’a plus qu’à entrer les quelques informations personnelles qu’il lui
manque.
j Il réinitialise l’activation du produit Windows. Sysprep peut réinitialiser l’activation
du produit Windows jusqu’à trois fois.
Implémenter Sysprep
Reprenons notre scénario de départ : vous installez Windows Vista sur un ordinateur de
test, vous y installez toutes les applications que vous voulez inclure dans votre image
personnalisée et vous vérifiez leur fonctionnement. Maintenant, vous allez utiliser
Sysprep pour préparer l’ordinateur à la duplication.
1. Cliquez sur le logo Windows de démarrage.
224
Sysprep
2. Tapez Sysprep dans la fenêtre Exécuter que vous avez ouvert.
Figure 6.13 : Répertoire %WINDIR%\system32\sysprep
3. Ouvrez le répertoire Sysprep et cliquez deux fois sur l’application.
Figure 6.14 :
Application Sysprep

Vous remarquez une interface graphique très épurée en comparaison de la précédente
version de Sysprep contenue dans le Deployment Pack Microsoft Windows XP. Deux
menus déroulants uniquement, donc deux choix à faire : un choix sur le mode de
nettoyage du système et un sur le mode d’extinction de l’ordinateur.
Le nettoyage du système
Dans le premier menu déroulant de l’application Sysprep, vous devez choisir l’action de
nettoyage du système à mener.
Figure 6.15 :
Choix d’action de
nettoyage du système
225
j Entrer en mode OOBE (Out-Of-Box Experience) : OOBE, autrement appelé "accueil

de premier démarrage de Windows", représente la première expérience de
l’utilisateur et permet aux utilisateurs finaux de personnaliser leur installation
Windows. Les utilisateurs finaux peuvent créer des comptes utilisateurs, lire et
accepter les termes du contrat de licence logiciel Microsoft et choisir leur langue et
leur fuseau horaire. Par défaut, toutes les installations Windows démarrent d’abord
avec l’accueil de premier démarrage de Windows. La passe de configuration
OobeSystem s’exécute immédiatement avant le démarrage de l’accueil de premier
démarrage de Windows. C’est le choix le plus commun dans le sens où vous nettoyez
complètement le système pour une duplication en masse.
j Entrer en mode d’audit système : le mode Audit permet aux fabricants d’ordinateurs
et aux entreprises d’ajouter des personnalisations à leurs images Windows. Le mode
Audit ne nécessite pas l’application de paramètres dans l’accueil de premier
démarrage de Windows. En ignorant l’accueil de Windows, vous pouvez accéder
plus rapidement au Bureau et apporter vos personnalisations. Vous pouvez ajouter
des pilotes de périphérique supplémentaires, installer des applications et tester la
validité de l’installation. En mode Audit, les paramètres d’un fichier de réponses, en
mode sans assistance, sont traités lors des étapes de configuration AuditSystem et
AuditUser. Dans une installation Windows Vista par défaut, une fois l’installation
terminée, l’accueil de Windows démarre. Cependant, vous pouvez ignorer l’accueil
de Windows et démarrer directement en mode Audit en appuyant sur les touches
[Ctrl]+[Maj]+[F3] à partir du premier écran d’accueil de Windows.
L’option Généraliser
Juste en dessous de la liste Action de nettoyage du système se trouve une case à cocher
très importante appelée Généraliser. Cette option est l’équivalent de l’option Resceller
sous Windows XP : c’est en la cochant que vous allez générer un SID ordinateur
différent à chaque application de l’image. Si vous utilisez Sysprep pour générer une
image de référence devant s’appliquer sur tous les postes de travail de l’entreprise,
alors il est primordial de cocher cette case.
Les options d’extinction

Dans le second menu déroulant de l’application Sysprep, vous devez faire un choix
d’options d’extinction : arrêter, quitter ou redémarrer l’ordinateur (voir fig. 6.16).
La fin de l’exécution de Sysprep se marque par l’option d’extinction. Dans la plupart des
cas, vous choisirez d’éteindre l’ordinateur. Là, votre ordinateur est prêt pour
redémarrer, mais en bootant sur un outil de récupération de l’image système.
226
Sysprep
Figure 6.16 :
Options d’extinction de
Sysprep
Le processus de Sysprep
Pour que Sysprep s’exécute sans problème, vous devez vous assurer du processus
suivant :
1. Vérifiez que Sysprep est capable de s’exécuter. Seul un administrateur peut exécuter
Sysprep, dont il est impossible de faire tourner plusieurs instances. Sysprep doit
également s’exécuter sur la version de Windows sur laquelle il a été installé.
2. Analysez les arguments de ligne de commande.
3. Si vous n’avez pas spécifié d’argument de ligne de commande, la fenêtre de Sysprep
qui s’affiche permet aux utilisateurs de définir des actions Sysprep.
4. Traitez les actions Sysprep, appelez les fichiers .dll et les exécutables appropriés,

puis ajoutez des actions au fichier journal.
5. Vérifiez que tous les fichiers .dll ont traité toutes leurs tâches, puis arrêtez le
système, relancez-le ou quittez Sysprep.
Réinitialiser l’activation de Windows Vista

Lorsque vous installez Windows Vista avec une clé de produit de licence unique, vous
disposez de 30 jours au cours desquels vous devez activer cette installation de Windows.
Si vous n’activez pas Windows Vista dans cette période de 30 jours et que vous ne
réinitialisez pas l’horloge d’activation, Windows entre en mode de fonctionnalité
réduite. Ce mode empêche les utilisateurs d’ouvrir une session sur l’ordinateur avant
l’activation de Windows.
Il n’existe aucune limite au nombre d’exécutions de Sysprep sur un ordinateur.

Cependant, l’horloge de l’activation de Windows Vista commence son décompte la
première fois que Windows est lancé. Vous pouvez utiliser la commande sysprep
/generalize pour réinitialiser l’activation du produit Windows à trois reprises au
maximum. Après trois exécutions de la commande sysprep /generalize, l’horloge ne
peut plus être réinitialisée.
227
Lorsque vous exécutez la commande sysprep /generalize, l’horloge d’activation est

automatiquement réinitialisée. Vous pouvez ignorer la réinitialisation de l’horloge
d’activation à l’aide du paramètre SkipRearm dans le composant
Microsoft-Windows-Security-Licensing-SLC. Cela vous permet d’exécuter Sysprep à
plusieurs reprises sans réinitialiser l’horloge d’activation.
Figure 6.17 : Paramètre SkipRearm
Selon le mode de licence, le comportement de réinitialisation de l’horloge d’activation

est différent.
j L’activation peut être réinitialisée un nombre de fois illimité pour des clients du
service KMS. KMS est un mode de licence faisant parti des licences en volume qui
permet à l’entreprise de surveiller et de comptabiliser l’utilisation des licences au
sein de l’entreprise. C’est un service s’installant sur un serveur dédié aux ordinateurs
de l’entreprise toujours connectés au réseau. Les entreprises clientes du service
KMS doivent utiliser la commande sysprep /generalize avec la valeur du
paramètre SkipRearm égale à 0.

j Pour les clients de clés d’activation multiples (MAK), la recommandation consiste à
installer ces clés d’activation multiples immédiatement avant d’exécuter Sysprep
pour la dernière fois avant la livraison de l’ordinateur à un utilisateur. MAK est
aussi un mode de licence faisant parti des licences en volume qui permet à
l’entreprise de surveiller et de comptabiliser l’utilisation des licences, mais il est plus
particulièrement dédié aux ordinateurs nomades de l’entreprise peu ou pas
connectés au réseau. Ce n’est pas un service que l’on installe, c’est un type de clé.
j Pour les licences d’activation OEM, aucune activation n’est requise. L’activation
OEM n’est disponible que pour les fabricants d’ordinateurs OEM.
Image et activation
Vous ne pouvez pas créer d’image d’une installation Windows activée et dupliquer
cette image sur un autre ordinateur. Si vous le faites, Windows ne parvient pas à
reconnaître l’activation et force l’utilisateur final à réactiver manuellement
l’installation.
228
Sysprep
Utiliser des fichiers de réponses en conjonction avec Sysprep

Si vous installez Windows Vista par le biais d’un fichier de réponses, celui-ci est placé en
mémoire cache sur le système de sorte que lors des passes de configuration suivantes, les
paramètres définis dans le fichier de réponses soient appliqués au système.
Le fichier de réponses étant placé en mémoire cache, les paramètres qu’il contient sont
appliqués lorsque vous exécutez Sysprep. Si vous utilisez les paramètres extraits d’un
autre fichier de réponses, vous pouvez spécifier un autre fichier Unattend.xml par le biais
de l’option sysprep /unattend:fichierréponses.
Pour assurer la persistance des pilotes de périphérique lorsque vous exécutez la

commande sysprep /generalize, spécifiez le paramètre PersistentAll
DeviceInstalls dans le composant Microsoft-Windows-PnPSysprep. Lors de la passe
de configuration Specialize, la fonction plug and play analyse le système pour y
rechercher des périphériques et installe les pilotes correspondants. Par défaut, ces
pilotes de périphérique sont supprimés du système lors de la passe de configuration
Generalize. Si vous réglez PersistAllDeviceInstalls sur true dans un fichier de
réponses, Sysprep ne supprime pas les pilotes de périphérique détectés.

Figure 6.18 : Paramètre PersistAllDeviceInstalls
Vous pouvez configurer automatiquement une installation de Windows Vista de sorte à

activer le mode d’audit ou l’accueil de premier démarrage Windows (mode OOBE) une
fois l’installation de Windows terminée. L’utilisation du paramètre reseal dans le
composant Microsoft-Windows-Deployment vous permet de spécifier le mode de
démarrage de Windows. Si cette valeur n’est pas spécifiée, Windows démarre en mode
d’accueil de premier démarrage Windows par défaut (voir fig. 6.19).
En mode d’audit, vous pouvez afficher l’état des commandes RunSynchronous

exécutées lors de la passe de configuration AuditUser. La fenêtre AuditUI affiche l’état
des commandes et fournit les informations suivantes :
j Indicateur visuel montrant qu’une installation est en cours d’exécution.
229
Figure 6.19 : Paramètre Reseal
j Indication visuelle de la date, de l’heure et de l’emplacement des échecs. Cette

fonction permet d’établir un diagnostic rapide si la commande ne génère pas de
fichiers journaux.
Si le fichier de réponses contient des commandes RunSynchronous lors de la passe de

configuration AuditUser, la liste des commandes s’affiche dans la fenêtre AuditUI, dans
l’ordre spécifié par le paramètre Order qui se trouve dans le sous-élément
RunSynchronousCommand de l’élément RunSynchronous.

Figure 6.20 : Sous-élément RunSynchronousCommand
Chaque élément de la liste affichée dans l’interface utilisateur correspond à la chaîne

extraite du paramètre Description ou du paramètre Path.
Toutes les commandes RunSynchronous sont traitées dans l’ordre. Si la commande

aboutit, l’élément de liste correspondant est associé à une coche verte. Si la commande
230
Sysprep
échoue, l’élément de liste correspondant est associé à un X rouge. Si un redémarrage est

requis, la fenêtre AuditUI réapparaît après le redémarrage, mais seuls les éléments non
traités de la liste sont recensés. Les éléments précédemment traités ne sont plus
indiqués. Si la liste d’éléments affichés dépasse la hauteur de la fenêtre AuditUI, sa taille
est adaptée à l’écran et il est impossible de la faire défiler. De ce fait, certains éléments
risquent de ne pas être visibles.
Le programme d’installation de Windows Vista interprète les codes de retour 0 et

différents de 0 comme des valeurs d’état dans la fenêtre AuditUI. La valeur 0 indique un
succès, tandis qu’une autre valeur représente un échec. Selon la valeur du paramètre
WillReboot qui se trouve dans le sous-élément RunSynchronousCommand de l’élément
RunSynchronous, la valeur renvoyée par la commande risque d’affecter le
comportement de l’installation.
Figure 6.21 :
Paramètre WillReboot

j Si le paramètre WillReboot est réglé sur Always, si la commande renvoie 0,
l’élément de liste correspondant est coché en vert. Un redémarrage est
immédiatement exécuté. Si la commande renvoie une autre valeur, l’élément de
liste correspondant est signalé par un X rouge. Un redémarrage est immédiatement
exécuté.
j Si le paramètre WillReboot est réglé sur Never, si la commande renvoie 0,
l’élément de liste correspondant est coché en vert. Si la commande renvoie une
autre valeur, l’élément de liste correspondant est signalé par un X rouge. Une autre
valeur n’est pas considérée comme une erreur irrécupérable si WillReboot est réglé
sur Always ou Never.
j Si le paramètre WillReboot est réglé sur OnRequest, si la commande renvoie 0,
l’élément de liste correspondant coché en vert. Si la commande renvoie 1, l’élément
de liste correspondant est coché en vert. Un redémarrage est immédiatement
exécuté. Si la commande renvoie 2, l’élément de liste correspondant est
temporairement coché en vert. Un redémarrage est immédiatement exécuté. À la
suite du redémarrage, l’élément de liste correspondant s’affiche à nouveau dans la
fenêtre AuditUI sans annotation car la commande est encore en cours d’exécution.
Si la commande renvoie d’autres valeurs, il se produit une erreur irrécupérable et
une boîte de dialogue de blocage s’affiche.
231
Les fichiers journaux de Sysprep

Sysprep consigne les actions d’installation de Windows dans divers répertoires, selon la
passe de configuration concernée. La passe de configuration Generalize supprimant
certains fichiers journaux du programme d’installation Windows, Sysprep consigne les
actions Generalize hors des fichiers journaux d’installation Windows standard.
Tableau 6.8 : Journaux de log de Sysprep

Élément Chemin des fichiers journaux
Generalize %WINDIR%\system32\sysprep\panther
Specialize %WINDIR%\panther\
Actions d’installation sans assistance de %WINDIR%\panther\unattendgc
Windows
Les limitations de Sysprep

Sysprep comporte les limitations suivantes :
j Vous devez uniquement utiliser la version de Sysprep installée avec l’image système
Windows que vous voulez configurer. Sysprep est installé avec chaque version de
Windows et doit toujours être exécuté à partir du répertoire %WINDIR%\
system32\sysprep.
j Sysprep ne doit pas être utilisé sur des types d’installation de mise à niveau.
Exécutez Sysprep uniquement sur des installations propres.
j Si vous prévoyez d’utiliser la commande imagex d’application d’une image système
Windows Vista à un ordinateur, le format de partition sur les ordinateurs de test et
de destination doit être identique. Par exemple, si vous capturez une image système
Windows personnalisée sur le lecteur C, vous devez toujours déployer cette image
système sur le lecteur C de l’ordinateur de destination. La liste suivante décrit les
paramètres de partition qui doivent être identiques sur les ordinateurs de test et de
destination…
− Le numéro de partition où est installé Windows Vista doit correspondre.
− Le type de partition (principale, étendue ou logique) doit correspondre.
− Si la partition est définie comme active sur l’ordinateur de référence,
l’ordinateur de destination doit également être défini comme actif.
j Lors de la copie d’images système Windows entre différents systèmes, les

ordinateurs de test et de destination n’ont pas besoin de disposer de fichiers HAL
(Hardware Abstraction Layer) compatibles.
232
Windows PE 2.0
j Les périphériques plug and play présents sur les ordinateurs de test et de
destination, tels que les modems, les cartes son, les cartes réseau et les cartes vidéo,
n’ont pas besoin d’être du même fabricant. Cependant, les lecteurs de ces
périphériques doivent être inclus dans l’installation.
j L’horloge d’activation commence son compte à rebours la première fois que
Windows est démarré. Vous pouvez utiliser Sysprep au maximum trois fois pour
réinitialiser l’horloge en vue de l’activation de produit Windows. Après trois
exécutions de Sysprep, l’horloge ne peut plus être réinitialisée.
j Que ce soit ImageX (outil de création d’image système de Windows Vista) ou que ce
soit des logiciels de création d’image système de disque tiers ou des périphériques
matériels de duplication de disque, ils sont nécessaires pour l’installation fondée sur
une image. Ces produits créent des images du disque dur d’un ordinateur, puis la
dupliquent sur un autre disque dur ou la stockent dans un fichier sur un disque
séparé.
j Sysprep s’exécute seulement si l’ordinateur est membre d’un groupe de travail, et
non d’un domaine. Si l’ordinateur appartient à un domaine, Sysprep le retire de ce
domaine.
j Si vous exécutez Sysprep sur une partition de système de fichiers NTFS qui contient
des fichiers ou des dossiers cryptés, les données contenues dans ces dossiers
deviennent complètement illisibles ou irrécupérables.
j Sysprep convertit la variable d’environnement %COMPUTERNAME% en caractères
majuscules. Cependant, le nom réel de l’ordinateur ne change pas.
j L’exécution de Sysprep fait que les écrans d’accueil de Windows vous demandent

une clé de produit. Vous pouvez utiliser un fichier de réponses avec Sysprep pour
éviter que les écrans d’accueil de Windows ne vous demandent une clé de produit.
Une fois le Sysprep effectué, la prochaine étape consiste à démarrer sur Windows PE 2
.0 pour avoir un environnement adéquat afin de capturer l’image qui servira de
référence au déploiement.
6.7. Windows PE 2.0

Une fois votre ordinateur de test configuré et la commande Sysprep effectuée,
l’environnement de préinstallation Windows PE 2.0 va vous permettre de démarrer sur
un environnement autonome et relativement complet afin de récupérer votre image
système.
Mais Windows PE 2.0 va quand même plus loin : cet environnement vous servira
également à appliquer les images, voire à diagnostiquer un poste de travail.
Windows PE 2.0 est incontournable quand on parle de déploiement car même le
processus d’installation de Windows Vista provenant du DVD Vista effectue en premier
lieu un démarrage sur Windows PE 2.0.
233
Introduction à WIN PE
Windows PE 2.0 (Windows Preinstallation Environnement) constitue l’une des bases du
déploiement de Windows Vista. Il est conçu pour faciliter les déploiements de ce
nouveau système d’exploitation. C’est un environnement bootable limité conçu sur la
base de Windows Vista.
Windows PE 2.0
Jusqu’à présent Windows PE était réservé aux clients disposant d’un contrat
Microsoft Software Assurance (SA). La bonne nouvelle, c’est que Windows PE 2.0
devient disponible pour toutes les personnes ou sociétés désireuses d’installer ou de
déployer Windows Vista au travers du WAIK.
Windows PE (ou Win PE) offre de puissants outils de préparation et d’installation pour
Windows Vista. Même s’il ne dispose pas de toutes les classes WMI, il en possède un
certain nombre, ce qui vous permettra d’optimiser vos déploiements. Dans sa version 2.0,
Win PE est personnalisable au travers d’outils livrés dans le WAIK (Windows Automated
Installation Kit). Ainsi, il est possible d’ajouter simplement des pilotes ou des packages.
Windows PE
Win PE est un outil de démarrage système de Microsoft qui offre des fonctionnalités
avancées pour l’installation, le dépannage et la récupération. Il a été conçu pour
remplacer MS-DOS comme environnement de préinstallation. Win PE 2.0 est la
version liée à Windows Vista.
Les versions de Windows PE

Même si c’est la première fois que vous entendez parler ou utilisez Win PE 2.0, sachez
que Win PE offre plusieurs versions. Il sort une nouvelle version de Win PE à chaque
révision d’un système d’exploitation ou à l’arrivée d’un service pack. La dernière version
officielle avant la sortie de Windows Vista correspond à Windows Server 2003 SP1. Au
début de Win PE, un grand nombre d’applications ne pouvaient s’exécuter car elles
nécessitaient de l’espace de stockage temporaire, et Win PE était souvent lancé à partir
d’un support non inscriptible, tel qu’un CD. Les versions se sont enrichies et améliorées
pour prendre en charge le WMI, les périphériques plug and play, mais également en
apportant le support du Ramdisk et en permettant le démarrage à partir d’une clé USB :
j Win PE 1.0, basé sur la version Windows XP ;
j Win PE 1.1, basé sur la version Windows XP SP1 ;
j Win PE 1.2, basé sur la version Windows 2003 Server ;
j Win PE 1.5, basé sur la version Windows XP SP2 ;
j Win PE 1.6, basé sur la version Service Pack 1 de Windows 2003.
234
Windows PE 2.0
Win PE 2.0
Que de chemin parcouru entre la version 1.0 et la version 2.0 de Win PE. La version 2.0
de Win PE s’appuie en effet sur les composants de Windows Vista. Par conséquent,
Win PE 2.0 prend en charge les pilotes Windows Vista et tire parti d’un grand nombre
d’améliorations apportées par Windows Vista, par exemple la protection améliorée
contre les attaques réseaux offertes par le pare-feu Windows. Désormais, cette nouvelle
version de Win PE prend en charge l’ajout de pilotes, ce qui vous permet de charger des
pilotes avant ou après le lancement de Win PE. Si vous démarrez Win PE et que vous
constatiez qu’il manque un pilote nécessaire, vous avez la possibilité de charger le pilote
non standard à partir d’un support amovible et d’utiliser aussitôt le matériel sans
redémarrage.
Pour plus de flexibilité, en particulier lors de la création de scripts de préinstallation,

Win PE 2.0 inclut désormais une prise en charge améliorée de WMI. Cela vous permet
d’effectuer la plupart des tâches de configuration et de gestion à partir d’un script ou de
la ligne de commandes.
Utilisation de Win PE
Win PE n’est pas une version Embedded du système d’exploitation. Il ne remplace
pas un système d’exploitation client ou serveur. Il reboote toutes les soixante-douze
heures. Windows PE est un outil amorçable fondé sur les composants de Windows
Vista. Contrairement à Windows Vista, qui est un système d’exploitation général,
Windows PE est conçu pour être utilisé dans le cadre de l’installation ou du
dépannage.

Voici la liste des nouveautés apportées par la version 2.0 de Win PE…
j Mises à jour de sécurité : Windows PE prend désormais en charge le protocole SSL
(Secure Socket Layer).
j Outils de gestion des fichiers .wim : les fichiers .wim peuvent être personnalisés et
démarrés au moyen de l’outil de ligne de commandes ImageX et du pilote WIM FS
Filter (Windows Imaging File System Filter).
j Prise en charge de nouvelles méthodes de démarrage : vous pouvez démarrer
Windows PE depuis le fichier .wim hébergé sur le DVD Windows AIK ou l’option
/boot de l’outil de ligne de commandes ImageX.
j Prise en charge du redémarrage sur 72 heures : l’horloge de redémarrage de
Windows PE a été étendue de 24 à 72 heures.
j Prise en charge du plug and play (PnP) : les périphériques matériels peuvent être
détectés et installés alors que Windows PE est en cours d’exécution. Tous les
périphériques PnP fournis sont pris en charge, y compris les médias amovibles et les
périphériques de stockage de masse. Cette prise en charge est activée par défaut.
235
j Outil Drvload : utilisez ce nouvel outil de ligne de commandes pour ajouter des
pilotes non fournis au démarrage de Windows PE. Drvload installe les pilotes en
utilisant les fichiers .inf des pilotes en tant qu’entrées.
j Outil PEImg : utilisez ce nouvel outil de ligne de commandes pour personnaliser
une image de Windows PE hors ligne. PEImg vous permet d’ajouter et de
supprimer des pilotes, des composants de Windows PE et des modules linguistiques.
j Données de configuration de démarrage (BCD) : utilisez ce nouveau fichier de
configuration de démarrage pour personnaliser les options de démarrage. Ce fichier
remplace le fichier Boot.ini.
j Outil bootsect (secteur de démarrage) : utilisez cet outil pour permettre le
déploiement de versions antérieures de Windows en changeant le code de
démarrage de la précédente version de Windows en vue d’assurer la prise en charge
du gestionnaire de démarrage (Bootmgr) pour Windows Vista.
j Disque virtuel inscriptible automatique : en cas de démarrage depuis un média en
lecture seule, Windows PE crée automatiquement un disque virtuel inscriptible
(disque X) et alloue 32 Mo de ce dernier au stockage général. En utilisant un
système de fichiers NTFS compressé, les 32 Mo sont adressables jusqu’à 60 Mo.
Avec l’arrivée de Windows Vista, Win PE sera donc disponible pour tout le monde.
Win PE 2.0 sera disponible dans le WAIK et utilisable pour déployer Windows Vista
dans toutes les entreprises sans problème de licence.
La première étape pour utiliser Win PE consiste à installer le WAIK. Dans l’un des
répertoires du kit d’installation automatique Windows se trouvent deux images WIM de
Win PE ainsi que des outils :

C:\Program Files\Windows AIK\Tools\x86>dir
Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est FC61-F515
Répertoire de C:\Program Files\Windows AIK\Tools\x86
14/05/2006 20:13 <REP> boot

23/02/2006 15:01 125 123 301 boot.wim
09/11/2005 16:01 1 024 bootfix.bin
18/02/2006 01:03 409 980 bootmgr
18/02/2006 01:03 59 392 BootSect.exe
18/02/2006 01:50 337 920 cbscore.dll
18/02/2006 01:06 2 041 344 cmiv2.dll
18/02/2006 01:50 231 424 dpx.dll
18/02/2006 01:50 189 440 drvstore.dll
14/05/2006 20:13 <REP> efi
14/05/2006 20:13 <REP> en-us
18/02/2006 01:50 1 318 912 msxml6.dll
18/02/2006 01:48 2 560 msxml6r.dll
10/02/2006 16:09 75 776 oscdimg.exe
18/02/2006 01:05 231 424 peimg.exe
236
Windows PE 2.0
18/02/2006 01:50 781 824 smiengine.dll

18/02/2006 01:50 43 520 smipi.dll
18/02/2006 01:05 19 968 sys.exe
18/02/2006 01:50 1 282 560 wcp.dll
18/02/2006 01:50 287 744 wdscore.dll
18/02/2006 01:02 3 113 wimfltr.inf
18/02/2006 01:05 110 848 wimfltr.sys
18/02/2006 01:05 176 640 wimgapi.dll
18/02/2006 14:07 132 400 517 winpe.wim
18/02/2006 01:05 233 984 ImageX.exe
18/02/2006 01:33 116 224 xmllite.dll
23 fichier(s) 265 479 439 octets
5 Rép(s) 9 044 193 280 octets libres
La première image se nomme winpe.wim, c’est le Win PE 2.0 fourni pour déployer
Windows Vista. La seconde image s’appelle boot.wim. Les deux images font
sensiblement la même taille, 125 Mo et 130 Mo. Cependant, elles présentent quelques
différences non négligeables. Dans les versions précédentes de Win PE, il était souvent
reproché à Win PE de mettre trop longtemps à démarrer car il n’était pas optimisé. Ce
problème est résolu grâce à ces deux images.
Vous trouverez deux modes dans cette nouvelle version de Win PE, un mode Préparé et
un mode Non préparé. Vous créerez votre propre arborescence, ajouterez des éléments,
puis, au travers d’une commande, vous pourrez l’optimiser en fonction de son
démarrage via le réseau, un support USB ou un CD.
Le fichier boot.wim est la version de Win PE "préparée". La problématique du boot.win

et des versions préparées, c’est que vous ne pouvez plus ajouter de composants. Seul
l’ajout de pilotes sera possible dans ce mode. Il est donc très important de conserver une
version dite non préparée de Win PE, ce qui est le cas avec winpe.wim. Pour voir la
différence entre les versions, utilisez la commande suivante : ImageX /info
nom_image.wim.
La version winpe.wim
Pour visualiser le contenu de la version de winpe.wim, utilisez l’instruction ImageX
/info winpe.wim.
C:\Program Files\Windows AIK\Tools\PETools\x86>imagex /info winpe.wim
ImageX Tool for Windows

Copyright (C) Microsoft Corp. 1981-2005. All rights reserved.
WIM Information:
----------------
GUID: {d86b36d5-4860-4a9d-baa7-5b251ba821aa}
Image Count: 1
237
Compression: LZX
Part Number: 1/1
Boot Index: 1
Attributes: 0x8
Relative path junction
Available Image Choices:

------------------------
<WIM>
<TOTALBYTES>164491669</TOTALBYTES>
<IMAGE INDEX="1">
<NAME>Microsoft Windows Vista PE (X86)</NAME>
<DESCRIPTION>Microsoft Windows Vista PE (X86)</DESCRIPTION>
<WINDOWS>
<ARCH>0</ARCH>
<PRODUCTNAME>Microsoft "Windows" Operating System</PRODUCTNAME>
<PRODUCTTYPE>WinNT</PRODUCTTYPE>
<PRODUCTSUITE></PRODUCTSUITE>
<LANGUAGES>
<LANGUAGE>fr-FR</LANGUAGE>
<DEFAULT>fr-FR</DEFAULT>
</LANGUAGES>
<VERSION>
<MAJOR>6</MAJOR>
<MINOR>0</MINOR>
<BUILD>6000</BUILD>
<SPBUILD>16386</SPBUILD>
</VERSION>
<SYSTEMROOT>WINDOWS</SYSTEMROOT>
</WINDOWS>
<DIRCOUNT>2070</DIRCOUNT>
<FILECOUNT>8293</FILECOUNT>
<CREATIONTIME>
<HIGHPART>0x01C6FEC8</HIGHPART>
<LOWPART>0xBFD8DDC6</LOWPART>
</CREATIONTIME>
<LASTMODIFICATIONTIME>
<HIGHPART>0x01C6FEC8</HIGHPART>
<LOWPART>0xC375E20E</LOWPART>
</LASTMODIFICATIONTIME>
</IMAGE>
</WIM>
Dans la partie <NAME> se trouve le nom de l’image winpe.wim : Microsoft Windows

Vista PE (X86). Cette version est la version de Windows Vista. Vous découvrirez un
peu plus loin comment voir le contenu de chaque image. Cette version d’image est non
préparée, il est donc possible d’y ajouter des packages et des pilotes.
238
Windows PE 2.0
La version boot.wim
Pour visualiser le contenu de la seconde image de Win PE boot.wim, utilisez
l’instruction ImageX /info boot.wim.
C:\Program Files\Windows AIK\Tools\x86>ImageX /info boot.wim

WIM Information:
----------------
GUID: {6c00797e-6e60-4b43-9be6-cf327f16f3f6}
Image Count: 1
Compression: LZX
Part Number: 1/1
Boot Index: 1
Attributes: 0x0
Available Image Choices:

------------------------
<?xml version="1.0" encoding="UTF-16"?>
<WIM>
<IMAGE INDEX="1">
<DIRCOUNT>362</DIRCOUNT>
<FILECOUNT>2289</FILECOUNT>
<CREATIONTIME>

<HIGHPART>0x1C638CD</HIGHPART>
<LOWPART>0x196493A</LOWPART>
</CREATIONTIME>
<NAME>Windows Preinstallation Environment (x86)</NAME><WINDOWS
><ARCH>0</ARCH><PRODUCTNAME>Microsoft "Windows" Operating Syst
em</PRODUCTNAME><PRODUCTTYPE>WinNT</PRODUCTTYPE><PRODUCTSUITE
/><LANGUAGE>00000409</LANGUAGE><VERSION><MAJOR>6</MAJOR><MINOR
>0</MINOR><BUILD>5308</BUILD><SPBUILD>17</SPBUILD></VERSION><S
YSTEMROOT>WINDOWS</SYSTEMROOT></WINDOWS></IMAGE></WIM>
Dans la partie <NAME> se trouve le nom de l’image boot.wim :

Windows Preinstallation Environment (x86). Cette version est la version de
démarrage de Windows Vista. À la différence de la version winpe.win, cette version
d’image est préparée, il est donc impossible d’y ajouter des packages, seuls les pilotes
peuvent y être ajoutés.
239
L’utilisation de Win PE
Win PE 2.0 est capable de traiter trois aspects spécifiques.
j Installation de Windows Vista : Win PE s’exécute chaque fois que vous installez
Windows Vista. Les outils graphiques qui collectent les informations de
configuration au cours de la phase d’installation s’exécutent dans Windows PE.
j Résolution des problèmes : Win PE sert également pour la résolution de problèmes.
Par exemple, Win PE démarre automatiquement et lance l’environnement de
récupération de Windows.
j Récupération : il peut être utilisé pour créer des solutions personnalisées et
automatisées pour la récupération et la reconstruction d’ordinateurs basés sur
Windows Vista.
Win PE consomme moins de 100 Mo d’espace disque et peut s’exécuter intégralement à

partir de la mémoire vive, ce qui vous permet d’insérer un deuxième CD contenant les
pilotes ou les logiciels. Ces fonctionnalités permettent à Windows PE de s’exécuter sur
des ordinateurs qui ne sont pas encore équipés d’un disque dur formaté ou d’un système
d’exploitation installé. Cependant, Windows PE n’est pas un système d’exploitation
complet tel que Windows Vista. De plus, vous pouvez faire le test, Win PE redémarre
toutes les 72 heures.
Les limitations de Win PE

Win PE possède les limitations suivantes :

j L’ordinateur doit être équipé d’un minimum de 256 Mo de RAM.

j Windows PE nécessite un périphérique d’affichage compatible VESA et utilise la
résolution d’écran la plus élevée possible. Si Windows PE ne peut détecter les
paramètres vidéo, il utilise une résolution de 640 x 480 pixels.
j Il prend en charge la résolution de noms DFS (Distributed File System) uniquement
pour les racines DFS autonomes.
j Vous ne pouvez accéder aux fichiers ou dossiers d’un ordinateur exécutant Win PE
à partir d’un autre ordinateur ; le service Serveur n’est pas disponible dans Windows
PE.
j Win PE prend en charge à la fois IPv4 et IPv6 mais ne prend pas en charge d’autres
protocoles, tels que IPX/SPX.
j Les affectations de lettres d’unité ne sont pas persistantes d’une session à l’autre.
Après le redémarrage de Win PE, les affectations de lettres d’unité sont dans l’ordre
par défaut.
j Windows PE ne prend pas en charge le .NET Framework.
240
Windows PE 2.0
j Dans la mesure où WOW (Windows on Windows) n’est pas pris en charge, les
applications 16 bits ne s’exécutent pas dans les versions 32 bits de Windows PE, et
les applications 32 bits ne s’exécutent pas dans les versions 64 bits de Win PE.
j Win PE redémarre 72 heures après le démarrage initial.
Les outils
Un certain nombre d’outils permettent d’utiliser Win PE, certains sont inclus dans
Win PE, d’autres non. Voici la liste et les fonctions de ces outils…
j ImageX : il n’est pas présent dans Win PE, mais vous pouvez le trouver dans le
resource kit de déploiement. Il est utilisé pour l’ajout d’une image, la capture
d’images, l’application d’images, etc.
j DiskPart : c’est un outil qui permet de créer ou supprimer des partitions. Il n’est
pas nouveau mais c’est uniquement après la création d’une partition que vous
pourrez descendre l’image WIM.
j Drvload : c’est un nouvel outil. Vous pouvez utiliser la commande drvload pour
ajouter des pilotes de périphérique, comme des chipsets audio, vidéo et des chipsets
de carte mère à une image Windows PE. Vous pouvez également utiliser la
commande drvload pour charger dynamiquement un pilote après le démarrage de
Windows PE.
j OSCDImg : cet outil permet de créer une image ISO de son Win PE.
j PEImg : il permet de lister ou d’ajouter des composants en ligne de commandes dans

Win PE, mais également de préparer une image.
j BCDEdit : cet outil permet d’éditer les données de configuration de démarrage
(Boot Configuration Data). Il est aussi utilisé pour ajouter WINPE dans un menu de
boot. C’est le remplaçant du boot.ini.
Personnaliser un Win PE non préparé

Pour être utile au déploiement et aussi aux tâches d’administration des postes de travail,
vous allez créer votre propre média bootable Win PE (clé USB, CD, etc.) qui réunira les
éléments les plus utiles pour mener à bien votre travail. Tout le travail va s’effectuer à
partir d’un ordinateur Windows Vista sur lequel le WAIK est installé.
Pour préparer et personnaliser Win PE, soit l’image winpe.wim, c’est-à-dire le Win PE
non préparé, il faut appliquer son contenu dans un répertoire afin d’utiliser ses fichiers
et son arborescence. Vous avez plusieurs possibilités : la première serait d’utiliser la
commande ImageX /mountrw, la seconde d’employer la commande ImageX /apply.
C’est la commande que nous utiliserons. Voici la syntaxe ImageX avec le commutateur
/apply (ce commutateur permet d’appliquer des images) avec le nom de l’image WIM
suivi du numéro d’indexation de l’image dans le fichier WIM, pour terminer le chemin
complet du répertoire de destination.
241
On obtient la syntaxe suivante : ImageX /apply winpe.wim 1 c:\extractPE.
Ajouter des packages

Une fois l’image ouverte et tous les fichiers Win PE accessibles, vous avez la possibilité
d’ajouter des packages qui offrent de la valeur ajoutée à l’utilisation de Win PE.
L’ajout de packages est une fonction très pratique de Win PE puisque ce dernier peut
également exécuter des fichiers batch, des scripts VBScript, des scripts WSH si le
composant optionnel WSH est installé, des applications HTA (HTML Applications) et
des objets ADO. Dans la mesure où Win PE offre un espace temporaire s’appuyant sur
la mémoire vive, Win PE peut exécuter des applications qui nécessitent la possibilité
d’écrire des fichiers temporaires sur le disque dur, même si aucun disque dur n’est
disponible.
Pour réaliser l’installation de packages, il faut disposer d’une version de Win PE non
préparée, par exemple winpe.wim. Vous devez lister les packages contenus dans cette
image. Pour cela, vous disposez de la commande peimg /list et avez la possibilité de
détailler le contenu des packages avec le commutateur /verbose. Une fois cette tâche
effectuée, vous pouvez ajouter des packages à l’aide de la commande peimg /install.
Vous pouvez également installer des pilotes avec la commande peimg /inf, à condition
de posséder le fichier INF de celui-ci. Une fois les ajouts terminés, il vous restera encore
deux étapes à suivre pour utiliser votre image. La première consiste à préparer l’image
avec la commande peimg /prep /f et la seconde, un peu plus complexe, ImageX /
boot /compress maximum /capture, permettra de capturer l’image.
Voici la procédure dans le détail.
Lister les packages contenus dans Win PE

Les images contiennent un ensemble de packages activés ou non. L’outil peimg permet
de voir les packages de l’image. La commande offre la possibilité de détailler ou non le
contenu des packages en utilisant le commutateur /verbose derrière le commutateur
/list. Pour lister les packages, saisissez la commande suivante : peimg
c:\extractPE\Windows /list /verbose.
Du résultat de cette commande, il est important de retenir deux informations parmi les
informations listées : le nom exact du package, par exemple WinPE-Scripting-Package,
vous servira pour la syntaxe d’installation ; les signes + et − vous permettront de
déterminer les packages installés. Le signe + indique un package installé, le signe − un
package non installé.
Ajouter un package
Une fois les packages listés, il vous faut installer les packages non installés. Si vous
souhaitez utiliser des applications HTML, il vous faudra ajouter le package HTA
(HTML Applications). Pour cela, utilisez la commande peimg avec le commutateur
242
Windows PE 2.0
/install suivi du signe = et du nom exact du package listé précédemment. Pour

installer le package HTA, saisissez la commande suivante :
C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\Windows
✂ /install=WinPE-HTA-Package
Pre-Installation Environment Image Setup Tool for Windows
Lang | Version | Ins | Name

------+-------------+-----+-----------------------------------
en-US |6.0.5308.17 | + | WinPE-HTA-Package
------+-------------+-----+-----------------------------------
|6.0.5308.17 | + | WinPE-HTA-Package
------+-------------+-----+-----------------------------------
Installed 2 packages.
PEIMG completed the operation successfully.
Faites de même pour les autres packages.
Ajouter des pilotes

Win PE offre également une certaine flexibilité. En effet, si Windows Vista inclut les
pilotes pour votre matériel informatique, le matériel fonctionnera probablement aussi
avec Win PE car ce dernier inclut la plupart des pilotes Windows Vista. Vous pouvez
également ajouter de nouveaux pilotes. Pour réaliser cette tâche, vous devez disposer du
pilote et de son fichier .inf. Pour installer vos pilotes, utilisez la commande peimg /inf :

C:\Program Files\Windows AIK\Tools\x86>peimg /inf:c:\drivers\lan\yukon.inf
✂ c:\extractpe\windows
Installing INF package: c:\drivers\lan\yukon.inf
C:\Program Files\Windows AIK\Tools\x86>
Win PE dans les environnements d’entreprise

Vous pouvez ajouter chaque pilote requis par n’importe quel ordinateur de votre
organisation à une image Windows PE unique, de sorte que l’image fonctionne avec
n’importe lequel de vos ordinateurs.
243
Préparer l’image
Il existe deux modes d’images Win PE : un mode non préparé, qui permet l’ajout de
packages et pilotes et un mode préparé permettant d’optimiser votre version de Win PE
une fois celle-ci personnalisée. Le passage d’un mode à l’autre ne se fait pas
automatiquement, il faut utiliser la commande peimg /prep :
C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\windows /PREP
[==========================100.0%==========================]
C:\Program Files\Windows AIK\Tools\x86>
Créer un CD Win PE personnalisé

Vous allez maintenant créer votre CD Win PE 2.0 qui vous suivra dans vos
déplacements d’administrateur :
1. Remplacez le fichier Boot.wim par défaut dans le répertoire
C:\extractPE\ISO\Sources de création de l’image Win PE par votre nouvelle image
préparée. L’image doit être ensuite renommée en Boot.wim.
2. Vous disposez maintenant d’une image de disque virtuel de Windows PE
personnalisée que vous pouvez placer sur un support de démarrage comme un CD.
Sur votre ordinateur de préinstallation, à l’Invite de commandes, créez un fichier

.iso au moyen de la commande Oscdimg. Tapez : oscdimg −n −bc:\extractPE

\boot\etfsboot.com c:\extractPE\ c:\winpeISO\winpeISO.iso.
3. Gravez l’image WinpeISO.iso sur un CD.
Créer une clé USB Win PE personnalisée

Plus moderne : au lieu de graver l’image sur CD, vous pouvez la copier sur une clé USB
et en faire une clé USB de dépannage fort utile et bootable (à condition que le BIOS de
l’ordinateur sur lequel vous utilisez la clé permette le démarrage sur clé USB). Pour
cela :
1. Remplacez le fichier Boot.wim par défaut dans le répertoire de création de l’image
Win PE par votre nouvelle image préparée. L’image doit être ensuite renommée en
Boot.wim.
2. Insérez votre clé USB. Si ce n’est déjà fait, formatez-la en FAT32 et déclarez la
partition comme active.
3. Copiez le contenu du répertoire C:\extractPE\ISO sur la clé USB.
244
Windows PE 2.0
Configuration de la clé USB

La clé USB doit être formatée en FAT32 et surtout la partition de cette clé doit être
marquée comme active. Sans quoi, le démarrage ne s’effectuera pas.
Repackager l’image
Une fois votre Win PE préparé, il ne reste plus qu’à remettre l’image au format WIM et
à la rendre bootable. Pour réaliser cette tâche, utilisez la commande ImageX avec les
connecteurs / boot si vous souhaitez rendre l’image bootable, /compress maximum
pour optimiser l’image, suivi du connecteur /capture pour capturer l’image.
C:\Program Files\Windows AIK\Tools\x86>ImageX /boot /compress
maximum /capture "c:\extractPE" "c:\lab-winPE\WINPE LAB.wim" W
inpeLab"

Progress: 100%
Successfully imaged c:\extractPE
Win PE doit être le plus petit possible, afin de pouvoir être stocké sur un support
amovible tel qu’un CD ou une clé USB, être démarré rapidement et être stocké

intégralement dans la mémoire de l’ordinateur. La taille de Windows PE varie en
fonction de la façon dont vous personnalisez l’image, mais il consomme généralement
moins de 100 Mo lorsqu’il est compressé au format WIM. Les versions 64 bits de
Win PE sont plus volumineuses, et la personnalisation de l’image Win PE avec des
packs de langues ou des applications fait augmenter la taille.
Pour réduire l’utilisation de la mémoire, Win PE peut s’exécuter à partir d’une image
compressée. Vous pouvez compresser Win PE dans un fichier WIM et l’exécuter à partir
de la mémoire sans le décompresser. Vous tirez parti de la compression à la fois lors du
stockage de l’image sur un disque et après son chargement dans la mémoire de
l’ordinateur.
Pour réduire le stockage sur disque, le format WIM stocke une seule instance des
fichiers dupliqués. Par conséquent, si vous disposez d’un fichier WIM avec deux images
Win PE, les fichiers partagés par les deux images sont stockés une seule fois.
Voici l’interface Windows PE que vous avez à l’écran lorsque vous démarrez sur votre
média personnalisé :
245
Figure 6.22 : Interface Windows PE

Windows PE contribue à rendre votre infrastructure informatique efficace et fiable.

Microsoft vous offre cet outil léger, puissant et flexible pour l’installation, la
configuration et le dépannage. Vous allez pouvoir créer vos propres médias
personnalisés et même utiliser Windows PE pour d’autres outils d’administration de
Windows Vista.
En ce qui concerne le déploiement, Windows PE est la brique de base de l’installation

car c’est la plateforme qui va vous permettre de manipuler l’image wim : la capturer ou
l’appliquer.
6.8. En résumé
Vous venez d’étudier les outils très importants de préparation au déploiement. Le
chapitre suivant est la deuxième partie du déploiement de Windows Vista ; vous allez y
aborder la manière d’effectuer ce déploiement.
246
Chapitre 7
Le déploiement des
ordinateurs Windows
Vista en entreprise –
phase 2
7.1 Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
7.2 Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
7.3 Personnaliser l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
7.4 La maintenance de l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
7.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Capturer une image avec ImageX
A u chapitre précédent, vous avez appris la technologie autour du déploiement des

ordinateurs Windows Vista en entreprise et vous avez préparé le déploiement
(utilisation de Sysprep et de Win PE). Maintenant, créez, appliquez, personnalisez et
maintenez les images Windows Vista pour un déploiement efficace.
7.1. Capturer une image avec ImageX

C’est une des nouveautés majeures de Windows Vista : l’apparition d’un format d’image
disque pour l’installation et le déploiement. Le format WIM va changer nos habitudes
en ce qui concerne l’installation et le déploiement. C’est la commande ImageX qui
permet de manipuler les fichiers WIM (les capturer, les appliquer, les maintenir, etc.).
Une fois que vous avez créé votre installation de référence sur un ordinateur de test,
exécuté la commande Sysprep, redémarré votre ordinateur sous Windows PE 2.0, vous
êtes fin prêt pour capturer l’image qui vous servira de référence dans votre processus de
déploiement.
Présentation d’ImageX
ImageX est un outil de ligne de commande (à l’ancienne !) qui permet aux entreprises
de capturer, de modifier et d’appliquer des images disques de fichiers pour réaliser des
déploiements rapides. L’outil ImageX fonctionne avec des fichiers image système
Windows WIM pour la copie vers un réseau, mais il peut utiliser d’autres technologies
qui exploitent les images .wim, comme l’installation de Windows, les services de
déploiement Windows et le Feature Pack de déploiement de système d’exploitation
pour SMS.
Les avantages de l’outil ImageX

Les limites de l’acquisition d’images basées sur les secteurs (tel Ghost) ont conduit
Microsoft à développer la technologie ImageX et le format de fichier associé : image
système Windows (.wim). Vous pouvez utiliser ImageX pour créer une image, la
modifier sans l’extraire ni la recréer, et la déployer dans votre environnement sans
changer d’outil. La technologie ImageX intervient au niveau du fichier et offre, par
conséquent, de multiples possibilités…
j La possibilité de travailler sur n’importe quelle plateforme matérielle prise en
charge par Windows : rien que cet argument devrait suffire à convaincre. Cela veut
dire que, peu importe la plateforme matérielle utilisée par l’ordinateur de test,
l’image capturée servira pour tous les ordinateurs de l’entreprise.
j L’application d’images non destructive : ImageX ne procède à aucun remplacement
global du contenu de votre lecteur. Vous pouvez sélectionner les informations à
ajouter ou à supprimer. L’image s’appliquera même sur une partition sur laquelle
des données sont présentes (on pense aux cas de la réinstallation) ; lorsque vous
249
capturerez une image, vous pourrez à la fois capturer l’image d’une partition et
générer le fichier WIM associé sur cette même partition.
j La possibilité d’inclure des images dans une seule et même image.
j Une taille d’image réduite en raison de l’instanciation unique : cela signifie un
stockage distinct pour les données du fichier et les informations du chemin d’accès.
Cette particularité permet aux fichiers présents dans plusieurs chemins d’accès ou
plusieurs images d’être stockés une seule fois tout en étant partagés entre les
images.
j La possibilité de traiter un fichier image comme un répertoire : vous pouvez ainsi
ajouter, copier, coller et supprimer des fichiers en utilisant un outil de gestion de
fichiers tel que l’Explorateur Windows. Vous pouvez travailler et maintenir l’image
à froid (hors connexion).
j Plus de flexibilité et un contrôle accru sur le support déployé.
j L’extraction rapide d’images pour raccourcir le temps d’installation.
j Deux algorithmes de compression différents, Rapide et Maximum, pour diminuer
davantage la taille de vos images.
Nombreux sont les assembleurs et les entreprises qui ont besoin de déployer et
d’installer Windows en un temps record tout en intégrant les applications, paramètres et
mises à jour voulues. Le raccourcissement du temps d’installation et de déploiement
abaisse les coûts de production et peut diminuer le coût et les risques de planification
des déploiements réalisés par les entreprises. Des études ont montré que plus la
technique de déploiement d’un système d’exploitation était souple et performante et
plus le taux d’adoption du système d’exploitation par les entreprises était élevé.
Auparavant, les entreprises qui devaient réduire au minimum la durée de leur

installation de Windows utilisaient les outils tiers d’acquisition d’images fondée sur les
secteurs (les plus connus étant Symantec Ghost et Acronis True Image) pour dupliquer
une installation de Windows sur un nouveau matériel informatique.
Les outils d’acquisition d’images de secteurs présentent certaines limites :

j L’acquisition d’images fondée sur les secteurs implique que l’ordinateur de
destination utilise la même couche d’abstraction matérielle, ou couche HAL
(Hardware Abstraction Layer), que l’ordinateur de test sur lequel l’image a été
capturée. Dans la plupart des cas, cela signifie que les modèles d’ordinateurs
doivent être les mêmes ! Ce qui vous oblige à avoir et à maintenir, par exemple, une
image pour les ordinateurs HP, une pour les Dell, une pour les IBM, etc., et même
une image différente pour les ordinateurs HP et une autre pour les portables HP…
j Elle suppose que l’ordinateur de destination démarre à partir du même contrôleur
de stockage de masse que l’ordinateur de test sur lequel l’image a été capturée.
j Elle détruit le contenu existant sur le disque dur de l’ordinateur de destination, ce
qui complique les scénarios de déploiement de Windows. L’opération est
destructive.
250
j Elle duplique scrupuleusement le disque dur, ce qui implique un déploiement de

l’image uniquement sur des partitions du même type, et de taille minimale
identique, que celles de l’ordinateur maître.
j Elle ne permet pas la modification directe des fichiers mis en image.
j Elle peut nécessiter l’achat d’applications et de services tiers.
La puissance et la souplesse du tandem ImageX et WIM permettent de passer outre ces

limitations.
Les scénarios ImageX

ImageX est un outil de ligne de commande qui permet la création, la modification et le
déploiement d’images en utilisant un format d’acquisition d’images partagé entre
différentes images de systèmes d’exploitation qui incluent des applications. Les
scénarios suivants sont ceux qui sont naturellement mis en avant pour l’utilisation
d’ImageX…
j La création d’une image pour un déploiement rapide : le scénario le plus courant
qui est exécuté par ImageX est la capture et l’application d’une image à partir d’un
emplacement réseau pour réaliser un déploiement rapide. Ce scénario implique le
démarrage de l’ordinateur de test dans Windows PE, la capture de l’image avec
ImageX, la mise en place de cette image sur un partage réseau et l’application de
cette image sur les ordinateurs de destination. C’est ce que nous développons dans
les chapitres.
j La modification d’un fichier image : un autre scénario d’ImageX classique consiste
à personnaliser une image existante en englobant les fichiers et les dossiers de mises
à jour. Ce scénario passe par l’ajout, la suppression, la modification et la copie de
fichiers à partir de votre image grâce au pilote WIM FS Filter (Windows Imaging File
System Filter) et à un outil de gestion de fichiers comme l’Explorateur Windows.

Les limites d’ImageX
ImageX présente tout de même des limites que vous devez connaître :
j Vous pouvez utiliser ImageX uniquement pour capturer et appliquer une version
complète du système d’exploitation et des applications logicielles. Vous ne pouvez
pas utiliser cet outil pour capturer et appliquer des mises à niveau vers un système
d’exploitation ou pour des applications.
j Vous pouvez utiliser uniquement des fichiers .wim pour interagir avec ImageX. Les
images précédentes, créées avec des outils d’acquisition d’images tiers, sont
inutilisables avec la technologie ImageX.
j Seul un type de compression unique peut être utilisé pour un fichier .wim. Les
fichiers image ajoutés doivent utiliser le même type de compression que la capture
initiale.
251
j Vous pouvez monter une image uniquement à partir de Microsoft Windows XP

SP2, Microsoft Windows Server 2003 SP1 ou Windows Vista.
Les systèmes d’exploitation concernés par ImageX

Même si l’outil ImageX ne peut pas monter d’images à partir d’ordinateurs exécutant
d’autres systèmes d’exploitation, il peut néanmoins capturer et appliquer des images
pour toute version de Windows Vista, Windows Server 2003, Windows XP et
Windows 2000 Professionnel.
j Il est possible de monter un fichier .wim doté d’autorisations de lecture/écriture

uniquement sur un système de fichiers NTFS. La limite des 2 Go imposée par les
systèmes de fichiers FAT est ainsi contournée, et la perte éventuelle de données due
aux systèmes de fichiers FAT ou non NTFS est évitée.
Utilisation d’ImageX selon le format de fichier

Même si l’outil ImageX ne peut monter un fichier .wim avec des autorisations de
lecture/écriture qu’à partir d’un système de fichiers NTFS, vous pouvez malgré tout
monter vos images en lecture seule à partir des systèmes de fichiers NTFS, FAT, ISO
et UDF. Il est impossible d’enregistrer les modifications apportées au fichier image
lorsqu’il est monté en lecture seule.
j ImageX et le format d’image .wim ne doivent pas être utilisés en conjonction pour se
substituer aux outils de sauvegarde/restauration de Windows Vista.
D’autres outils de Windows sont indispensables, par exemple Diskpart ou l’outil de

formatage, pour préparer les disques afin de constituer des images de volumes. Outils
qu’il vaut mieux intégrer directement dans une version personnalisée de Windows PE.
L’architecture d’ImageX
ImageX est un outil d’acquisition d’images construit à partir d’un ensemble d’API,
appelé API d’acquisition d’images système pour Windows. La principale utilité
d’ImageX est de capturer, de modifier et d’appliquer des images en vue de leur
déploiement dans un environnement informatique d’entreprise ou de fabrication.
ImageX prend en charge le nouveau format d’acquisition d’images de Windows Vista :
le format .wim.
ImageX repose sur différents composants, notamment sur l’exécutable ImageX

(ImageX.exe), sur le filtre du système de fichiers WIM (Wimfltr.sys et Wimfltr.inf), sur
l’ensemble d’API WIM et sur le format de fichier .wim.
252
Voici un schéma représentant les interactions :
Figure 7.1 : Schématisation de l’architecture ImageX
Le tableau suivant décrit plus précisément l’architecture d’ImageX :
Tableau 7.1 : Description de l’architecture d’ImageX

Composant Description
ImageX.exe Programme exécutable qui utilise une couche API pour prendre en charge
l’interaction avec le fichier .wim. Cette interaction comprend la capture de

l’image, la compression de l’image, le montage et le démontage de l’image,
l’application de l’image, etc.
Filtre du système de fichiers Après installation du pilote du filtre WIM FS, le filtre du système de fichiers
WIM WIM gère les fonctions de navigation et de modification pour le fichier .wim.
Une fois que vous avez monté un fichier .wim dans un répertoire, le filtre
surveille toutes les demandes de fichiers ou de données provenant du
système de fichiers et mappe les demandes aux données appropriées dans le
fichier .wim. Cela vous permet de visualiser le contenu de votre fichier image
dans n’importe quel outil de gestion de fichiers standard, tel que l’Explorateur
Windows.
La maintenance hors connexion de votre image vous permet de visualiser et
de modifier vos fichiers .wim sans avoir à réappliquer et à recapturer l’image.
Pour monter et modifier le contenu de votre fichier .wim, un outil en mode
utilisateur et un filtre de système de fichiers en mode noyau interagissent à
l’aide d’un protocole de communication et de l’ensemble d’API WIM.
253
Composant Description
Ensemble d’API WIM Couche API qui interagit à la fois avec le programme exécutable ImageX et
avec le pilote du filtre WIM FS. C’est aussi l’interface principale pour les outils
tiers et la technologie d’installation.
Les API peuvent être classées selon les fonctions suivantes :
- ajouter, mettre à jour et supprimer des données de fichier ;
- ajouter, mettre à jour et supprimer des données d’image ;
- extraire des données d’image ;
- monter une image à l’aide du filtre du système de fichiers WIM ;
- gérer le fractionnement d’images ;
- surveiller le statut et la progression de la messagerie.
Fichier d’acquisition d’images Une collection de fichiers image qui contient un système d’exploitation et ses
de Windows (.wim) composants. ImageX utilise le format de fichier .wim pour la capture, la
maintenance hors connexion et le processus de déploiement. ImageX offre
ainsi une solution d’acquisition d’images complète pour vos scénarios de
déploiement.
La commande ImageX
ImageX est un outil de ligne de commande de Windows Vista que vous pouvez utiliser
pour créer et gérer des fichiers d’image Windows. Un fichier .wim contient une ou
plusieurs images de volumes, des volumes de disques contenant des images d’un système
d’exploitation Windows installé.
Pour modifier vos images de volumes, vous devez installer le pilote de filtre système de
fichier d’image Windows (filtre WIM FS) sur un ordinateur exécutant Windows XP
SP2, Windows Server 2003 SP1 ou Windows Vista. L’installation du pilote de filtre
WIM FS vous permet de monter un fichier .wim comme s’il s’agissait d’un répertoire et
de rechercher, copier, coller et éditer les images de volumes depuis un outil de gestion
de fichiers comme l’Explorateur Windows, sans extraire ou sans recréer l’image.

La commande ImageX comprend un certain nombre de commutateurs qui ont leur

propre rôle dans les différentes phases de manipulation d’une image WIM.
IMAGEX
Permet de manipuler les images WIM à l’aide de nombreux commutateurs.
Syntaxe : imagex [indicateurs] {/append | /apply | /capture |

/delete | /dir | /export | /info | /split | /mount |
/mountrw | /unmount} [paramètres]
/append Ajoute une image de volume à un fichier image Windows .wim
existant.
254
/apply Applique une image de volume à un disque spécifié.

/capture Capture une image de volume issue d’un disque dans un nouveau
fichier .wim.
/delete Supprime l’image de volume spécifiée d’un fichier .wim comportant
plusieurs images de volumes.
/dir Affiche une liste des fichiers et des dossiers contenus dans l’image de
volume spécifiée.
/export Exporte une copie du fichier .wim spécifié vers un autre fichier .wim.
/info Renvoie les descriptions XML enregistrées pour le fichier .wim
spécifié.
/mount Monte un fichier .wim avec droit de lecture seule vers un répertoire
spécifié.
/mountrw Monte un fichier .wim avec droit de lecture/écriture vers un
répertoire spécifié.
/split Divise un fichier .wim existant en plusieurs fichiers .wim divisés .swm
en lecture seule.
/unmount Démonte l’image montée d’un répertoire spécifié.
Détaillons maintenant chaque commutateur un par un.
La commande Imagex /apply

IMAGEX /APPLY
Applique une image de volume à un disque spécifié.
Syntaxe : imagex /apply [fichier_image numéro_image | nom_image

chemin_image] {/check | /ref | /scroll | /verify}
Fichier_image Le nom et la situation de l’image de volume appliquée au répertoire.
numéro_image Le numéro qui référence le volume spécifique dans le fichier .wim.
nom_image Le nom qui identifie l’image dans le fichier .wim.
255
chemin_image Le chemin du fichier où l’image sera appliquée.

/check Vérifie l’intégrité du fichier .wim. Si cette option n’est pas
mentionnée, les vérifications existantes sont supprimées.
/ref splitwim.swm Active la référence des fichiers .wim divisés (SWM). splitwim.swm est
le nom et la situation des fichiers divisés supplémentaires. Les
caractères génériques sont acceptés.
/scroll Déroule la liste des répertoires pour rediriger le fichier résultant de
l’opération.
/verify Active la vérification des ressources du fichier en recherchant les
erreurs et la duplication des fichiers.
Vous devez créer toutes les partitions du disque dur avant de commencer ce processus,
sauf si vous exécutez cette option à l’aide d’un script. Si vous utilisez l’option /apply
pour une structure de répertoire, cette option inclura le répertoire spécifié, y compris
tous les sous-répertoires et tous les fichiers.
Vous devez inclure le répertoire parent pour l’option /apply. Sinon, lorsque l’image
sera appliquée, elle remplacera tout ce qui se trouve à cet endroit. Par exemple, si vous
appliquez l’image au disque C, l’option /apply remplacera tout ce qui se trouve sur le
disque C par vos fichiers image.
Pour automatiser la création d’un répertoire, vous devez ajouter la commande mkdir
nom_répertoire à votre script avant d’exécuter imagex /apply.
Par exemple : imagex /apply e:\images\puzzmaniainstall.wim 1 c: /verify.
La numérotation de l’image est importante dans l’application d’une image.

Figure 7.2 : imagex /apply
256
La commande Imagex /capture
IMAGEX /CAPTURE
Capture une image de volume issue d’un disque dans un nouveau fichier .wim. Les
répertoires capturés comprennent tous les sous-dossiers et toutes les données. Vous ne
pouvez capturer un répertoire vide. Un répertoire doit contenir au moins un fichier.
Syntaxe : imagex /capture chemin_image fichier_image "nom"

{"description"} {/boot | /check | /compress [type] |
/config | /flags "IDÉdition" | /scroll | /verify}
chemin_image Le nom et la situation de l’image du volume pour la capture.
fichier_image Le nom et la situation du nouveau fichier .wim.
"nom" Le nom du nouveau fichier .wim. Cette valeur est obligatoire. Les
guillemets dactylographiques sont obligatoires.
"description" Texte constituant des informations de référence supplémentaires.
Cette valeur est facultative. Les guillemets dactylographiques sont
obligatoires.
/boot Marque une image de volume comme démarrable. Disponible
seulement pour les images Windows PE. Une seule image de volume
peut être marquée comme démarrable dans un fichier .wim.

/compress
[maximum | rapide
| aucune] Spécifie le type de compression utilisée pour l’opération de capture
initiale. L’option maximum propose la meilleure compression mais
le temps de capture de l’image est le plus long. L’option rapide
propose une compression d’image plus rapide mais les fichiers
résultants ont une taille plus importante que ceux compressés avec
l’option maximum. C’est également le type de compression par
défaut, utilisé si vous laissez ce paramètre vide. L’option aucune ne
compresse pas du tout l’image capturée.
/config fichier
_configuration.ini Le nom et la situation du fichier de configuration. Vous pouvez
renommer ce fichier comme vous le souhaitez.
257
/flags "IDÉdition" Spécifie la version de Windows à capturer. La valeur de /flags est

obligatoire si vous redéployez un fichier Install.wim personnalisé
avec le programme d’installation de Windows. Les guillemets
dactylographiques sont obligatoires. Cet indicateur n’est pas
nécessaire si vous déployez l’image à l’aide d’ImageX. Les valeurs
valides de l’attribut IDÉdition sont les suivantes : HomeBasic,
HomePremium, Starter, Ultimate, Business, Enterprise,
ServerDatacenter, ServerEnterprise, ServerStandard.
/scroll Déroule la liste des répertoires pour rediriger le fichier résultant de
l’opération.
/verify Active la vérification des ressources du fichier en recherchant les
erreurs et la duplication des fichiers.
ImageX ne prend pas en charge les attributs étendus. ImageX ignore les attributs
étendus au cours d’une opération de capture. Pendant l’opération de capture, la
compression rapide est automatiquement appliquée. Si vous désirez un type de
compression différent, utilisez l’option /compress. Alors que le type de compression
que vous choisissez affecte le temps de capture, il n’affecte que légèrement le temps
d’application.
Si vous renommez votre fichier Liste_configuration.ini en Wimscript.ini et si vous

l’enregistrez dans votre répertoire ImageX (où est situé le fichier ImageX.exe), il sera
exécuté automatiquement lorsque vous exécutez l’option /capture, sans vous
demander d’utiliser l’option /config.
L’option /verify affectera le temps de capture global. Pendant l’opération de capture,

la barre de progression indique seulement l’état de l’opération de capture et non celui
de la vérification. Lorsque la capture est terminée, le processus de vérification
commence. Ce processus prend du temps même si la barre de progression affiche
100 %.
L’option de compression à maximum compresse à environ 40 % la taille de l’image, ce

qui est dans le standard élevé des outils tiers actuels du marché.
Par exemple : imagex /capture c: c:\images\puzzmaniainstall.wim /verify.
258
Figure 7.3 : imagex /capture
La commande ImageX /info

IMAGEX /INFO
Renvoie les descriptions XML enregistrées pour le fichier .wim spécifié, incluant mais
sans limitation à la taille totale du fichier, le numéro d’indice d’image, le nombre de
répertoires, le nombre de fichiers et une description.
Syntaxe : imagex /info fichier_img [numéro_img | nom_img]

[nouveau_nom] [nouvelle_desc] {/boot | /check}
fichier_image Le nom et la situation du fichier .wim pour révision des données
XML.
numéro_image Le numéro qui identifie une image dans le fichier .wim.
nom_image Le nom qui identifie une image dans le fichier .wim.
nouveau_nom Le nouveau nom unique de l’image spécifiée.
259
nouvelle_desc La nouvelle description de l’image spécifiée.

Par exemple : imagex /info c:\images\puzzmaniainstall.wim.
Cette commande est très utile pour connaître le contenu d’une image et savoir par
exemple si l’image contient d’autres images WIM.
Figure 7.4 : imagex /info
La commande ImageX /mountrw
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de
Windows Vista avec droit de lecture/écriture vers un répertoire spécifié. Une fois que le
fichier est monté, vous pouvez voir et modifier toutes les informations contenues dans le
répertoire.
260
Syntaxe : imagex /mountrw [fichier_image numéro_image | nom_image

chemin_image] {/check}
fichier_image Le chemin du fichier .wim contenant l’image spécifiée.
nom_image Le nom qui référence l’image dans le fichier .wim.
chemin_image Le chemin du fichier où l’image spécifiée sera montée.
Vous devez installer le filtre WIM FS avant de pouvoir monter une image.
L’option /mountrw exige un accès exclusif au fichier .wim. Par conséquent, vous ne
pouvez pas utiliser l’option /mountrw si une image est déjà montée à l’aide de l’option
/mount ou de l’option /mountrw.
Vous ne devez pas monter une image vers le répertoire parent ou les sous-répertoires
d’un répertoire déjà monté. Lors du montage d’une image vers un répertoire contenant
des fichiers, les fichiers existants seront cachés jusqu’à ce vous exécutiez l’option
/unmount. De plus, vous ne devez pas monter votre image dans les dossiers réservés à
Windows.
Par exemple : imagex /mountrw c:\images\puzzmaniainstall.wim 1 c:\mount.

Figure 7.5 : imagex /mountrw
261
La commande ImageX /split
IMAGEX /SPLIT
Divise un fichier .wim existant en plusieurs fichiers .wim, divisés en .swm en lecture
seule.
Syntaxe : imagex /split fichier_image dest_fichiers taille {/check}

fichier_image Le nom et la situation du fichier .wim à diviser.
dest_fichier Le chemin des fichiers divisés.
Taille La taille maximale en mégaoctets (Mo) de chaque fichier créé.
Cette commande crée des fichiers .swm dans le répertoire spécifié, nommant chaque
fichier par le nom spécifié dans fichier_image, mais en ajoutant un numéro et avec
l’extension .swm. Par exemple, si vous choisissez de diviser un fichier nommé Data.wim,
cette option créera les fichiers Data.swm, Data2.swm, Data3.swm, etc., définissant
chaque portion du fichier .wim divisé.
Par exemple : imagex /split c:\images\newvista.wim 600.

Figure 7.6 : imagex /split
262
La commande Imagex /unmount
IMAGEX /UNMOUNT
Démonte l’image montée d’un répertoire spécifié.
Syntaxe : imagex /unmount chemin_image {/commit}

chemin_image Le chemin complet du répertoire pour démonter les fichiers. Si vous
ne spécifiez pas de répertoire, cette option dressera la liste de toutes
les images montées.
Vérifiez que vous disposez d’un espace disque suffisant pour ajouter les fichiers de votre
image. Vous devez compter la taille des fichiers que vous ajoutez au fichier .wim, plus
toute augmentation de taille due à la modification des fichiers existants, moins les
fichiers que vous avez supprimés, avant d’exécuter l’option /commit. Si l’espace disque
est insuffisant, une erreur se produira.
Si vous utilisez l’option /unmount sans l’option /commit, vos modifications seront
rejetées. Afin de pouvoir enregistrer vos modifications, vous devez monter l’image en
utilisant l’option /mountrw et utiliser l’option /commit lors du démontage de l’image ;
par exemple : imagex /unmount /commit c:\mount.

Figure 7.7 : imagex /unmount 7. Le déploiement des
Capturer une image

Reprenons le scénario de création d’image du chapitre précédent :
1. À partir d’un ordinateur de test, vous avez créé une image de référence contenant
Windows Vista, des configurations particulières et des applications installées.
263
2. Vous vous êtes assuré que le comportement du poste de travail était tout à fait
stable.
3. Vous avez exécuté la commande Sysprep afin de préparer le système à la
duplication.
4. Vous redémarrez l’ordinateur sur votre média personnalisé Windows PE 2.0 sur
lequel vous avez rajouté la commande ImageX.
5. Vous allez maintenant utiliser la commande ImageX /capture afin de créer
l’image de référence.
6. Dans la fenêtre d’Invite de commande Windows PE, tapez : imagex /compress
maximum /capture c: c:\images\puzzmaniainstall.wim /verify.
L’image de référence se crée. L’option de compression à maximum compresse à environ

40 % la taille de l’image, ce qui est dans le standard haut des outils tiers actuels du
marché. Remarquez que vous capturez la partition C: mais que vous êtes en train de
créer cette image sur cette même partition. C’est possible car ImageX est non destructif.
C’est un des nombreux avantages de l’outil.
Tout de même, ImageX /capture est destiné à capturer une image à des fins de
déploiement et non de sauvegarde de l’ordinateur.
Une fois l’image créée, vous pouvez redémarrer l’ordinateur en mode normal.
Dans l’utilisation des images WIM, la capture est d’autant plus cruciale qu’il faut bien
que vous gardiez à l’esprit que le but du jeu est de créer une et une seule image : un seul
fichier qui puisse servir au déploiement de Windows Vista sur tous les ordinateurs de
l’entreprise.
Voici quelques conseils de création d’image :

Ayez toujours à l’esprit que vous créer une image pour qu’elle soit unique pour toute
j
l’entreprise.
j Maîtrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver à une image unique.
j Configurez soigneusement et scrupuleusement l’ordinateur de test, c’est-à-dire la
version de Windows Vista installée, les paramètres, les applications, le style, la
sécurité, les comptes utilisateurs, les accès, etc.
j Récupérez et conservez sur le réseau ou sur un support amovible l’image ainsi créée.
Sauvegardez cette image.
264
Appliquer une image avec ImageX
7.2. Appliquer une image avec ImageX

Après avoir capturé votre image de référence, il sera temps pour vous de l’intégrer dans
votre processus de déploiement de postes de travail Windows Vista. Par la suite, Vous
pourrez utiliser WDS comme outil de déploiement, par exemple.
Mais vous serez peut-être amené à déployer uniquement avec les outils livrés avec
Windows Vista. Pour cela vous allez utiliser le tandem Windows PE 2.0 et ImageX pour
appliquer une image WIM à un ordinateur. Vous le ferez peut-être en conjonction d’un
fichier Autounattend.xml par exemple.
Dans ce chapitre, vous allez découvrir le déroulement de l’application manuelle d’une

image WIM sur un ordinateur à l’aide de Windows PE et ImageX et vous comprendrez
mieux le mécanisme d’installation par image. Ce chapitre vous détaille un scénario
d’utilisation de bout en bout de la commande ImageX.
La commande Imagex /apply

Reprenons notre scénario de création d’image :
1. À partir d’un ordinateur de test, vous avez créé une image de référence contenant
Windows Vista, des configurations particulières et des applications installées.
2. Vous vous êtes assuré que le comportement du poste de travail était tout à fait
stable.
3. Vous avez exécuté la commande Sysprep afin de préparer le système à la
duplication.
4. Vous redémarrez l’ordinateur sur votre média personnalisé Windows PE 2.0 sur
lequel vous avez rajouté la commande ImageX.

5. Vous avez maintenant utilisé la commande ImageX /capture afin de créer l’image
de référence que vous avez sauvegardée.
Maintenant partons du scénario suivant : vous devez déployer une image sur un poste de
travail.
1. Vous démarrez cet ordinateur à partir de votre média personnalisé Windows PE 2.0
sur lequel vous avez rajouté la commande ImageX.
2. Assurez-vous que la configuration du disque dur de l’ordinateur est correcte.
Utilisez Diskpart.exe le cas échéant pour créer la partition d’installation, la formater
en NTFS, lui affecter une lettre de lecteur (la même que celle qui a été capturée
avec l’image, soit par défaut C:) et l’activer.
Voici un exemple des commandes à passer à partir de Diskpart.exe :
265
diskpart
select disk 0
create partition primary size=<taille souhaitée>
select partition 0
active
format fs=ntfs label="Système" quick
assign letter=c
exit
3. Assurez-vous que vous accédez correctement à votre image (qui se trouve soit sur un
média amovible, soit sur le réseau).
4. Vous allez maintenant utiliser la commande ImageX /apply pour appliquer
l’image sur la station de travail.
Vous devez créer toutes les partitions du disque dur avant de commencer ce
processus, sauf si vous exécutez cette option à l’aide d’un script. Si vous utilisez
l’option /apply pour une structure de répertoire, cette option inclura le répertoire
spécifié, y compris tous les sous-répertoires et tous les fichiers.
5. Dans la fenêtre d’Invite de commandes Windows PE, tapez la ligne suivante :
imagex /apply e:\puzzmaniainstall.wim 1 c: /verify.
Le processus est lancé. Votre image s’installe. Comptez une durée d’application de
11 ou 12 minutes avec une image standard de Windows Vista. Ce qui est intéressant,
c’est de constater qu’une image personnalisée, incluant par exemple le pack
Office 2007, ne prend qu’une minute de plus pour être appliquée.
6. Une fois le processus terminé, redémarrez l’ordinateur. Vous entrez alors en mode
d’accueil de premier démarrage de Windows Vista (finalisation de l’installation),
qui peut être contrôlé et automatisé par l’ajout des fichiers Unattend.xml et/ou
Oobe.xml.
Voici quelques conseils pour l’application d’image :

j Essayez, dans la mesure du possible, d’appliquer la même image Windows sur tous
les postes pour garder une cohérence et une efficacité de déploiement
j Maîtrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver au but recherché.
j Configurez correctement le disque dur de l’ordinateur de destination à l’aide de
Diskpart.exe si vous utilisez Windows PE ou à l’aide d’un fichier Autounattend.xml.
j Avant de vous lancer, testez soigneusement et scrupuleusement l’application de
l’image sur un ordinateur de test et validez l’usage de l’image (la version de
Windows Vista installée, les paramètres, les applications, le look, la sécurité, les
comptes utilisateurs, les accès, etc.).
266
Personnaliser l’image
7.3. Personnaliser l’image

Vous avez la possibilité de personnaliser l’image que vous avez capturée afin de lui
donner une identité d’entreprise plus marquée. Vous avez la possibilité de personnaliser
les écrans d’accueil de premier démarrage de Windows Vista, l’Accueil Windows et
l’abonnement auprès d’un fournisseur de services Internet en les configurant aux
couleurs de votre entreprise. De ce fait, Windows Vista vous permet, en tant que
membre d’un service informatique, d’apporter une proximité supplémentaire entre
l’utilisateur et son service informatique.
Le fichier Oobe.xml
Oobe.xml (prononcez "oubi") est un fichier qui sert à collecter du texte et des images
pour personnaliser les écrans d’accueil de premier démarrage de Windows Vista,
l’Accueil Windows et l’abonnement auprès d’un fournisseur de services Internet. Pour
créer une image système de Windows unique comprenant plusieurs langues et destinée
à être livrée dans plusieurs pays, vous pouvez ajouter différents fichiers Oobe.xml afin de
personnaliser le contenu en fonction des sélections de langue et de pays ou de région du
client.
Oobe.xml est un fichier de contenu qui peut être utilisé en liaison avec Unattend.xml
pour recevoir et déployer des personnalisations d’entreprises pour les écrans d’accueil
de premier démarrage de Windows (utile pour les constructeurs et assembleurs), pour
l’Accueil Windows et pour l’abonnement auprès d’un fournisseur de services Internet.
Le fichier Oobe.xml offre les avantages suivants :

j un seul fichier pour recevoir les documentations et les ressources
d’accompagnement de personnalisation pour les écrans d’accueil de
personnalisation de Windows Vista ;

j un espace de stockage pour les fichiers et les informations concernant les valeurs par
défaut des paramètres internationaux ;
j un espace de stockage pour des offres spécifiques à une langue à l’intention des
utilisateurs ;
j un espace de stockage pour les choix d’arrière-plan de Bureau des utilisateurs ;
j un espace de stockage pour les termes du contrat de licence logiciel Microsoft et vos
termes du contrat de licence avec les utilisateurs.
Le fichier Oobe.xml est généralement utilisé dans les scénarios suivants :

j En liaison avec Unattend.xml, il permet de définir des valeurs par défaut d’entreprise
pour les écrans d’accueil de premier démarrage de Windows, pour l’Accueil
Windows et pour l’abonnement auprès d’un fournisseur de services Internet.
267
j Sans Unattend.xml, il permet de définir des valeurs par défaut d’entreprise pour les
écrans d’accueil de Windows, pour l’Accueil Windows et pour l’abonnement auprès
d’un fournisseur de services Internet.
Bien que le fichier Oobe.xml puisse contenir toutes les informations dont vous avez
besoin pour personnaliser les écrans d’accueil de Windows, vous pouvez utiliser les
paramètres Unattend.xml pour définir si et comment l’utilisateur final pourra choisir les
options régionales. De plus, vous pouvez utiliser les paramètres Unattend.xml pour
montrer ou masquer différentes pages à des fins de test.
Voici les composants avec les paramètres Unattend.xml qui peuvent servir à manipuler
des pages d’écrans d’accueil de premier démarrage de Windows :
j Microsoft-Windows-Setup ;
j Microsoft-Windows-Shell-Setup ;
j Microsoft-Windows-International-Core.
Faisons une correspondance entre les pages d’écrans d’accueil de premier démarrage
Windows Vista, les paramètres Unattend.xml et les résultats affichés.
Tableau 7.2 : Correspondance entre les pages d’écrans d’accueil de premier démarrage
Windows Vista, les paramètres Unattend.xml et les résultats affichés
Pages des écrans d’accueil Paramètres Unattend.xml Résultats
de premier démarrage de
Windows
Paramètres régionaux Microsoft−Windows−International Si ces quatre paramètres sont définis, cette
−Core | UILanguage page est ignorée.
Microsoft−Windows−International Si des paramètres individuels sont définis,
−Core | InputLocale les champs n’apparaissent pas sur cette
Microsoft−Windows−International page.
−Core | SystemLocale
Microsoft−Windows−International
−Core | UILanguageFallback
Microsoft−Windows−International
−Core | UserLocale
Termes du contrat de Microsoft−Windows−Shell−Setup Si ce paramètre est défini, la page sera
licence | OOBE | HideEULAPage ignorée. Il est supposé que l’administrateur
d’entreprise accepte les termes du contrat de
licence logiciel Microsoft pour les
utilisateurs.
Clé de produit Microsoft−Windows−Setup | Si Windows détecte une installation de
UserData | ProductKey | Key version commerciale dans laquelle
Microsoft−Windows−Setup | l’utilisateur a déjà entré une clé, une
UserData | ProductKey | installation de licence multiple ou une clé de
WillShowUI produit valide dans Unattend.xml, cette
page ne sera pas affichée.
268
Pages des écrans d’accueil Paramètres Unattend.xml Résultats

de premier démarrage de
Windows
Nom d’utilisateur Microsoft−Windows−Shell−Setup Si un compte d’utilisateur a été créé avec ce
| UserAccounts | paramètre, cette page ne sera pas affichée.
LocalAccounts | LocalAccount Si cette page n’est pas affichée, une fenêtre
| Description de l’utilisateur sera automatiquement
Microsoft−Windows−Shell−Setup sélectionnée pour l’utilisateur. Il n’y a pas de
| UserAccounts | paramètre Unattend.xml pour définir une
LocalAccounts | LocalAccount fenêtre de l’utilisateur.
| DisplayName
Microsoft−Windows−Shell−Setup
| UserAccounts |
LocalAccounts | LocalAccount
| Group
| UserAccounts |
| Name
| UserAccounts |
| Password | PlainText
| UserAccounts |
| Password | Value
Nom d’ordinateur Microsoft−Windows−Shell−Setup Si le paramètre ComputerName a été
| ComputerName défini, cette page ne sera pas affichée.
Cette page contrôle aussi le choix du papier
peint initial. Si cette page n’est pas affichée,
le premier papier peint du bureau Windows
sera sélectionné par défaut. Ce paramètre
peut être défini en spécifiant un thème dans
Unattend.xml, mais ce paramètre ne
détermine pas si cette page est affichée ou
non.

Protégez votre PC Microsoft−Windows−Shell−Setup Si ce paramètre a été défini, la page ne sera
| OOBE | ProtectYourPC pas affichée et la valeur appropriée sera
définie. Les valeurs possibles sont :
- 1 (recommandées) ;
- 2 (seulement les mises à jour
d’installation) ;
- 3 (n’active aucune protection).
Page finale Non applicable Si toutes les pages des autres écrans
d’accueil de Windows sont ignorées, cette
page ne sera pas affichée.
Lorsqu’il est utilisé exclusivement pour la personnalisation, les paramètres

internationaux et les offres, Oobe.xml affiche toutes les pages d’écrans d’accueil de
Windows, la page unique de l’Accueil Windows et l’Assistant pour l’abonnement auprès
d’un fournisseur de services Internet.
269
Le fonctionnement d’Oobe.xml
L’accueil de premier démarrage de Windows, l’Accueil Windows et les opportunités
d’abonnement au fournisseur d’accès Internet qui occupent le contenu du fichier Oobe
.xml vérifieront et chargeront ce fichier aux endroits suivants et dans cet ordre :
1. %WINDIR%\system32\oobe\info\oobe.xml.
2. %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml.
3. %WINDIR%\system32\oobe\info\<pays>\<langue>\oobe.xml.
Lorsque l’accueil de premier démarrage Windows trouve un nouveau fichier à l’un de

ces endroits, il remplace toutes les informations trouvées dans les fichiers Oobe.xml
précédents nœud par nœud. L’Accueil Windows et les opportunités d’abonnement au
fournisseur d’accès Internet n’effectueront pas de remplacement nœud par nœud. Au
lieu de cela, les informations trouvées dans le nouveau fichier Oobe.xml remplaceront
toutes les informations contenues dans les fichiers Oobe.xml précédents.
Lors d’un déploiement dans une seule langue, lorsqu’il s’exécute pour la première fois,
l’accueil de premier démarrage de Windows recherchera un fichier Oobe.xml à l’endroit
suivant : %WINDIR%\system32\oobe\info\.
Après la sélection par l’utilisateur d’un pays ou d’une région, l’accueil de premier
démarrage de Windows recherchera une autre version du fichier Oobe.xml à l’endroit
suivant : %WINDIR%\system32\oobe\info\<pays>.
Si un dossier de pays correspondant au pays sélectionné par le client est trouvé, l’accueil
de premier démarrage de Windows le charge et remplace les nœuds du fichier Oobe.xml
d’origine par ceux trouvés dans le fichier spécifique au pays. Si un tel dossier est trouvé,
l’accueil de premier démarrage de Windows chargera le fichier Oobe.xml de ce dossier
et remplacera toutes les informations trouvées dans les fichiers Oobe.xml antérieurs
nœud par nœud.

L’accueil de premier démarrage de Windows cherchera aussi un fichier oobe.xml dans

%WINDIR%\system32\oobe\info\default\<langue>\. En revanche, comme il n’y a qu’une
seule langue disponible sur le système, il n’est pas nécessaire de créer ce dossier.
Si vous expédiez avec plusieurs langues, créez plusieurs dossiers de pays pour vos pays
de destination et des dossiers de langue pour les langues cibles dans les dossiers de pays,
en y incluant un fichier Oobe.xml avec le contenu propre au pays et à la langue dans
chaque dossier de langue, aux endroits suivants :
j %WINDIR%\system32\oobe\info\<pays1>\<langue1> ;
j %WINDIR%\system32\oobe\info\<pays2>\<langue3>.
270
Par exemple, <pays1> peut être le Canada, <langue1> le français, <langue2>

l’anglais, etc.
Créez également des dossiers de langue avec le dossier default et placez un fichier
Oobe.xml localisé en conséquence dans chacun d’eux, pour s’adapter aux scénarios dans
lesquels l’utilisateur final ne sélectionne pas l’un de vos pays de destination :
%WINDIR%\system32\oobe\info\default\<langue>\oobe.xml.
Si vous configurez l’accueil de premier démarrage de Windows afin qu’il présente un

exemplaire des termes de votre contrat de licence, placez chaque fichier des termes du
contrat de licence localisés de manière adéquate dans son dossier de langue
correspondant : %WINDIR%\system32\oobe\info\<pays>\<langue>.
Implémenter Oobe.xml
Le fichier Oobe.xml n’est pas un fichier que vous allez créer à l’aide de Windows System
Image Manager. Il va falloir le construire de toutes pièces. Pour cela, partez de
l’exemple suivant qui pourra vous servir de modèle de fichier Oobe.xml :
<FirstExperience>
<oobe>
<oem>
<name>Educsoft</name>
<logopath>c:\educsoft\educsoft.png</logopath>
<eulafilename>educsoft_eula.rtf</eulafilename>
<wallpaper>
<path>c:\educsoft\wallpapers\wallpaper1.jpg</path>
</wallpaper>
<wallpaper>
</wallpaper>

<wallpaper>
</wallpaper>
<offerheader>Accédez aux offres spéciales Educsoft</offerheader>
<offer type="list">
<title>Offer 1</title>
<imagepath>c:\educsoft\offers\offer1.bmp</imagepath>
<details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut
✂ a est non mauris fringilla bibendum. Nulla aliquam facilisis est.
✂ Nullam venenatis velit. Nam congue sem nec ipsum.</details>
<detailsfilename>offer1.rtf</detailsfilename>
<shellexecute>%systemroot%\system32\notepad.exe</shellexecute>
</offer>
<offer type="list">
271
<details>Quisque congue faucibus lacus. Lorem ipsum dolor sit amet,

✂ consectetuer adipiscing elit. Nullam vel neque eu lacus viverra
✂ tincidunt.</details>
<shellexecute>%systemroot%\system32\calc.exe</shellexecute>
</offer>
<offer type="list">
<details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut
✂ a est non mauris fringilla bibendum. Nulla aliquam facilisis est.
✂ Nullam venenatis velit. Nam congue sem nec ipsum.</details>
<detailsfilename>offer3.rtf</detailsfilename>
<shellexecute>%systemroot%\system32\mspaint.exe</shellexecute>
</offer>
</oem>
<defaults>
<language>1036</language>
<location>54</location>
<locale>1036</locale>
<keyboard>0000040c</keyboard>
<timezone>Paris, Madrid</timezone>
</defaults>
</oobe>
<useroobe>
<oemStrip xmlns="http://schemas.microsoft.com/windows/oobetasks/v1">
<offerSource>Offres de Educsoft</offerSource>
<tasks>
<task id="{1D8650FD-8935-4657-A3E3-C6AD82DCFEB8}"
✂ xmlns="http://schemas.microsoft.com/windows/tasks/v1">
<name>nom tache exemple</name>
<icon>%systemroot%\system32\notepad.exe</icon>
<description>description exemple</description>
<command>http://tempurl/fwlink.asp=?id=test</command>
<sortPriority>1</sortPriority>
<infotip>Souscrivez maintenant!</infotip>
<previewPaneView
✂ xmlns="http://schemas.microsoft.com/windows/oobetasks/v1">
<previewBackground>%systemroot%\system32\oobe\info\background_wc.png
✂ </previewBackground>
<startText>bouton action tache exemple</startText>
<title>titre tache exemple</title>
<columnOne>
<para><text>texte exemple</text></para>
<para><bullet /><text>liste a puce texte exemple</text></para>
</columnOne>
</previewPaneView>

</task>
</tasks>
</oemStrip>
</useroobe>
</FirstExperience>
Vous n’avez qu’à le recopier dans un fichier Oobe.xml, l’adapter à votre entreprise et il
fonctionnera.
Pour mieux comprendre son fonctionnement et sa structure, décortiquons les grandes

lignes de ce fichier.
Description de la partie accueil de premier démarrage Windows
La section <oem>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs
autorisées pour la section <oem> d’Oobe.xml.
Tableau 7.3 : Description de la section <oem> du fichier oobe.xml

Paramètre Description Valeur
name Nom du fabricant ou de l’entreprise. Caractères.
logopath Chemin absolu vers le logo de Chemin d’accès absolu au fichier de
l’entreprise. logo, un fichier 32 bits au format
.png. 240 x 100 pixels.

nomfichiercluf Langue et situation/version spécifique Chemin d’accès absolu d’un fichier .rtf
du contrat de licence d’utilisateur final nominatif.
de l’entreprise s’il y a lieu.
wallpaper Chemin absolu du fichier de papier Chemin d’accès absolu vers au plus
peint. Peut en contenir jusqu’à trois trois fichiers 32 bits au format .png
pour l’affichage. nommés. 128 x 128 pixels.
offerheader Description initiale de l’offre. Plus pour Chaîne de caractères avec au
les assembleurs que pour les maximum 40 caractères.
entreprises.
title Titre de l’offre. Caractères.
imagepath Chemin absolu d’un fichier .bmp. Chemin d’accès absolu d’un fichier
32 bits .bmp ou .gif. 32 x 32 pixels.
Les fichiers de type .png ne sont pas
pris en charge.
273

details Description plus approfondie de l’offre. Chaîne de caractères avec au
maximum 128 caractères
detailsfilename Fichier contenant des informations Chemin d’accès absolu d’un fichier
concernant l’offre. .rtf. Les graphiques intégrés ne
peuvent pas être affichés.
shellexecute Chemin du fichier exécutable pour Chemin d’accès absolu du programme
l’offre. d’installation pour l’offre.
Références aux chemins d’accès dans Oobe.xml

Les dossiers et fichiers auxquels les chemins d’accès absolus dans Oobe.xml font
référence doivent être inclus dans l’image, soit hors connexion, soit lors de la création
de l’image avant d’effectuer le Sysprep.
La section <defaults>
autorisées pour la section <defaults>.
Tableau 7.4 : Description de la section <defaults> du fichier oobe.xml

langue Séparateur décimal de la langue par Identificateur décimal. Pour la France,
défaut. l’identificateur est 1036.
emplacement L’emplacement est spécifié à l’aide d’une Identificateur décimal. Pour la France,
valeur décimale. l’identificateur est 54.
Paramètres Les paramètres régionaux sont spécifiés Identificateur décimal. Pour la France,
régionaux à l’aide d’une valeur. l’identificateur est 1036.
clavier La disposition du clavier est déterminée Utilisez la valeur du paramètre keyboard
par le format d’identifiant des paramètres figurant dans le Registre sous
régionaux d’entrée, constitué par une HKEY_LOCAL_MACHINE
combinaison de la valeur hexadécimale \SYSTEM\ControlSet001\Control
de l’identificateur linguistique et d’un \Keyboard Layouts et précédez-la de
identificateur de périphérique. la valeur du paramètre régional convertie
en hexadécimal. Pour la France, cette
valeur est 0x40c.
274

fuseauhoraire Le fuseau horaire de l’endroit où se situe Voir le tableau suivant.
l’ordinateur est spécifié par une chaîne.
Sa longueur maximale est de
256 caractères. De nouveaux fuseaux
horaires peuvent apparaître dans les
versions futures. Si vous souhaitez
ajouter la prise en charge d’un nouveau
fuseau horaire, vous devez taper la
chaîne exacte correspondante.
transparence Valeur booléenne déterminant l’utilisation 0 ou 1. La valeur 0 indique qu’aucune
de la transparence. transparence n’est utilisée.
Liens utiles pour le remplissage de la section <defaults>

Si vous souhaitez consulter la liste complète des valeurs langue, emplacement,
paramètres régionaux et clavier qu’il est possible de renseigner, ces liens vous
intéresseront :
j http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238z.asp ;
j http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_locations.asp ;
j http://www.microsoft.com/globaldev/reference/lcid-all.mspx.
Implémenter la partie accueil au premier démarrage Windows

Voici un exemple d’un accueil de premier démarrage Windows remodelé à l’aide d’un

fichier Oobe.xml de personnalisation. Voici le rendu visuel qu’a l’utilisateur final devant
les yeux au moment où il démarre pour la première fois son nouvel ordinateur Windows
Vista. Nous sommes dans le cas où l’image a déjà été appliquée.
1. Après avoir démarré pour la première fois son ordinateur, l’utilisateur arrive sur
l’écran d’accueil de premier démarrage de Windows Vista en mode personnalisé
(voir fig. 7.8).
2. Cet écran d’accueil doit retranscrire les options d’emplacement géographique et
d’utilisation du clavier ainsi que le logo de constructeur (ou d’entreprise)
paramétrés dans Oobe.xml. Cliquez sur Suivant.
3. La fenêtre qui suit vous montre deux contrats d’utilisation : celui de Microsoft et le
vôtre (paramétré dans Oobe.xml). Vous ne pouvez passer qu’à l’étape suivante
qu’en cochant l’acceptation des deux contrats et en cliquant sur Suivant (voir
fig. 7.9).
275
Figure 7.8 : Première fenêtre d’accueil de premier démarrage de Windows

Figure 7.9 : Les Contrats d’utilisation
276
4. Configurez votre compte d’utilisateur et cliquez sur Suivant.
Figure 7.10 : Renseignement du compte utilisateur
5. Entrez un nom à l’ordinateur et choisissez un fond d’écran. Vous remarquez que

certains fonds d’écran sont personnalisés. Cliquez sur Suivant.

Figure 7.11 : Choix du nom de l’ordinateur et du fond d’écran.
277
6. Vérifiez les paramètres d’heure et de date (provenant de Oobe.xml) et cliquez sur

Suivant.
Figure 7.12 : Vérification des paramètres de date et d’heure
7. Enfin, juste avant de terminer la personnalisation de l’installation, vous pouvez

consulter les offres. Lorsque vous sélectionnez une offre, vous serez redirigé vers le
lien de cette offre, une fois l’installation terminée et votre compte d’utilisateur
logué.
Figure 7.13 : Consultation des offres personnalisées
278
8. Cliquez sur Démarrer pour finaliser l’installation.
Description de la partie Accueil Windows
La section <useroobe>
Le tableau suivant indique les paramètres disponibles d’Oobe.xml pour la section
<useroobe> et leurs valeurs autorisées.
Tableau 7.5 : Description de la section <useroobe> du fichier Oobe.xml

oemStrip Chemin du logo à apparaître dans le Chemin d’un fichier .png. La taille
volet de prévisualisation Détails de maximale est de 250 x 30 pixels.
l’ordinateur de l’Accueil Windows. Ce
paramètre doit contenir l’espace de
noms
xmlns="http://schemas.microsoft
.com/windows/oobetasks/v1".
name Nom de l’offre. Apparaît dans la section Chaîne d’une longueur maximale de
de titre du volet précédent. 255 caractères.
icône Chemin absolu vers l’icône d’offre. Chemin d’accès absolu à un fichier
.ico ou autre. Obligatoire.
description Courte description de l’offre. Chaîne d’une longueur maximale de
255 caractères
commande Chemin du fichier exécutable. Chemin absolu du fichier exécutable.
sortPriority Valeur numérique déterminant l’ordre de Valeur numérique comprise entre 1
l’offre. Les nombres les plus importants et 99 inclus. La valeur par défaut est 1.
ont la priorité la plus haute. Par

conséquent, un élément ayant un
numéro de priorité de tri élevé
(comme 94) apparaîtra avant un
élément un numéro plus faible
(comme 7).
infotip Courte description de l’offre affichée sur Chaîne d’une longueur maximale de
pointage de la souris. 255 caractères.
mots clés Mots-clés utilisés à des fins de Chaîne délimitée par un point-virgule
recherche. (;).
Prévisualisation Chemin d’un fichier .png pour l’offre. Chemin absolu d’un fichier .png.
Image 128 x 128 pixels. Si cette valeur est
omise, le fichier spécifié pour la valeur
de <icon> correspondant à l’offre
sera affiché à sa place (si le contenu du
fichier .ico peut être mis à l’échelle
126 x 126).
279

Prévisualisation Chemin d’un fichier .png pour l’arrière- Chemin absolu d’un fichier .png. La
d’arrière−plan plan de l’offre OEM. taille maximale est de 800 x 178 pixels.
Textdémarrage Courte description de la tâche de Chaîne d’une longueur maximale de
démarrage. 64 caractères.
titre Texte de titre de l’offre. Chaîne d’une longueur maximale de
255 caractères.
puce Crée une puce en face du paragraphe Chemin absolu d’un fichier .png.
de texte.
texte Texte décrivant l’offre. Chaîne d’une longueur maximale de
255 caractères
Implémenter la partie Accueil Windows

Une fois l’installation terminée, l’utilisateur ouvre sa session et l’Accueil Windows
s’ouvre automatiquement. Cette fois-ci l’Accueil Windows est personnalisé grâce au
fichier Oobe.xml.
Figure 7.14 : Accueil Windows personnalisé
280
Les entreprises peuvent se servir de l’Accueil Windows personnalisé pour proposer aux
utilisateurs des liens vers l’outil helpdesk interne, vers l’intranet, vers des applications
communes, la vie de l’entreprise etc. C’est un moyen mis à disposition des services
informatiques pour garder un contact avec l’utilisateur afin qu’il ait sous la main les
moyens de contacter facilement son service informatique. Cela augmentera la
satisfaction de l’utilisateur.
Description de la partie offres d’abonnement auprès d’un

fournisseur de services Internet
La section <oem>
autorisées pour la section <oem> de Oobe.xml lorsqu’elles sont utilisées pour des offres
d’abonnement auprès de fournisseurs de services Internet.
Tableau 7.6 : Description de la section <oem> en vue de l’inscription d’un fournisseur

d’accès Internet
nom Nom du fournisseur. Utilisé comme titre chaîne
de l’offre
type d’offre Doit être un type de liste d’offres de list
fournisseurs de services Internet (ISP).
showin Paramètre déterminant l’endroit où est tous
affichée l’offre.
informations Description plus approfondie de l’offre. Chaîne avec au maximum 60 caractères
imagepath Chemin absolu d’un fichier .bmp. Chemin absolu d’un fichier 32 bits

.bmp ou .gif. 32 x 32 pixels. Les
fichiers PNG et ICO ne sont pas pris en
charge.
detailsfilename Fichier contenant des informations Chemin absolu d’un fichier .rtf. Les
concernant l’offre. Si cette étiquette est graphiques intégrés ne peuvent pas être
omise, le contenu de l’étiquette affichés.
<informations> est de nouveau
affiché sur la page d’informations.
shellexecute Chemin du fichier exécutable pour Chemin absolu du programme
l’offre. d’installation pour l’offre.
281
Les conditions dans Oobe.xml

Chaque tâche peut être affichée ou cachée aux utilisateurs en configurant certains
paramètres conditionnels. Les conditions sont interprétées à chaque fois que l’Accueil
Windows est démarré. Si aucune condition n’est exprimée, l’Accueil Windows affiche
alors la tâche par défaut. Les conditions sont cumulatives, ce qui signifie que la somme
de toutes les conditions exprimées est utilisée comme logique d’affichage.
Les conditions sont exprimées par un nom et peuvent contenir un jeu de paramètres.
Chaque condition appartient à l’espace de nom shcond://v1. Elles sont par
conséquent exprimées sous la forme <nom de condition= "shcond://v1#
%conditionName%">.
Chaque condition peut également s’inverser à l’aide de l’attribut invert="true". Par

exemple, pour afficher une tâche dans toutes les versions de Windows Vista à
l’exception de Windows Vista Ultimate, utilisez la condition suivante :
<nom de condition="shcond://v1#SkuEquals" invert="true">
<param name="Sku" value="Ultimate" />
</condition>
Le tableau suivant indique les noms de condition, leurs paramètres, leurs valeurs et leurs
descriptions :
Tableau 7.7 : Description des conditions utilisables dans Oobe.xml

Nom de condition Paramètres Valeurs Description
RegvalEquals Regkey Chemin de la clé de registre La valeur de Registre est la valeur

Regval Nom de la valeur de Registre attendue.
RegvalExpected Valeur de Registre attendue
RegvalExists Regkey Chemin de la clé de Registre La valeur de Registre existe.

Regval Nom de la valeur de Registre

RegkeyExists Regkey Chemin de la clé de Registre La clé de Registre existe.
IsMachineOnDomain Aucun Aucun L’ordinateur est sur un domaine.
IsUserAdmin Aucun Aucun L’utilisateur est un administrateur.
IsAuxDisplay Aucun Aucun Un moniteur auxiliaire (Windows

Connected SideShow) est connecté.
IsMobilePC Aucun Aucun L’ordinateur est un ordinateur

portable.
IsOfflineFiles Aucun Aucun Des fichiers hors connexion ont

Enabled été activés.
282
La maintenance de l’image
Nom de condition Paramètres Valeurs Description
SkuEquals Sku Nom de SKU. Nom faisant Lors de la définition de cette

référence à la version du système condition, n’utilisez pas le nom de
d’exploitation. référence (SKU) complet. Utilisez
au lieu de cela les valeurs qui
correspondent à la référence
souhaitée.
Windows Vista Édition Familiale
Basique : homebasic.
Windows Vista Édition Familiale
Premium : homepremium.
Windows Vista Professionnel :
business.
Windows Vista Entreprise :
enterprise.
Windows Vista Édition Intégrale :
ultimate.
IsTabletPC Aucun Aucun L’ordinateur est un Tablet PC.
IsTouchAvailable Aucun Aucun L’ordinateur a un périphérique de

numérisation tactile activé.
DateInRange 1. Avant 1. Date et heure Définissez une plage de dates.

2. Après 2. Date Utilisez un format régional de date
En combinant ces deux invariant.
conditions, on peut obtenir une
offre valide pendant un certain
laps de temps.
7.4. La maintenance de l’image

Le processus de déploiement ne s’arrête pas à l’unique projet de déploiement de
Windows Vista sur les ordinateurs de l’entreprise à la place de Windows XP, par
exemple. Il peut aussi être quotidien : dès qu’un nouvel employé arrive et qu’il a donc
besoin d’un ordinateur fraîchement installé. Et c’est aussi un processus qui évolue dans
le temps : de nouveaux équipements feront tôt ou tard leur apparition avec leurs
nouveaux pilotes, des mises à jours et des Service Packs de Windows Vista. Pour être
complet, le processus de déploiement doit fournir des outils qui permettent de mettre à
jour les images capturées sans avoir forcément à les recréer, c’est-à-dire des outils qui
permettent d’ajouter des packages, des packs de langue, des pilotes, des mises à jour à
une image hors connexion (à froid), et bien d’autres.
283
Ajouter une image dans une image

L’un des grands avantages du format d’images WIM est l’instanciation unique. Si vous
avez créé plusieurs images, vous avez la possibilité de les regrouper en une seule et
même image. Et le poids de cette nouvelle image ne sera pas la somme des tailles des
différentes images, mais uniquement la taille des fichiers communs de toutes les images
additionnée à la taille des fichiers différents entre les images. C’est là l’une des autres
qualités du format WIM : il est orienté fichier et non secteur. Cela offre un ensemble de
possibilités, notamment le travail en mode Delta dans l’instanciation des images.
Lorsque l’on ajoute l’image 2 à l’image 1, les seuls fichiers copiés sont les fichiers
différents de l’image 2. Cela permet d’économiser sur trois images les deux tiers de
l’espace disque. Si on le rapporte à des tailles de masters réelles – on parle alors de
gigaoctets et non de mégaoctets –, multiplié par le nombre de masters matériel et
service, ce n’est plus négligeable.
À présent, prenons comme exemple l’ajout d’une image image1.wim à l’image image2
.wim. Pour cela, il faut utiliser la commande ImageX avec le commutateur /export.
IMAGEX /EXPORT
Exporte une copie du fichier .wim spécifié vers un autre fichier .wim. Les fichiers source
et destination doivent utiliser le même type de compression.
Syntaxe : imagex /export [fichier_src numéro_src | nom_src

dest_fichier nom_dest] {/boot | /check | /compress [type]
| /ref [splitwim.swm]}
fichier_src Le chemin du fichier .wim contenant l’image à copier.
numéro_src Le numéro qui référence le volume spécifique dans le fichier .wim.

nom_src Le nom qui identifie l’image dans le fichier source .wim.
dest_fichier Le chemin du fichier .wim qui recevra l’image à copier.
nom_dest Le nom unique qui identifie l’image dans le fichier .wim de
destination.
284
/compress
[maximum
| rapide | aucune] Spécifie le type de compression utilisée pour l’opération de capture
initiale. L’option maximum propose la meilleure compression, mais
le temps de capture de l’image est le plus long. L’option rapide
propose une compression d’image plus rapide, mais les fichiers
résultants ont une taille plus importante que ceux compressés avec
l’option maximum. C’est également le type de compression par
défaut, utilisé si vous laissez ce paramètre vide. L’option aucune ne
compresse pas du tout l’image capturée.
/ref splitwim.swm Active la référence des fichiers .wim divisés (SWM). splitwim.swm est
le nom et la situation des fichiers divisés supplémentaires. Les
caractères génériques sont acceptés.
À cela, il faudra ajouter le chemin de l’image ainsi que son numéro d’index, puis
terminer par le chemin de l’image de destination :
C:\Program Files\Windows AIK\Tools\x86>ImageX /export
c:\images\image1.wim 1 c:\images\image2.wim "image1"

Exporting: [c:\images\image1.wim, 1] ->

[c:\images\image2.wim]
Progress: 100%
Successfully exported image #1.
Une fois cette opération terminée, image1 se trouve dans le fichier image2.wim.

ImageX /export
Lorsque vous utilisez la commande ImageX /export, il est important d’indiquer le
numéro d’indexation de l’image source, même si le fichier ne possède qu’une image.
Autrement, la commande ne fonctionnera pas. Il n’y aura pas de message d’erreur,
uniquement un retour à l’aide sur la commande image.
Le Gestionnaire de packages
Le Gestionnaire de packages est un outil de ligne de commandes (Pkgmgr.exe) que vous
pouvez utiliser hors connexion pour installer, pour supprimer ou pour mettre à jour des
packages Windows, des pilotes, des applications, des mises à jour de sécurité, des
Service Packs. Vous pouvez ajouter les packages fournis sous forme de fichiers .cab à
285
une image système Windows hors connexion. Le Gestionnaire de packages peut

également activer ou désactiver des fonctionnalités de Windows, hors connexion ou bien
sur une installation de Windows en cours d’exécution.
Le Gestionnaire de packages peut considérer un fichier de réponses d’installation sans

assistance comme une entrée et configurer les paramètres répertoriés dans la passe de
configuration OfflineServicing.
Le Gestionnaire de packages peut effectuer les tâches suivantes :

j installer ou désinstaller des correctifs logiciels ;
j installer des packs de langues ;
j ajouter des pilotes de matériel ;
j activer ou désactiver des fonctionnalités de Windows ;
j accepter un fichier de réponses comme entrée (paramètres OfflineServicing
uniquement) ;
j ajouter des packages à une image de Windows hors connexion ;
j installer ou désinstaller plusieurs packages avec une seule chaîne de commandes.
Le Gestionnaire de packages peut fonctionner sur une image Windows montée ou

appliquée. Il peut être utilisé avec d’anciens fichiers image Windows (.wim), mais non
avec des images Windows plus récentes que la version installée du WAIK dans lequel le
Gestionnaire de packages est distribué.
Le Gestionnaire de packages peut s’exécuter sur les systèmes d’exploitation suivants :

j Windows XP SP2 ;
j Windows Server 2003 SP1 ;
j Windows Vista.
Certains packages exigent que d’autres packages soient d’abord installés. En raison de
cette condition de dépendance, si vous installez plusieurs packages, procédez de l’une
des manières suivantes :
j Utilisez un fichier de réponses. En transmettant un fichier de réponses au
Gestionnaire de packages, plusieurs packages peuvent être installés dans l’ordre
correct. C’est la méthode recommandée pour installer plusieurs packages.
j Installez ou supprimez plusieurs packages dans une seule commande en les séparant
par un point-virgule dans une liste. Les packages peuvent apparaître dans n’importe
quel ordre. Le Gestionnaire de packages installe ou supprime les packages dans
l’ordre correct.
286
La commande Pkgmgr.exe
Avant de détailler l’utilisation du Gestionnaire de packages et la manière de mettre à
jour une image, voici les descriptions des commutateurs de l’outil en ligne de commande
Pkgmgr.exe.
PKGMGR
Installe, désinstalle, configure et met à jour des fonctionnalités et des packages pour
Windows Vista.
Syntaxe : pkgmgr.exe [/?] [/h] [/help] [/l:nom_fichier] [/ip]

[/iu:nom_fonctionnalité_Windows] [/m:répertoire_package]
[/n:fichier_réponses] [/norestart]
[/o:chemin_disque_système;
chemin_répertoire_Windows_hors_connexion]
[/p:nom_package] [/quiet] [/s:répertoire_sandbox]
[/up:nom_package] [/uu:nom_fonctionnalité_Windows]
/?, /h, /help Affiche l’aide lorsque cette commande est exécutée sans option.
Utilisable en ligne ou hors connexion.
/ip Installe les packages. Le nom de package respecte la casse. Exige que
les packages soient désignés par l’option /m ou par l’option /p.
Plusieurs packages peuvent être installés avec une seule commande
et doivent être séparés par des points-virgules. Utilisable en ligne ou
hors connexion. Vous devez pointer vers le répertoire du package
développé ; une option /ip doit aussi être accompagnée d’une

option /m.
/l: nom_fichier Désigne le fichier journal pour la sortie de diagnostic. Utilisable en
ligne ou hors connexion. Les journaux par défaut sont situés dans le
répertoire %WINDIR%\logs\cbs\cbs.log. Setupact.log est un journal
complet et Setuperr.log ne répertorie que les erreurs.
L’enregistrement dans un journal ne fonctionne pas lors de
l’installation depuis un support en lecture seule, comme un CD
Windows PE.
/iu: nom_
fonction-nalité
_Windows Spécifie la fonctionnalité Windows à activer. Plusieurs
fonctionnalités Windows peuvent être installées avec une seule
commande et doivent être séparées par des points-virgules.
Utilisable en ligne ou hors connexion. Si vous installez une mise à
jour, vous avez alors besoin du nom de la mise à jour si son package
287
est dans le package Windows Foundation. Si ce n’est pas le cas,

l’option /iu exige aussi l’identité du package spécifiée par l’option /p,
qui est supposée être par défaut l’option de Windows Foundation
pour l’option /iu. Si ce n’est pas le cas, annulez cette option.
/m: répertoire
_package Spécifie le répertoire avec le manifeste et la charge utile du package.
Des répertoires source supplémentaires peuvent être spécifiés après
un point-virgule. Utilisable hors connexion. Exigé pour l’option /up.
Si vous installez un package, vous devez pointer vers le répertoire du
package développé, auquel cas une option /ip doit aussi être
accompagnée d’une option /m.
/n: fichier
_réponses Spécifie le nom du fichier de réponses d’installation sans assistance.
Utilisable en ligne ou hors connexion. Toutes les installations sans
assistance exigent l’option /n.
/norestart Supprime le redémarrage. Si le redémarrage n’est pas nécessaire,
cette commande ne fait rien. Utilisable en ligne seulement.
Utilisable avec l’option /quiet.
/o: chemin_disque
_système ; chemin
_répertoire
_Windows _hors
_connexion Spécifie une installation hors connexion. Le
chemin_disque_système définit la situation du Gestionnaire de
démarrage, d’après le mappage donné par le système d’exploitation
hôte. Chemin _répertoire_Windows_hors_connexion
spécifie le chemin complet du répertoire Windows hors connexion
tel qu’il est vu par le système d’exploitation actif. Toutes les
opérations hors connexion exigent l’option /o pour spécifier l’image

dont vous avez l’intention d’effectuer la maintenance hors

connexion.
/p: nom_package Installe la totalité du package. Utilisable hors connexion. Exigé pour
l’option /up.
/quiet S’exécute en mode silencieux. Aucune interface utilisateur, ni de
sortie console n’est fournie. Si un redémarrage est nécessaire,
celui-ci est forcé automatiquement, sans afficher de boîte de
dialogue de demande de confirmation. Utilisable en ligne ou hors
connexion.
/s: répertoire
_sandbox Spécifie le répertoire sandbox dans lequel les fichiers sont extraits.
Cette option est nécessaire pour un traitement correct des fichiers
288
lors de l’installation des packages depuis un réseau. Utilisable en

ligne ou hors connexion.
/up: nom _package Désinstalle les packages. Exige que les packages soient désignés par
l’option /m ou par l’option /p. Plusieurs packages peuvent être
désinstallés avec une seule commande et doivent être séparés par des
points-virgules. Utilisable hors connexion.
/uu: nom_fonction-
nalité_Windows Spécifie la fonctionnalité de Windows à désactiver. Une
fonctionnalité au moins de Windows doit être spécifiée. Plusieurs
fonctionnalités Windows peuvent être désactivées avec une seule
commande et doivent être séparées par des points-virgules.
Utilisable en ligne ou hors connexion. L’option /uu fonctionne de la
même manière que l’option /iu.
Ajouter des pilotes à une image de Windows hors connexion

Un scénario très intéressant consiste à modifier l’image .wim de référence à froid pour
y rajouter des pilotes pour de nouveaux équipements. Pas besoin de recréer une
installation de référence sur un ordinateur de test pour faire vivre l’image. Et le ou les
pilotes rajoutés ne seront utilisés que dans la phase de détection Plug and Play du
matériel.
Vous pouvez utiliser le Gestionnaire de packages pour installer un ou plusieurs pilotes

de périphériques dans une image de Windows hors connexion. Vous pouvez ainsi
ajouter à Windows, avant l’installation, des pilotes de périphériques indispensables au
démarrage.
Lorsque vous utilisez le Gestionnaire de packages pour installer un pilote de

périphérique dans une image hors connexion, le pilote de périphérique est ajouté au
magasin de pilotes. Le magasin de pilotes est un emplacement sur l’ordinateur qui

contient tous les pilotes pour cet ordinateur. Lorsque le Plug and Play est exécuté, les
périphériques détectés sont associés aux pilotes de périphériques dans le magasin de
pilotes. Le magasin de pilotes remplace Drivers.cab.
Les pilotes indispensables au démarrage sont insérés sur le système. L’insertion d’un
pilote est le processus consistant à installer un pilote sur un ordinateur qui est ou non
doté d’un périphérique pour ce pilote. Généralement, cela comprend la copie des
fichiers de pilote vers un emplacement de destination et la création du service.
Pour ajouter des pilotes à une image de Windows hors connexion :

1. Recherchez les fichiers .inf des pilotes de périphériques que vous souhaitez installer
sur votre image de Windows. Vous pouvez les chercher sur le site Internet de
l’éditeur. Par exemple, créez un répertoire C:\pilotes qui contiendra les fichiers de ce
pilote.
289
2. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton

droit de la souris sur Sélectionner une image Windows ou un fichier catalogue et en
spécifiant le type de fichier catalogue dans le menu contextuel (.clg), ou créez un
nouveau catalogue en cliquant sur Créer un catalogue dans le menu Outils.
Vous allez créer un fichier de réponses contenant les chemins d’accès aux pilotes de
périphériques à installer :
3. Ajoutez le composant Microsoft-Windows-PnpCustomizationsNonWinPE à votre
fichier de réponses dans la passe de configuration OfflineServicing.
4. Développez le nœud Microsoft-Windows-PnpCustomizationsNonWinPE dans le
fichier de réponses. Cliquez avec le bouton droit de la souris sur DevicePaths, puis
sélectionnez Insérer un nouvel élément PathAndCredentials. Un nouvel élément
est intégré à la liste PathAndCredentials.
Figure 7.15 : Élément PathAndCredentials
5. Si vous devez rajouter plusieurs pilotes qui se trouvent à plusieurs emplacements

différents, alors ajoutez autant d’élément sur la liste PathAndCredentials qu’il y a
d’emplacements différents à ajouter.
6. Dans les propriétés du composant Microsoft-Windows-Pnp CustomizationsNon

WinPE, spécifiez le chemin d’accès au pilote de périphérique et les informations
d’identification utilisées pour accéder au fichier si celui-ci réside sur un partage
réseau.
Figure 7.16 :
Configuration du
chemin d’accès au pilote
290
Gestion de l’élément Key

En ajoutant plusieurs éléments de la liste PathAndCredentials, vous pouvez inclure
plusieurs chemins d’accès aux pilotes de périphériques. Si vous ajoutez plusieurs
éléments de la liste, vous devez incrémenter la valeur de Key pour chaque chemin. Par
exemple, vous pouvez ajouter deux chemins d’accès distincts dans lesquels la valeur
de Key égale 1 pour le premier chemin d’accès et la valeur de Key égale 2 pour le
second chemin d’accès.
7. Enregistrez le fichier de réponses sous le nom pilotes.xml par exemple et quittez

Windows SIM.
Le fichier de réponses doit être similaire à l’extrait suivant :

<settings pass="offlineServicing">
<component name="Microsoft-Windows-PnpCustomizationsNonWinPE"
✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas
✂ .microsoft.com/WMIConfig/2002/State"
<DriverPaths>
<PathAndCredentials wcm:action="add" wcm:keyValue="1">
<Credentials>
<Domain>PUZZMANIA</Domain>
<Password>*</Password>
<Username>Administrateur</Username>
</Credentials>
<Path>C:\Pilotes</Path>
</PathAndCredentials>
</DriverPaths>

</component>
</settings>
<cpi:offlineImage cpi:source="catalog:c:/images/puzzmaniainstall.clg"
✂ xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend>
8. Montez l’image de Windows dans laquelle vous voulez installer les pilotes à l’aide
d’ImageX. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount,
où l’image de référence à modifier se trouve dans le répertoire C:\images et s’appelle
moninstall.wim et le répertoire de montage s’appelle C:\mount. La première image
de Windows dans le fichier moninstall.wim est montée sur C:\mount.
Voici la définition de la commande imagex /mountrw :
291
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de
Windows Vista, avec droit de lecture/écriture vers un répertoire spécifié. Une fois que le
fichier est monté, vous pouvez voir et modifier toutes les informations contenues dans le
répertoire.
Syntaxe : imagex /mountrw [fichier_image numéro_image | nom_image

chemin_image] {/check}
fichier_image Le nom et le chemin du fichier .wim à monter avec les droits de
lecture/écriture.
nom_image Le nom qui référence l’image dans le fichier .wim.
chemin_image Le chemin du fichier où l’image spécifiée sera montée.
Utilisation de la commande Imagex /mountrw lors de l’utilisation du Gestionnaire de

packages
Veillez à utiliser la commande Imagex avec le commutateur /mountrw lorsque vous
montez une image en vue d’une utilisation avec le Gestionnaire de packages et non le
commutateur /mount car celui-ci ne permettrait pas au Gestionnaire de packages de
modifier l’image.
9. Activez la journalisation dans un fichier journal distinct de certaines actions

d’injection de pilote de périphérique. Sur l’ordinateur sur lequel vous exécutez le

Gestionnaire de packages, modifiez la clé de Registre DebugPkgMgr située dans
HKLM\Software\Microsoft\Windows\CurrentVersion\Device Installer et donnez-lui la
valeur 0x01.
Cela crée un fichier Drivers.log pendant l’injection du package de pilote. Ce fichier

journal enregistre toutes les actions du processus d’injection du pilote.
292
Figure 7.17 : Création de la nouvelle valeur DWORD DebugPkgMgr
10. Utilisez le Gestionnaire de packages pour appliquer le fichier de réponses de

l’installation sans assistance à l’image de Windows Vista montée. Spécifiez un
emplacement pour le fichier journal à créer. Tapez : pkgmgr
/o:"C:\mount\;C:\mount\Windows" /n:"C:\pilotes.xml" /l:"C:\pkgmgrlogs\
logfile.txt".
Les fichiers .inf référencés dans le chemin d’accès du fichier de réponses sont ajoutés à
l’image de référence Windows Vista. Vous pouvez ouvrir le fichier Drivers.log et
examiner les actions d’injection du pilote de Gestionnaire de packages. Un fichier
journal est créé dans le répertoire C:\pkgmgrlogs\.
Examinez le contenu du répertoire \Windows\inf dans l’image de Windows Vista montée

pour vérifier que les fichiers .inf ont été installés. Les pilotes ajoutés à l’image de
Windows sont nommés oem*.inf. Cette opération assure que les nouveaux pilotes
intégrés sur l’ordinateur portent un nom unique. Ainsi, les fichiers Pilote1.inf et Pilote2
.inf sont renommés oem0.inf et oem1.inf.
Figure 7.18 :

Contenu du répertoire
\Windows\inf de l’image
montée
11. Enfin, démontez le fichier .wim et validez les modifications. Tapez : imagex
/unmount /commit C:\mount.
L’image de Windows est fermée et prête à repartir dans votre processus de déploiement.
Vous avez mis à jour le contenu de l’image à partir de votre poste, sans pour autant avoir
à rejouer un Sysprep et une recréation d’image.
Activer ou désactiver les fonctionnalités Windows lorsque le

système d’exploitation est hors connexion
Pour activer ou désactiver des fonctionnalités Windows d’une image Windows hors
connexion, créez un fichier de réponses d’installation sans assistance avec Windows SIM
293
et utilisez-le comme entrée pour le Gestionnaire de packages. Un peu comme ce que

vous venez de le faire avec l’ajout de pilotes mais les composants à utiliser ne sont pas les
mêmes.
2. Développez le catalogue dans le volet Image Windows et développez les lignes
Packages, puis Foundation.
Figure 7.19 :
Le package Windows Foundation
3. Cliquez avec le bouton droit de la souris sur Microsoft-Windows

-Foundation-Package et cliquez sur Ajouter au fichier de réponses.
Figure 7.20 : Configuration du package Windows Foundation
294
4. Cliquez sur Activé ou sur Désactivé (Enabled ou Disabled) près des fonctionnalités
que vous souhaitez activer ou désactiver. Cliquez sur la flèche pour sélectionner le
contraire.
5. Vous devrez peut-être développer un élément pour voir tous ses enfants. Le parent
doit être activé si l’un de ses enfants est activé.
6. Cliquez sur Outils dans le menu principal et cliquez sur Valider le fichier de
réponses.
7. Corrigez toutes les erreurs qui apparaissent dans le volet Messages et sauvegardez
le fichier de réponses, par exemple sous le chemin C:\addwinfeatures.xml.
8. Montez l’image Windows hors connexion. Tapez imagex /mountrw
C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se
trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de
montage s’appelle C:\mount. La première image de Windows dans le fichier
moninstall.wim est montée sur C:\mount.
9. Dans l’Invite de commandes, exécutez la commande suivante : pkgmgr
/o:"C:\mount\;C:\mount\Windows" /n:"C:\addwinfeatures.xml".
10. Enfin, démontez le fichier .wim et validez les modifications. Tapez : imagex
/unmount /commit C:\mount.
L’image de Windows est fermée et prête à repartir dans votre processus de déploiement.
Vous avez ajouté, dans cet exemple, l’installation de la fonctionnalité Windows de
serveur web personnel comme effective pour chaque nouvelle installation faite à partir
de cette image.
Installer ou supprimer des packages hors connexion à l’aide

du Gestionnaire de package

Pour installer ou supprimer des packages à une image hors connexion, procédez de la
sorte :
2. Cliquez sur Insérer dans le menu principal et sélectionnez Packages.
3. Cherchez le package désiré et cliquez sur Ouvrir. Les packages sont des fichiers
.cab.
4. Validez et sauvegardez le fichier de réponses, par exemple sous le chemin
C:\newpackage.xml.
5. Montez l’image Windows hors connexion. Dans une Invite de commandes, tapez
imagex /mountrw C:\images\moninstall.wim 1 C:\mount, où l’image de
295
référence à modifier se trouve dans le répertoire C:\images et s’appelle moninstall

.wim et le répertoire de montage s’appelle C:\mount. La première image de
Windows dans le fichier moninstall.wim est montée sur C:\mount.
6. Dans la même fenêtre d’Invite de commandes, tapez la commande suivante :
pkgmgr /o:"C:\mount\;C:\mount\Windows" /n:"C:\newpackage.xml"
/l:"C:\pkgmgrlogs\logfile.txt".
7. Ouvrez le fichier journal afin de vérifier si le package a été ajouté avec succès.
8. Procédez aux modifications et au démontage de l’image. Tapez : imagex /unmount
/commit C:\mount.
Vous avez rajouté un package de type fichier .cab à une image à froid.
Installer un pack de langues dans une image hors connexion

Vous pouvez utiliser le Gestionnaire de packages pour installer un ou plusieurs modules
linguistiques (packs de langues) dans une image de Windows hors connexion.
L’ajout de plusieurs modules linguistiques à une image de Windows peut en augmenter

la taille de façon importante. Un fichier d’image .wim de Windows Vista avec différents
modules linguistiques peut comporter plusieurs gigaoctets de plus qu’un fichier image
de Windows Vista en une seule langue. L’installation de grandes images de Windows sur
le réseau risque de ralentir les installations.
Pour utiliser le Gestionnaire de packages afin d’installer un nouveau module

linguistique :
1. Naviguez avec l’Explorateur Windows jusqu’à un ou plusieurs modules linguistiques
à installer dans le fichier image de Windows. Les modules linguistiques sont
enregistrés dans des fichiers .cab et sont appelés Lp.cab.
2. Utilisez Windows SIM pour créer un fichier de réponses contenant uniquement les
modules linguistiques que vous souhaitez installer.
Pour ajouter un module linguistique directement à un fichier de réponses :

3. Ouvrez un catalogue existant en cliquant avec le bouton droit de la souris sur
Sélectionner une image Windows ou un fichier catalogue et en spécifiant le type de
fichier catalogue dans le menu contextuel (.clg), ou créez un nouveau catalogue en
cliquant sur Créer un catalogue dans le menu Outils. Cliquez sur Insérer dans le
menu principal et sélectionnez Packages. Cherchez le package désiré et cliquez sur
Ouvrir. Les packages sont des fichiers .cab.
4. Enregistrez le fichier de réponses en lui donnant le chemin C:\langpack.xml par
exemple et fermez Windows SIM.
296
Le fichier de réponses doit être similaire à l’extrait suivant :

<servicing>
<package action="install">
<assemblyIdentity name="Microsoft-Windows-LanguagePack-Package"
✂ version="6.0.5350.0" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="fr-FR" />
<source location="C:\LPs\fr-fr\lp.cab" />
</package>
<package action="install">
<assemblyIdentity name="Microsoft-Windows-LanguagePack-Package"
✂ version="6.0.5350.0" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="fr-FR" />
<source location="C:\LPs\fr-FR\lp.cab" />
</package>
</servicing>
<cpi:offlineImage cpi:source="wim:C:\images\puzzmaniainstall.wim#Windows
✂ Vista ULTIMATE" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend>
5. Utilisez ImageX pour monter l’image de Windows que vous souhaitez appliquer au
module linguistique. Dans une Invite de commandes, tapez imagex /mountrw
C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se
trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de
montage s’appelle C:\mount. La première image de Windows dans le fichier
moninstall.wim est montée sur C:\mount.
6. Utilisez le Gestionnaire de packages pour appliquer le fichier de réponses de
l’installation sans assistance à l’image de Windows montée. Tapez : pkgmgr
/o:"C:\mount\;C:\mount\Windows" /n:"C:\langpack.xml".

Le module linguistique est installé dans l’image de Windows.
7. Utilisez Intlcfg.exe pour recréer le fichier Lang.ini et sélectionner les valeurs
internationales par défaut. Lorsque vous ajoutez ou supprimez des modules
linguistiques dans une image de Windows, vous devez recréer le fichier Lang.ini. Le
fichier Lang.ini est utilisé pendant l’installation de Windows et contient une liste de
tous les modules linguistiques disponibles, les emplacements des modules
linguistiques et la langue par défaut à utiliser pendant l’installation de Windows.
Recréez le fichier Lang.ini avec la commande suivante : intlcfg −genlangini
−dist:C:\images −image:C:\mount –defaultlang:fr−FR –all:fr−FR.
Le fichier Lang.ini est recréé et comprend une liste des modules linguistiques installés.
En outre, la langue par défaut à utiliser pendant le processus d’installation de Windows
et la langue par défaut de l’installation de Windows sont définies à fr−FR.
8. Vous pouvez afficher les langues qui sont disponibles ou qui sont installées dans
l’image de Windows avec l’option −report de la commande Intlcfg. Tapez :
intlcfg −report −dist:C:\images −image:C:\mount.
297
Vérifiez que la langue installée apparaît. Voici un retour de cette commande :

Reporting offline settings...
The installed languages are:
fr-FR:
Type: Fully localized language
Reporting distribution languages...
The other available languages in the distribution are:
No languages found
The default system UI language is 040C
System locale is 040c
The default timezone is Romance Standard Time
User locale for default user is fr-FR
The location is 84
The active keyboards are:
0409:00000409, 040c:0000040c
The default keyboard is 040c:0000040c
9. Procédez aux modifications et au démontage de l’image. Tapez : imagex /unmount

/commit C:\mount.
L’image de Windows est prête à être réinjectée dans votre processus de déploiement.
Si vous voulez modifier la langue utilisée pendant l’installation de Windows, vous devez
ajouter les ressources localisées de l’installation de Windows à la distribution de
Windows.
Les limitations du Gestionnaire de packages

Le Gestionnaire de packages possède tout de même un certain nombre de limitations
qu’il vous faut connaître afin de mesurer au mieux son champ d’action :
j L’installation des packages sur un ordinateur distant à travers un réseau n’est pas
prise en charge. L’image de Windows doit être présente sur le système local. Le
Gestionnaire de packages peut prélever des packages sur un partage réseau, mais il
doit les copier sur un répertoire temporaire local, accessible en écriture, appelé
répertoire bac à sable (sandbox).
j Le Gestionnaire de packages s’exécute à partir d’une Invite de commandes et
comporte une interface utilisateur très limitée.
j Si vous spécifiez un fichier de réponses avec le Gestionnaire de packages, seuls les
paramètres spécifiés dans la passe de configuration OfflineServicing sont appliqués.
Tous les autres paramètres dans le fichier de réponses sont ignorés.
j Le Gestionnaire de packages peut être utilisé avec des fichiers image de Windows
plus anciens (.wim), mais pas avec des images de Windows qui sont plus récentes que la
version installée du WAIK de Windows Vista avec lequel le Gestionnaire de packages est
distribué.
298
En résumé
j Le Gestionnaire de packages peut installer uniquement des fichiers .cab. Les

composants de MSI doivent être installés en ligne à l’aide d’OCSetup.
j N’utilisez pas le Gestionnaire de packages pour installer Windows PE. Le
Gestionnaire de packages peut servir à la maintenance dans Windows PE des
images appliquées hors connexion, mais les opérations de montage d’ImageX ne
sont pas prises en charge.
j Les Service Packs doivent être installés en ligne avec l’utilitaire d’installation
Windows Update StandAlone.
7.5. En résumé
Dans ces grandes lignes, le déploiement de Windows Vista n’a plus de secret pour vous.
Vous savez capturer et appliquer une image. Vous savez également que Windows Vista
met en œuvre un certain nombre d’outils qui permettent d’ajouter de la valeur, comme
Oobe.xml et la mise à jour à froid d’une image. Ces outils offrent une grande souplesse
dans la durée de vie de l’image dans le processus de déploiement. Utilisez-les.

299
Chapitre 8
Les services de
déploiement
Windows
8.1 Le fonctionnement des services de déploiement Windows . . . . . . . . . . . . . . . 303
8.2 Installer les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . . 305
8.3 Les modes de fonctionnement des services de déploiement Windows . . . . . . . . 309
8.4 Configurer les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . 310
8.5 Configurer DHCP pour les services de déploiement Windows . . . . . . . . . . . . . 312
8.6 Les images de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
8.7 Les images d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
8.8 Les groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
8.9 La stratégie de noms de clients et l’emplacement de compte . . . . . . . . . . . . . 326
8.10 Le programme de démarrage par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 332
8.11 WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
8.12 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Le fonctionnement des services de déploiement Windows
J usqu’à présent Windows Server 2003 ne disposait que d’un seul moyen de
déploiement nommé RIS (Remote Installation Services, "services d’installation à
distance"). Cet ensemble de services répondait aux besoins des entreprises, jusqu’à
l’arrivée de Windows Vista qui bouleverse les méthodes de déploiement chez Microsoft.
Pour répondre à ces changements, Windows Server 2003 SP2 inclut une version
profondément remaniée de RIS désormais nommée "services de déploiement Windows"
ou WDS, qui aide les entreprises à préparer l’arrivée de Windows Vista et de Windows
Server 2008. WDS assure le stockage, l’administration et le déploiement des images qui
utilisent le nouveau format WIM (Windows Imaging).
Les services de déploiement Windows améliorent RIS sur plusieurs points :

j la prise en charge native de Windows PE comme système d’exploitation
d’amorçage ;
j la prise en charge native du format de fichier WIM (Windows Imaging) ;
j le composant serveur PXE extensible et plus performant ;
j le nouveau menu d’amorçage client pour choisir le système d’exploitation.
Les services de déploiement Windows réduisent le coût total de possession et la

complexité des déploiements en apportant une solution de bout en bout pour déployer
des systèmes d’exploitation Windows sur des ordinateurs sans systèmes d’exploitation.
WDS prend en charge des environnements mixtes incluant Windows XP et Windows
Server 2003.
Services de déploiement Windows

Les services de déploiement Windows sont livrés dans les services Pack 2 de Windows
Server 2003. Cependant, les entreprises qui souhaitent utiliser ces services avant de
déployer les services Pack les trouveront en téléchargement et peuvent les installer si
les prérequis sont respectés.
8.1. Le fonctionnement des services de déploiement
déploiement Windows
8. Les services de
Windows
Même si, dans l’ensemble, les démos ou les documents Microsoft montre l’exécution des
services de déploiement Windows sur des serveurs Longhorn, il n’en reste pas moins que
le composant peut être installé à partir des versions de serveurs Windows Server 2003
Service Pack 1. Il doit également fonctionner dans un environnement Active Directory,
ou un serveur DHCP doit être présent avec des adresses disponibles ainsi que DNS.
WDS (Windows Deployment Services) prend en charge nativement le format WIM et

Win PE en version optimisée et en version personnalisée. Le composant PXE devient
plus performant et plus facile à administrer grâce à un ensemble de commandes.
303
Chapitre 8 Les services de déploiement Windows
Globalement, WDS ressemble à RIS, puisque le premier prérequis pour installer WDS
consiste à installer le service RIS. Sachez qu’avec les services de déploiement Windows,
vous avez différents modes d’utilisation. On peut imaginer en effet que certaines
entreprises possèdent déjà un environnement RIS avec des images. Si vous installez les
services de déploiement Windows sur votre serveur RIS, les services de déploiement
Windows vont pouvoir fonctionner en mode mixte et vous pourrez réutiliser vos images
après les avoir converties. Cela signifie qu’il existe un chemin de migration entre les
serveurs RIS actuels et les services de déploiement Windows. Libre à vous de repartir de
zéro sur un serveur de services de déploiement Windows "propre" ou de réaliser une
mise à niveau de votre serveur RIS.
Figure 8.1 : Fonctionnement de Windows Deployment Services en six étapes

8. Les services de
Le fonctionnement des services de déploiement Windows se déroule en six étapes :

j Le poste démarre et demande une adresse DHCP.
j Le serveur DHCP alloue une adresse.
j Le client contacte le serveur de services de déploiement Windows.
j Les services de déploiement Windows vérifient si le poste existe dans l’Active
Directory.
304
Installer les services de déploiement Windows
j Les services de déploiement Windows répondent ou transfèrent la demande au

service de déploiement Windows le plus proche.
j L’image est installée sur le poste.
8.2. Installer les services de déploiement Windows

L’installation des services de déploiement Windows est cependant très simple puisqu’il
ne s’agit en fait que d’installer un service.
Pour cela, vous devez aller dans le sous-répertoire WDS du répertoire WAIK.
Installation des services de déploiement Windows

Deux cas de figure sont possibles : l’installation des services de déploiement à partir
d’un fichier téléchargé et l’installation à partir de l’ajout d’un composant du Services
Pack 2 de Windows Server 2003.
Nous avons souhaité montrer l’installation à partir d’un fichier téléchargé. Cela
permet de présenter les prérequis, mais aussi d’accompagner les entreprises encore en
Services Pack 1 de Windows 2003 Server.
Figure 8.2 : Chemin de l’exécutable du service WDS
8. Les services de
Prérequis
Avant de commencer l’installation des services de déploiement Windows, vous devez
ajouter le service RIS. Pour cela, rendez-vous dans le menu Démarrer. Dans le
Panneau de configuration, sélectionnez Ajout et suppression de programme, puis
Ajout et suppression de composants Windows. Cochez la case Service d’installation à
distance.
305
Figure 8.3 : Ajout du service RIS comme prérequis d’installation des services de
Pour réaliser l’installation, procédez ainsi :

1. Placez-vous dans le répertoire WAIK\WDS pour lancer l’installation du service.
Cliquez sur windows-deployment-services-update-x86.exe si votre serveur est une
machine X86 ou sur windows-deployment-services-update-amd64.exe si votre serveur
est une machine à base de processeurs 64 bits d’AMD.
2. Dans la fenêtre d’accueil Mises à jour des services de déploiement Windows pour
Windows Server 2003, cliquez sur Suivant pour démarrer l’installation.
3. Acceptez les termes de licence en cliquant sur J’accepte. Cliquez sur Suivant pour
passer à l’étape suivante.
4. À la fin de l’installation, si vous ne souhaitez pas redémarrer votre serveur, cochez
la case Ne pas redémarrer, puis cliquez sur Terminer. Sinon, cliquez uniquement sur
Terminer. Votre serveur rebootera en fin d’installation.

8. Les services de
Pour installer les services de déploiement Windows à partir d’une Invite de commandes,
procédez ainsi :
1. Ouvrez une fenêtre d’Invite de commandes en tant qu’administrateur et placez-vous
sur le dossier contenant l’installation du service.
2. Dans la fenêtre d’Invite de commandes, tapez WINDOWS−DEPLOYMENT
−SERVICES−UPDATE−X86 /quiet /forcerestart pour l’architecture de
l’ordinateur et l’architecture du système d’exploitation.
306
Installer les services de déploiement Windows
Figure 8.4 : Installation des services de déploiement Windows en ligne de commandes en

mode silencieux avec un redémarrage forcé
Une fois l’installation terminée, le serveur redémarre. Cependant, il faut vérifier que les
services sont bien installés. Pour cela, vous pouvez aller dans les outils d’administration
et vérifier la présence du service Héritage de service de déploiement Windows et des
services de déploiement Windows.
8. Les services de
Figure 8.5 : Vérification des services de déploiement dans le menu Outils d’administration
307
Vous pouvez également utiliser des options pour modifier le comportement de

l’installation. Voici la liste d’option d’installation des services de déploiement Windows.
Tableau 8.1 : Options d’installation des services de déploiement Windows

Option Explication
/help Vous pouvez l’utiliser dans la ligne de commandes pour répertorier
ces options.
/quiet Vous pouvez l’utiliser lorsque vous ne voulez aucune interaction
utilisateur, ni affichage d’informations durant l’installation.
/passive Vous pouvez l’utiliser lorsque vous ne voulez aucune interaction
utilisateur, mais que vous voulez voir une barre d’état pour contrôler
la progression de l’installation.
/norestart Vous pouvez l’utiliser pour supprimer le redémarrage après
l’installation.
/forcerestart Vous pouvez l’utiliser pour vous assurer du redémarrage après
l’installation.
/warnrestart[:<secondes>] Vous pouvez l’utiliser lorsque vous voulez être averti avant le
redémarrage de l’ordinateur, après l’installation. La valeur par défaut,
si aucun argument n’est fourni, consiste à vous prévenir
20 secondes avant le redémarrage.
/promptrestart Vous pouvez l’utiliser lorsque vous voulez qu’un message vous
demande si un redémarrage est requis.
/overwriteoem Vous pouvez l’utiliser si vous voulez remplacer des répertoires OEM
existants et supprimer les fichiers existants dans les répertoires.
/nobackup Vous pouvez l’utiliser si vous ne voulez pas sauvegarder les fichiers
nécessaires à la désinstallation des services de déploiement
Windows.
/forceappsclose Vous pouvez l’utiliser lorsque vous voulez fermer les autres
applications susceptibles d’empêcher l’ordinateur de redémarrer.
/integrate:<chemin_complet> Vous pouvez l’utiliser pour installer les mises à jour logicielles avec
les services de déploiement Windows.
/log:<chemin_complet> Vous pouvez l’utiliser pour créer un fichier journal dans le chemin
8. Les services de
indiqué.
308
Les modes de fonctionnement des services de déploiement Windows
8.3. Les modes de fonctionnement des services de

Puisque les services de déploiement Windows se doivent d’assurer la transition et la
convergence des différents formats d’image, ils prennent en charge trois modes de
fonctionnement : hérité, mixte et natif.
Le mode hérité
Le mode hérité des services de déploiement Windows fonctionne de manière similaire
aux services d’installation à distance (RIS). Dans ce mode, seul OSChooser est présent
comme système d’exploitation de démarrage et seules les images RISETUP et RIPREP
sont prises en charge. Les nouveaux outils de gestion des services de déploiement
Windows ne sont pas utilisés ; les utilitaires RIS hérités sont les seuls à autoriser la
gestion du serveur. Vous pouvez utiliser le mode hérité des services de déploiement
Windows en installant la mise à jour des services de déploiement Windows, mais sans la
configurer, par le biais de l’assistant d’installation ou à l’aide de WDSUTIL à partir
d’une Invite de commandes. Le mode hérité n’est pas pris en charge par Windows
Server 2003.
Le mode mixte
Le mode mixte des services de déploiement Windows décrit un état du serveur prenant
en charge les services RIS hérités et la nouvelle fonctionnalité des services de
déploiement Windows. En mode mixte, le menu OSChooser est disponible en même
temps que les images de démarrage Win PE. Dans ce mode, il sera possible d’accéder
aux anciens types d’images RISETUP et RIPREP par le biais d’OSChooser et les
nouvelles images de format WIM seront disponibles en utilisant une image de
démarrage Win PE (image de démarrage Windows Vista PE avec le client Services de
déploiement Windows). Du point de vue du client, un menu de démarrage permettra
d’effectuer des sélections dans RIS ou dans Windows Server Longhorn Win PE. D’un
point de vue gestion, un administrateur utilisera les outils de gestion hérités pour
administrer les images RISETUP et RIPREP et il utilisera les outils WDS pour
8. Les services de
administrer le serveur et les images WIM. Le mode mixte des services de déploiement
Windows n’est disponible que dans Windows Server 2003. Vous l’obtenez en installant
la mise à jour des services de déploiement Windows sur un serveur RIS configuré
précédemment et en configurant WDS à l’aide de l’assistant d’installation ou de
l’utilitaire WDSUTIL à partir d’une Invite de commandes.
Le mode natif
Le mode natif des services de déploiement Windows s’applique à un serveur WDS avec
des images de démarrage Win PE uniquement. Dans ce mode, OSChooser n’est pas
disponible et les images WIM sont le seul type d’images pris en charge pour le
309
déploiement vers les clients. La gestion du serveur s’effectue entièrement à partir des
nouveaux utilitaires de gestion des services de déploiement Windows. Le mode natif des
services de déploiement Windows est disponible sous Windows Server 2003, et
Windows Server Longhorn Il est le seul mode des services de déploiement Windows pris
en charge sous Windows Server Longhorn. Pour utiliser le mode natif sur un serveur
Windows Server 2003, installez, mais ne configurez pas RIS, puis installez et configurez
les services de déploiement Windows. Vous pouvez également forcer votre serveur à
passer en mode natif en exécutant WDSUtil /set−server /ForceNative.
8.4. Configurer les services de déploiement Windows

Une fois installés, les services de déploiement Windows ne sont pas pour autant
fonctionnels. Il est nécessaire de les configurer.
Pour configurer les services de déploiement Windows à partir de l’assistant, procédez

ainsi :
1. Pour ouvrir le composant logiciel enfichable Services de déploiement Windows,
activez le menu Démarrer/Outils d’administration/Services de déploiement
Windows.
8. Les services de
Figure 8.6 : Lancement des services de déploiement Windows
310
Configurer les services de déploiement Windows
2. Dans le volet gauche du composant logiciel enfichable Services de déploiement

Windows, cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur
Configurer le serveur.
3. Dans la page d’accueil de l’Assistant Installation de Services de déploiement
Windows, assurez-vous que votre environnement répond aux conditions énoncées,
puis cliquez sur Suivant.
4. Entrez un chemin pour le dossier d’installation distante et cliquez sur Suivant.
5. Si vous choisissez d’installer les services de déploiement Windows sur le lecteur
système, un message d’avertissement s’affiche. Cliquez sur Oui pour continuer
l’installation, ou sur Non pour sélectionner un nouvel emplacement d’installation.
Figure 8.7 : Avertissement d’installation sur le volume système
Figure 8.8 :
Installation d’un autre
chemin d’accès que la
partition système
8. Les services de
6. Dans la fenêtre Emplacement du dossier d’installation à distance, saisissez le
chemin d’accès, par exemple D:\RemoteInstall (voir fig. 8.9).
7. Dans la page de fin de l’Assistant Configuration des services de déploiement
Windows, vous pouvez ajouter des images au serveur ou désélectionner la case à
cocher Ajouter les images au serveur de déploiement Windows maintenant si vous
souhaitez ajouter des images ultérieurement. Cliquez sur Terminer.
311
Figure 8.9 :
Paramètres initiaux du
serveur
Configuration des services de déploiement Windows

Même si vous avez déjà configuré les services de déploiement Windows à partir de
l’assistant d’installation, il est toujours possible de les configurer et de modifier la
configuration à partir de la console d’administration. Pour cela, cliquez du bouton
droit de la souris sur le nom de votre serveur, puis sélectionnez PXE Server Setting.
Une fois la console lancée, vous pouvez voir vos services de déploiement Windows dans
votre domaine Active Directory. En dessous du serveur se trouvent quatre icônes.
j Images d’installation : vous y trouvez toutes les images parsées.
j Images de démarrage : ici se trouve tout ce qui peut être bootable, Boot.wim (le
Win PE optimisé pour l’installation de Windows Vista) ainsi que vos Win PE
personnalisés.
j Images héritées : c’est la partie où sont stockées toutes les anciennes images RIS
réalisées à partir de Risetup.
8. Les services de
j Périphériques en attente : liste l’ensemble des machines autorisées ou non à se

connecter au serveur WDS.
8.5. Configurer DHCP pour les services de

Nous avons vu en introduction que les services de déploiement Windows ont comme
prérequis Active Directory et un serveur DHCP actif sur le réseau. Ils se basent sur
l’environnement PXE, qui à son tour utilise DHCP. Dans le cas où l’entreprise
312
Configurer DHCP pour les services de déploiement Windows
n’utiliserait qu’un seul serveur de déploiement, Il est nécessaire de modifier la

configuration DHCP si les services de déploiement Windows et DHCP sont installés sur
un seul serveur.
L’option DHCP 60
Si votre serveur DHCP est installé sur le même serveur que les services de déploiement
Windows, l’assistant Installation des services de déploiement Windows ajoute la
balise 60 de l’option DHCP, avec le paramètre de client PXE sélectionné, à toutes les
étendues DHCP en tant qu’option DHCP globale. C’est nécessaire pour qu’un client
PXE de démarrage reçoive une notification de la présence d’un serveur PXE en écoute
sur le réseau.
Si vous ajoutez le service DHCP à un serveur ou les services de déploiement Windows

sont existants, vous devez reconfigurer manuellement l’option DHCP 60. Vous disposez
pour cela de deux possibilités :
j la configuration à l’aide de la console d’administration Services de déploiement
Windows ;
j la configuration à l’aide de l’utilitaire WDSUTIL.
Pour configurer l’option DHCP 60 à partir de la console Services de déploiement

Windows, procédez ainsi :
1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement
Windows.
2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur le
lien Serveurs pour développer la liste correspondante.
3. Cliquez avec le bouton droit de la souris sur le serveur, puis cliquez sur Propriétés.
8. Les services de
Figure 8.10 : Propriété du serveur de déploiement
313
4. Dans la page Propriétés du serveur, cliquez sur l’onglet DHCP.

5. Dans la page Options DHCP, cliquez sur Configurer l’option DHCP 60 avec la
valeur « PXEClient ».
Figure 8.11 :
Configuration de
l’option DHCP 60 dans
le serveur de déploiement
Droits utilisateur
Pour exécuter cette procédure, vous devez être membre du groupe Opérateurs de
compte ou du groupe Administrateurs du domaine, ou avoir reçu par délégation les
autorisations nécessaires.
Le port 67
Si le service DHCP est installé sur le même serveur que les services de déploiement
8. Les services de
Windows, l’assistant de configuration des services de déploiement Windows configurera

WDS en sélectionnant l’option Ne pas écouter sur le port 67. C’est nécessaire pour que les
clients de démarrage puissent détecter le serveur DHCP sur le réseau.
Si vous ajoutez le service DHCP à un serveur de services de déploiement Windows

existant, vous devez reconfigurer le port 67, ce qui est possible à l’aide de l’une des deux
procédures suivantes :
j la configuration de l’option Port 67 à l’aide de la console d’administration Services
de déploiement Windows ;
j la configuration de l’option Port 67 à l’aide de l’utilitaire WDSUTIL.
314
Les images de démarrage
Pour configurer le port 67 à l’aide de la console d’administration Services de

déploiement Windows, procédez ainsi :
Windows.
4. Dans la page Propriétés du serveur, cliquez sur l’onglet DHCP.
5. Dans la page Options DHCP, cliquez sur Ne pas écouter sur le port 67.
Figure 8.12 :
Configuration du port 67
Droits utilisateur
Pour exécuter cette procédure, vous devez être membre du groupe Opérateurs de
compte ou du groupe Administrateurs du domaine, ou avoir reçu par délégation les
8. Les services de
autorisations nécessaires.
8.6. Les images de démarrage

Les images de démarrage sont des images Win PE contenant le client Services de
déploiement Windows. Elles sont utilisées pour présenter un menu de démarrage initial
lorsqu’un client contacte le serveur de services de déploiement Windows.
315
j Les images d’installation représentent le type d’image par défaut lorsque vous
exportez une image de démarrage à partir du magasin d’images des services de
déploiement Windows. Lorsqu’un client démarre une image d’installation, le
programme d’installation de Windows est immédiatement appelé.
j Les images de capture offrent une alternative à l’utilitaire de ligne de commande
ImageX lors de la capture d’une image préparée avec l’utilitaire Sysprep. Lorsqu’un
client démarre sur une image de capture, l’utilitaire de capture des services de
déploiement Windows est appelé et vous guide pour la capture et l’ajout d’une
nouvelle image.
j Les images de découverte sont des images de démarrage qui prennent en compte les
services de déploiement Windows, pouvant être copiées sur un CD pour être utilisé
lorsque les services de démarrage de l’environnement d’exécution de prédémarrage
(PXE) sont indisponibles. Après le démarrage sur une image de découverte,
l’utilisateur voit s’afficher le menu client des services de déploiement Windows et
continue le programme d’installation comme lorsqu’un démarrage PXE se produit.
Ajouter une image de démarrage

Pour ajouter une image de démarrage à l’aide de la console d’administration Services de
Windows.
3. Cliquez avec le bouton droit de la souris sur le dossier Images de démarrage et
cliquez sur Ajouter une image de démarrage.
8. Les services de
Figure 8.13 : Ajout d’une image de démarrage
316
Les images de démarrage
4. Dans la fenêtre Fichier Image, cliquez sur Parcourir pour sélectionner l’image à
ajouter, puis cliquez sur Suivant.
Figure 8.14 :
Emplacement du fichier
d’image bootable
5. Dans la fenêtre Métadonnées d’image, entrez le nom de l’image et sa description,

6. Cliquez sur Suivant dans la fenêtre Résumé.
7. Une fois la progression de la copie achevée, cliquez sur Terminer.
8. Les services de
Figure 8.15 : Fin de la copie d’installation
317
Exporter une image de démarrage

Pour exporter une image de démarrage à l’aide de la console d’administration des
services de déploiement Windows, procédez ainsi :
Windows.
3. Sélectionnez le dossier Images de démarrage.
4. Cliquez avec le bouton droit de la souris sur une image, puis cliquez sur Exporter
l’image.
Figure 8.16 : Export d’une image
5. Dans la fenêtre Exporter en tant que, sélectionnez le chemin et tapez un nom de

fichier pour l’image. Cliquez sur Enregistrer.
8. Les services de
Figure 8.17 : Nom et destination de l’image exportée
318
Les images d’installation
Supprimer une image de démarrage

Pour supprimer une image de démarrage à l’aide de la console d’administration Services
de déploiement Windows, procédez ainsi :
Windows.
3. Sélectionnez l’entrée Images de démarrage.
4. Dans le volet droit de la console d’administration, cliquez avec le bouton droit de la
souris sur l’image et cliquez sur Supprimer l’image.
Figure 8.18 : Suppression d’une image de démarrage
5. Dans la boîte de dialogue de confirmation, cliquez sur Oui pour supprimer l’image.
8.7. Les images d’installation
Les images d’installation sont des images du système d’exploitation qui sera installé sur
8. Les services de
les ordinateurs clients, qui démarrent sur un serveur des services de déploiement
Windows.
j Format WIM : les fichiers WIM représentent un nouveau format de fichier
contenant une ou plusieurs images Windows compressées. Les fichiers WIM
reposent sur des fichiers, plutôt que sur des secteurs, ce qui facilite la mise à jour des
images existantes. Les fichiers WIM intègrent également la technologie SIS (Single
Instance Storage), pour éviter les doublons de fichiers au sein d’un WIM.
j Images RIPREP : les images RIPREP sont des images des services d’installation à
distance héritées. Les services de déploiement Windows, en mode hérité ou mixte,
319
peuvent déployer des images RIPREP. Les images RIPREP dépendent de la

couche HAL et de la langue, ce qui rend leur prise en charge très coûteuse.
j Images RISETUP : les images RISETUP représentent le premier type d’image des
services d’installation à distance. Pour l’essentiel, il s’agit d’une copie de la structure
de répertoires du CD (répertoire i386) sur un partage de fichiers sur le serveur des
services d’installation à distance. Les images RISETUP présentent un avantage
considérable par rapport aux images RIPREP des services d’installation à distance :
elles ne dépendent pas de la couche HAL.
8.8. Les groupes d’images

Un groupe d’images est un ensemble de fichiers image WIM qui partage une sécurité et
des ressources de fichiers communes. Les groupes d’images limitent les services car
l’action de maintenir une image au sein d’un groupe d’images, par exemple l’application
d’un correctif logiciel, d’un Service Pack ou la mise à jour de fichiers, nécessite un accès
exclusif au groupe. Les ressources de fichiers sont partagées sur le groupe d’images à
instance unique bien que les métadonnées de chaque image résident dans un fichier
WIM physique à part. Les groupes d’images contiennent deux types de fichiers :
j Res.rwm contient les flux de fichiers des images, comme il est défini dans Install.wim,
Install2.wim et WinXP.wim. Notez que chaque groupe d’images possède son propre
fichier Res.rwm.
j Install.wim contient les métadonnées d’image décrivant le contenu d’une image de
système d’exploitation. Les ressources de fichiers réelles de l’image se trouvent dans
Res.rwm.
8. Les services de
Figure 8.19 : Fichiers Res.rwm et Install.wim du groupe d’images Windows Vista x64
Chaque groupe d’images possède un fichier Res.rwm créé lors de l’ajout de la première
image au groupe. Res.rwm est connu comme étant un fichier WIM réservé aux
ressources uniquement ; toutes les ressources de tous les fichiers résident dans Res.rwm.
Le fichier .rwm est un fichier .wim renommé de manière à établir une distinction entre
le fichier .wim réservé aux ressources et le fichier .wims de métadonnées et à accélérer
320
Les groupes d’images
l’énumération des images. Dans la mesure où l’énumération d’images ne fonctionne que

sur les fichiers .wim, le fichier Res.rwm sera ignoré.
Les données d’un fichier WIM sont à instance unique, les fichiers dupliqués ne sont
donc stockés qu’une seule fois, ce qui réduit fortement le volume de stockage des images
d’un groupe d’images sur le disque.
Créer des groupes d’images

Pour créer un groupe d’images à l’aide de la console d’administration des services de
Windows.
2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur
Serveurs pour développer la liste correspondante.
3. Sélectionnez le dossier Images d’installation, cliquez avec le bouton droit de la
souris, puis sélectionnez Ajouter un groupe d’images.
8. Les services de
Figure 8.20 : Création d’un nouveau groupe d’images
4. dans le champ Entrez un nom pour le groupe d’images de la fenêtre Ajouter un groupe
d’images, saisissez Windows Vista x64, puis cliquez sur OK.
321
Figure 8.21 : Saisie du nom du nouveau groupe d’images
Ajouter une image d’installation

Pour ajouter une image d’installation à l’aide de la console d’administration des services
de déploiement Windows, procédez ainsi :
Windows.
Serveurs pour développer la liste.
3. Sélectionnez le dossier Images d’installation, cliquez avec le bouton droit de la souris
sur le groupe d’images dans lequel vous souhaitez ajouter l’image, par exemple
Windows Vista x64 dans notre étude de cas, et cliquez sur Ajouter une image
d’installation.
8. Les services de
Figure 8.22 : Sélection du groupe dans lequel vous allez ajouter votre image
322
4. Dans la fenêtre Fichier image, cliquez sur Parcourir pour sélectionner l’image à
ajouter, puis cliquez sur Suivant.
Figure 8.23 : Nom et chemin de l’image à ajouter dans le magasin du groupe d’images
Windows x64
5. Dans la fenêtre Liste des images disponibles, sélectionnez les images, activez
l’option Utilisez le nom par défaut et la description pour chaque image sélectionnée et
6. Dans la fenêtre Résumé, cliquez sur Suivant, puis sur Terminer.
Supprimer une image d’installation

Pour supprimer une image d’installation à l’aide de la console d’administration des
8. Les services de
Windows.
3. Sélectionnez Images d’installation.
4. Sélectionnez le groupe d’images contenant l’image, par exemple Windows Vista x64.
323
Figure 8.24 : Sélection du groupe qui possède l’image à supprimer
5. Dans le volet droit, cliquez avec le bouton droit de la souris sur l’image et cliquez sur
Supprimer l’image.
Figure 8.25 : Suppression de l’image

8. Les services de
6. Dans la boîte de dialogue, confirmez la suppression de l’image, cliquez sur Oui pour
supprimer l’image.
Figure 8.26 :
Confirmation de la suppression de l’image
324
Exporter une image d’installation

Pour exporter une image d’installation à l’aide de la console d’administration des
Windows.
3. Cliquez sur le serveur, puis sur le dossier Images d’installation.
4. Sélectionnez le groupe d’images, puis cliquez avec le bouton droit de la souris sur
une image et sélectionnez Exporter l’image.
Figure 8.27 : Export d’une image d’installation
5. Dans la fenêtre Exporter en tant que, choisissez le chemin et le nom donné au

fichier, puis cliquez sur Enregistrer.
8. Les services de
Figure 8.28 : Export de l’image
325
8.9. La stratégie de noms de clients et l’emplacement

de compte
Vous pouvez utiliser la page Propriétés des services d’annuaire du serveur de
déploiement pour définir la stratégie de noms de clients par défaut et l’emplacement du
compte client. Les services de déploiement Windows offrent quatre méthodes pour
nommer un ordinateur et le placer dans une unité d’organisation :
j L’administrateur spécifie le nom de l’ordinateur et l’unité d’organisation.
j Le serveur spécifie le nom de l’ordinateur et l’unité d’organisation.
j Le client effectue toutes les actions d’ajout à un domaine lors du premier
démarrage.
j Un administrateur crée une interface utilisateur personnalisée.
L’administrateur spécifie le nom de l’ordinateur et l’unité

d’organisation
Vous pouvez spécifier le nom de l’ordinateur et l’unité d’organisation à rejoindre
ordinateur par ordinateur. Ce scénario vous demande d’activer la stratégie d’ajout
automatique des périphériques en attente, puis d’utiliser la console d’administration des
services de déploiement Windows pour spécifier le nom de l’ordinateur et l’unité
d’organisation une fois l’ordinateur approuvé. Les paramètres sont utilisés de deux
manières…
j Dans le cadre du processus d’approbation des périphériques en attente : il s’agit de
paramètres par serveur ou par architecture qui s’applique à tous les périphériques
approuvés. L’administrateur peut les ignorer sur ordinateur par ordinateur lors de
l’approbation.
j Pour les scénarios d’ajout à un domaine impliquant le client WDS : par défaut,
toutes les installations effectuées à l’aide du client Services de déploiement
Windows entraînent l’ajout de l’ordinateur au domaine à la fin du processus. Si
l’installation a lieu sur un client prédéfini (créé manuellement ou via Périphériques
8. Les services de
en attente), le client est ajouté en tant que périphérique existant. Si l’installation est
effectuée sur un nouvel ordinateur, le client Services de déploiement Windows crée
un compte d’ordinateur dans Active Directory en fonction de ces paramètres de
stratégie. Le client sera alors joint en tant que nouveau compte.
Spécifier la stratégie de noms de clients et l’unité

d’organisation lors de l’approbation
Pour spécifier la stratégie de noms de clients et l’unité organisationnelle lors de
l’approbation, procédez de la façon suivante :
326
La stratégie de noms de clients et l’emplacement de compte

Windows.
4. Sélectionnez l’onglet Paramètres de réponse PXE.
Figure 8.29 :
Onglet Paramètres de
réponse PXE du serveur
de déploiement
5. Cliquez sur Répondre à tous les ordinateurs clients (connus et inconnus).

6. Cliquez sur Pour les clients inconnus, informer l’administrateur et répondre après
accord.
7. Effectuez un démarrage PXE de l’ordinateur client.
Sur l’ordinateur client, un message s’affiche et indique l’ID de demande et l’adresse IP
8. Les services de
du serveur qui a été contacté lors du démarrage de l’ordinateur client.
8. Dans le composant logiciel enfichable Services de déploiement Windows,
sélectionnez le serveur que le client a contacté pour afficher le nouveau client sous
la rubrique Périphériques en attente.
327
Figure 8.30 : Client en attente dans le serveur dans la file d’attente du serveur de
déploiement
9. Cliquez avec le bouton droit de la souris sur le périphérique, puis cliquez sur
Approuver.
Figure 8.31 : Approbation du client en attente
10. Tapez un nom d’ordinateur et une unité d’organisation.

11. Cliquez sur OK.
12. Sur l’ordinateur client, choisissez une image dans le menu et appuyez sur [Ä].
Le serveur spécifie le nom de l’ordinateur et l’unité

d’organisation
Vous pouvez définir le nom de l’ordinateur et l’unité d’organisation serveur par serveur,
puis tous les clients créés à partir d’un serveur déterminé seront constitués avec une
stratégie de noms d’ordinateur cohérente et dans le même domaine. Ces paramètres
8. Les services de
sont définis sous les onglets Propriétés du serveur et les valeurs sont utilisées lorsque le
client Services de déploiement Windows démarre la première phase de l’installation.
Pour spécifier la stratégie de noms de clients et l’unité d’organisation par serveur,

procédez ainsi :
Windows.
3. Cliquez sur l’onglet Paramètres de réponse PXE.
328
4. Dans la partie Stratégie de réponse PXE, cliquez sur Répondre à tous les ordinateurs
clients (connus et inconnus).
Figure 8.32 :
Paramètres de réponse
PXE
5. Cliquez sur l’onglet Services d’annuaire.

6. Définissez la stratégie de nom de clients.
Stratégie de nom client

La stratégie de nom de clients par défaut est définie par le nom d’utilisateur suivi de
deux chiffres aléatoires. Vous pouvez utiliser les chiffres 1 à 9 pour modifier le nombre
de chiffres après le nom d’utilisateur.
7. Sous l’onglet Emplacement du compte client, choisissez l’unité d’organisation par
défaut (même domaine que le serveur des services de déploiement Windows) ou
8. Les services de
définissez une unité d’organisation pour le serveur.
8. Effectuez un démarrage PXE d’un ordinateur client pour le créer à l’aide de la
stratégie de nom de clients et de l’unité d’organisation spécifiées.
Définir la stratégie de noms d’ordinateurs

1. Pour vérifier que chaque ordinateur client est doté d’un nom d’ordinateur unique,
sélectionnez une option automatique d’attribution de noms sur la liste appropriée.
329
Toutes les options automatiques d’attribution de nom basées sur le nom de

l’utilisateur ajoutent un numéro incrémentiel au nom de l’utilisateur pour qu’il soit
unique.
2. Sélectionnez une option dans le tableau suivant pour créer automatiquement le
nom d’ordinateur personnalisé.
Tableau 8.2 : Définir une stratégie de noms d’ordinateurs

Variable Résultat
%First Le prénom de l’utilisateur est utilisé en tant que nom de l’ordinateur.
%Last Le nom de l’utilisateur est utilisé en tant que nom de l’ordinateur.
%Username Le nom d’utilisateur est utilisé en tant que nom de l’ordinateur.
%MAC L’adresse de contrôle d’accès au média de la carte réseau est utilisée en
tant que nom de l’ordinateur.
%[0][n]# Le nom d’ordinateur contient un numéro incrémentiel comprenant
n chiffres. Pour entrer un caractère de remplissage (0) dans le numéro
incrémentiel, tapez un zéro, comme indiqué. Par exemple, si vous
choisissez %03#, entrez un nombre à trois chiffres compris entre 001 et
999.
Bonne pratique
Évitez de créer une convention de nom qui pourrait générer des noms d’ordinateurs
dupliqués. Pour l’éviter, utilisez l’option de numéro incrémentiel décrite dans le
tableau précédent.
Lorsque vous définissez la règle d’attribution de noms de votre ordinateur, vous pouvez
limiter la longueur du nom de l’ordinateur en ajoutant une valeur numérique à la chaîne
de texte. Par exemple, pour réduire à trois caractères le nom d’ordinateur, avec un
numéro incrémentiel à deux chiffres ajoutés au nom de famille du dernier utilisateur,
utilisez la chaîne %3Last%02#. Le nom d’ordinateur attribué au cinquième utilisateur de
l’ordinateur dont le nom de famille est Paul, sera donc Paul05.
8. Les services de
Vous pouvez utiliser séparément ou combiner les options d’attribution de noms

personnalisées. Par exemple, si vous voulez que le nom d’ordinateur contienne les trois
premières lettres du prénom de l’utilisateur, puis les trois premières lettres du nom de
famille de l’utilisateur, suivi d’un nombre incrémentiel à trois chiffres, vous pouvez
utiliser la chaîne %3First%3Last%03#.
330
Effectuer toutes les actions d’ajout à un domaine lors du

premier démarrage
Les informations d’ajout à un domaine, y compris le nom d’ordinateur, le domaine et les
informations d’identification des utilisateurs, sont ajoutées par le client Services de
déploiement Windows dans le fichier d’installation sans assistance d’image utilisé lors
de l’installation du client. Si un fichier d’installation sans assistance existant est associé
à l’image que le client installe, ce fichier est mis à jour. Si l’image que le client installe
n’est pas associée à un fichier d’installation sans assistance, un fichier d’installation sans
assistance "modèle" est utilisé. Le modèle d’installation sans assistance des images de
bas niveau se trouve dans le répertoire \Templates du partage REMINST. Le modèle
d’installation sans assistance pour les images Windows Vista et Windows Server
Longhorn se trouve dans l’image elle-même, sous le nom \Windows\system32
\WdsUnattendFile.xml.
8. Les services de
Figure 8.33 : Fichier WdsUnattendFile.xml
Si vous utilisez un fichier d’installation sans assistance d’image, assurez-vous que le

fichier contient les balises adéquates :
j La balise <UnsecureJoin> est utilisée pour Unattend.xml.
331
j La balise <DoOldStyleDomainJoin> est utilisée pour Sysprep.inf.
La présence de ces balises indique que les services de déploiement Windows doivent
insérer les informations d’ajout au domaine.
La section Microsoft-Windows-Shell-Setup dans la passe <specialize> doit être

présente dans votre fichier d’installation sans assistance. Le nom d’ordinateur n’est pas
ajouté si la passe <specialize> ne contient pas au moins une section
Microsoft-Windows-Shell-Setup vide. L’objectif ici consiste à éviter le codage irréversible
des attributs de ce composant, notamment de publicKeyToken et de la langue.
8.10. Le programme de démarrage par défaut

Vous pouvez définir les paramètres du programme de démarrage par défaut pour
définir la façon dont le client PXE interagit avec le serveur de services de déploiement
Windows par architecture. Le tableau suivant décrit les programmes de démarrage
disponibles :
Programme de Fonctionnalité
démarrage
Abortpxe.com Ce programme est envoyé à un ordinateur client lorsqu’un
administrateur rejette un périphérique en attente.
Bootmgfw.efi La version EFI de pxeboot.com inclut toutes les fonctionnalités de
pxeboot.com, pxeboot.n12, abortpxe.com et bootmgr.exe.
Uniquement disponible pour ia64 actuellement.
Hdlscom1.com Vous pouvez utiliser ce programme pour rediriger la sortie du
microprogramme vers le port COM1 des systèmes qui ne prennent
pas en charge la redirection du microprogramme vers la console.
Vous pouvez ensuite appuyer sur [F12] pour passer au processus de
démarrage ou quitter ce processus en n’appuyant pas sur [F12].
Hdlscom1.n12 Vous pouvez utiliser ce programme pour rediriger la sortie du
pas en charge la redirection du microprogramme vers la console. Ce
programme ignorera la touche [F12] et démarrera directement le

8. Les services de
serveur PXE.
Hdlscom2.com Vous pouvez utiliser ce programme pour rediriger la sortie du
pas en charge la redirection du microprogramme vers la console.
Vous pouvez ensuite appuyer sur [F12] pour passer au processus de
démarrage ou quitter ce processus en n’appuyant pas sur [F12].
332
WDSUTIL
Programme de Fonctionnalité
démarrage
Hdlscom2.n12 Vous pouvez utiliser ce programme pour rediriger la sortie du
pas en charge la redirection du microprogramme vers la console. Ce
programme ignorera la touche [F12] et démarrera directement le
serveur PXE.
Pxeboot.com Vous pouvez utiliser ce programme de démarrage (par défaut) pour
inviter l’utilisateur à appuyer sur la touche [F12] pour accéder aux
services de démarrage.
Pxeboot.n12 Vous pouvez utiliser ce programme de démarrage pour ignorer la
touche [F12] et démarrer directement sur le serveur PXE.
Wdsnbp.com Wdsnbp.com est un programme de démarrage réseau utilisé par
les services de déploiement Windows et ne doit jamais être utilisé en
tant que programme de démarrage par défaut. Wdsnbp.com sert
les opérations générales suivantes :
- Il bloque le démarrage PXE. Cela permet aux services de
déploiement Windows d’exécuter la logique de réponse avancée en
évitant que le client n’expire tandis qu’il attend le serveur.
- Il rapporte l’architecture du client de démarrage lorsque celle-ci ne
peut pas être déterminée à partir du paquet réseau de démarrage
PXE. C’est particulièrement important sur les systèmes x64 qui ne
rapportent pas leur architecture 64 bits.
- Il résout les cas de références PXE lorsque les services de
déploiement Windows et services d’installation à distance sont
présents sur le même réseau ou segment réseau.
- Il agit en tant que protocole de démarrage réseau pour les cas
d’ajouts automatiques où il bloquera le processus de démarrage PXE
et interrogera le serveur sur l’état d’approbation.
8.11. WDSUTIL
8. Les services de
wdsutil
wdsutil est l’outil en ligne de commandes qui permet de configurer et d’administrer les
services de déploiement de Windows.
Syntaxe : wdsutil <cmd> [option]

/Get−AllDevices Affiche des informations sur tous les périphériques
préintermédiaires.
333
/Get−AllImageGroups Affiche les informations sur tous les groupes d’images.

/Get−AllImages Affiche les informations sur toutes les images.
/Get−AllServers Affiche les informations sur tous les serveurs de services de
déploiement Windows.
/New−CaptureImage Crée une image Win PE utilisée dans la capture des images du
système d’exploitation.
/New−DiscoverImage Crée une image Win PE utilisée dans la découverte du serveur
des services de déploiement Windows.
/Add−Device Ajoute un périphérique préintermédiaire.
/Get−Device Affiche les attributs d’un périphérique existant.
/Set−Device Change les attributs d’un périphérique existant.
/Add−Image Ajoute les images de démarrage ou d’installation.
/Copy−Image Copie une image dans le magasin d’images.
/Export−Image Exporte une image du magasin d’images vers un fichier WIM.
/Get−Image Affiche les attributs d’une image existante.
/Remove−Image Supprime une image de démarrage ou d’installation.
/Replace−image Remplace une image de démarrage ou d’installation par une
nouvelle version.
/Set−Image Change les attributs d’une image existante.
/Get−ImageFile Affiche les informations sur les images d’un fichier WIM.
/Add−ImageGroup Ajoute un groupe d’images.
/Get−ImageGroup Affiche les informations d’un groupe d’images.
/Remove−ImageGroup Supprime un groupe d’images.
8. Les services de
/Set−ImageGroup Change les attributs d’un groupe d’images existant.

/Approve−AutoAddDevices Approuve les périphériques d’ajout automatique en attente sur
le serveur.
/Reject−AutoAddDevices Refuse les périphériques d’ajout automatique en attente sur le
serveur.
/Get−AutoAddDevices Affiche les périphériques d’ajout automatique du serveur.
334
WDSUTIL
/Delete−AutoAddDevices Supprime les périphériques dans la base de données de

périphériques d’ajout automatique.
/Convert−RiPrepImage Convertit une image RIPREP existante en un fichier WMI.
/Disable−Server Désactive l’ensemble des services de déploiement Windows sur
un serveur.
/Enable−Server Active l’ensemble des services de déploiement Windows sur un
serveur.
/Get−Server Affiche les informations sur un serveur de services de
/Initialize−Server Configure un serveur de services de déploiement Windows pour
une utilisation initiale.
/Set−Server Configure les paramètres d’un serveur de services de
/Start−Server Démarre tous les services du serveur de services de déploiement
Windows.
/Stop−Server Arrête tous les services du serveur de services de déploiement
Windows.
/Uninitialize−Server Restaure les modifications effectuées lors de l’initialisation du
serveur.
/Update−ServerFiles Met à jour les fichiers du serveur sur le partage REMINST.
Pour illustrer la commande WDSUtil, voyez maintenant quelques exemples

d’administration du serveur en ligne de commandes…
Configurer l’option 60 en ligne de commandes
8. Les services de
Pour configurer l’option DHCP 60 à l’aide de l’utilitaire WDSUtil, procédez ainsi :
1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le
2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /set−server
/DHCPOption60:yes.
C:\Documents and Settings\Administrateur>WDSUTIL /set-server

✂ /DHCPOption60:yes
335
Utilitaire de gestion des services de déploiement Windows [Version

✂ 6.0.6000.16386]
Copyright (C) Microsoft Corporation. Tous droits réservés.
La commande s’est terminée correctement.
C:\Documents and Settings\Administrateur>
Configurer le port 67 en ligne de commandes

Pour configurer le port 67 à l’aide de l’utilitaire WDSUtil, procédez ainsi :
bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant
qu’administrateur.
2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /set−server
/usedhcpports:no.
C:\Documents and Settings\Administrateur>WDSUTIL /set-server /usedhcpports:no

✂ 6.0.6000.16386]
Ajouter une image de démarrage en ligne de commandes

Pour ajouter une image de démarrage à l’aide de l’utilitaire WDSUtil à partir d’une
Invite de commandes :
2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /add−image
/imagefile:\\server\share\sources\boot.wim /imagetype:boot.
C:\Documents and Settings\Administrateur>WDSUTIL /add-image

✂ /imagefile:\\stlscpap01\share\sources\boot.wim /imagetype:boot
8. Les services de

✂ 6.0.6000.16386]
Ajouter une image d’installation

La même manipulation en ligne de commandes existe pour ajouter une image
d’installation, la seule grande différence étant que cette image appartient à un groupe.
336
WDSUTIL
Pour plus d’informations sur les commandes de WDSUTIL, ouvrez une Invite de
commandes et saisissez wdsutil /allhelp pour avoir la totalité des commandes du
serveur.
Supprimer une image de démarrage en ligne de commandes

Pour supprimer une image de démarrage à l’aide de l’utilitaire WDSUTIL à partir d’une
Invite de commandes, procédez ainsi :
2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /Remove−Image
/Image:Nom_image /ImageType:boot.
C:\Documents and Settings\Administrateur>WDSUTIL /Remove-Image

✂ /Image:"Microsoft Windows Longhorn Setup (x86)" /ImageType:boot
✂ /Architecture:x86

✂ 6.0.6000.16386]
Supprimer une image d’installation

La même manipulation en ligne de commandes existe pour supprimer une image
d’installation, la seule grande différence étant que cette image appartient à un groupe.
Pour plus d’informations sur les commandes de WDSUTIL, ouvrez une Invite de
commandes et saisissez wdsutil /allhelp pour avoir la totalité des commandes du
serveur.
8. Les services de
Obtenir des informations sur le serveur de déploiement en
ligne de commandes
Pour lister la configuration de votre serveur à un instant donné, vous pouvez utiliser la
commande suivante :
337
2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /verbose /get−server

/Server:serveurWDS /Show:All /detailed.
C:\Documents and Settings\Administrateur>wdsutil /verbose /get-server

✂ /Server: stlscpap01 /Show:All /detailed
✂ 6.0.6000.16386]
INFORMATIONS D’INSTALLATION POUR LE SERVEUR stlscpap01

[----------------------------------------------------------------------------]
État du serveur :
Version du système : 5.2
Mode de fonctionnement WDS : Natif
État de l’installation :
Emplacement REMINST : e:\RemoteInstall
Partage REMINST à jour : Oui
Fichiers de démarrage installés :
x86 - Oui
x64 - Oui
ia64 - Non
[----------------------------------------------------------------------------]
INFORMATIONS DE CONFIGURATION POUR LE SERVEUR stlscpap01

[----------------------------------------------------------------------------]
Autorisation de serveur :
État de l’autorisation : Non autorisé
Stratégie de réponse :
Répondre aux clients : Oui
Répondre uniquement aux clients connus : Non
Délai de réponse : 0 secondes
Stratégie d’utilisation des services d’annuaire :

Contrôleur de domaine préféré :

8. Les services de
Catalogue global préféré :

Prédéfinir les périphériques à l’aide de MAC : Non
Stratégie de nommage des nouveaux ordinateurs : %61Username%#
Ordre de recherche de domaine : Catalogue global uniquement
Domaine de jointure des nouveaux ordinateurs : Oui
Unité d’organisation Nouvel ordinateur :

Type d’unité d’organisation : ServerDomain
Unité d’organisation : CN=Computers,DC=Copr,DC=puzzmania,DC=com
Configuration DHCP :
État du service DHCP : En cours d’exécution
338
WDSUTIL
Option DHCP 60 configurée : Oui
Stratégie de liaison PXE :

Utiliser les ports DHCP : Oui
Détection de serveurs non autorisés : Désactivé
Port RPC : 5040
Stratégie de liaison d’interface :

Stratégie : Exclure les inscrits
Interfaces inscrites :
Stratégie de programme de démarrage :

Autoriser N12 pour les nouveaux clients : Non
Découverte d’architecture : Désactivé
Réinitialiser le programme de démarrage : Non
Programmes de démarrage par défaut :
x86 - boot\x86\pxeboot.com
x64 - boot\x64\pxeboot.com
ia64 - boot\ia64\bootmgfw.efi
Programmes de démarrage N12 par défaut :
x86 - boot\x86\pxeboot.n12
x64 - boot\x64\pxeboot.n12
ia64 - boot\ia64\bootmgfw.efi
Liste des GUID bannis :
Stratégie d’image de démarrage :

Type d’image par défaut pour les clients x64 : Les deux
Images de démarrage par défaut :
x86 -
x64 -
ia64 -
Stratégie de client WDS :

Stratégie d’enregistrement :
Activée : Non
Niveau d’enregistrement : Informations
Stratégie autonome :
Activée : Non
8. Les services de
Précédence de ligne de commande : Non
Fichiers d’installation sans assistance WDS :
x86 -
x64 -
ia64 -
Stratégie OSChooser :
Nom de menu :
Stratégie d’actualisation automatique de serveur :

Délai d’actualisation : 900 secondes
339
Stratégie d’actualisation de BCD :

Activée : Non
Délai d’actualisation : 60 minutes
Stratégie d’ajout automatique :

Stratégie : Désactivé
Intervalle d’interrogation : 10 secondes
Nombre max. de tentatives : 2160 fois
Message :
Période de rétention :
Périphériques approuvés : 30 jours
Autres périphériques : 1 jours
Valeurs par défaut pour x86 :
Serveur de référence :
Chemin d’accès au programme de démarrage :
Chemin d’accès au fichier d’installation sans assistance client WDS
✂ :
Chemin d’accès à l’image de démarrage :
Utilisateur : Domain Admins
Droits de jointure : Complet
Domaine de jointure : Oui
Valeurs par défaut pour x64 :
✂ :
Valeurs par défaut pour ia64 :
✂ :
8. Les services de
Fournisseurs PXE WDS :

Nom : BINLSVC
Chemin d’accès : C:\WINDOWS\system32\binlsvc.dll
Ordre : 1
Critique : Oui
340
WDSUTIL
[----------------------------------------------------------------------------]
INFORMATIONS SUR LES IMAGES POUR LE SERVEUR stlscpap01

[----------------------------------------------------------------------------]
IMAGES DE DÉMARRAGE
==============================================================================
------------------------------
Images de démarrage pour x86
------------------------------
Nombre d’images : 2
------------------------------
Informations sur les images :
------------------------------
Microsoft Windows Longhorn Setup (x86)
Nom du fichier : boot.wim

Nom de l’image : Microsoft Windows Longhorn Setup (x86)
Description : Microsoft Windows Longhorn Setup (x86)
Architecture : x86
Type d’image : Démarrage
Groupe d’images : <Non applicable>
Taille : 338034861 octets
Type HAL :
Heure de création : jeudi 2 novembre 2006 14:22:57
Dernière modification : samedi 3 février 2007 21:20:46
Langue par défaut : Français (France)
Autres langues :
Version du système d’exploitation : MicrosoftT WindowsT Operating System,
✂ 6.0.6000
Niveau de Service pack : 16386
Filtre utilisateur : <Non applicable>
Fichier d’installation sans assistance présent : Non
État : Activé
******************************************************************************
Maintenance x86 v.1.3
8. Les services de
Nom du fichier : Maintenance.wim
Nom de l’image : Maintenance x86 v.1.3
Description : Maintenance x86 v.1.3
Architecture : x86
Type HAL :
341
Autres langues :
✂ 6.0.6000
État : Activé
******************************************************************************
------------------------------
Images de démarrage pour ia64
------------------------------
------------------------------
------------------------------
Aucune image ne correspond aux critères spécifiés.
------------------------------
Images de démarrage pour x64
------------------------------
------------------------------
------------------------------
Microsoft Windows Longhorn Setup (x64)
Nom du fichier : boot.wim

Nom de l’image : Microsoft Windows Longhorn Setup (x64)
Description : Microsoft Windows Longhorn Setup (x64)
Architecture : x64
Type HAL :

8. Les services de

Autres langues :
✂ 6.0.6000
État : Activé
******************************************************************************
Maintenance x64 v.1.1
342
WDSUTIL
Nom du fichier : Maintenance x64 v.1.1.wim

Nom de l’image : Maintenance x64 v.1.1
Description : Maintenance x64 v.1.1
Architecture : x64
Type HAL :
Autres langues :
✂ 6.0.6000
État : Activé
******************************************************************************
==============================================================================
--------
Résumé :
--------
Nombre total de magasins d’images de démarrage : 3
Nombre total d’images de démarrage : 4
--------
IMAGES D’INSTALLATION
==============================================================================
--------------------
Groupe d’images Windows Vista x64
--------------------
Nom : Windows Vista x64
Sécurité :
8. Les services de
✂ O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI;
✂ FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)
-----------------------------
-----------------------------
Windows Vista ULTIMATE
Nom du fichier : install-(2).wim
343
Nom de l’image : Windows Vista ULTIMATE

Description : Windows Vista Ultimate
Architecture : x64
Type d’image : Installation
Groupe d’images : Windows Vista x64
Type HAL : acpiapic
Dernière modification : dimanche 4 février 2007 14:13:43
Autres langues :
✂ 6.0.6000
Filtre utilisateur :
✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80
✂ -1688844526-3235337491-1375791646-891369040-3692469510)
État : Activé
******************************************************************************
Windows Vista BUSINESS
Nom du fichier : install.wim

Nom de l’image : Windows Vista BUSINESS
Description : Windows Vista Business
Architecture : x64
Type HAL : acpiapic
Autres langues :
✂ 6.0.6000
✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80
8. Les services de
✂ -1688844526-3235337491-1375791646-891369040-3692469510)
État : Activé
*****************************************************************************
--------------------
Groupe d’images Windows Vista x86
--------------------
Nom : Windows Vista x86
Sécurité :
✂ O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI;
✂ FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)
344
WDSUTIL
-----------------------------
-----------------------------
Windows Vista ULTIMATE
Nom du fichier : install-(2).wim

Nom de l’image : Windows Vista ULTIMATE
Description : Windows Vista Ultimate
Architecture : x86
Type HAL : acpiapic
Autres langues :
✂ 6.0.6000
✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80-
✂ 1688844526-3235337491-1375791646-891369040-3692469510)
État : Activé
******************************************************************************
Windows Vista BUSINESS
Nom du fichier : install.wim

Nom de l’image : Windows Vista BUSINESS
Description : Windows Vista Business
Architecture : x86
Type HAL : acpiapic
8. Les services de
Autres langues :
✂ 6.0.6000
✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80-
✂ 1688844526-3235337491-1375791646-891369040-3692469510)
État : Activé
345
******************************************************************************
==============================================================================
--------
Résumé :
--------
Nombre total de groupes d’images d’installation : 2
Nombre total d’images d’installation : 4
--------
IMAGES NON NATIVES

==============================================================================
--------
Résumé :
--------
Nombre total de groupes d’images non natives : 0
Nombre total d’images non natives : 0
--------
[----------------------------------------------------------------------------]
------------------------------
RÉSUMÉ GLOBAL SUR LES IMAGES :
------------------------------
Nombre total de magasins d’images de démarrage : 3
Nombre total d’images de démarrage : 4
Nombre total de groupes d’images d’installation : 2
Nombre total d’images d’installation : 4
Nombre total de groupes d’images non natives : 0
Nombre total d’images non natives : 0
------------------------------
Démarrer le serveur en ligne de commandes

Si vous souhaitez démarrer ou redémarrer votre serveur en ligne de commandes,

8. Les services de
procédez ainsi :
2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /start−server.
C:\Documents and Settings\Administrateur>wdsutil /start-server

✂ 6.0.6000.16386]
346
En résumé
Arrêter le serveur en ligne de commandes

Si vous souhaitez arrêter votre serveur en ligne de commandes, procédez ainsi :
2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /stop−server.
C:\Documents and Settings\Administrateur>wdsutil /stop-server

✂ 6.0.6000.16386]
8.12. En résumé
Dans ce chapitre, nous avons vu que Windows Server 2003 possède à présent deux
services de déploiement : le serveur RIS en natif depuis l’arrivée de Windows
Server 2003 et les services de déploiement Windows. Ces nouveaux services de
déploiement permettent de continuer à déployer les anciennes images présentes dans
votre système d’informations, mais également les images de Windows Vista. Pour
assurer la compatibilité, ce serveur peut fonctionner selon trois modes.
Pour décrire le niveau de fonctionnalité associé à chaque mode configuration possible
8. Les services de
de WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories,
Server 2003.
347

j Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage,
OSChooser et Windows PE, sont disponibles. Dans ce mode, l’accès aux anciens

Environnement d’amorçage OSChooser et Windows PE

8. Les services de

Types d’images WIM
Outils d’administration Administration WDS
Server 2008.
348
En résumé
Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS mais
l’interface à la ligne de commandes) pour initialiser le serveur fait passer WDS en mode
/forceNative).
Le serveur de déploiement peut être installé avec le Services Pack 2 de Windows

Server 2003 ou depuis un fichier téléchargé sur les sites de Microsoft. Dans ce cas, le
serveur doit répondre à l’ensemble des prérequis d’installation.
Les services de déploiement fonctionnent depuis l’interface graphique, mais également

en ligne de commandes à partir de l’outil WDSutil.
Pour conclure ce chapitre, ce qu’il faut retenir est que ce nouveau service de
déploiement a pour objectif d’unifier les anciens modes de déploiement tel que RIS et
les nouveaux modes de déploiement de type WIM. Le service fonctionne avec trois
niveaux de compatibilité. Ce service demande quelques prérequis tel que le Service Pack
1 de Windows Server 2003 ou encore le Framework .Net. Le grand avantage proposé par
le service de déploiement est qu’il est quasiment administrable en ligne de commandes.
8. Les services de
349
Chapitre 9
L’intégration de
Windows Vista dans
l’infrastructure
9.1 L’intégration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . 353
9.2 Les stratégies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . 362
9.3 La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
9.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
L’intégration dans le domaine Active Directory
D ans le monde des entreprises, les services informatiques mettent en œuvre, font
évoluer et modifient les infrastructures systèmes leur permettant de mieux
Windows Vista dans

9. L’intégration de
contrôler et administrer tous les services déployés pour les utilisateurs. Chez Microsoft,
l’infrastructure
l’infrastructure qui permet une administration centralisée des ressources s’appelle
Active Directory.
Windows Vista remplace Windows XP dans le contexte d’entreprise. Windows Vista est
taillé pour répondre aux exigences, de plus en plus grandes, d’amélioration de la
productivité des utilisateurs en entreprise.
Windows Vista arrive dans les entreprises et ces dernières disposent toutes d’un système
d’information existant. Que ce soit la petite PME avec cinq ou six postes ou la grande
entreprise avec plus de 2000 utilisateurs. Windows Vista va devoir cohabiter avec les
différentes versions de systèmes d’exploitation existants dans l’entreprise et surtout,
Windows Vista va devoir cohabiter au sein de l’infrastructure système et réseau de
l’entreprise. Dans le cadre des systèmes d’exploitation Microsoft, Windows Vista devra
cohabiter au sein des forêts et domaines Active Directory.
9.1. L’intégration dans le domaine Active Directory

Pour mieux comprendre la problématique actuelle, faisons un petit rappel historique. À
l’époque, Windows 2000 Server et Windows 2000 Professionnel (la version cliente) sont
sortis simultanément, la première version d’Active Directory couvrant parfaitement
toutes les options de configuration de Windows 2000 Professionnel. En 2001,
Windows XP Professionnel fait son apparition. Il s’intègre dans les forêts Active
Directory Windows 2000 Server, mais il possède des capacités de configuration plus
grandes que Windows 2000 Professionnel. Il faut donc attendre 2003 et la sortie de
Windows Server 2003 pour mettre à niveau les fonctionnalités d’Active Directory et
tirer parti de tout le potentiel de configuration et d’amélioration de la productivité du
tandem Windows XP Professionnel et Windows Server 2003.
Il en va de même pour Windows Vista. Il s’intègre bien dans les forêts et les domaines
Active Directory existants, mais nous en tirerons tout le potentiel uniquement lorsque le
successeur de Windows Server 2003 (connu sous le nom actuel de Windows Server
Longhorn) sera sorti et que l’infrastructure Active Directory sera mise à niveau,
c’est-à-dire pas avant fin 2007.
Prenons l’exemple d’une société fictive pour étayer nos démonstrations. Cette société se
compose d’un domaine, lui-même composé de stations de travail Windows XP
Professionnel. Aujourd’hui, cette entreprise installe des ordinateurs Windows Vista
pour répondre aux besoins d’une certaine population de l’entreprise et souhaite les
intégrer au domaine existant.
Ces ordinateurs Windows Vista ont déjà été installés selon la procédure adéquate. Voici
comment procéder pour les intégrer au domaine…
353
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
Windows Vista dans
1. Loguez-vous sous Windows Vista avec un compte administrateur local.

l’infrastructure
2. Cliquez sur le logo Windows pour ouvrir le menu de démarrage, puis cliquez avec le
bouton droit de la souris de la souris sur Ordinateur.
Figure 9.1 : Sélection du menu Ordinateur
3. Cliquez sur Propriétés. La fenêtre d’information système de votre ordinateur

s’ouvre.
Figure 9.2 : La fenêtre d’information système
354
4. Cliquez sur Modifier les paramètres en bas à droite de la fenêtre.
Windows Vista dans

l’infrastructure
Figure 9.3 : Validation du changement de configuration
5. Au message du contrôle de compte utilisateur, cliquez sur Continuer. La fenêtre des

propriétés système s’ouvre.
Figure 9.4 : La fenêtre des propriétés système
355
6. Cliquez sur Modifier. Cochez l’option Domaine et entrez le nom du domaine

corp.puzzmania.com.
Windows Vista dans
l’infrastructure
Figure 9.5 : Configuration du domaine à rejoindre
7. Validez, puis tapez l’identifiant d’un compte du domaine possédant les droits pour
ajouter un ordinateur au domaine. Cliquez sur OK.
Figure 9.6 : Fenêtre d’identification d’un compte du domaine possédant les droits
d’ajouter un ordinateur au domaine
356
Si tout se passe bien, vous verrez apparaître un message de bienvenue dans votre
domaine. Vous devrez, comme dans toutes les versions précédentes de Windows,
Windows Vista dans

redémarrer l’ordinateur pour que les changements prennent effet.
l’infrastructure
Figure 9.7 : Vous devez redémarrer pour que vos changements prennent effet
Une fois l’ordinateur redémarré, la nouvelle fenêtre de login, propre aux

ordinateurs Windows en réseau, fait son apparition, accessible par la fameuse
combinaison de touches [Ctrl]+[Alt]+[Suppr].
Figure 9.8 : la fenêtre de login
357
8. Tapez sur la combinaison de touches et entrez votre identifiant de domaine.

Windows Vista dans
l’infrastructure
Figure 9.9 : Entrez votre identifiant de domaine
Après la validation, votre session de travail s’ouvre.
S’identifier dans un autre domaine

Si vous souhaitez vous loguer dans un autre domaine que le domaine d’appartenance
de l’ordinateur, domaine approuvé dans lequel vous avez le droit de vous loguer, à la
différence des versions antérieures de Windows, il n’y a pas de section vous
permettant de sélectionner un autre domaine. Vous devez taper le nom du domaine
dans la partie réservée au nom de l’utilisateur selon le format nomdomaine
\nomutilisateur.
Regardons maintenant de plus près comment ce nouvel ordinateur apparaît sous Active
Directory Windows Server 2003. Pour cela, connectez-vous à un contrôleur de domaine
ou un serveur Windows Server 2003 ou encore à une station de travail comprenant les
outils d’administration permettant de lancer l’outil Utilisateurs et Ordinateurs Active
Directory (cette dernière méthode est la plus sécurisée). Nous considérons que vous
êtes administrateur de l’infrastructure Active Directory de l’entreprise.
358
Windows Vista dans

1. À partir de STLSCPDC01, lancez l’utilitaire d’administration Utilisateurs et
l’infrastructure
Ordinateurs Active Directory en cliquant sur Démarrer/Programmes/Outils
d’administration et Utilisateurs et Ordinateurs Active Directory.
Figure 9.10 : Vue Utilisateurs et Ordinateurs Active Directory de votre domaine
2. Cliquez sur le conteneur Computers ; vous voyez apparaître le compte d’ordinateur

de la machine WTLSCPVI01 fraîchement ajoutée au domaine.
Figure 9.11 :
Vue du conteneur
Computers
3. Cliquez deux fois sur le compte d’ordinateur WTLSCPVI01. La fenêtre des propriétés
du compte s’ouvre. Cliquez sur l’onglet Système d’Exploitation.
359
Figure 9.12 :
Onglet Système
Windows Vista dans
d’Exploitation de la
l’infrastructure
fenêtre Propriétés du
compte d’ordinateur
WTLSCPVI01
Vous retrouvez la version de Windows Vista, signifiant que l’inscription du compte

d’ordinateur s’est bien effectuée.
Version de Windows Vista

Pour les nostalgiques et les curieux, sous l’onglet Système d’Exploitation de la fenêtre
Propriétés d’un compte d’ordinateur Windows Vista, le champ Version est défini à 6.
Cela signifie qu’étant conçu à partir des versions de Windows NT Windows Vista
serait en fait Windows NT 6 si Microsoft n’avait pas revu sa convention de
dénomination, Windows 2000 étant NT 5 et Windows XP étant NT 5.1.
Toutefois, nous vous recommandons de bien isoler tous les comptes d’ordinateurs de
machines Windows Vista en les sortant du conteneur Computers et en les mettant à part,
soit dans une unité d’organisation spécifique commune à l’infrastructure, soit dans une
sous-unité d’organisation spécifique à chaque unité d’organisation représentant un
service de l’entreprise. Vous simplifierez ainsi votre vision du parc informatique et
l’administration centralisée des machines.
Prenons l’exemple d’une unité d’organisation spécifique à toutes les stations de travail
Windows Vista de l’entreprise.
1. Créez une unité d’organisation appelée Ordinateurs Vista.
2. Par glisser-déposer, placez le compte d’ordinateur WTLSCPVI01 dans la nouvelle
unité d’organisation. Le compte d’ordinateur est plus facilement identifiable et
administrable.
360
Figure 9.13 :
Une unité d’organisation
Windows Vista dans

particulière pour tous les
l’infrastructure
ordinateurs Windows
Vista
Votre ordinateur Windows Vista est prêt à être administré de façon centralisée via les
stratégies de groupe.
Changer rapidement d’utilisateur

Dorénavant, il est possible de basculer d’un utilisateur à un autre, sans fermer de
session, au sein d’un même domaine.
Qu’est-ce que le changement rapide d’utilisateur ? Cette fonctionnalité de Windows

vous permet de basculer vers un autre compte d’utilisateur sans fermer de programmes,
ni de fichiers au préalable. Cette opération simplifie le partage d’un ordinateur avec
d’autres utilisateurs. Cette fonctionnalité est activée par défaut.
Attention tout de même : si vous éteignez l’ordinateur alors qu’un autre utilisateur a des
programmes en cours d’exécution, ses fichiers non enregistrés seront perdus.
Pour changer d’utilisateurs sans fermer la session :

1. Cliquez sur le logo Windows de démarrage, puis cliquez sur la flèche en regard du
bouton de verrouillage (voir fig. 9.14).
2. Cliquez sur Changer d’utilisateur, puis sur l’utilisateur vers lequel vous souhaitez
basculer.
Assurez-vous d’enregistrer les fichiers ouverts avant de changer d’utilisateurs car

Windows n’enregistre pas automatiquement les fichiers ouverts. Si vous basculez vers un
autre utilisateur et que celui-ci arrête l’ordinateur, toutes les modifications non
enregistrées que vous avez apportées aux fichiers ouverts sur votre compte seront
perdues.
361
Windows Vista dans Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
l’infrastructure
Figure 9.14 : Accès au changement rapide d’utilisateur
9.2. Les stratégies de groupe avec Windows Vista

Un ordinateur, équipé de Windows Vista et membre d’un domaine, est parfaitement
administrable à partir de l’infrastructure Active Directory. L’un des enjeux majeurs de
Windows Vista est également de réduire les coûts opérationnels du système
d’information de l’entreprise. La direction du système d’information étant
perpétuellement en quête de réduction des coûts, les administrateurs de l’entreprise
doivent avoir en main des outils et des technologies à la fois simples et efficaces afin
d’administrer de façon centralisée tout le parc informatique. Selon la taille de
l’entreprise, arriver à centraliser l’administration peut devenir un vrai casse-tête. Par
contre, quand le défi est réussi, qui dit administration centralisée, dit gain de temps et
qui dit gain de temps, dit gain d’argent.
Windows Vista renforce la notion des stratégies de groupe, bien connues depuis
Windows 2000, afin de toujours améliorer et simplifier les opérations d’administration.
Ces nouveautés des stratégies de groupe vont tendre vers une administration du parc
informatique toujours plus centralisée.
362
Les stratégies de groupe avec Windows Vista
Les stratégies de groupe permettent de configurer et de personnaliser de façon

centralisée le comportement des ordinateurs et des utilisateurs et d’appliquer ces
Windows Vista dans

paramètres en masse sur tous les ordinateurs et les utilisateurs. Il existe des stratégies de
l’infrastructure
groupe locales, c’est-à-dire configurables et applicables localement à l’ordinateur, et des
stratégies de groupe d’infrastructure, c’est-à-dire configurables via Active Directory soit
au niveau de l’unité d’organisation, soit au niveau du site ou du domaine et applicables
en même temps sur tout le spectre d’ordinateurs et d’utilisateurs concernés (par
exemple tous les ordinateurs et les utilisateurs d’une même unité d’organisation). Ces
dernières, au contraire des stratégies de groupe locales, permettent de configurer de
façon centralisée une seule stratégie de groupe applicable potentiellement sur tous les
utilisateurs et les ordinateurs d’un domaine ou d’une unité d’organisation ou d’un site.
Au sein d’une stratégie de groupe, de très nombreux paramètres peuvent être modifiés :
que ce soit au niveau de l’ordinateur (icônes du Bureau, longueur des mots de passe,
etc.) ou au niveau de l’utilisateur (personnalisation d’Internet Explorer, redirection de
dossiers, etc.). Sous Windows XP près de 1500 paramètres sont configurables. Sachez
que sous Windows Vista, près de 3000 paramètres sont configurables, c’est-à-dire le
double.
Vous trouverez dans les chapitres suivants de ce volume tout ce qu’il faut savoir sur
Active Directory. Le tome II, quant à lui, détaillera les stratégies de groupe, entre
autres.
Voici les principales nouveautés apportées par les stratégies de groupes sous Windows
Vista…
Les fichiers ADMX

Jusqu’à présent, il était possible de configurer, d’ajouter et de créer des modèles
d’administration au sein d’une stratégie de groupe à partir de fichiers de type ADM.
Ouvrez une stratégie de groupe créée auparavant par l’infrastructure Active Directory
Windows Server 2003 R2 de corp.puzzmania.com à l’aide de la GPMC (console de
gestion de stratégie de groupe), téléchargeable à partir du site de Microsoft.
Téléchargement et installation de la GPMC

Connectez-vous sur le site www.microsoft.com/france/technet/produits/win2003/default
.mspx et suivez la procédure d’installation.
1. À partir d’un ordinateur membre de corp.puzzmania.com, cliquez sur Démarrer,

pointez sur Outils d’administration, cliquez avec le bouton droit sur Gestion de
stratégie de groupe, puis cliquez sur Exécuter en tant que.
363
2. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L’utilisateur suivant,
tapez CORP\Administrateur comme nom d’utilisateur, puis le mot de passe
Windows Vista dans
associé et cliquez sur OK.

l’infrastructure
3. Développez successivement les rubriques Forêt, Domaines, corp.puzzmania.com,

Objets de stratégie de groupe, cliquez avec le bouton droit sur Objets de stratégie de
groupe, puis cliquez sur Modifier.
Figure 9.15 : Édition d’une stratégie de groupe avec la console de gestion des stratégies
de groupe
4. Développez les rubriques Configuration de l’ordinateur et Modèles d’administration.
Figure 9.16 : Édition d’une stratégie de groupe placée sur une unité d’organisation
364
5. Cliquez avec le bouton droit de la souris sur Modèles d’administration et sélectionnez

Ajout/suppression de modèles. La fenêtre de sélection ou d’ajout de fichiers ADM
Windows Vista dans

s’ouvre.
l’infrastructure
Figure 9.17 : Fenêtre de sélection des fichiers ADM
6. Sélectionnez un fichier ADM (les fichiers sont souvent classés selon leur rôle,
Windows Media Player par exemple). Une fois sélectionné, vous pouvez configurer
les paramètres que vous souhaitez en fonction du modèle ADM.
Les fichiers ADM modifient des paramètres de la base de Registre. En employant les
fichiers ADM sous Windows 2000, Windows Server 2003 et Windows XP, les
utilisateurs et Microsoft se sont aperçus de deux inconvénients :
j Le format ADM n’est pas standard.
j Tous les fichiers ADM sont dupliqués pour chaque stratégie de groupe
d’infrastructure, alourdissant ainsi son application.
Windows Vista introduit les fichiers ADMX, une collection de fichiers ayant la même
fonction que les fichiers ADM, mais qui ont la particularité d’être des fichiers standards
XML : il est possible de créer un répertoire de stockage central où toutes les stratégies
de groupe du domaine viendront lire les informations dont elles ont besoin. Ce nouveau
format permet de résoudre les inconvénients détectés au préalable avec le format ADM.
Les fichiers ADMX permettent également la gestion unifiée des langues prises en
charge avec l’introduction des fichiers ADML qui donnent la possibilité d’ajuster les
paramètres des stratégies de groupe avec des langues différentes, selon les applications
par exemple.
365
Considérations sur la compatibilité du format ADMX

Windows Vista dans
Le format ADMX étant une nouveauté Windows Vista, seul Windows Vista
l’infrastructure
aujourd’hui est capable d’en tirer les bénéfices. Les nouvelles options de
paramétrages de Windows Vista sont uniquement accessibles dans un fichier ADMX,
donc invisibles des outils d’administration Windows XP ou Server 2003. Le format
n’est pas rétrocompatible avec les versions antérieures de Windows. Par contre, qui
peut le plus, peut le moins : un ordinateur Windows Vista sait parfaitement gérer les
fichiers ADM des versions antérieures de Windows.
Pour mettre en œuvre les fichiers ADMX, considérons deux cas : le cas simple de la
stratégie locale, puis le cas de l’implémentation des fichiers ADMX dans un
environnement Active Directory existant.
Le cas de la stratégie locale

Sous Windows Vista, pour éditer la stratégie locale, donc charger les fichiers ADMX et
modifier un paramètre, procédez comme suit :
1. Cliquez sur le logo Windows de la barre des tâches.
2. Tapez gpedit.msc et validez. La stratégie locale s’ouvre.
Figure 9.18 : La stratégie locale sous Windows Vista
L’éditeur de stratégies de groupe que vous venez de lancer va lire automatiquement les
fichiers de configuration au format ADMX.
3. Vous pouvez développer l’arborescence, éditer et modifier un paramètre (voir
fig. 9.19).
Sous Windows Vista, les fichiers ADMX sont localisés sous %systemroot%
\PolicyDefinitions\. Par défaut %systemroot% correspond à C:\WINDOWS. En
comparaison, les fichiers ADM se trouvaient sous %systemroot% \inf\. Et les fichiers
ADML sont localisés sous %systemroot%\PolicyDefinitions\fr-FR pour la France.
366
Windows Vista dans

l’infrastructure
Figure 9.19 : Exemple d’un paramètre de stratégie de groupe
4. Fermez les fenêtres.
Regardez le contenu du répertoire PolicyDefinitions. Pour cela, procédez comme suit :

1. Ouvrez l’Explorateur Windows en cliquant sur le logo Windows de la barre des
tâches, puis sur Tous les programmes, Accessoires et Explorateur Windows.
2. Parcourez l’Explorateur jusqu’à C:\Windows\PolicyDefinitions.
Figure 9.20 : Le répertoire C:\Windows\PolicyDefinitions
367
Il existe, à la base, 132 fichiers ADMX. Autrement dit, contrairement aux versions
antérieures de Windows et aux fichiers ADM, à peu près tous les paramètres sont
Windows Vista dans
configurables au format ADMX.

l’infrastructure
Éditons un fichier ADMX pour constater qu’il est bien au format XML standard.
Cliquez deux fois sur un fichier ADMX. Prenons l’exemple du fichier
AddRemovePrograms.admx ; il contient les éléments suivants :

<policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0"
✂ schemaVersion="1.0"
✂ xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
<policyNamespaces>
<target prefix="addremoveprograms" namespace="Microsoft.Policies
✂ .AddRemovePrograms" />
<using prefix="windows" namespace="Microsoft.Policies.Windows" />
</policyNamespaces>
<resources minRequiredRevision="1.0" />
<categories>
<category name="Arp" displayName="$(string.Arp)">
<parentCategory ref="windows:ControlPanel" />
</category>
</categories>
<policies>
<policy name="DefaultCategory" class="User" displayName="$(string
✂ .DefaultCategory)" explainText="$(string.DefaultCategory_Help)"
✂ presentation="$(presentation.DefaultCategory)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
<elements>
<text id="DefaultCategoryBox" valueName="DefaultCategory" required="true"
✂ />
</elements>
</policy>
<policy name="NoAddFromCDorFloppy" class="User" displayName="$(string
✂ .NoAddFromCDorFloppy)" explainText="$(string.NoAddFromCDorFloppy_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoAddFromCDorFloppy">
</policy>
<policy name="NoAddFromInternet" class="User" displayName="$(string
✂ .NoAddFromInternet)" explainText="$(string.NoAddFromInternet_Help)"
✂ valueName="NoAddFromInternet">
</policy>
368
<policy name="NoAddFromNetwork" class="User" displayName="$(string

✂ .NoAddFromNetwork)" explainText="$(string.NoAddFromNetwork_Help)"
Windows Vista dans

l’infrastructure
✂ valueName="NoAddFromNetwork">
</policy>
<policy name="NoAddPage" class="User" displayName="$(string.NoAddPage)"
✂ explainText="$(string.NoAddPage_Help)"
✂ valueName="NoAddPage">
</policy>
<policy name="NoAddRemovePrograms" class="User" displayName="$(string
✂ .NoAddRemovePrograms)" explainText="$(string.NoAddRemovePrograms_Help)"
✂ valueName="NoAddRemovePrograms">
</policy>
<policy name="NoChooseProgramsPage" class="User" displayName="$(string
✂ .NoChooseProgramsPage)" explainText="$(string.NoChooseProgramsPage_Help)"
✂ valueName="NoChooseProgramsPage">
</policy>
<policy name="NoRemovePage" class="User" displayName="$(string.NoRemovePage)"
✂ explainText="$(string.NoRemovePage_Help)"
✂ valueName="NoRemovePage">
</policy>
<policy name="NoServices" class="User" displayName="$(string.NoServices)"
✂ explainText="$(string.NoServices_Help)"
✂ valueName="NoServices">
</policy>
<policy name="NoSupportInfo" class="User" displayName="$(string
✂ .NoSupportInfo)" explainText="$(string.NoSupportInfo_Help)"
✂ valueName="NoSupportInfo">
</policy>
<policy name="NoWindowsSetupPage" class="User" displayName="$(string
✂ .NoWindowsSetupPage)" explainText="$(string.NoWindowsSetupPage_Help)"
369
✂ valueName="NoWindowsSetupPage">
Windows Vista dans

l’infrastructure

</policy>
</policies>
</policyDefinitions>
Vous retrouvez tous les éléments paramétrables de l’Ajout Suppression de

Programmes, ainsi que les clés de Registre à modifier et les versions de Windows prises
en charge. Sous l’éditeur de la stratégie de groupe locale, vous obtiendriez la vue
suivante :
Figure 9.21 : Les paramètres de stratégie de groupe concernant l’ajout et la suppression de

programmes au travers de l’éditeur de stratégie de groupe
Vous remarquez que les paramètres sont traduits en français. C’est possible grâce au
fichier AddRemovePrograms.adml correspondant qui fait le lien entre les paramètres
définis en anglais et une traduction française. Voici un tout petit extrait du contenu du
fichier ADML sur un seul paramètre :

<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0"
✂ schemaVersion="1.0"
✂ xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
<displayName>tapez le nom complet ici</displayName>
<description>tapez la description ici</description>
370
<resources>
<stringTable>
Windows Vista dans

<string id="Arp">Ajouter ou supprimer des programmes</string>
l’infrastructure
<string id="DefaultCategory">Spécifie la catégorie par défaut pour Ajouter
✂ de nouveaux programmes</string>
<string id="DefaultCategory_Help">Spécifie la catégorie des programmes qui
✂ apparaît quand les utilisateurs ouvrent la page "Ajouter de nouveaux
✂ programmes".
Si vous activez ce paramètre, seuls sont affichés les programmes appartenant à

✂ la catégorie que vous spécifiez lorsque la page "Ajouter de nouveaux
✂ programmes" s’ouvre. Les utilisateurs peuvent utiliser la zone Catégorie sur
✂ la page "Ajouter de nouveaux programmes" pour afficher les programmes dans
✂ d’autres catégories.
Pour utiliser ce paramètre, tapez le nom d’une catégorie dans la zone Catégorie
✂ pour ce paramètre. Vous devez entrer une catégorie qui est déjà définie dans
✂ Ajouter ou supprimer des programmes. Pour définir une catégorie, utilisez
✂ Installation de logiciel.
Si vous désactivez ce paramètre ou ne le configurez pas, tous les programmes

✂ (Catégorie : toutes) sont affichés lorsque la page "Ajouter de nouveaux
✂ programmes" s’ouvre.
Vous pouvez utiliser ce paramètre pour diriger les utilisateurs vers les
✂ programmes dont ils auront certainement besoin.
Remarque : ce paramètre est ignoré si le paramètre "Supprimer l’application

✂ Ajouter ou supprimer des programmes" ou le paramètre "Masquer la page Ajouter
✂ de nouveaux programmes" est activé.</string>…
Le cas de la stratégie de groupe dans Active Directory

Les ordinateurs Windows Vista vont, dans un premier temps, se retrouver membres de
domaines Active Directory Windows Server 2003 ou Windows Server 2003 R2. La
fonctionnalité des fichiers ADMX offre la possibilité de créer un répertoire de stockage
central au domaine, dans lequel vous pouvez stocker tous les fichiers ADMX. Ainsi,
toutes les stratégies de groupe créées au sein du domaine afin de contrôler les
paramètres des utilisateurs et des ordinateurs Windows Vista s’appuieront sur la même
référence de fichiers, allégeant la taille des stratégies de groupe.
Pour créer le répertoire central, procédez ainsi :

1. À partir d’un ordinateur Windows Vista, loguez-vous avec un compte possédant des
droits d’administration dans le domaine ou, au moins, les droits d’écriture dans le
répertoire d’infrastructure Sysvol.
2. Cliquez sur le logo Windows de la barre des tâches, puis tapez
\\STLSCPDC01\SYSVOL\corp.puzzmania.com\Policies et validez.
371
3. Une fenêtre s’ouvre pointant sur le sous-répertoire Policies dans Sysvol. Vous
remarquez les répertoires représentant les identifiants uniques des stratégies de
Windows Vista dans
groupe déjà existantes. Créez un nouveau répertoire que vous appelez

l’infrastructure
PolicyDefinitions.
Figure 9.22 : Créez un répertoire PolicyDefinitions dans Sysvol
4. Recopiez le contenu du répertoire local C:\WINDOWS\PolicyDefinitions\ dans le

répertoire PolicyDefinitions que vous venez de créer dans le dossier Sysvol. Vous
recopiez alors tous les fichiers ADMX et tous les fichiers ADML. Votre répertoire
central est créé et peuplé.
Figure 9.23 : Les fichiers ADMX et ADML sont copiés dans le répertoire
PolicyDefinitions du Sysvol
Pour tirer parti de ce répertoire central, vous allez créer une stratégie de groupe afin de
contrôler les paramètres de tous les ordinateurs Windows Vista contenus dans l’unité
d’organisation Ordinateurs Vista.
Attention, cette stratégie de groupe sera créée dans un domaine Active Directory
Windows Server 2003 pour contrôler des ordinateurs Windows Vista. La condition sine
372
qua non pour que cela fonctionne est qu’il faut que cette stratégie de groupe soit créée
à partir d’un ordinateur Windows Vista. Pour cela, Windows Vista intègre par défaut la
Windows Vista dans

console de gestion des stratégies de groupe GPMC (Group Policy Management Console).
l’infrastructure
1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez.
La console de gestion des stratégies de groupe s’ouvre.
2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe.
Figure 9.24 : La console de gestion des stratégies de groupe de Windows Vista
3. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe. Un menu
déroulant apparaît. Cliquez sur Nouveau.
Figure 9.25 : Création d’une nouvelle GPO
4. Donnez un nom à votre stratégie de groupe, par exemple param ordi vista.
373
l’infrastructure
Figure 9.26 : La GPO param ordi vista
5. Cliquez avec le bouton droit de la souris sur l’objet Stratégie de groupe. Dans le menu
déroulant, cliquez sur Modifier. La stratégie de groupe param ordi vista s’ouvre.
Vous n’avez qu’à modifier les paramètres que vous souhaitez. Automatiquement, la
stratégie de groupe lira les fichiers ADMX localisés dans le répertoire de stockage
central.
6. Liez la stratégie de groupe à l’unité d’organisation Ordinateurs Vista. Pour cela, dans
l’interface de la GPMC, glissez la stratégie de groupe param ordi vista du conteneur
Objets de stratégie de groupe vers l’unité d’organisation Ordinateurs Vista.
Figure 9.27 : La GPO est liée à une unité d’organisation
374
Maintenance des stratégies de groupe de Windows Vista
Windows Vista dans

Même sous Windows Vista vous devez porter une attention toute particulière à la
l’infrastructure
sauvegarde des stratégies de groupe afin d’anticiper toute éventualité de sinistre. Grâce
à la GPMC intégrée à Windows Vista, vous avez l’occasion de réaliser la sauvegarde de
toutes les stratégies de groupe et être sûr que ses sauvegardes prendront en compte les
nouveautés apportées par Windows Vista.
Pour sauvegarder un objet de stratégie de groupe, procédez ainsi :

1. Ouvrez la console GPMC.
2. Dans l’arborescence de la console, déployez la forêt et le domaine contenant l’objet
de stratégie de groupe à sauvegarder, puis double-cliquez sur Objets de stratégie de
groupe.
3. Pour sauvegarder un unique objet de stratégie de groupe, cliquez dessus avec le
bouton droit de la souris, puis cliquez sur Sauvegarder. Pour sauvegarder tous les
objets de stratégie de groupe du domaine, cliquez avec le bouton droit de la souris
sur Objets de stratégie de groupe, puis cliquez sur Sauvegarder tout.
Figure 9.28 : Sauvegarde de GPO
4. Dans la zone Emplacement de la boîte de dialogue Sauvegarde de l’objet GPO,

entrez le chemin d’accès à l’emplacement choisi pour stocker la ou les sauvegardes
de GPO ou cliquez sur Parcourir pour rechercher le dossier où les stocker, puis
cliquez sur OK.
5. Dans la zone Description, entrez la description des GPO à sauvegarder, puis cliquez
sur Sauvegarder. En cas de sauvegarde de plusieurs GPO, la description s’applique
à tous les GPO concernés.
375
Figure 9.29 :
Description de
Windows Vista dans
sauvegarde de GPO
l’infrastructure
6. Une fois l’opération terminée, cliquez sur OK.
Figure 9.30 :
Fin de l’opération de
sauvegarde
Pour restaurer un objet de stratégie de groupe sauvegardé, procédez comme suit :

1. Ouvrez la console GPMC.
2. Recherchez l’entrée Objets de stratégie de groupe dans l’arborescence de la console,
dans la forêt et dans le domaine contenant l’objet de stratégie de groupe à restaurer.
376
Deux options s’offrent à vous. Pour restaurer une version précédente d’un objet de
stratégie de groupe existant, procédez comme suit :
Windows Vista dans

l’infrastructure
1. Double-cliquez sur Objets de stratégie de groupe, cliquez avec le bouton droit de la
souris sur l’objet de stratégie de groupe à restaurer, puis cliquez sur Restaurer à
partir d’une sauvegarde.
Figure 9.31 : Restaurer à partir d’une sauvegarde
2. Lorsque l’Assistant Restauration d’objets de stratégie de groupe s’affiche, suivez les

instructions et fournissez les informations appropriées sur l’objet de stratégie de
groupe à restaurer, puis cliquez sur Terminer.
3. Une fois l’opération de restauration effectuée par l’Assistant Restauration d’objets
de stratégie de groupe, cliquez sur OK.
Pour restaurer un objet de stratégie de groupe supprimé, procédez ainsi :

1. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe, puis
sélectionnez Gérer les sauvegardes (voir fig. 9.32).
2. Dans la boîte de dialogue Gérer les tâches de sauvegarde, sous la rubrique
Emplacement de sauvegarde, tapez le chemin du dossier de sauvegarde. Vous pouvez
également utiliser Parcourir pour rechercher le dossier de sauvegarde.
3. Dans la boîte de dialogue Objets de stratégie de groupe sauvegardés, choisissez sur
la liste des GPO la version à restaurer en vous appuyant sur les différentes versions
de sauvegarde, puis cliquez sur Restaurer (voir fig. 9.33).
377
l’infrastructure
Figure 9.32 : Gérer les sauvegardes
Figure 9.33 : Choix de la version à restaurer
4. Lorsque le système vous invite à confirmer l’opération de restauration, cliquez sur

OK
378
Les stratégies de groupe locales multiples
Windows Vista dans

La stratégie de groupe locale vous permet d’appliquer localement des paramètres liés à
l’infrastructure
la configuration de l’utilisateur (le fond d’écran, Internet Explorer, etc.) et/ou liés à la
configuration de l’ordinateur (les droits d’accès à l’ordinateur, par exemple). Dans les
versions antérieures de Windows, une seule stratégie de groupe locale existait. Cela peut
paraître normal : une seule stratégie locale pour contrôler soit les paramètres
d’ordinateur, soit les paramètres d’utilisateur. Dans certains cas cependant, le fait qu’il
n’y ait qu’une stratégie de groupe locale peut entraîner certaines limitations. En effet, si
vous utilisez votre ordinateur Windows, hors domaine, comme kiosque ou borne d’accès
en libre-service, vous allez configurer la stratégie de groupe locale afin de répondre à vos
besoins, c’est-à-dire pour sécuriser et simplifier son accès. Mais, lorsque vous agissez
ainsi, vous appliquez la stratégie locale à tous les utilisateurs qui se loguent sur cet
ordinateur, y compris l’administrateur, entraînant alors des difficultés d’administration.
Windows Vista lève cette limitation en permettant de créer et de configurer de multiples

stratégies de groupe locales. Ces stratégies de groupe locales s’appliquent en fonction
des utilisateurs locaux (quels qu’ils soient) ou des profils (les administrateurs ou les
non-administrateurs). Ainsi, sur vos ordinateurs bornes d’accès, vous pouvez configurer
pour les utilisateurs qui ne sont pas administrateurs une utilisation très sécurisée et
directive et, pour les administrateurs, vous pouvez définir des paramètres moins
restrictifs.
Pour créer et configurer plusieurs stratégies locales sous Windows Vista, suivez cette
procédure :
1. Cliquez sur le logo Windows de la barre des tâches, puis tapez mmc et validez. La
console MMC s’ouvre. Windows Vista en propose la version 3.
Figure 9.34 : La console mmc v3.0
379
2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

Windows Vista dans
l’infrastructure
Figure 9.35 : La fenêtre Ajouter/Supprimer un composant logiciel enfichable…
3. Dans la colonne de gauche, contenant les composants logiciels enfichables

disponibles, sélectionnez le composant Editeur d’objets de stratégie de groupe et
cliquez sur Ajouter >.
Figure 9.36 : La fenêtre de sélection de la stratégie de groupe
380
4. Cliquez sur le bouton Parcourir.
Windows Vista dans

l’infrastructure
Figure 9.37 : Choix de la stratégie de groupe
5. Une fenêtre s’ouvre afin que vous choisissiez une stratégie de groupe. Cliquez sur
l’onglet Utilisateurs.
Figure 9.38 :
Onglet Utilisateurs
6. Choisissez l’utilisateur local ou le groupe local que vous souhaitez configurer. Vous
ne voyez pas tous vos groupes locaux sur la liste, mais uniquement deux catégories :
les administrateurs et les non-administrateurs. Validez, puis cliquez sur OK.
381
Répétez cette opération pour tous les utilisateurs que vous souhaitez configurer.
Vous obtenez la console de configuration suivante :
Windows Vista dans
l’infrastructure
Figure 9.39 : Stratégies de groupe locales multiples
Vous avez là plusieurs stratégies de groupe locales basées sur des utilisateurs locaux ou
sur des catégories d’utilisateurs locaux : les administrateurs ou les non-administrateurs.
Vous pouvez alors procéder à des paramétrages différents.
9.3. La compatibilité des nouvelles fonctionnalités de

Windows Vista dans Active Directory
Toutes les nouveautés, toutes les améliorations apportées par les paramètres des
stratégies de groupe de Windows Vista seront entièrement exploitables uniquement
avec une version d’Active Directory provenant de serveurs Windows Server Longhorn.
Les administrateurs ont déjà connu cette phase de transition avec Windows XP
Professionnel, en attendant la sortie de Windows Server 2003.
Toutefois, il sera possible de prendre en compte certains nouveaux paramétrages des

stratégies de groupe de Windows Vista en modifiant la version existante du schéma
Active Directory Windows Server 2003 ou Windows Server 2003 R2. La totalité de ces
améliorations seront applicables aux ordinateurs Windows Vista, qui sont les seuls à
savoir en tirer pleinement parti, ce qui vous permettra de profiter d’une très bonne
382
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
intégration des machines Windows Vista dans votre infrastructure. Une partie de ces
améliorations reste tout de même applicable aux ordinateurs Windows XP, ce qui est un
Windows Vista dans

atout indéniable.
l’infrastructure
Les nouveaux paramètres de stratégie de groupe apportent un support avancé pour les
ordinateurs Windows Vista en ce qui concerne la gestion des réseaux filaires Ethernet
IEEE 802.3, la gestion des réseaux sans fil Ethernet IEEE 802.11 et la prise en charge de
la fonctionnalité de cryptage fort de la partition du disque dur : Bitlocker. C’est sur la
prise en compte de ces nouveaux paramètres que vous allez pouvoir modifier le schéma
de votre infrastructure Active Directory existante afin de tirer parti de ces améliorations
au plus tôt, sans attendre Windows Server Longhorn.
Gérer les réseaux filaires IEEE 802.3

Contrairement à Windows XP, Windows Vista permet de contrôler, grâce aux stratégies
de groupe, les paramètres relatifs à l’authentification IEEE 802.1X des réseaux filaires
Ethernet IEEE 802.3.
Dans une infrastructure Active Directory existante de niveau Windows Server 2003 ou
Windows Server 2003 R2, vous pouvez étendre le schéma Active Directory pour que vos
ordinateurs Windows Vista profitent de ces paramètres. L’exercice consiste à ajouter les
attributs suivants dans Active Directory :
j ms−net−ieee−8023−GP−PolicyGUID : identificateur unique pour la gestion des
réseaux filaires dans les objets de stratégie de groupe.
j ms−net−ieee−8023−GP−PolicyData : inclut les valeurs des paramètres pour la
gestion des réseaux filaires dans les objets de stratégie de groupe.
j ms−net−ieee−8023−GP−PolicyReserved : réservé à un usage futur.
Notions relatives à l’extension de schéma

Avant d’étendre le schéma d’Active Directory, vous devez prendre en compte les
points suivants :
j La modification du schéma est globale à tous les domaines de la forêt.

j L’extension de schéma est irréversible. Les attributs ou les classes ne peuvent être
supprimés après leur création. Au mieux, ils peuvent être désactivés.
j Une sauvegarde de tous vos contrôleurs de domaine est nécessaire avant la
modification.
j Veillez à bien documenter vos changements. Une des meilleures solutions
consisterait à procéder d’abord à la modification de schéma sur un domaine de
test, proche de la configuration du domaine de production.
383
Pour plus d’informations sur le schéma d’Active Directory, consultez l’adresse

Windows Vista dans
www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/default.mspx.
l’infrastructure
Pour étendre le schéma Active Directory de votre infrastructure existante, afin de

prendre en compte les paramètres de gestion des réseaux filaires IEEE 802.3, procédez
comme suit :
1. Sur le contrôleur de domaine approprié (par expérience, celui qui détient le rôle de
maître de schéma), ouvrez le Bloc-notes et copiez le script suivant :
# -----------------------------------------------------------
✂ # Copyright (c) 2006 Microsoft Corporation
#
# MODULE: 802.3Schema.ldf
# -----------------------------------------------------------
# -----------------------------------------------------------
# define schemas for these attributes:
#ms-net-ieee-8023-GP-PolicyGUID
#ms-net-ieee-8023-GP-PolicyData
#ms-net-ieee-8023-GP-PolicyReserved
# -----------------------------------------------------------
dn: CN=ms-net-ieee-8023-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-8023-GP-PolicyGUID
adminDisplayName: ms-net-ieee-8023-GP-PolicyGUID
adminDescription: This attribute contains a GUID which identifies a specific
✂ 802.3 group policy object on the domain.
attributeId: 1.2.840.113556.1.4.1954
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: WrCnlLK4WU+cJTnmm6oWhA==
showInAdvancedViewOnly: TRUE
systemFlags: 16
dn: CN=ms-net-ieee-8023-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-8023-GP-PolicyData
adminDisplayName: ms-net-ieee-8023-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which
✂ comprise a group policy configuration for 802.3 wired networks.
attributeId: 1.2.840.113556.1.4.1955
omSyntax: 64
384
systemOnly: FALSE
searchFlags: 0
Windows Vista dans

rangeUpper: 1048576
l’infrastructure
schemaIdGuid:: i5SYg1d0kU29TY1+1mnJ9w==
systemFlags: 16
dn: CN=ms-net-ieee-8023-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-8023-GP-PolicyReserved
adminDisplayName: ms-net-ieee-8023-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1956
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1048576
schemaIdGuid:: xyfF0wYm602M/RhCb+7Izg==
systemFlags: 16
# -----------------------------------------------------------
✂ # Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
-
# -----------------------------------------------------------
# define schemas for the parent class:
#ms-net-ieee-8023-GroupPolicy
# -----------------------------------------------------------
dn: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X
objectClass: classSchema
ldapDisplayName: ms-net-ieee-8023-GroupPolicy
adminDisplayName: ms-net-ieee-8023-GroupPolicy
adminDescription: This class represents an 802.3 wired network group policy
✂ object. This class contains identifiers and configuration data relevant
✂ to an 802.3 wired network.
governsId: 1.2.840.113556.1.5.252
objectClassCategory: 1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemMayContain: 1.2.840.113556.1.4.1956
385
systemPossSuperiors: 1.2.840.113556.1.3.30
Windows Vista dans
systemPossSuperiors: 2.5.6.6
l’infrastructure
schemaIdGuid:: ajqgmRmrRkSTUAy4eO0tmw==
defaultSecurityDescriptor:
✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
✂ (A;;RPLCLORC;;;AU)
defaultHidingValue: TRUE
systemOnly: FALSE
defaultObjectCategory:
✂ CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# -----------------------------------------------------------
# Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------
dn:
schemaUpdateNow: 1
2. Sauvegardez le fichier sous le nom 802.3Schema.ldf et au format ANSI.

Stockez-le à un endroit simple pour le récupérer, C:\TEMP par exemple.
3. Cliquez sur Démarrer, puis sur Exécuter. Tapez cmd.
4. Dans l’Invite de commandes, tapez la ligne ldifde −i −v −k −f 802.3Schema
.ldf −c DC=X Nom_LDAP_complet_du_domaine, où Nom_LDAP_complet
_du_domaine correspond au nom unique LDAP du domaine.
Figure 9.40 : Ligne de commandes de modification du schéma pour la gestion des

paramètres de GPO des réseaux filaires IEE802.3
Le schéma est modifié.

5. Redémarrez le contrôleur de domaine sur lequel vous avez lancé la commande pour
que les changements soient pris en compte.
Le schéma est modifié. Il ne vous reste plus qu’à créer ou ouvrir une stratégie de groupe
existante, à partir d’un ordinateur Windows Vista :
386
3. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous
souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier.
Windows Vista dans

l’infrastructure
4. Développez les rubriques Configuration ordinateur, Paramètres Windows et
Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur Stratégie de
réseau filaire (IEEE 802.3).
5. Cliquez sur Créer une nouvelle stratégie Windows Vista. La fenêtre des propriétés
s’ouvre.
6. Vous pouvez entrer un nom et une description. Cliquez sur l’onglet Sécurité. Vous
pouvez ajuster vos paramètres d’authentification que tous les adaptateurs réseau
affectés par cette stratégie de groupe appliqueront.
Gérer les réseaux sans fil IEEE 802.11

Concernant la gestion des réseaux sans fil IEEE 802.11, les nouveaux paramètres de
stratégie de groupe inclus dans Windows Vista (et nativement dans Windows Server
Longhorn) apportent davantage de flexibilité et améliore la qualité d’administration,
notamment sur les fonctions suivantes…
j Un mode de sécurité mixte : vous pouvez maintenant configurer plusieurs profils
avec le même SSID, mais avec des méthodes de sécurité différentes. Le SSID
(Service Set IDentifier) désigne le réseau auquel est attaché le poste. Ainsi, les
ordinateurs clients possédant des capacités de niveau de sécurité différentes
pourront malgré tout se connecter au même réseau sans fil.
j Permettre et refuser les listes pour les réseaux sans fil : vous pouvez configurer une
liste de réseaux sans fil auxquels le client sans fil de Windows Vista peut se relier et
une liste de réseaux sans fil auxquels le client sans fil de Windows Vista ne peut pas
se relier.
j L’extensibilité : vous pouvez importer les profils qui ont des paramètres spécifiques
de connectivité et de sécurité des fournisseurs sans fil, tels que différents types
d’EAP.
Vous pouvez étendre le schéma Active Directory pour que vos ordinateurs Windows
Vista puissent profiter de ces paramètres. L’exercice consiste à ajouter les attributs
suivants dans Active Directory…
j ms−net−ieee−80211−GP−PolicyGUID : identificateur unique pour la gestion des
réseaux sans fil dans les objets de stratégie de groupe.
j ms−net−ieee−80211−GP−PolicyData : inclut les valeurs des paramètres pour la
gestion des réseaux sans fil dans les objets de stratégie de groupe.
j ms−net−ieee−80211−GP−PolicyReserved : réservé pour un usage futur.
387
Pour étendre le schéma Active Directory de votre infrastructure existante afin de

prendre en compte les paramètres de gestion des réseaux sans fil IEEE 802.11, procédez
Windows Vista dans
ainsi :
l’infrastructure
maître de schéma), ouvrez le Bloc-notes et copiez le script suivant :
# -----------------------------------------------------------
# Copyright (c) 2006 Microsoft Corporation
#
# MODULE: 802.11Schema.ldf
# -----------------------------------------------------------
# -----------------------------------------------------------
# define schemas for these attributes:
#ms-net-ieee-80211-GP-PolicyGUID
#ms-net-ieee-80211-GP-PolicyData
#ms-net-ieee-80211-GP-PolicyReserved
# -----------------------------------------------------------
dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDescription: This attribute contains a GUID which identifies a specific
✂ 802.11 group policy object on the domain.
attributeId: 1.2.840.113556.1.4.1951
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g==
systemFlags: 16
dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which
✂ comprise a group policy configuration for 802.11 wireless networks.
attributeId: 1.2.840.113556.1.4.1952
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ==
388
systemFlags: 16
Windows Vista dans

dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X
l’infrastructure
ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1953
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg==
systemFlags: 16
# -----------------------------------------------------------
# -----------------------------------------------------------
dn:
schemaUpdateNow: 1
-
# -----------------------------------------------------------
# define schemas for the parent class:
#ms-net-ieee-80211-GroupPolicy
# -----------------------------------------------------------
dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GroupPolicy
adminDisplayName: ms-net-ieee-80211-GroupPolicy
adminDescription: This class represents an 802.11 wireless network group
✂ policy object. This class contains identifiers and configuration data
✂ relevant to an 802.11 wireless network.
governsId: 1.2.840.113556.1.5.251
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemPossSuperiors: 2.5.6.6
schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==
389
Windows Vista dans
✂ (A;;RPLCLORC;;;AU)
l’infrastructure
systemOnly: FALSE
✂ CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# -----------------------------------------------------------
# -----------------------------------------------------------
dn:
schemaUpdateNow: 1
2. Sauvegardez le fichier sous le nom 802.11Schema.ldf et au format ANSI.

Stockez-le à un endroit simple pour le récupérer, C:\TEMP par exemple.
3. Cliquez sur Démarrer puis Exécuter. Tapez cmd.
4. Dans l’Invite de commandes, tapez ldifde −i −v −k −f 802.11Schema.ldf −c
DC=X Nom_LDAP_complet_du_domaine.

paramètres de GPO des réseaux sans fil IEE802.11
La modification du schéma s’exécute.

Le schéma est maintenant modifié. Il ne vous reste plus qu’à créer ou à ouvrir une
stratégie de groupe existante, à partir d’un ordinateur Windows Vista :
390
4. Développez les rubriques Configuration ordinateur, Paramètres Windows, puis

Windows Vista dans

réseau sans fil (IEEE 802.11).
l’infrastructure
5. Cliquez sur Créer une nouvelle stratégie Windows Vista. La fenêtre des propriétés
s’ouvre.
6. Vous pouvez entrer un nom et une description. Vous pouvez entrer la liste des SSID
autorisés. Cliquez sur l’onglet Permissions réseau. Vous pouvez ajuster vos
paramètres d’authentification que tous les adaptateurs réseau sans fil affectés par
cette stratégie de groupe appliqueront.
Vous pouvez également créer une stratégie sans fil pour Windows XP, comme cela
existait déjà avec une infrastructure Active Directory Windows Server 2003 et
Windows XP.
2. Développez les rubriques Configuration ordinateur, Paramètres Windows, puis
réseau sans fil (IEEE 802.11).
3. Cliquez sur Créer une nouvelle stratégie Windows XP. La fenêtre des propriétés
s’ouvre.
4. Vous pouvez entrer un nom, une description et configurer vos préférences. Les
possibilités sont moins étendues que sous Windows Vista.
Gérer Bitlocker
Lorsque vous activez Bitlocker sur un ordinateur Windows Vista vous chiffrez de façon
forte la partition de votre disque dur. La fonctionnalité Bitlocker s’appuie sur une puce
matérielle appelée TPM, ce qui rend encore plus fort son chiffrement.
Pour pouvoir crypter et décrypter les données, vous avez besoin de gérer les clés
Bitlocker ainsi que les mots de passe TPM. Active Directory vous donne l’occasion de
les sauvegarder de façon centralisée, à condition que vous mettiez à niveau le schéma.
Les informations de récupération incluent le mot de passe de récupération pour chaque

volume Bitlocker activé, le mot de passe TPM, et l’information permettant d’identifier
à quel ordinateur s’applique le cryptage.
Sauvegarder le mot de passe de récupération pour chaque volume Bitlocker activé ainsi
que le mot de passe TPM permet aux administrateurs d’accéder et de récupérer des
données de volumes verrouillés. Ce qui assure aux administrateurs de l’entreprise de
garantir l’accès aux données cryptées à l’utilisateur, même si celui-ci a perdu la clé
Bitlocker et le mot de passe.
391
Prise en charge de l’extension de schéma pour Bitlocker

Windows Vista dans
Toutes les versions d’Active Directory ne prennent pas en charge l’extension de

l’infrastructure
schéma pour Bitlocker : tous les contrôleurs de domaine de l’infrastructure doivent

être au préalable sous Windows Server 2003, avec le Service Pack 1 au minimum.
Pour étendre le schéma Active Directory de votre infrastructure existante et prendre en

compte la sauvegarde des paramètres de récupération Bitlocker, procédez ainsi :
maître de schéma), ouvrez le Bloc-notes et copiez ce script…
#=============================================================================
# TPM Recovery Information - Attributes
#=============================================================================
#
# ms-TPM-OwnerInformation
#
dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msTPM-OwnerInformation
adminDisplayName: TPM-OwnerInformation
adminDescription: This attribute contains the owner information of a
✂ particular TPM.
attributeId: 1.2.840.113556.1.4.1966
omSyntax: 64
searchFlags: 136
schemaIdGuid:: bRpOqg1VBU6MNUr8uRep/g==
#=============================================================================
# Bitlocker Recovery Information - Attributes
# NOTE: FVE is the acronym for Full Volume Encryption, a pre-release name
#=============================================================================
#
# ms-FVE-RecoveryGuid
#
dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msFVE-RecoveryGuid
adminDisplayName: FVE-RecoveryGuid
adminDescription: This attribute contains the GUID associated with a Full
✂ Volume Encryption (FVE) recovery password.
attributeID: 1.2.840.113556.1.4.1965
omSyntax: 4
searchFlags: 137
392
schemaIdGuid:: vAlp93jmoEews/hqAETAbQ==
Windows Vista dans

#
l’infrastructure
# ms-FVE-RecoveryPassword
#
dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msFVE-RecoveryPassword
adminDisplayName: FVE-RecoveryPassword
adminDescription: This attribute contains the password required to recover a
✂ Full Volume Encryption (FVE) volume.
attributeId: 1.2.840.113556.1.4.1964
omSyntax: 64
searchFlags: 136
schemaIdGuid:: wRoGQ63IzEy3hSv6wg/GCg==
#=============================================================================
# Attributes - Schema Update
#=============================================================================
dn:
changetype: modify
schemaUpdateNow: 1
-
#=============================================================================
# BitLocker Recovery Information - Class
#=============================================================================
#
# ms-FVE-RecoveryInformation
#
dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msFVE-RecoveryInformation
adminDisplayName: FVE-RecoveryInformation
adminDescription: This class contains a Full Volume Encryption recovery
✂ password with its associated GUID.
governsID: 1.2.840.113556.1.5.253
subClassOf: top
systemMustContain: msFVE-RecoveryGuid
systemMustContain: msFVE-RecoveryPassword
systemPossSuperiors: computer
schemaIdGUID:: MF1x6lOP0EC9HmEJGG14LA==
✂ CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
393
#=============================================================================
# Classes - Schema Update
Windows Vista dans
#=============================================================================
l’infrastructure
dn: CN=computer,CN=Schema,CN=Configuration,DC=X
#changetype: ntdsSchemaModify
changetype: modify
add: mayContain
mayContain: msTPM-OwnerInformation
-
dn:
changetype: modify
schemaUpdateNow: 1
-
#=============================================================================
# Bitlocker Recovery Information - Additional Attributes
#=============================================================================
#
# ms-FVE-VolumeGuid
#
dn: CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msFVE-VolumeGuid
adminDisplayName: FVE-VolumeGuid
adminDescription: This attribute contains the GUID associated with a
✂ BitLocker-supported disk volume. Full Volume Encryption (FVE) was the
✂ pre-release name for BitLocker Drive Encryption.
attributeID: 1.2.840.113556.1.4.1998
omSyntax: 4
searchFlags: 27
schemaIdGuid:: z6Xlhe7cdUCc/aydtqLyRQ==
isMemberOfPartialAttributeSet: TRUE
rangeUpper: 128
#
# ms-FVE-KeyPackage
#
dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msFVE-KeyPackage
adminDisplayName: FVE-KeyPackage
adminDescription: This attribute contains a volume’s BitLocker encryption key
✂ secured by the corresponding recovery password. Full Volume Encryption
✂ (FVE) was the pre-release name for BitLocker Drive Encryption.
attributeId: 1.2.840.113556.1.4.1999
394
omSyntax: 4
Windows Vista dans

searchFlags: 152
l’infrastructure
schemaIdGuid:: qF7VH6eI3EeBKQ2qlxhqVA==
isMemberOfPartialAttributeSet: FALSE
rangeUpper: 102400
#=============================================================================
# Additional Attributes - Schema Update
#=============================================================================
dn:
changetype: modify
schemaUpdateNow: 1
-
#=============================================================================
# Updates to BitLocker Recovery Information Class
#=============================================================================
changetype: modify
replace: adminDescription
adminDescription: This class contains BitLocker recovery information
✂ including GUIDs, recovery passwords, and keys. Full Volume Encryption
✂ (FVE) was the pre-release name for BitLocker Drive Encryption.
-
changetype: modify
add: mayContain
mayContain: msFVE-VolumeGuid
mayContain: msFVE-KeyPackage
-
#=============================================================================
# Updates to pre-RC1 Attributes
#=============================================================================
#
# Updates to ms-TPM-OwnerInformation
#
changetype: modify
replace: searchFlags
searchFlags: 152
-
changetype: modify
replace: rangeUpper
rangeUpper: 128
-
#
395
# Updates to ms-FVE-RecoveryGuid
#
Windows Vista dans
l’infrastructure
changetype: modify
adminDescription: This attribute contains the GUID associated with a
✂ BitLocker recovery password. Full Volume Encryption (FVE) was the
-
changetype: modify
searchFlags: 27
-
changetype: modify
replace: rangeUpper
rangeUpper: 128
-
changetype: modify
replace: isMemberOfPartialAttributeSet
isMemberOfPartialAttributeSet: TRUE
-
#
# Updates to ms-FVE-RecoveryPassword
#
changetype: modify
adminDescription: This attribute contains a password that can recover a
✂ BitLocker-encrypted volume. Full Volume Encryption (FVE) was the
-
changetype: modify
searchFlags: 152
-
changetype: modify
replace: rangeUpper
rangeUpper: 256
-
#
# Reload the schema cache to pick up updated attributes
#
dn:
changetype: modify
schemaUpdateNow: 1
396
En résumé
2. Sauvegardez le fichier sous le nom BitLockerTPMSchemaExtension.ldf et au

format ANSI. Stockez-le dans un endroit simple pour le récupérer, C:\TEMP par
Windows Vista dans

exemple.
l’infrastructure
3. Cliquez sur Démarrer, puis Exécuter. Tapez cmd.
4. Dans l’Invite de commandes, tapez ldifde −i −v −k −f
BitLockerTPMSchemaExtension.ldf −c DC=X Nom_LDAP_complet_du_domaine.

paramètres Bitlocker
La modification du schéma s’exécute.

N’étendez pas le schéma d’Active Directory à l’aide du DVD d’installation de Windows

Vista !
Le DVD d’installation de Windows Vista contient l’utilitaire adprep.exe qui est censé
étendre le schéma d’Active Directory pour la prise en compte des réseaux filaires
IEEE 802.3, des réseaux sans fil IEEE 802.11 et de Bitlocker de façon unifiée. Or, la
version adprep.exe contenue sur le DVD d’installation de Windows Vista est une
version bêta qui ne fonctionne pas en production et qui n’est pas prise en charge. Vous
devez impérativement suivre les procédures et les scripts qui viennent de vous être
décrits.
9.4. En résumé
Microsoft fait tout pour que Windows Vista s’intègre le mieux possible à un domaine
existant, et c’est normal : il y va de l’adoption du produit par les entreprises.
Outre les nombreuses nouveautés des paramètres de stratégie de groupe ou les

optimisations de leur traitement, notez la présence de la console de gestion des
stratégies de groupe (GPMC) de base sous Windows Vista, qui vous permet d’exploiter
immédiatement des stratégies de groupe pour les ordinateurs Windows Vista.
397
Chapitre 10
Windows
PowerShell
10.1 Présentation de Windows PowerShell . . . . . . .... . . . . . . . . . . . . . . . . . . 401
10.2 Installer Windows PowerShell . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 402
10.3 Exécuter Windows PowerShell . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 403
10.4 Les applets de commande Windows PowerShell ... . . . . . . . . . . . . . . . . . . 404
10.5 Le traitement d’objets . . . . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 410
10.6 L’interaction et les scripts . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 413
10.7 Utiliser Windows PowerShell . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 415
10.8 Naviguer dans Windows PowerShell . . . . . . . .... . . . . . . . . . . . . . . . . . . 424
10.9 PowerShell et Active Directory . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 427
10.10 En résumé . . . . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 428
Présentation de Windows PowerShell
W indows PowerShell est un environnement de ligne de commande Windows

spécialement conçu pour les administrateurs système. Il comprend une ligne de
commandes interactive et un environnement de script qui peuvent être utilisés
indépendamment l’un de l’autre ou ensemble. Le parallèle est tout de suite évident avec
les puissants outils de ligne de commande et d’environnement de scripts présents sous
Unix/Linux.
Même si Windows PowerShell n’est pas natif dans Windows Server 2003 ou dans
10. Windows
PowerShell
Windows Vista, il y a fort à parier qu’il va occuper une place importante dans
l’administration de postes utilisateurs et des serveurs dans les années à venir.
Windows PowerShell peut être utilisé également sur Windows XP ainsi que
Windows Server 2003. Le seul prérequis pour qu’il puisse fonctionner est la présence de
l’environnement .NET Framework 2.0.
10.1. Présentation de Windows PowerShell

Windows PowerShell est basé sur le Common Language Runtime (CLR) .NET, le .NET
Framework 2.0 et accepte et retourne des objets .NET. Cette modification
fondamentale de l’environnement apporte des méthodes et des outils entièrement
nouveaux pour la gestion et la configuration de Windows.
Windows PowerShell introduit le concept d’applet de commande, un outil de ligne de

commande simple, à fonction unique, intégré dans l’environnement. Vous pouvez utiliser
chaque applet de commande séparément, mais leur puissance se révèle lorsque vous
combinez ces outils simples pour effectuer des tâches complexes. Windows PowerShell
inclut plus de cent applets de commande principales. Vous pouvez également écrire vos
propres applets de commande et les partager avec d’autres utilisateurs.
Comme de nombreux environnements, Windows PowerShell vous donne accès au

système de fichiers de l’ordinateur. En outre, les fournisseurs de Windows PowerShell
vous permettent d’accéder à d’autres magasins de données, tels que le Registre et les
magasins de certificats de signatures numériques, aussi facilement que vous accédez au
système de fichiers.
La plupart des environnements, y compris la ligne de commande Windows et les

environnements Unix/Linux fonctionnent en exécutant une commande ou un utilitaire
dans un nouveau processus, et en présentant les résultats à l’utilisateur sous forme de
texte. Ces environnements présentent aussi des commandes intégrées à
l’environnement et qui s’exécutent dans le processus de l’environnement. La présence
dans la plupart des environnements d’un nombre limité de commandes intégrées a
donné lieu à la création de beaucoup d’utilitaires complémentaires.
Windows PowerShell est en cela très différent des utilitaires disponibles aujourd’hui.
j Windows PowerShell ne traite pas de texte, mais des objets basés sur la plateforme
.NET.
401
Chapitre 10 Windows PowerShell
j Windows PowerShell est livré avec un important jeu de commandes intégrées,

dotées d’une interface homogène.
j Toutes les commandes de l’environnement utilisent le même analyseur de
commande, au lieu d’analyseurs différents pour chaque outil. L’utilisation de
chaque commande est ainsi beaucoup plus simple à acquérir.
Mieux, vous n’avez pas à abandonner les outils auxquels vous êtes habitué. Vous pouvez
10. Windows
toujours utiliser les outils Windows traditionnels, tels que net, sc et reg.exe dans Windows
PowerShell
PowerShell.
Concernant la conception de PowerShell, les développeurs sont partis de zéro pour

redéfinir le Shell avec comme inspiration ce qui se faisait déjà dans les autres systèmes :
j Unix pour le modèle de composition très puissant ;
j AS400 et VMS pour les nommages et la syntaxe consistante facilitant
l’apprentissage ;
j TCL et WSH pour le support multilangage ;
j Bash, Perl, C# pour le style et la richesse des expressions.
Windows PowerShell utilise son propre langage au lieu de réutiliser un langage existant,
parce que Windows PowerShell avait besoin d’un langage pour la gestion des objets
.NET qui permette de fournir un environnement cohérent d’utilisation des applets de
commande qui permette la prise en charge de tâches complexes, sans compliquer les
tâches simples et qui permette enfin une cohérence avec les langages de niveau
supérieur utilisés en programmation .NET, comme C#.
10.2. Installer Windows PowerShell

Windows PowerShell nécessite certains prérequis pour pouvoir fonctionner
correctement. Windows PowerShell requiert les programmes suivants :
j Windows Vista, Windows XP Service Pack 2 ou Windows Server 2003 Service
Pack 1 ;
j Microsoft .NET Framework 2.0.
Windows PowerShell
Windows PowerShell n’est pas fourni à la base. Vous pouvez le télécharger à l’adresse
www.microsoft.com/windowsserver2003/technologies/management/powershell/download
.mspx. Choisissez alors la version que vous souhaitez en adéquation avec le système
d’exploitation.
402
Exécuter Windows PowerShell
Pour installer Windows PowerShell :

1. Exécutez le fichier que vous venez de télécharger.
2. Suivez les instructions des pages de l’assistant d’installation.
Figure 10.1 :
Installation de Windows
PowerShell
10. Windows
PowerShell
Vous avez la possibilité de procéder à l’installation de façon silencieuse depuis un
partage réseau.
3. Une fois que vous avez recopié le fichier d’installation sur le partage réseau
souhaité, ouvrez une Invite en ligne de commande, accédez au partage réseau, puis
tapez <Nom_fichier_exe_PowerShell> /quiet.
10.3. Exécuter Windows PowerShell

Pour lancer Windows PowerShell :
j À partir du menu de démarrage de Windows, cliquez sur le logo Windows, sur Tous
les programmes, sur Windows PowerShell 1.0, puis sur l’icône de Windows
PowerShell.
j À partir de la zone d’exécution, cliquez sur le logo Windows, tapez powershell et
validez.
j À partir d’une fenêtre d’Invite de commandes, tapez powershell. Parce que
Windows PowerShell s’exécute dans une session de console, vous pouvez utiliser
cette technique pour l’exécuter au cours d’une session Telnet ou SSH à distance.
Pour revenir à votre session d’invite de commandes, tapez exit.
403
10. Windows
PowerShell
Figure 10.2 : Exécution de Windows PowerShell par la ligne de commande
Vous remarquez que l’invite PowerShell commence par les deux lettres PS.
10.4. Les applets de commande Windows PowerShell

Applet
Une applet de commande est une commande à fonctionnalité unique qui manipule
des objets dans Windows PowerShell.
Les applets sont identifiables au format de leur nom : un verbe et un substantif anglais,
séparés par un tiret, comme Get−Help, Get−Process et Start−Service. L’abréviation
donnée à ces applets de commande est Cmdlet.
Voici la liste des applets de commande ainsi que leur description (ce tableau pourra
vous servir de référence lorsque vous devrez administrer sous Windows PowerShell) :
Tableau 10.1 : Toutes les applets de commande utilisables dans Windows PowerShell
Applet de commande Description
Add−Content Ajoute le contenu aux éléments spécifiés.
Add−History Ajoute des entrées à l’historique de la session.
Add−Member Ajoute un membre personnalisé défini par l’utilisateur à une instance d’un
objet Windows PowerShell.
Add−PSSnapin Ajoute un ou plusieurs composants logiciels enfichables Windows PowerShell
à la console actuelle.
Clear−Content Supprime le contenu d’un élément, par exemple le texte d’un fichier, mais ne
supprime pas l’élément.
Clear−Item Supprime le contenu d’un élément, mais ne supprime pas l’élément.
Clear−ItemProperty Supprime la valeur d’une propriété, mais ne supprime pas la propriété.
Clear−Variable Supprime la valeur d’une variable.
Compare−Object Compare deux jeux d’objets.
ConvertFrom−SecureString Convertit une chaîne sécurisée en chaîne standard chiffrée.
404
Les applets de commande Windows PowerShell

Convert−Path Convertit un chemin d’accès Windows PowerShell en chemin d’accès à un
fournisseur de Windows PowerShell.
ConvertTo−Html Crée une page HTML qui représente un objet ou un jeu d’objets.
ConvertTo−SecureString Convertit des chaînes standards chiffrées en chaînes sécurisées. Cette
commande peut aussi convertir du texte brut en chaînes sécurisées. Elle est
utilisée avec ConvertFrom−SecureString et Read−Host.
10. Windows
PowerShell
Copy−Item Copie un élément d’un emplacement vers un autre dans un espace de noms.
Copy−ItemProperty Copie une propriété et une valeur d’un emplacement spécifié vers un autre
emplacement.
Export−Alias Exporte vers un fichier les informations sur les alias actuellement définis.
Export−Clixml Crée une représentation XML d’un ou de plusieurs objets et la stocke dans un
fichier.
Export−Console Exporte la configuration de la console actuelle vers un fichier afin que vous
puissiez la réutiliser ou la partager.
Export−Csv Crée un fichier de valeurs séparées par des virgules (CSV) qui représente les
objets d’entrée.
ForEach−Object Exécute une opération en fonction de chacun des jeux d’objets d’entrée.
Format−Custom Utilise un affichage personnalisé pour mettre en forme la sortie.
Format−List Met en forme la sortie en tant que liste de propriétés sur laquelle chaque
propriété apparaît sur une nouvelle ligne.
Format−Table Met en forme la sortie en tant que tableau.
Format−Wide Met en forme les objets en tant que large table qui affiche une seule propriété
de chaque objet.
Get−Acl Obtient le descripteur de sécurité d’une ressource, comme un fichier ou une
clé de Registre.
Get−Alias Obtient les alias pour la session active.
Get−AuthenticodeSignature Obtient les informations relatives à la signature Authenticode d’un fichier.
Get−ChildItem Obtient les éléments et les éléments enfants à un ou à plusieurs
emplacements spécifiés.
Get−Command Obtient des informations de base sur les applets de commande et sur d’autres
éléments des commandes Windows PowerShell.
Get−Content Obtient le contenu de l’élément à l’emplacement spécifié.
Get−Credential Obtient un objet credential (informations d’identification) basé sur le
nom et le mot de passe d’un utilisateur.
Get−Culture Obtient des informations à propos des paramètres régionaux sur un
ordinateur.
Get−Date Obtient l’heure et la date actuelles.
405

Get−EventLog Obtient des informations à propos des journaux des événements locaux ou
des entrées stockées dans ces journaux des événements.
Get−ExecutionPolicy Obtient la stratégie d’exécution actuelle de l’environnement.
Get−Help Affiche des informations sur les applets de commande et les concepts
Windows PowerShell.
10. Windows
Obtient la liste des commandes entrées pendant la session active.

PowerShell
Get−History
Get−Host Obtient une référence à l’objet hôte de la console actuelle. Affiche la version
Windows PowerShell et les informations régionales par défaut.
Get−Item Obtient l’élément à l’emplacement spécifié.
Get−ItemProperty Récupère les propriétés de l’élément spécifié.
Get−Location Obtient des informations à propos de l’emplacement de travail actif.
Get−Member Obtient des informations sur les objets ou les collections d’objets.
Get−PfxCertificate Obtient des informations sur les fichiers de certificat .pfx de l’ordinateur.
Get−Process Obtient les processus qui s’exécutent sur l’ordinateur local.
Get−PSDrive Obtient des informations à propos des lecteurs Windows PowerShell.
Get−PSProvider Obtient des informations se rapportant au fournisseur de Windows PowerShell
spécifié.
Get−PSSnapin Obtient les composants logiciels enfichables Windows PowerShell situés sur
l’ordinateur.
Get−Service Obtient les services sur l’ordinateur local.
Get−TraceSource Obtient les composants Windows PowerShell qui sont instrumentés pour le
traçage.
Get−UICulture Obtient des informations sur la culture de l’interface utilisateur actuelle pour
Windows PowerShell.
Get−Unique Retourne les éléments uniques sur une liste triée.
Get−Variable Obtient les variables dans la console actuelle.
Get−WmiObject Obtient des instances de classes WMI ou des informations à propos des
classes disponibles.
Group−Object Regroupe les objets qui contiennent la même valeur pour les propriétés
spécifiées.
Import−Alias Importe une liste d’alias à partir d’un fichier.
Import−Clixml Importe un fichier CLIXML et crée des objets correspondants dans Windows
PowerShell.
Import−Csv Importe des fichiers de valeurs séparées par des virgules (CSV) dans le
format produit par l’applet de commande Export−Csv et retourne des
objets qui correspondent aux objets représentés dans ce fichier CSV.
Invoke−Expression Exécute une expression Windows PowerShell qui est fournie sous la forme
d’une chaîne.
406

Invoke−History Exécute les commandes depuis l’historique de la session.
Invoke−Item Appelle l’action par défaut spécifique au fournisseur sur l’élément spécifié.
Join−Path Combine un chemin d’accès et un chemin d’accès d’enfant en un seul chemin
d’accès. Le fournisseur fournit les séparateurs de chemin d’accès.
Measure−Command Mesure le temps qu’il faut pour exécuter des blocs de script et des applets de
10. Windows
commande.
PowerShell
Measure−Object Mesure les caractéristiques des objets et leurs propriétés.
Move−Item Déplace un élément d’un emplacement à un autre.
Move−ItemProperty Déplace une propriété d’un emplacement à un autre.
New−Alias Crée un alias.
New−Item Crée un nouvel élément dans un espace de noms.
New−ItemProperty Définit une nouvelle propriété d’élément à un emplacement.
New−Object Crée une instance d’un objet .NET ou COM.
New−PSDrive Installe un nouveau lecteur Windows PowerShell.
New−Service Crée une entrée pour un service Windows dans le Registre et dans la base de
données de services.
New−TimeSpan Crée un objet TimeSpan.
New−Variable Crée une variable.
Out−Default Envoyez la sortie au formateur par défaut et à l’applet de commande de sortie
par défaut. Cette applet de commande n’a aucun effet sur la mise en forme ou
la sortie. C’est un espace réservé qui vous permet d’écrire votre propre
fonction Out−Default ou une applet de commande.
Out−File Envoie la sortie à un fichier.
Out−Host Envoie la sortie à la ligne de commande.
Out−Null Supprime la sortie au lieu de l’envoyer à la console.
Out−Printer Envoie la sortie à une imprimante.
Out−String Envoie des objets à l’hôte en tant que série de chaînes.
Pop−Location Définit l’emplacement actuel sur le dernier emplacement placé sur la pile à
l’aide d’une opération push. Vous pouvez extraire l’emplacement à partir de
la pile par défaut ou d’une pile créée à l’aide de Push−Location.
Push−Location Exécute une opération push qui place l’emplacement actuel sur la pile.
Read−Host Lit une ligne d’entrée à partir de la console.
Remove−Item Supprime les éléments spécifiés.
Remove−ItemProperty Supprime la propriété et sa valeur d’un élément.
Remove−PSDrive Supprime un lecteur Windows PowerShell de son emplacement.
Remove−PSSnapin Supprime les composants logiciels enfichables Windows PowerShell de la
console actuelle.
407

Remove−Variable Supprime une variable et sa valeur.
Rename−Item Renomme un élément dans un espace de noms du fournisseur de Windows
PowerShell.
Rename−ItemProperty Renomme la propriété d’un élément.
Resolve−Path Résout les caractères génériques inclus dans un chemin d’accès et affiche le
10. Windows
contenu de ce dernier.
PowerShell
Restart−Service Arrête, puis démarre un ou plusieurs services.

Resume−Service Reprend un ou plusieurs services interrompus (suspendus).
Select−Object Sélectionne des propriétés spécifiées d’un objet ou d’un jeu d’objets. Il peut
également sélectionner des objets uniques d’un tableau d’objets ou
sélectionner un nombre spécifié d’objets du début ou de la fin d’un tableau
d’objets.
Select−String Identifie des modèles dans les chaînes.
Set−Acl Modifie le descripteur de sécurité de la ressource spécifiée, telle qu’un fichier
ou une clé de Registre.
Set−Alias Crée ou modifie un alias (autre nom) pour une applet de commande ou un
autre élément de commande dans la session Windows PowerShell actuelle.
Set−AuthenticodeSignature Utilise une signature Authenticode pour signer un script Windows PowerShell
ou autre fichier.
Set−Content Écrit ou remplace le contenu d’un élément par un nouveau contenu.
Set−Date Modifie l’heure système sur l’ordinateur en la remplaçant par l’heure que vous
spécifiez.
Set−ExecutionPolicy Modifie la préférence utilisateur pour la stratégie d’exécution de
l’environnement.
Set−Item Remplace la valeur d’un élément par la valeur spécifiée dans la commande.
Set−ItemProperty Définit la valeur d’une propriété à l’emplacement spécifié.
Set−Location Définit l’emplacement de travail actif sur un emplacement spécifié.
Set−PSDebug Active/désactive les fonctions de débogage, définit le niveau de suivi et
active/désactive le mode strict.
Set−Service Modifie le nom d’affichage, la description ou le mode de démarrage d’un
service.
Set−TraceSource Configure, démarre et arrête une trace des composants Windows PowerShell.
Set−Variable Définit la valeur d’une variable. Crée la variable si aucune variable avec le nom
demandé n’existe pas.
Sort−Object Trie les objets par les valeurs de propriété.
Split−Path Retourne la partie spécifiée d’un chemin d’accès.
Start−Service Démarre un ou plusieurs services arrêtés.
408

Start−Sleep Interrompez l’environnement, le script ou l’activité de l’instance d’exécution
pour l’intervalle de temps spécifié.
Start−Transcript Crée un enregistrement de tout ou partie d’une session Windows PowerShell
dans un fichier texte.
Stop−Process Arrête un ou plusieurs processus en cours d’exécution.
10. Windows
Arrête un ou plusieurs services en cours d’exécution.
PowerShell
Stop−Service
Stop−Transcript Arrête une transcription.
Suspend−Service Interrompt (suspend) un ou plusieurs services en cours d’exécution.
Tee−Object Dirige l’entrée d’objet vers un fichier ou une variable, puis passe l’entrée le
long du pipeline.
Test−Path Détermine si tous les éléments d’un chemin d’accès existent.
Trace−Command L’applet de commande Trace−Command configure et démarre une trace
de l’expression ou de la commande spécifiée.
Update−FormatData Met à jour et ajoute les fichiers de données de mise en forme.
Update−TypeData Met à jour la configuration de type étendu actuelle en rechargeant en mémoire
les fichiers *.types.ps1xml.
Where−Object Crée un filtre qui contrôle les objets qui seront passés le long d’un pipeline de
commandes.
Write−Debug Écrit un message de débogage pour l’affichage hôte.
Write−Error Écrit un objet au pipeline d’erreur.
Write−Host Affiche des objets à l’aide de l’interface utilisateur hôte
Write−Output Écrit des objets au pipeline de succès.
Write−Progress Affiche une barre de progression dans une fenêtre de commande Windows
PowerShell.
Write−Verbose Écrit une chaîne pour l’affichage commenté de l’hôte.
Write−Warning Écrit un message d’avertissement.
Dans les environnements traditionnels, les commandes sont des programmes

exécutables allant de la commande simple comme dir au très complexe comme netsh.
Dans Windows PowerShell, la plupart des applets de commande sont très simples et
conçues pour une utilisation en association avec d’autres applets de commande. Par
exemple, les applets de commande get ne font que récupérer des données, les applets
de commande set permettent uniquement de définir ou de modifier des données, les
applets de commande format servent exclusivement à la mise en forme de données et
les applets de commande out seulement à diriger la sortie vers une destination spécifiée.
Chaque applet de commande est assortie d’un fichier d’aide auquel vous pouvez accéder
en tapant get−help <nom_applet_commande> −detailed.
409
L’affichage détaillé du fichier d’aide de l’applet de commande comprend une

description de l’applet de commande, la syntaxe de commande, la description des
paramètres et un exemple qui illustre l’utilisation de l’applet de commande.
10. Windows
PowerShell
Figure 10.3 : Un exemple de fichier d’aide d’une applet de commande
10.5. Le traitement d’objets

Bien que vous puissiez ne pas vous en rendre compte, lorsque vous travaillez dans
Windows PowerShell, vous travaillez avec des objets .NET. D’un point de vue
technique, un objet .NET est une instance d’une classe .NET constitué de données et
des opérations associées à ces données. Vous pouvez cependant considérer un objet
comme une entité de données assortie de propriétés, qui sont en quelque sorte des
caractéristiques, et des méthodes, qui sont des actions que vous pouvez effectuer sur
l’objet.
Par exemple, lorsque vous obtenez un service dans Windows PowerShell, vous obtenez
en réalité un objet qui représente le service. Lorsque vous consultez des informations
sur un service, vous consultez les propriétés de son objet service. Et lorsque vous
démarrez un service, c’est-à-dire lorsque vous affectez à la propriété Status du service
la valeur started, vous utilisez une méthode de l’objet service.
Tous les objets du même type ont les mêmes propriétés et méthodes, mais chaque
instance d’un objet peut avoir des valeurs différentes pour les propriétés. Pour
déterminer le type d’objet obtenu par une applet de commande, utilisez un opérateur de
pipeline | afin d’envoyer les résultats d’une commande get à la commande
Get−Member. Par exemple, la commande get−service | get−member envoie les
objets récupérés par une commande Get−Service à Get−Member.
PS C:\Documents and Settings\Administrateur> get-service | get-member
TypeName: System.ServiceProcess.ServiceController
410
Le traitement d’objets
Name MemberType Definition

---- ---------- ----------
Name AliasProperty Name = ServiceName
add_Disposed Method System.Void add_Disposed(EventHandler
✂ value)
Close Method System.Void Close()
Continue Method System.Void Continue()
CreateObjRef Method System.Runtime.Remoting.ObjRef
✂ CreateObjRef(Type requestedType)
10. Windows
PowerShell
Dispose Method System.Void Dispose()
Equals Method System.Boolean Equals(Object obj)
ExecuteCommand Method System.Void ExecuteCommand(Int32 command)
GetHashCode Method System.Int32 GetHashCode()
GetLifetimeService Method System.Object GetLifetimeService()
GetType Method System.Type GetType()
get_CanPauseAndContinue Method System.Boolean get_CanPauseAndContinue()
get_CanShutdown Method System.Boolean get_CanShutdown()
get_CanStop Method System.Boolean get_CanStop()
get_Container Method System.ComponentModel.IContainer
✂ get_Container()
get_DependentServices Method System.ServiceProcess.ServiceController[]
✂ get_DependentServices()
get_DisplayName Method System.String get_DisplayName()
get_MachineName Method System.String get_MachineName()
get_ServiceHandle Method System.Runtime.InteropServices.SafeHandle
✂ get_ServiceHandle()
get_ServiceName Method System.String get_ServiceName()
get_ServicesDependedOn Method System.ServiceProcess.ServiceController[]
✂ get_ServicesDependedOn()
get_ServiceType Method System.ServiceProcess.ServiceType
✂ get_ServiceType()
get_Site Method System.ComponentModel.ISite get_Site()
get_Status Method System.ServiceProcess
✂ .ServiceControllerStatus get_Status()
InitializeLifetimeService Method System.Object InitializeLifetimeService()
Pause Method System.Void Pause()
Refresh Method System.Void Refresh()
remove_Disposed Method System.Void remove_Disposed(EventHandler
✂ value)
set_DisplayName Method System.Void set_DisplayName(String value)
set_MachineName Method System.Void set_MachineName(String value)
set_ServiceName Method System.Void set_ServiceName(String value)
set_Site Method System.Void set_Site(ISite value)
Start Method System.Void Start(), System.Void
✂ Start(String[] args)
Stop Method System.Void Stop()
ToString Method System.String ToString()
WaitForStatus Method System.Void
✂ WaitForStatus(ServiceControllerStatus desiredStatus), System.Void
✂ WaitForStatus(ServiceControllerStatus desiredStatus, TimeSpan timeout)
CanPauseAndContinue Property System.Boolean CanPauseAndContinue {get;}
CanShutdown Property System.Boolean CanShutdown {get;}
411
CanStop Property System.Boolean CanStop {get;}

Container Property System.ComponentModel.IContainer
✂ Container {get;}
DependentServices Property System.ServiceProcess.ServiceController[]
✂ DependentServices {get;}
DisplayName Property System.String DisplayName {get;set;}
MachineName Property System.String MachineName {get;set;}
ServiceHandle Property System.Runtime.InteropServices.SafeHandle
✂ ServiceHandle {get;}
10. Windows
PowerShell
ServiceName Property System.String ServiceName {get;set;}

ServicesDependedOn Property System.ServiceProcess.ServiceController[]
✂ ServicesDependedOn {get;}
ServiceType Property System.ServiceProcess.ServiceType
✂ ServiceType {get;}
Site Property System.ComponentModel.ISite Site
✂ {get;set;}
Status Property System.ServiceProcess
✂ .ServiceControllerStatus Status {get;}
Get−Member affiche des informations sur l’objet service, y compris le nom de type
(TypeName) de l’objet et une liste de ses propriétés et méthodes.
Pour rechercher les valeurs de toutes les propriétés d’un objet particulier, utilisez un
opérateur de pipeline afin d’envoyer les résultats d’une commande get à une
commande Format−List ou Format−Table. Utilisez le paramètre Property des
applets de commande Format avec une valeur visant à tout inclure. Par exemple, pour
rechercher toutes les propriétés du service Planification du système, tapez
get−service schedule | format−list −property *.
Figure 10.4 : résultat de la commande get-service schedule | format-list –property *
Les pipelines d’objets

L’un des avantages liés à l’utilisation d’objets est qu’elle permet de canaliser la
commande en pipeline, c’est-à-dire de passer la sortie d’une commande à une autre
commande, en tant qu’entrée. La communication requiert souvent la manipulation de
412
L’interaction et les scripts
chaînes afin de convertir la sortie d’un format en un autre et de supprimer des titres et
des en-têtes de colonnes.
Windows PowerShell fournit un nouveau modèle interactif basé sur les objets, plutôt
que sur du texte. L’applet de commande qui reçoit un objet peut agir directement sur ses
propriétés et méthodes sans la moindre conversion ou manipulation. Les utilisateurs
peuvent faire référence aux propriétés et méthodes de l’objet par nom, plutôt que
d’avoir à calculer la position des données dans la sortie.
10. Windows
PowerShell
Prenons un exemple : le résultat d’une commande IpConfig est passé à une commande
Findstr. L’opérateur de pipeline envoie le résultat de la commande située à sa gauche
à la commande située à sa droite.
Figure 10.5 : Utilisation de l’opérateur de pipeline
Le résultat est l’affichage de la ligne contenant la chaîne de caractères Adresse comme

seul résultat de la commande IpConfig.
10.6. L’interaction et les scripts

Comme d’autres environnements, Windows PowerShell prend en charge un
environnement interactif complet. Lorsque vous tapez une commande à l’invite, la
commande est traitée et la sortie s’affiche dans la fenêtre d’environnement. Vous
pouvez envoyer la sortie d’une commande à un fichier ou une imprimante, ou bien
utiliser l’opérateur de pipeline pour envoyer la sortie à une autre commande.
Si vous exécutez de façon répétitive des commandes ou des séquences de commandes

particulières, ou si vous développez une série de commandes pour effectuer une tâche
complexe, vous pouvez enregistrer vos commandes dans un fichier et exécuter le fichier
de commandes au lieu de taper des commandes à l’invite. C’est le principe du script.
En plus de son interface interactive, Windows PowerShell prend pleinement en charge

les scripts. Dans Windows PowerShell, les fichiers de script ont l’extension de nom de
fichier .ps1. Pour exécuter un script, tapez le nom du script à l’Invite de commandes, par
exemple c:\script.ps1.
Vous devez spécifier le chemin d’accès complet au fichier de script, même si le script se
trouve dans le répertoire actif. Pour indiquer le répertoire actif, tapez son nom ou
utilisez un point (.) pour le représenter, par exemple .\testscript.ps1.
Windows PowerShell inclut également un langage de script très élaboré qui vous permet
de créer des scripts des plus simples aux plus complexes. Il prend en charge des
413
constructions de langage pour les boucles, les conditions, le contrôle de flux et

l’affectation de valeurs aux variables.
La stratégie d’exécution
Bien que les scripts soient extrêmement utiles, voire essentiels, dans certaines
entreprises, ils peuvent être utilisés pour diffuser du code malveillant. En conséquence,
10. Windows
la stratégie de sécurité dans Windows PowerShell, appelée "stratégie d’exécution", vous

PowerShell
permet de déterminer si des scripts peuvent s’exécuter et s’ils doivent inclure une
signature numérique. Pour éliminer un risque évident, aucune des stratégies d’exécution
de Windows PowerShell ne vous permet d’exécuter un script par un double-clic sur son
icône.
Pour obtenir plus d’informations, sous Windows PowerShell, tapez get−help

about_signing.
Les stratégies d’exécution PowerShell assurent la sécurité de l’environnement de script

en déterminant les conditions dans lesquelles PowerShell charge des fichiers de
configuration et exécute des scripts.
Les stratégies d’exécution PowerShell sont énumérées dans le tableau suivant :
Tableau 10.2 : Les différentes stratégies d’exécution de Windows PowerShell

Stratégie d’exécution Description
Restricted Stratégie d’exécution par défaut. Autorise l’exécution de commandes
individuelles, mais de scripts.
AllSigned Les scripts peuvent être exécutés. Requiert la signature numérique d’un
éditeur approuvé sur tous les scripts et les fichiers de configuration, y
compris les scripts que vous écrivez sur l’ordinateur local, vous demande
confirmation avant d’exécuter des scripts provenant d’éditeurs approuvés
et risque d’exécuter des scripts signés mais malveillants.
RemoteSigned Les scripts peuvent être exécutés. Requiert la signature numérique d’un
éditeur approuvé sur les scripts et fichiers de configuration téléchargés à
partir d’Internet (y compris les programmes de messagerie électronique
et de messagerie instantanée), ne requiert pas de signatures numériques
sur les scripts exécutés depuis l’ordinateur local, ne vous demande pas
de confirmation avant d’exécuter des scripts provenant d’éditeurs
approuvés et risque d’exécuter des scripts signés mais malveillants.
Unrestricted Les scripts non signés peuvent être exécutés. Les scripts et fichiers de
configuration téléchargés à partir d’Internet (y compris Microsoft Outlook,
Windows Mail et Windows Messenger) sont exécutés après que vous
avez été informé de leur provenance. Risque d’exécuter des scripts
malveillants.
414
Utiliser Windows PowerShell
Restricted est la stratégie la plus sûre. C’est la valeur par défaut. Elle autorise
l’exécution de commandes individuelles, mais pas celle de scripts.
Lorsqu’une stratégie d’exécution empêche PowerShell de charger un fichier ou

d’exécuter un script, un avertissement qui explique la restriction s’affiche.
Pour charger le fichier ou autoriser l’exécution de scripts, changez de stratégie

d’exécution. Le changement prend immédiatement effet et est conservé jusqu’à ce que
10. Windows
PowerShell
vous en changiez de nouveau. Seuls les administrateurs sont autorisés à changer de
stratégie.
Pour changer de stratégie d’exécution :

1. Sous Windows PowerShell, tapez Set−ExecutionPolicy <nom_stratégie>, par
exemple Set−ExecutionPolicy RemoteSigned.
2. Si la commande aboutit, PowerShell affiche l’Invite de commandes. Aucun message
de réussite ne s’affiche. Si la commande échoue, PowerShell affiche un message
d’erreur et rétablit la stratégie d’exécution antérieure.
Pour consulter la stratégie d’exécution PowerShell :

3. Sous Windows PowerShell, tapez Get−ExecutionPolicy.
Figure 10.6 :
Résultat de la
commande
Get-ExecutionPolicy
10.7. Utiliser Windows PowerShell

Plongez-vous maintenant dans les principes fondamentaux de l’utilisation de Windows
PowerShell. Vous allez apprendre les bonnes pratiques d’utilisation
L’importance de l’aide
L’applet de commande Get−Help est un outil pratique pour en apprendre davantage sur
Windows PowerShell. En lisant les descriptions des applets de commande, en étudiant
les concepts et en explorant les rubriques liées au langage, vous pouvez commencer à
comprendre comment utiliser Windows PowerShell. La première rubrique d’intérêt est
donc le système d’aide.
j Pour afficher des informations sur le système d’aide de Windows PowerShell, tapez
get−help.
415
10. Windows
PowerShell
Figure 10.7 : Résultat de la commande get-help
Pour commencer à utiliser Windows PowerShell, vous souhaiterez donc en savoir plus
sur quelques applets de commande de base, telles que Get−Command, Get−Process,
Get−Service, Get−Eventlog, etc.
j Pour afficher la forme la plus simple de l’aide d’une applet de commande, tapez
get−help, suivi du nom de l’applet de commande en question. Par exemple, pour
obtenir de l’aide sur Get−Command, tapez get−help get−command.
j Pour afficher l’aide détaillée d’une applet de commande, qui inclut la description
des paramètres et des exemples, utilisez le paramètre Detailed de Get−Help. Par
exemple, pour obtenir l’aide détaillée relative à l’applet de commande
Get−Command, tapez get−help get−command −detailed.
j Pour afficher l’intégralité de l’aide disponible pour une applet de commande, y
compris des informations techniques sur cette applet de commande et ses
paramètres, utilisez le paramètre Full. Par exemple, pour obtenir l’intégralité de
l’aide relative à l’applet de commande Get−Command, tapez get−help
get−command −full.
416
j Vous pouvez aussi afficher des parties sélectionnées du fichier d’aide. Pour
consulter uniquement les exemples, utilisez le paramètre Examples. Par exemple,
pour afficher les exemples de l’applet de commande Get−Command, tapez get−help
get−command −examples.
j Pour consulter uniquement des descriptions détaillées de paramètres, utilisez le
paramètre Parameter de Get−Help. Vous pouvez spécifier le nom d’un paramètre
ou utiliser le caractère générique * pour spécifier tous les paramètres. Par exemple,
10. Windows
pour consulter une description du paramètre TotalCount de Get−Command, tapez
PowerShell
get−help get−command −parameter totalcount. Pour consulter tous les
paramètres de l’applet de commande Get−Command, tapez get−help
get−command −parameter *.
Vous pouvez également utiliser l’une des fonctions de Windows PowerShell qui
appellent Get−Help. La fonction Help affiche un écran d’aide complet à la fois. La
fonction Man affiche une aide qui ressemble aux pages Man sous Unix (tiens ?…).
j Pour utiliser les fonctions Help et Man afin d’afficher l’aide de l’applet de commande
Get−Command, tapez man get−command ou help get−command.
Figure 10.8 : Résultat de la commande man get-command
Lorsque vous demandez une rubrique d’aide particulière, Get−Help affiche le contenu
de la rubrique. Mais lorsque vous utilisez des caractères génériques pour demander
plusieurs rubriques, Get−Help affiche une liste de rubriques. Par exemple, pour
consulter la liste des rubriques d’aide relatives aux applets de commande Get, tapez
get−help get−*.
L’aide sur les concepts de Windows PowerShell commence par about_. Pour afficher de
l’aide sur un concept Windows PowerShell, tapez get−help, suivi du nom du concept
qui vous intéresse. Par exemple, pour obtenir de l’aide sur les caractères génériques,
tapez get−help about_wildcard. Pour afficher une liste de toutes les rubriques
conceptuelles de Windows PowerShell, tapez get−help about_*.
417
La lecture des rubriques d’aide et l’essai des exemples vous permettront de vous
familiariser avec le fonctionnement de Windows PowerShell et la manière dont vous
pouvez l’utiliser dans votre rôle d’administrateur.
Utiliser des applets de commande

Commencez en tapant le nom de l’applet de commande à l’Invite de commandes de
10. Windows
Windows PowerShell. Les commandes Windows PowerShell ne respectent pas la casse :

PowerShell
vous pouvez les taper à votre convenance en majuscules ou en minuscules.
Figure 10.9 :
Exemple de commande
get-date
Pour répertorier les applets de commande de votre session, utilisez l’applet de

commande Get−Command sans paramètres de commande. L’affichage par défaut de
Get−Command comprend trois colonnes : CommandType, Name et Definition.
Lorsqu’il s’agit d’afficher la liste des applets de commande, la colonne Definition

affiche la syntaxe de l’applet de commande. L’applet de commande Get−Command
obtient également des commandes et éléments de commande autres que des applets de
commande, notamment les alias (surnoms de commandes), fonctions et fichiers
exécutables disponibles dans Windows PowerShell.
Voici un exemple qui répertorie les fichiers exécutables disponibles dans Windows
PowerShell en utilisant Get−Command, l’image correspondante ne montre qu’une petite
partie du résultat :
Figure 10.10 : Une partie des résultats de get-command *.exe
Dans cet exemple, lorsqu’il s’agit d’afficher la liste des fichiers exécutables, la colonne
Definition contient le chemin d’accès complet au fichier exécutable.
Maintenant, essayez d’autres applets de commande, comme Get−Process,

Get−Service, Get−EventLog et Get−Alias. Lorsque vous serez à l’aise avec les
418
applets de commande de type Get− simples, essayez-en une plus intéressante, comme
Get−WmiObject. Cette applet de commande vous permet d’afficher et de modifier les
composants d’ordinateurs distants. Par exemple, la commande get−wmiobject
win32_bios −computername srv−dc−01 obtient des informations sur le BIOS du
serveur SRV−DC−01.
Et n’oubliez pas d’utiliser la commande get−help avec ses multiples commutateurs

pour entrer dans les détails techniques de la commande.
10. Windows
PowerShell
Mettre en forme la sortie des commandes
Dans Windows PowerShell, vous avez la possibilité de faire appel à des applets de
commande qui mettent en forme la sortie de la commande que vous voulez exécuter. Ce
sont les applets de commande format :
j Format−List ;
j Format−Custom ;
j Format−Table ;
j Format−Wide.
Aucune autre applet de commande ne met en forme la sortie. Lorsque vous exécutez
une commande, Windows PowerShell appelle le formateur par défaut, déterminé par le
type des données affichées. Le formateur détermine les propriétés de la sortie à afficher
et si elles doivent être affichées sous forme de liste ou de tableau.
Par exemple, lorsque vous utilisez l’applet de commande Get−Service, l’affichage par
défaut est un tableau à trois colonnes comme dans l’image suivante (qui ne contient
qu’une petite partie du résultat) :
Figure 10.11 :
Une partie des résultats
de get-service
Pour modifier le format de la sortie de toute applet de commande, utilisez l’opérateur

de pipeline afin d’envoyer la sortie de la commande à une applet de commande Format.
Par exemple, la commande suivante envoie la sortie d’une commande Get−Service à
l’applet de commande Format−List. En conséquence, les données de service sont
présentées sous forme de liste pour chaque service.
419
10. Windows
PowerShell
Figure 10.12 : Une partie des résultats de get-service | format-list
Dans ce format, non seulement les données apparaissent dans une liste au lieu d’un
tableau, mais les informations sur chaque service sont plus nombreuses. Au lieu de trois
colonnes de données pour chaque service, il y a neuf lignes de données. Format−List
n’a pas récupéré les informations de service supplémentaires. Les données étaient
présentes avec les objets récupérés par Get−Service, mais Format−Table, le
formateur par défaut, les a omises car il ne pouvait pas afficher plus de trois colonnes sur
la largeur de l’écran.
Utiliser des alias

La saisie des noms d’applets de commande peut être fastidieuse. Pour réduire la saisie
et faciliter l’utilisation de Windows PowerShell par des utilisateurs habitués à d’autres
environnements, Windows PowerShell prend en charge le concept d’alias, c’est-à-dire
un autre nom pour une commande. Vous pouvez créer un alias pour un nom d’applet de
commande, de fonction ou de fichier exécutable, puis taper l’alias au lieu du nom dans
toute commande.
Windows PowerShell inclut de nombreux alias intégrés et vous pouvez créer les vôtres.
Les alias que vous créez sont valides uniquement dans la session active. Voici la liste des
alias intégrés à la base dans PowerShell :
420
Tableau 10.3 : Liste des alias préconfigurés sous PowerShell

Alias Commande PowerShell correspondante
% ForEach−Object
? Where−Object
ac Add−Content
asnp Add−PSSnapin
10. Windows
PowerShell
cat Get−Content
cd Set−Location
chdir Set−Location
clc Clear−Content
clear Clear−Host
cli Clear−Item
clp Clear−ItemProperty
cls Clear−Host
clv Clear−Variable
copy Copy−Item
cp Copy−Item
cpi Copy−Item
cpp Copy−ItemProperty
cvpa Convert−Path
del Remove−Item
diff Compare−Object
dir Get−ChildItem
echo Write−Output
epal Export−Alias
epcsv Export−Csv
erase Remove−Item
fc Format−Custom
fl Format−List
foreach ForEach−Object
ft Format−Table
fw Format−Wide
gal Get−Alias
gc Get−Content
gci Get−ChildItem
421

gcm Get−Command
gdr Get−PSDrive
ghy Get−History
gi Get−Item
gl Get−Location
10. Windows
PowerShell
gm Get−Member
gp Get−ItemProperty
gps Get−Process
group Group−Object
gsnp Get−PSSnapin
gsv Get−Service
gu Get−Unique
gv Get−Variable
gwmi Get−WmiObject
h Get−History
history Get−History
iex Invoke−Expression
ihy Invoke−History
ii Invoke−Item
ipal Import−Alias
ipcsv Import−Csv
kill Stop−Process
lp Out−Printer
ls Get−ChildItem
mi Move−Item
mount New−PSDrive
move Move−Item
mp Move−ItemProperty
mv Move−Item
nal New−Alias
ndr New−PSDrive
ni New−Item
nv New−Variable
oh Out−Host
422

popd Pop−Location
ps Get−Process
pushd Push−Location
pwd Get−Location
r Invoke−History
10. Windows
PowerShell
rd Remove−Item
rdr Remove−PSDrive
ren Rename−Item
ri Remove−Item
rm Remove−Item
rmdir Remove−Item
rni Rename−Item
rnp Rename−ItemProperty
rp Remove−ItemProperty
rsnp Remove−PSSnapin
rv Remove−Variable
rvpa Resolve−Path
sal Set−Alias
sasv Start−Service
sc Set−Content
select Select−Object
set Set−Variable
si Set−Item
sl Set−Location
sleep Start−Sleep
sort Sort−Object
sp Set−ItemProperty
spps Stop−Process
spsv Stop−Service
sv Set−Variable
tee Tee−Object
type Get−Content
where Where−Object
write Write−Output
423
Dans ces alias, vous en remarquerez des biens connus d’Unix/Linux comme ls, rm, etc.
Créer un alias
Pour créer des alias pour les applets de commande et les commandes dans Windows
PowerShell, utilisez l’applet de commande Set−Alias. Par exemple, pour créer l’alias
gh pour l’applet de commande Get−Help, tapez set−alias gh get−help.
10. Windows
PowerShell
Supprimer un alias
Pour supprimer un alias, utilisez l’applet de commande Remove−Item. Par exemple,
pour supprimer l’alias ls, tapez remove−item alias:ls.
10.8. Naviguer dans Windows PowerShell

Une fonctionnalité particulièrement intéressante de Windows PowerShell est qu’il vous
permet de naviguer à travers de nombreux magasins de données différents en utilisant
les techniques auxquelles vous êtes habitué dans le système de fichiers.
En plus des lecteurs classiques du système de fichiers, comme C: et D:, Windows

PowerShell inclut des lecteurs qui représentent les ruches HKEY_LOCAL_MACHINE
(HKLM:) et HKEY_CURRENT_USER (HKCU:) du Registre, le magasin de certificats
de signatures numériques de votre ordinateur et les fonctions de la section active, entre
autres. Il s’agit des lecteurs Windows PowerShell.
Windows PowerShell est livré avec plusieurs lecteurs pratiques, pris en charge par les
fournisseurs de Windows PowerShell.
Pour obtenir la liste des lecteurs Windows PowerShell, tapez get−psdrive.
Figure 10.13 : Les lecteurs Windows PowerShell
Naviguer dans le système de fichiers

Pour naviguer dans le lecteur de système de fichiers, utilisez les applets de commande
Set−Location (qui a comme alias cd) et Get−Childitem (qui a comme alias dir ou
ls). Dans Windows PowerShell, les lecteurs sont indiqués par leur nom, suivi d’un
424
Naviguer dans Windows PowerShell
deux-points et les éléments parents sont séparés des éléments enfants par des barres
obliques inversées (\), comme lorsque vous tapez C:\windows, ou des barres obliques
(/).
La navigation dans Windows PowerShell est facilitée grâce à quelques fonctionnalités :

j Des symboles représentent le répertoire actif (le point) et le contenu d’un
répertoire *.
10. Windows
PowerShell
j Des variables intégrées représentent votre répertoire de base $home et le répertoire
d’installation de Windows PowerShell $pshome.
Comme dans d’autres environnements, vous pouvez passer d’un emplacement à un

autre, créer, supprimer, déplacer et copier des répertoires et des fichiers ou modifier
leurs propriétés. Vous pouvez même utiliser la saisie automatique par tabulation pour
les noms de chemins d’accès. Les commandes Item vous seront très utiles pour cela.
Naviguer dans le Registre

Vous pouvez naviguer dans la base de Registre Windows en utilisant les mêmes
techniques de navigation que dans le lecteur de système de fichiers. Dans Windows
PowerShell, la ruche HKEY_LOCAL_MACHINE est mappée au lecteur Windows
PowerShell HKLM: et HKEY_CURRENT_USER au lecteur Windows PowerShell
HKCU:.
Vous pouvez manipuler le lecteur de Registre comme dans l’image suivante :
Figure 10.14 : Exemple de navigation dans le registre
425
Vous remarquerez que le résultat de la commande dir (Get−ChildItem) dans les

lecteurs de Registre est différent de celui du système de fichiers. Parce que le Registre
propose des informations différentes sur différents lecteurs, l’environnement fournit
une vue différente des données. Dans ce cas, il est important de savoir combien de
sous-clés et d’entrées sont présentes, de sorte que la sortie inclut un nombre de sous-clés
et un nombre d’entrées de valeurs, en plus des noms des sous-clés et des entrées.
10. Windows
PowerShell
Figure 10.15 : Informations sur les sous-clés et les valeurs
Vous ne rencontrerez que peu de différences de navigation jusqu’à l’accès aux entrées
du Registre. Les entrées d’une clé de Registre sont considérées comme étant les
propriétés de la clé sous laquelle elles se trouvent. Comme telles, vous pouvez les
récupérer au moyen de l’applet de commande Get−ItemProperty.
Figure 10.16 : Propriétés d’une clé dans Windows PowerShell
Naviguer dans le magasin de certificats

Vous pouvez aussi naviguer dans le magasin de certificats de signatures numériques de
votre ordinateur. Le magasin de certificats est mappé au lecteur Windows PowerShell
Cert: comme dans l’exemple suivant :
426
PowerShell et Active Directory
10. Windows
PowerShell
Figure 10.17 : Exemple de navigation dans le magasin de certificat
10.9. PowerShell et Active Directory

Pour mettre en exergue la puissance de PowerShell dans Active Directory, voyez un
exemple de script lié à l’administration d’Active Directory. Ce script issu du script center
vous permet de lister les informations liées au domaine :
$strComputer = "."
$colItems = get-wmiobject -class "Win32_NTDomain" -namespace "root\CIMV2" ′

-computername $strComputer
foreach ($objItem in $colItems) {

write-host "Caption: " $objItem.Caption
write-host "Client Site Name: " $objItem.ClientSiteName
write-host "Creation Class Name: " $objItem.CreationClassName
write-host "DC Site Name: " $objItem.DcSiteName
write-host "Description: " $objItem.Description
write-host "DNS Forest Name: " $objItem.DnsForestName
write-host "Domain Controller Address: " $objItem.DomainControllerAddress
write-host "Domain Controller Address Type: "
✂ $objItem.DomainControllerAddressType
write-host "Domain Controller Name: " $objItem.DomainControllerName
write-host "Domain GUID: " $objItem.DomainGuid
427
write-host "Domain Name: " $objItem.DomainName

write-host "DS Directory Service Flag: " $objItem.DSDirectoryServiceFlag
write-host "DS DNS Controller Flag: " $objItem.DSDnsControllerFlag
write-host "DS DNS Domain Flag: " $objItem.DSDnsDomainFlag
write-host "DS DNS Forest Flag: " $objItem.DSDnsForestFlag
write-host "DS Global Catalog Flag: " $objItem.DSGlobalCatalogFlag
write-host "DS Kerberos Distribution Center Flag: "
✂ $objItem.DSKerberosDistributionCenterFlag
write-host "DS Primary Domain Controller Flag: "
10. Windows
PowerShell
✂ $objItem.DSPrimaryDomainControllerFlag
write-host "DS Time Service Flag: " $objItem.DSTimeServiceFlag
write-host "DS Writable Flag: " $objItem.DSWritableFlag
write-host "Installation Date: " $objItem.InstallDate
write-host "Name: " $objItem.Name
write-host "Name Format: " $objItem.NameFormat
write-host "Primary Owner Contact: " $objItem.PrimaryOwnerContact
write-host "Primary Owner Name: " $objItem.PrimaryOwnerName
write-host "Roles: " $objItem.Roles
write-host "Status: " $objItem.Status
write-host
10.10. En résumé
Windows PowerShell est un noyau et, au moins pour ce qui nous concerne, vous pouvez
comparer un noyau à un interpréteur de ligne de commande. Bien que VBScript puisse
s’exécuter à partir de la ligne de commande, un fichier VBScript ne peut pas être
exécuté ligne par la ligne. Un script Windows PowerShell, par contre, peut être
immédiatement créé comme une série de commandes individuelles. De plus, Windows
PowerShell dispose de fonctions dont le comportement s’apparente beaucoup à des
sous-routines VBScript, ce qui peut être créé en temps réel au niveau de l’invite de
commande de Windows PowerShell.
Encore mieux, Windows PowerShell est construit sur Microsoft .NET Framework,
tandis que VBScript se base sur la technologie COM plus ancienne. Cela signifie que la
vaste quantité de code .NET produite aujourd’hui peut être directement utilisée à partir
de Windows PowerShell.
Pour conclure, avec Windows PowerShell, vous avez une prise en charge complète du
script et un mode interactif, tout en un. Cependant, même si PowerShell doit s’imposer
comme standard dans les années à venir, il n’en reste pas moins qu’il sera nécessaire de
convertir les milliers de lignes de VBScript existantes.
428
Chapitre 11
La maintenance
des serveurs
11.1 Préparer l’administration d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
11.2 Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
11.3 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Préparer l’administration d’un serveur
L a surveillance et la gestion des serveurs ne sont pas des activités qui supportent les
approximations. Elles doivent être planifiées correctement.
Cette leçon présente les tâches, les outils et les droits requis pour administrer un
serveur. Ces informations sont essentielles à la bonne marche de votre travail
d’administrateur système. Ce chapitre décrit les conditions d’emploi et les fonctions des
outils que vous utilisez pour administrer un serveur. Il explique également les concepts
d’administration d’un serveur local ou distant.
11.1. Préparer l’administration d’un serveur
11. La maintenance
des serveurs
Cette section met en avant tous les outils et techniques que doit maîtriser un
administrateur afin de se connecter de façon sécurisée au serveur qu’il doit administrer.
Cela comprend l’utilisation de l’appartenance aux groupes, la fonction Exécuter en tant
que, l’outil Gestion de l’ordinateur et le Bureau à distance.
Utiliser les appartenances de groupe pour administrer un

serveur
Pour administrer un serveur, vous devez disposer des autorisations requises. Il est
essentiel de bien se familiariser avec les autorisations affectées aux groupes locaux de
domaine et permettant à leurs membres d’effectuer des tâches spécifiques. En effet,
vous pouvez utiliser ces groupes pour effectuer des tâches administratives courantes.
Les groupes locaux de domaine intégrés

Lorsqu’un ordinateur devient contrôleur de domaine, les groupes intégrés (appelés
"groupes locaux au serveur") sont créés dans le service d’annuaire Active Directory. Par
défaut, ces groupes disposent d’autorisations prédéfinies qui déterminent les tâches que
les membres d’un groupe intégré peuvent accomplir. Il est impossible de supprimer ces
groupes.
La liste ci-après présente les groupes locaux de domaine intégrés et le niveau prédéfini
de leurs autorisations respectives.
j Administrateurs : les membres du groupe Administrateurs peuvent effectuer toutes
les tâches prises en charge par le système d’exploitation. Les administrateurs
peuvent s’attribuer n’importe quel droit d’utilisateur dont ils ne disposent pas par
défaut. L’appartenance au groupe local Administrateurs doit être limitée aux seuls
utilisateurs qui ont besoin d’un accès total au système. Connectez-vous en tant
qu’administrateur uniquement lorsque c’est nécessaire. Soyez très prudent lorsque
vous ajoutez d’autres utilisateurs au groupe Administrateurs. Par exemple, si le
personnel d’assistance technique est responsable des imprimantes de votre
431
Chapitre 11 La maintenance des serveurs
organisation, ajoutez-le dans le groupe Opérateurs d’impression plutôt que dans le

groupe Administrateurs.
j Opérateurs de sauvegarde : les membres de ce groupe peuvent sauvegarder et
restaurer les fichiers en utilisant l’outil de sauvegarde.
j Opérateurs de compte : les membres de ce groupe peuvent gérer les comptes
d’utilisateurs et les groupes, à l’exception du groupe Administrateurs ou de tout
groupe d’opérateurs qui ne peuvent être modifiés que par un membre du groupe
Administrateurs.
j Opérateurs de serveur : les membres de ce groupe peuvent partager les ressources
disque, se connecter à un serveur de manière interactive, créer et supprimer les
11. La maintenance
partages réseau, démarrer et arrêter des services, formater le disque dur du serveur
des serveurs
et arrêter l’ordinateur. Ils peuvent également sauvegarder et restaurer les fichiers à

l’aide de l’outil de sauvegarde.
j Opérateurs d’impression : les membres de ce groupe peuvent configurer les
imprimantes locales et réseau de sorte que les utilisateurs puissent facilement s’y
connecter et utiliser leurs ressources.
Figure 11.1 : Groupes prédéfinis
Les groupes locaux de domaine et protection des ressources

Le recours à plusieurs groupes locaux de domaine et à leurs autorisations respectives
peut protéger les ressources contre les violations de la sécurité. Un administrateur
système doit toujours être membre du groupe le plus restreint, qui fournit cependant les
droits appropriés ainsi que les autorisations requises pour accomplir la tâche. Par
exemple, un administrateur système chargé de gérer uniquement les imprimantes et la
sauvegarde des données de serveur doit être membre du groupe d’opérateurs
d’impression et disposer des droits nécessaires à la sauvegarde des données serveur.
432
Les autorisations des groupes locaux de domaine

Les membres des groupes locaux de domaine se voient accorder des autorisations leur
permettant d’accomplir des tâches système telles que la sauvegarde et la restauration de
fichiers et la modification de l’horloge système. Vous pouvez utiliser ces groupes pour
administrer les ressources telles que des systèmes de fichiers ou des imprimantes de tous
les ordinateurs du domaine pour lesquels des autorisations d’accès courantes sont
requises.
Lorsque vous effectuez des tâches sur un ordinateur en tant que membre du groupe
Administrateurs, le système devient vulnérable aux attaques de type chevaux de Troie ou
à tout autre risque en termes de sécurité. Le simple fait de consulter un site Internet ou
11. La maintenance
d’ouvrir la pièce jointe d’un courrier électronique risque d’endommager le système car
des serveurs
une pièce jointe ou un site Internet inconnu peuvent contenir un programme malveillant
qui peut être téléchargé vers le système puis exécuté.
La commande Exécuter en tant que

À l’aide de la commande Exécuter en tant que, qui correspond à l’ouverture d’une
session secondaire, les administrateurs peuvent ouvrir une session avec un compte non
administratif et, sans fermer la session, effectuer des tâches en exécutant des
programmes approuvés pour la réalisation de tâches administratives.
Deux comptes d’utilisateurs sont requis. En effet, pour employer la commande Exécuter
en tant que dans le cadre de l’exécution de tâches administratives, les administrateurs
système doivent posséder deux comptes d’utilisateurs : un compte normal disposant des
privilèges de base et un compte administratif. Les administrateurs peuvent posséder
chacun un compte administratif différent ou partager le même compte administratif.
Quand utiliser la commande Exécuter en tant que ?

Utilisez la commande Exécuter en tant que pour la plupart des activités. L’ouverture
d’une session en tant que membre du groupe Administrateurs peut poser un problème de
sécurité. Certains éléments, tels que l’Explorateur Windows, le dossier Imprimantes et
les éléments du Bureau, sont lancés indirectement par Windows. Ils ne peuvent être
activés à l’aide de la commande Exécuter en tant que.
Pour les tâches qui ne peuvent être réalisées avec la commande Exécuter en tant que,
telles que la mise à niveau du système d’exploitation ou la configuration des paramètres
système, fermez la session ouverte avec le compte d’utilisateur, puis ouvrez une nouvelle
session avec le compte d’administrateur.
Utilisez la commande Exécuter en tant que pour ouvrir les composants logiciels
enfichables personnalisés. En effet, pour administrer des ordinateurs locaux ou distants,
vous pouvez utiliser la commande Exécuter en tant que afin d’ouvrir les consoles
personnalisées que vous avez créées. L’utilisation de cette commande vous donne accès
433
aux services et aux outils d’administration inclus dans la console et vous fait bénéficier
des autorisations appropriées pour intervenir sur les composants administrés par la
console.
Tout utilisateur peut employer la commande Exécuter en tant que. Bien que la
commande Exécuter en tant que soit avant tout destinée aux administrateurs système,
n’importe quel utilisateur disposant de plusieurs comptes peut employer cette
commande pour lancer des programmes avec différents comptes sans pour autant
fermer de session.
Accéder à la commande Exécuter en tant que

11. La maintenance
des serveurs
Il existe trois solutions pour accéder à la commande Exécuter en tant que :

j Dans le menu Démarrer, cliquez du bouton droit de la souris sur le programme de
votre choix, puis cliquez sur la commande Exécuter en tant que.
j Dans l’Explorateur Windows, cliquez du bouton droit de la souris sur le programme
de votre choix, puis cliquez sur la commande Exécuter en tant que.
j Activez la commande Exécuter en tant que à partir d’une Invite de commandes.
Cette méthode est généralement utilisée pour le script de tâches administratives ou
le lancement d’une Invite de commandes dans le cadre d’une administration locale.
Pour exécuter la commande, tapez runas /user:nom_domaine\nom
_utilisateur nom_programme.
Figure 11.2 : Exécuter en tant que depuis l’Explorateur
434
Par exemple, pour activer l’outil Gestion de l’ordinateur en tant qu’administrateur à

partir de la ligne de commandes, ouvrez une Invite de commandes et tapez runas
/user:corp\administrateur "mmc %windir%\system32\compmgmt.msc.
Figure 11.3 :
Lancement de l’outil de
gestion de l’ordinateur de
la commande runas
11. La maintenance
des serveurs
Figure 11.4 : Invite de commandes pour l’authentification de la commande Exécuter en tant
que
Configurer des raccourcis associés à la commande Exécuter en tant

que
Vous pouvez également configurer des raccourcis associés à la commande Exécuter en
tant que vers les services et les outils d’administration que vous utilisez le plus souvent :
par exemple la console Performances, l’outil Gestion de l’ordinateur, le Gestionnaire de
périphériques et l’outil Gestion des disques.
Comment configurer les raccourcis associés à la commande Exécuter en tant que ?
Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associés à la
commande Exécuter en tant que, vers les outils d’administration que vous utilisez le plus
souvent. Pour configurer un raccourci associé à la commande Exécuter en tant que vers
l’outil Performances :
1. Cliquez du bouton droit de la souris sur le Bureau, pointez sur Nouveau, puis cliquez
sur Raccourci.
2. Sur la page Création d’un raccourci, tapez runas /user:corp\administrateur
"mmc %windir%\system32\perfmon.msc" dans le champ Entrez l’emplacement de
l’élément, puis cliquez sur Suivant.
435
Figure 11.5 :
Création du raccourci
avec la commande runas
11. La maintenance
des serveurs
3. Dans la page Sélection d’un titre pour le programme, tapez Performances dans le
champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer.
4. Sur le Bureau, double-cliquez sur l’icône Performances, puis choisissez Gestion de
l’ordinateur, Gestionnaire de périphériques ou Gestion des disques.
5. Saisissez votre mot de passe.
Figure 11.6 :
Propriété du raccourci
permon
436
Tableau 11.1 : Raccourcis associés à la commande Exécuter en tant que

Outil Ligne de commandes
Gestion de l’ordinateur runas /user:corp\administrateur "mmc
%windir%\system32\compmgmt.msc"
Gestion de périphériques runas /user:corp\administrateur "mmc
%windir%\system32\devmgmt.msc"
Gestion des disques runas /user:corp\administrateur "mmc
%windir%\system32\diskmgmt.msc"
Utilisateurs et ordinateurs runas /user:corp\administrateur "mmc
Active Directory %windir%\system32\dsa.msc"
11. La maintenance
MMC runas /user:corp\administrateur mmc
des serveurs
Invite de commandes runas /user:corp\administrateur cmd
Comment utiliser la commande Exécuter en tant que ?

Utilisez la commande Exécuter en tant que pour lancer une console MMC à partir d’un
compte disposant des droits appropriés pour l’exécution de cette tâche. Par exemple, si
vous ouvrez une session sur un serveur en tant qu’utilisateur et que vous souhaitiez
installer un nouveau logiciel, vous pouvez fermer la session, en ouvrir une autre en tant
qu’administrateur, ouvrir le Panneau de configuration, utiliser la fonction Ajout/
Suppression de programmes pour installer le nouveau logiciel, fermer la session en tant
qu’administrateur, puis rouvrir une nouvelle session avec votre compte d’utilisateur.
Avec la commande Exécuter en tant que, vous pouvez ouvrir le Panneau de
configuration, appuyer sur la touche [Maj], cliquer du bouton droit de la souris sur
Ajout/Suppression de programmes, puis utiliser la commande Exécuter en tant que
pour ajouter ou supprimer des programmes en tant qu’administrateur.
Pour utiliser la commande Exécuter en tant que à partir du menu Démarrer, procédez
comme suit :
1. Dans le menu Démarrer, cliquez du bouton droit de la souris sur le fichier
exécutable du programme de votre choix.
2. Cliquez sur Exécuter en tant que (voir fig. 11.17).
3. Cliquez sur L’utilisateur suivant.
4. Dans les champs Nom d’utilisateur et Mot de passe, saisissez le nom et le mot de passe
du compte.
437
11. La maintenance
des serveurs
Figure 11.7 : Lancement d’un programme avec un compte différent de celui de la

session en cours
5. Cliquez sur OK.
Figure 11.8 : contexte d’exécution de l’outil Utilisateurs et Ordinateurs avec la

commande en tant que
438
Pour utiliser la commande Exécuter en tant que à partir de l’Invite de commandes,

procédez ainsi :
1. Dans le menu Démarrer, cliquez sur Exécuter, tapez runas
/user:corp\administrateur cmd, sachant que corp doit correspondre au nom
de votre domaine, puis cliquez sur OK.
2. Une fenêtre d’Invite de commandes apparaît vous proposant d’entrer un mot de
passe pour le compte corp\administrateur. Saisissez le mot de passe correspondant
au compte d’administrateur, puis appuyez sur [Ä].
3. Une nouvelle console apparaît, exécutée en mode Administrateur. Le titre de la
console affiche "en tant qu’utilisateur corp\administrateur".
11. La maintenance
des serveurs
Figure 11.9 : La commande Exécuter en tant que à partir de l’Invite de commandes
L’outil Gestion de l’ordinateur

La Gestion de l’ordinateur offre un ensemble d’outils qui vous permettront
d’administrer un ordinateur local ou distant.
Utilisez l’outil Gestion de l’ordinateur pour :

j analyser les événements système tels que les heures d’ouverture de session et les
erreurs applicatives ;
j créer et gérer des ressources partagées ;
j afficher la liste des utilisateurs connectés à un ordinateur local ou distant ;
439
j démarrer et arrêter les services système tels que le Planificateur de tâches et le

service d’indexation ;
j définir les propriétés des périphériques de stockage ;
j afficher les configurations de périphérique et ajouter de nouveaux pilotes de
périphériques ;
j gérer les applications et les services.
La console Gestion de l’ordinateur répartit les outils d’administration en trois

catégories :
11. La maintenance
j Les outils système : ils sont destinés à la gestion des événements système et des
des serveurs
performances de l’ordinateur.
− L’Observateur d’événements : utilisez cet outil pour gérer et afficher les
événements enregistrés dans le journal des applications, le journal de sécurité et
le journal système. Vous pouvez analyser les journaux pour suivre les
événements de sécurité et identifier d’éventuels problèmes liés aux logiciels, au
matériel ou au système.
− Les Dossiers partagés : utilisez cet outil pour visualiser les connexions et les
ressources en cours d’utilisation sur l’ordinateur. Vous pouvez créer, afficher et
gérer les ressources partagées, afficher les sessions et les fichiers ouverts, fermer
les fichiers et déconnecter les sessions.
− Les Utilisateurs et groupes locaux : utilisez cet outil pour créer et gérer les
groupes et comptes d’utilisateurs locaux.
− Les Journaux et alertes de performance : utilisez cet outil pour analyser et
collecter les données relatives aux performances de l’ordinateur.
− Le Gestionnaire de périphériques : utilisez cet outil pour afficher les
périphériques matériels installés sur l’ordinateur, mettre à jour les pilotes de
périphériques, modifier les paramètres matériels et résoudre les conflits de
périphériques.
j Le stockage : les outils de stockage sont destinés à la gestion des propriétés des
périphériques de stockage.
− Le Stockage amovible : utilisez cet outil pour assurer le suivi des supports de
stockage amovibles et gérer les bibliothèques ou les systèmes de stockage de
données les contenant.
− Le Défragmenteur de disque : utilisez cet outil pour analyser et défragmenter des
volumes sur les disques durs.
− La Gestion des disques : utilisez cet outil pour effectuer les tâches liées au
disque, telles que la conversion de disques ou la création et le formatage de
volumes. L’outil Gestion des disques vous aide à gérer les disques durs ainsi que
les partitions ou les volumes qu’ils contiennent.
440
j Les services et applications : les outils de la catégorie des services et des

applications vous aident à gérer les services et les applications de l’ordinateur.
− Les Services : utilisez cet outil pour gérer les services sur des ordinateurs locaux
ou distants. Vous pouvez démarrer, arrêter, interrompre, reprendre ou
désactiver un service. Ainsi, vous pouvez employer l’outil Services pour arrêter
un service sur un ordinateur distant.
− Le Contrôle WMI : utilisez cet outil pour configurer et gérer le service de gestion
Windows.
− Le Service d’indexation : utilisez cet outil pour gérer l’indexation, créer et
configurer des catalogues supplémentaires pour stocker les informations
11. La maintenance
d’index.
des serveurs
Figure 11.10 : La console Gestion de l’ordinateur
Pour utiliser l’outil Gestion de l’ordinateur afin d’administrer un ordinateur à distance,

procédez ainsi :
1. Dans le menu Démarrer, cliquez du bouton droit de la souris sur Poste de travail,
puis cliquez sur Gérer.
2. Cliquez du bouton droit de la souris sur Gestion de l’ordinateur (local), puis cliquez
sur Se connecter à un autre ordinateur.
3. Cliquez sur Un autre ordinateur, tapez le nom de l’ordinateur que vous souhaitez
gérer à distance ou cliquez sur Parcourir pour le rechercher. Cliquez sur OK.
441
Figure 11.11 :
Gestion de d’un
ordinateur à distance
11. La maintenance
des serveurs
4. Dans l’arborescence de la console Gestion de l’ordinateur, développez les entrées

Outils système, Stockage ou Services et applications.
5. Cliquez sur l’élément, puis sélectionnez les outils que vous souhaitez utiliser.
Figure 11.12 : Gestion de d’un ordinateur à distance
Les administrateurs système doivent souvent travailler en dehors du site. Ainsi, en tant
qu’administrateur, vous pouvez vous trouver sur un site et devoir effectuer la
maintenance d’un serveur sur un autre site. Dans ce cas, vous pouvez utiliser la console
MMC pour gérer le serveur à distance. Par exemple, vous pouvez démarrer ou arrêter
des services sur un serveur distant, consulter le journal des événements et gérer les
partages ou les disques.
442
Pour configurer la console MMC afin de gérer un serveur à distance, procédez comme
suit :
1. Ouvrez la console MMC en cliquant sur Démarrer, puis sur Exécuter. Tapez mmc et
validez.
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable, puis cliquez sur Ajouter.
3. Sur la liste des composants logiciels enfichables, cliquez sur Gestion de l’ordinateur,
puis sur Ajouter.
4. À l’invite, sélectionnez l’ordinateur local ou distant que vous souhaitez gérer à l’aide
11. La maintenance
de ce composant logiciel enfichable, puis cliquez sur Terminer.
des serveurs
5. Cliquez sur Fermer, puis sur OK.
Le Bureau à distance
À l’aide de l’outil Bureau à distance pour administration, vous pouvez gérer un ou
plusieurs ordinateurs distants à partir d’un seul emplacement. Dans une grande
entreprise, vous pouvez avoir recours à l’administration à distance pour centraliser la
gestion de plusieurs ordinateurs situés dans d’autres bâtiments, voire dans d’autres
villes. Dans une petite entreprise, vous pouvez avoir recours à l’administration à
distance pour gérer un seul serveur situé dans un bureau voisin ou dans un autre site.
L’outil Bureau à distance pour administration fournit un accès au serveur à partir d’un
ordinateur situé sur un autre site, à l’aide du protocole RDP (Remote Desktop Protocol).
Ce protocole transmet l’interface utilisateur à la session cliente. De même, il transmet
les manipulations sur le clavier et les clics de souris du client vers le serveur.
Vous pouvez créer jusqu’à deux connexions distantes simultanées. Chaque session que
vous ouvrez est indépendante des autres sessions clientes et de celle de la console du
serveur. Lorsque vous utilisez l’outil Bureau à distance pour administration afin d’ouvrir
une session sur un serveur distant, la connexion est établie comme s’il s’agissait de
l’ouverture d’une session sur le serveur local.
Le Bureau à distance pour administration fournit deux outils permettant d’administrer

un serveur distant : la Connexion Bureau à distance et le composant logiciel enfichable
des Bureaux à distance. Chaque instance de l’outil Connexion Bureau à distance crée sa
propre fenêtre. Vous pouvez administrer un serveur distant par fenêtre. Chaque
instance démarre toujours une nouvelle session sur le serveur.
Configurer le Bureau à distance

Un administrateur système peut utiliser la fonction Bureau à distance pour effectuer des
tâches, telles que l’ajout d’un logiciel et l’installation de Services Packs sur un serveur
distant.
443
Pour configurer les connexions serveur afin d’administrer un serveur à distance,

procédez ainsi :
1. Connectez-vous en tant qu’administrateur.
2. Dans le menu Démarrer, cliquez du bouton droit de la souris sur Poste de travail.
3. Cliquez sur Propriétés.
4. Cliquez sur Utilisation à distance.
5. Cochez la case Autoriser les utilisateurs à se connecter à distance à cet ordinateur.
Figure 11.13 :
11. La maintenance
Configuration de
des serveurs
l’assistance à distance
pour l’administration du
serveur
Configurer les préférences du client

Pour configurer la connexion Bureau à distance, vous devez paramétrer les préférences
du client. Pour cela, utilisez l’interface Connexion Bureau à distance pour configurer les
données relatives à la connexion et à l’ordinateur client. Pour procéder à la
configuration, définissez les préférences du client sous les onglets suivants :
j Utilisez l’onglet Général pour fournir les informations requises pour la connexion
automatique au serveur distant. Ces informations sont le nom du serveur, le nom et
le mot de passe de l’utilisateur et le nom de domaine. Vous pouvez également
enregistrer votre mot de passe et les paramètres de connexion, et ouvrir une
connexion enregistrée.
444
j Utilisez l’onglet Affichage pour modifier la taille de l’affichage et les paramètres de

couleur du Bureau distant, et pour afficher ou masquer la barre de connexion en
mode Plein écran.
j Utilisez l’onglet Ressources locales pour choisir d’autoriser ou non un Bureau
distant à avoir accès aux lecteurs de disque, aux ports série, aux imprimantes ou à la
carte à puce de l’ordinateur local. On appelle "redirection des ressources" le fait
d’autoriser l’accès depuis le Bureau distant. Lorsque vous autorisez le Bureau
distant à avoir accès à ces ressources, il peut les utiliser pendant toute la durée de la
session.
Admettons que vous choisissiez d’autoriser l’accès au disque dur local depuis le Bureau
11. La maintenance
distant. Cette autorisation vous permet de facilement copier des fichiers depuis ou vers
des serveurs
le Bureau distant, mais elle signifie également que le Bureau distant dispose d’un accès
au contenu du disque dur local. Si cet accès n’est pas approprié, vous pouvez décocher
la case correspondante afin d’empêcher que le disque dur local ou toute autre ressource
ne soient redirigés vers le Bureau distant.
j Utilisez l’onglet Programmes pour spécifier un programme à démarrer lors de la
connexion au serveur distant.
j Utilisez l’onglet Avancé pour améliorer la performance de la connexion au serveur
distant en autorisant l’affichage de certaines caractéristiques de la session Windows
distante, telles que l’arrière-plan du Bureau, comme si elles étaient activées sur
l’ordinateur distant. Pour optimiser les performances de la connexion, sélectionnez
une vitesse de connexion plus rapide. La vitesse de connexion par défaut, de
56 kbits/s, offre de bonnes performances pour la plupart des réseaux. Mais vous
pouvez utiliser des paramètres de vitesse supérieurs pour activer des fonctions
graphiques plus performantes, telles que le papier peint du Bureau et l’affichage ou
le masquage des menus.
Se connecter à un serveur distant

En tant qu’administrateur système, vous vous êtes sûrement retrouvé à perdre du temps
en vous déplaçant sur les sites des serveurs distants pour effectuer des tâches
administratives. En utilisant l’outil Connexion Bureau à distance pour administrer à
distance les serveurs de votre entreprise, vous pouvez économiser du temps sur vos
déplacements et consacrer ainsi plus de temps à votre travail.
Pour vous connecter à un serveur distant à l’aide de l’outil Connexion Bureau à distance,
procédez ainsi :
1. Sur l’ordinateur client, cliquez sur Démarrer, puis choisissez Tous les programmes/
Accessoires/Communications. Cliquez sur Connexion Bureau à distance.
2. Dans la zone Ordinateur, tapez le nom d’un ordinateur ou l’adresse IP du serveur
exécutant Windows Server 2003 et sur lequel le service de Bureau à distance est
installé.
445
Figure 11.14 :
Connexion de Bureau à
distance
11. La maintenance
des serveurs
Figure 11.15 : Ouverture de sessions sur le serveur distant
3. Lorsque vous avez terminé de travailler sur la session distante, dans le menu
Démarrer, cliquez sur Fermer la session.
En tant qu’administrateur système, vous êtes amené à vous connecter à la session de la

console afin de voir les messages système envoyés à la console. Vous devez peut-être
également gérer simultanément plusieurs serveurs. Pour cela, utilisez le composant
logiciel enfichable Bureaux à distance.
446
Pour vous connecter à un ou à plusieurs serveurs à l’aide du composant logiciel

enfichable Bureaux à distance :
1. Dans le menu Démarrer, cliquez sur Outils d’administration, puis sur Bureaux à
distance.
11. La maintenance
des serveurs
Figure 11.16 : Bureau à distance
2. Dans l’arborescence de la console, cliquez du bouton droit de la souris sur Bureaux

à distance, puis sur Ajouter une nouvelle connexion.
3. Dans la boîte de dialogue Ajouter une nouvelle connexion, entrez le nom du serveur,
un nom de connexion, un nom d’utilisateur, le mot de passe correspondant et le nom
du domaine.
Figure 11.17 :
Ajout d’une nouvelle
connexion
4. Si vous souhaitez vous connecter à la session de la console, activez l’option Se

connecter à la console.
447
Figure 11.18 :
Activer le mode Se
connecter en mode
Console
11. La maintenance
des serveurs
5. Pour gérer plusieurs serveurs, répétez les étapes 2 et 3.
Figure 11.19 : Bureau à distance en mode Console
6. Lorsque vous avez terminé de travailler sur la session distante, dans le menu
Démarrer, cliquez sur Fermer la session.
Pour vous connecter à la session de la console sur un serveur distant à l’aide de l’outil de
ligne de commandes mstsc :
1. Dans le menu Démarrer, cliquez sur Exécuter, tapez cmd, puis cliquez sur OK.
448
2. À l’invite, tapez la commande mstsc /v:stlscpdc01 /console, puis validez

(Stlscpdc01 correspond au nom du serveur distant).
Figure 11.20 : Se connecter à un serveur distant à l’aide de l’outil de ligne de commandes
11. La maintenance
mstsc
des serveurs
3. Connectez-vous au serveur distant.
L’utilisation des paramètres de délai peut vous aider à gérer les ressources du serveur.
Après avoir défini les limites des connexions de session, vous pouvez administrer le
serveur plus efficacement.
Pour configurer un paramètre de délai pour une connexion distante, procédez comme
suit :
1. Cliquez sur Démarrer, puis sur Outils d’administration. Cliquez sur Configuration
des services Terminal Server.
Figure 11.21 : Configuration des services Terminal Server
2. Dans le volet d’informations, cliquez du bouton droit de la souris sur RDP-Tcp, puis
cliquez sur Propriétés (voir fig. 11.22).
3. Sous l’onglet Sessions, activez la première option Remplacer les paramètres de
l’utilisateur.
449
Figure 11.22 :
Propriété de RDP-Tcp
11. La maintenance
des serveurs
4. Modifiez les paramètres appropriés : Fin d’une session déconnectée, Limite de session
active ou Limite de session inactive.
Nombre de connexions
En mode Administration à distance, le nombre de connexions est limité à deux.
Figure 11.23 :
Nombre de connexions
en mode Administration
à distance
Déconnexion des sessions

Une session déconnectée doit impérativement être fermée pour être terminée. Aussi,
n’oubliez pas de bien fermer les sessions quand vous avez fini vos opérations. Sinon,
vous vous trouverez dans l’impossibilité d’ouvrir d’autres sessions, du moins jusqu’à
ce que vous fassiez le ménage dans les sessions.
450
Analyser les performances du serveur
11.2. Analyser les performances du serveur

L’analyse des performances du serveur constitue une part importante de
l’administration et de la maintenance du système d’exploitation. Elle permet non
seulement d’analyser le comportement du serveur en cas de problème, mais également
d’obtenir des informations qui peuvent être utilisées pour prévoir une évolution future
et anticiper sur la façon dont les modifications des configurations du système peuvent
affecter l’exploitation ultérieure.
Pourquoi analyser les performances ?
11. La maintenance
L’analyse des performances est indispensable à la maintenance du serveur. Effectuée de
des serveurs
façon quotidienne, hebdomadaire ou mensuelle, elle permet de définir les performances
de base du serveur. Grâce à cette analyse, vous obtenez des données sur les
performances qui facilitent le diagnostic des problèmes du serveur.
Les données sur les performances permettent :
j de comprendre pourquoi la charge de travail d’un serveur augmente soudainement ;
j d’observer les modifications et les tendances de l’utilisation des ressources afin de
planifier les mises à niveau matérielles ultérieures ;
j de tester les changements de configuration ou tout autre effort de réglage des
performances en analysant les résultats ;
j de diagnostiquer les problèmes et d’identifier les composants ou les processus pour
optimiser les performances.
Analyser les données de performances et les goulets d’étranglement

L’analyse des données de performances peut révéler des problèmes, tels qu’une
demande excessive de certaines ressources entraînant des goulets d’étranglement. Un
engorgement se produit lorsqu’une seule ressource a un impact négatif sur les
performances de l’ensemble du système. La demande d’une ressource peut devenir
excessive au point de provoquer l’engorgement des quatre sous-systèmes principaux que
sont la mémoire, le processeur, le disque et le réseau.
Les causes d’un engorgement sont diverses et peuvent être les suivantes :
j Les sous-systèmes sont insuffisants, et des composants supplémentaires ou mis à
niveau sont alors requis (par exemple, les goulets d’étranglement sont souvent dus à
une mémoire insuffisante).
j Les sous-systèmes ne partagent pas les charges de travail de façon équitable et un
équilibrage est nécessaire (par exemple, une ancienne carte réseau est installée sur
un nouveau serveur).
451
j Un sous-système ne fonctionne pas correctement et doit être remplacé (par

exemple, un disque dur qui présente souvent des problèmes mineurs avant de
tomber définitivement en panne).
j Un programme monopolise une ressource particulière (par exemple, la mémoire
n’est pas correctement partagée par une application développée maison). Pour
résoudre ce problème, il est nécessaire de demander à un développeur de réécrire le
programme, d’ajouter ou de mettre à niveau des ressources ou d’exécuter le
programme durant des périodes de faible utilisation.
j Un sous-système n’est pas correctement configuré, et les paramètres de
configuration doivent donc être modifiés (par exemple, il se peut qu’une ancienne
carte réseau à plusieurs vitesses soit configurée pour 10 Mbits/s au lieu de
11. La maintenance
100 Mbit/s).
des serveurs
Établir une ligne de base

On détermine une base de référence à partir d’un ensemble de données relevées sur une
période étendue au cours de charges de travail et de connexions utilisateur de types
divers mais représentatifs. La ligne de base est un indicateur qui permet de connaître
l’utilisation des ressources système individuelles ou d’un groupe de ressources en
période d’activité normale.
Postulat de base : relever des échantillons de valeurs des compteurs toutes les 30 à
45 minutes pendant une semaine, lors de niveaux d’exploitation élevés, normaux et
faibles. Les principales étapes de création d’une ligne de base sont :
j l’identification des ressources ;
j la capture des données ;
j l’enregistrement des données.
Les quatre principales ressources système pour les lignes de base des performances
sont :
j la mémoire ;
j le processeur ;
j le disque physique ;
j le réseau.
Ce sont des objets de performance. Il s’agit de données générées par un composant ou

une ressource du système. Chaque objet de performance inclut des compteurs, qui
comprennent des données concernant des aspects spécifiques des performances du
système. Les objets de performances peuvent avoir plusieurs instances.
452
Choisir entre analyse programmée et analyse en temps réel

Les administrateurs peuvent utiliser l’analyse programmée pour contrôler régulièrement
les serveurs. Il est possible, avec cette méthode, de définir les performances de base et
d’utiliser l’analyse des tendances pour identifier les problèmes du serveur. Par exemple, si
vous suspectez des ralentissements sur un serveur, vous pouvez vérifier les fichiers journaux
correspondants pour rechercher l’origine du problème. Les administrateurs doivent
également identifier les problèmes dus à des événements spécifiques. Pour ce type de
problème, il est nécessaire d’effectuer une analyse en temps réel. Par exemple, si on vous
informe que les imprimantes connectées au serveur d’impression fonctionnent par
intermittence, utilisez un outil d’analyse en temps réel, tel que le Gestionnaire des tâches
ou le Moniteur système, pour rechercher l’origine du problème.
11. La maintenance
des serveurs
La console Performances
Windows Server 2003 fournit les outils suivants qui font partie de la console
Performances et permettent d’analyser l’utilisation des ressources sur votre ordinateur :
j le Moniteur système ;
j les Journaux et alertes de performance.
Vous pouvez afficher les données de compteur enregistrées à l’aide du Moniteur

système ou les exporter vers des tableurs ou des bases de données pour les analyser et
générer un rapport. Le Moniteur système permet de créer des graphiques, des
histogrammes et des rapports concernant les données des compteurs de performance.
L’affichage graphique, qui représente l’affichage par défaut, propose le plus grand choix
de paramètres facultatifs.
L’affichage graphique
Il permet d’analyser en temps réel tous les processus d’un système.
Les données des compteurs d’une période définie sont présentées sous forme de
graphique linéaire.
L’histogramme
Il permet de détecter les goulets d’étranglement au niveau du processeur.
Les données de compteurs sont présentées sous forme de diagramme en bâtons (une
valeur par instance de compteur).
Le rapport
Il permet d’analyser les valeurs numériques de chaque compteur.
Les données de compteurs sont présentées dans un tableau (une valeur par instance de
compteur).
453
L’analyse en temps réel

Avec cette méthode, le Moniteur système traite les compteurs de données et les met à
jour dès réception des données provenant du système d’exploitation. Utilisez l’analyse
en temps réel pour déterminer l’état actuel des quatre sous-systèmes (mémoire,
processeur, disque et réseau). Ainsi, si les utilisateurs signalent un long délai de réponse
pour une application client/serveur dans une situation qui n’avait jusqu’à présent généré
aucun problème, vous pouvez employer le Moniteur système pour réaliser un diagnostic
et résoudre le problème.
Pour effectuer une analyse en temps réel avec la console Performances, procédez ainsi :
11. La maintenance
1. Pour lancer la console Performances, cliquez sur Démarrer/Outils

des serveurs
d’administration/Performances.
Figure 11.24 : Moniteur système
2. Cliquez sur Moniteur système.

3. Cliquez du bouton droit de la souris dans le volet des informations, puis sur Ajouter
des compteurs.
Pour chaque compteur ou groupe de compteurs à ajouter au journal :

4. Dans la zone Objet de performance, sélectionnez le type d’objet de performance à
analyser. Pour ajouter des compteurs, sélectionnez l’option Tous les compteurs si
vous souhaitez inclure tous les compteurs pour l’objet de performance sélectionné
454
ou l’option Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs
pour l’objet de performance sélectionné. Pour analyser les instances du compteur
sélectionné, sélectionnez l’option Toutes les instances si vous souhaitez analyser
toutes les instances des compteurs sélectionnés ou l’option Choisir les instances si
vous souhaitez analyser les instances choisies dans la liste des compteurs
sélectionnés.
Figure 11.25 :
Ajouter des compteurs
11. La maintenance
des serveurs
5. Cliquez sur Ajouter.
Figure 11.26 : Moniteur système avec les compteurs de performance
455
6. Cliquez sur Fermer.
Information sur les compteurs

Pour obtenir la description d’un compteur, sélectionnez celui-ci, puis cliquez sur
Expliquer.
Figure 11.27 :
Expliquer les compteurs
de performance
11. La maintenance
des serveurs
Cas particuliers
Certains types d’objets possèdent plusieurs instances. Par exemple, si un serveur
possède plusieurs processeurs, le type d’objet Processeur dispose de plusieurs
instances. Si un système contient deux disques, le type d’objet Disque physique
possède deux instances. Certains objets, tels que ceux de la mémoire ou du serveur, ne
disposent que d’une seule instance. Si un type d’objet a plusieurs instances, vous
pouvez ajouter des compteurs pour réaliser le suivi statistique de chaque instance ou,
dans de nombreux cas, de toutes les instances à la fois.
L’analyse programmée
L’analyse programmée consiste à récupérer et conserver des données sur une période
définie pour les analyser ultérieurement. Cela permet d’établir une ligne de base, de
détecter les goulets d’étranglement et de déterminer si des modifications du système se
456
sont produites au cours de cette période. Utilisez l’outil Journaux et alertes de

performance pour effectuer une analyse programmée.
Pour effectuer une analyse programmée à l’aide de la console Performances, procédez

ainsi :
2. Double-cliquez sur Journaux et alertes de performance.
11. La maintenance
des serveurs
Figure 11.28 : Journaux et alertes
3. Cliquez du bouton droit de la souris sur Journaux de compteur, puis sur Nouveaux
paramètres de journal.
4. Dans la boîte de dialogue qui apparaît, indiquez le nom du journal, puis cliquez sur
OK.
Figure 11.29 :
Nom du nouveau fichier
journal
5. Sous l’onglet Général, cliquez sur Ajouter des compteurs.
Pour chaque compteur ou groupe de compteurs à ajouter au journal :

6. Dans la zone Objet de performance, sélectionnez le type d’objet de performance à
analyser. Pour ajouter des compteurs, sélectionnez l’option Tous les compteurs si
vous souhaitez inclure tous les compteurs pour l’objet de performance sélectionné
ou l’option Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs
pour l’objet de performance sélectionné. Pour analyser les instances du compteur
sélectionné, sélectionnez l’option Toutes les instances si vous souhaitez analyser
toutes les instances des compteurs sélectionnés ou l’option Choisir les instances si
vous souhaitez analyser les instances choisies dans la liste des compteurs
sélectionnés.
457
Figure 11.30 :
Sélection des objets et
compteurs
11. La maintenance
des serveurs
7. Cliquez sur Ajouter, puis sur Fermer.

8. Sous l’onglet Général, modifiez l’intervalle dans le champ correspondant.
Figure 11.31 :
Modification de la
période
d’échantillonnage des
données
9. Sous l’onglet Planification, modifiez le jour et l’heure du démarrage et de l’arrêt du

journal, puis cliquez sur OK.
458
Figure 11.32 :
Planification du
démarrage et de l’arrêt
du journal
11. La maintenance
des serveurs
10. Si un message vous invite à créer un dossier de journal, cliquez sur Oui.
Figure 11.33 : Journaux de compteur avec la tâche planifiée
Le Gestionnaire des tâches

Le Gestionnaire des tâches offre une vue d’ensemble de l’activité et des performances
du système et fournit des informations concernant les programmes et les processus en
cours d’exécution sur votre ordinateur. Il indique également le type de mesure des
performances du processus le plus utilisé. De plus, vous pouvez l’employer pour une
analyse en temps réel.
459
Le Gestionnaire des tâches peut permettre d’analyser les indicateurs clés des
performances de votre ordinateur :
j Vous pouvez afficher l’état des programmes en cours d’exécution et terminer ceux
qui ne répondent plus.
j L’activité des processus en cours peut être évaluée en utilisant jusqu’à
15 paramètres, et des graphiques ainsi que des données concernant l’utilisation du
processeur et de la mémoire peuvent être affichés.
j Si vous êtes connecté à un réseau, vous avez la possibilité d’afficher l’état de ce
réseau.
11. La maintenance
j Si plusieurs utilisateurs sont connectés à votre ordinateur, vous pouvez savoir qui ils
sont, quels fichiers sont utilisés et leur envoyer un message. Le Gestionnaire des
des serveurs
tâches propose cinq onglets qui permettent d’effectuer l’ensemble de ces actions.
Figure 11.34 :
Le gestionnaire des
tâches
Analyser un serveur distant

La charge de travail supplémentaire apportée au serveur par le Gestionnaire des tâches
et la console Performances peut entraîner une représentation incorrecte des données
récupérées. L’analyse du serveur à distance permet de limiter ce type de problème.
Analyser des ordinateurs distants

Si vous envisagez d’analyser des ordinateurs distants, vous devez disposer des droits
d’accès requis.
460
Pour analyser un serveur distant, procédez ainsi :

2. Cliquez du bouton droit de la souris dans le volet droit du Moniteur système, puis
cliquez sur Ajouter des compteurs.
3. Cliquez sur Choisir les compteurs sur, puis tapez le nom de l’ordinateur distant.
Figure 11.35 :
Ajout d’un compteur
depuis un ordinateur
11. La maintenance
distant
des serveurs
4. Dans Objet de performance, sélectionnez les objets à analyser. Pour chaque objet de
performance, sélectionnez les compteurs correspondants sur la liste. Cliquez sur
Ajouter après chaque sélection de compteur, puis cliquez sur Fermer.
Figure 11.36 : Moniteur système avec les compteurs d’ordinateurs distants
461
Les journaux
Windows Server 2003 peut récupérer des données concernant les ressources disque, la
mémoire, les processeurs et les composants réseau. De plus, certaines applications, par
exemple Exchange Server, peuvent également récupérer des données. Celles-ci
constituent des objets de performances et leur nom est généralement celui du
composant qui les génère. L’objet Processeur représente un ensemble de données de
performances relatives aux processeurs du serveur.
Les journaux sont des compteurs qui indiquent les données enregistrées dans le fichier
journal. Les journaux de compteur permettent de sélectionner les compteurs pour
récupérer les données sur les performances.
11. La maintenance
des serveurs
Pour créer un journal de compteur, procédez ainsi :

2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de
compteur.
Tous les journaux de compteur existants apparaissent dans le volet des informations.
L’icône verte indique qu’un journal est en cours et l’icône rouge signale l’arrêt du
journal.
3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations,
puis cliquez sur Nouveaux paramètres de journal.
4. Dans la zone de texte Nom, tapez le nom du journal, puis cliquez sur OK.
5. Sous l’onglet Général, cliquez sur Ajouter des compteurs pour sélectionner les
compteurs à enregistrer.
6. Si vous souhaitez modifier le fichier par défaut et planifier des informations, utilisez
les onglets Fichiers journaux et Planification.
7. Pour enregistrer les paramètres d’un journal de compteur, cliquez du bouton droit
de la souris sur celui-ci dans le volet situé à droite dans la console Performances,
puis cliquez sur Enregistrer les paramètres sous. Vous pouvez indiquer le fichier
.htm dans lequel enregistrer les paramètres.
8. Pour réutiliser les paramètres enregistrés avec un autre journal de compteur,
cliquez du bouton droit de la souris dans le volet situé à droite, puis cliquez sur
Nouveaux paramètres de journalisation issus de. Cela permet de générer
facilement de nouveaux paramètres à partir de la configuration d’un journal de
compteur. Vous pouvez également ouvrir le fichier HTML dans Internet Explorer
pour afficher un graphique du Moniteur système.
Les journaux de compteur pouvant rapidement remplir l’espace disque, prenez

l’habitude de les supprimer lorsque vous n’en avez plus besoin ; généralement, après
avoir établi une ligne de base et enregistré les informations correspondantes. Il est
462
conseillé d’établir une ligne de base une fois par semaine et de supprimer les journaux
ayant plus de 30 jours.
Pour supprimer un journal de compteur, procédez ainsi :

d’administration/Performances
compteur.
3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de
compteur à supprimer.
11. La maintenance
des serveurs
Figure 11.37 : Suppression d’un journal
4. Cliquez sur Supprimer.
Voici les différents formats de fichiers journaux :
Tableau 11.2 : Journaux et alertes de performance

Format du fichier journal Description Utilisation
Fichier texte (délimité par des Définit un fichier journal délimité par Utilisez ce format pour exporter les
virgules) des virgules (extension .csv). données du journal vers un tableur, par
exemple.
Fichier texte (délimité par des Définit un fichier journal délimité par Utilisez ce format pour exporter les
tabulations) des tabulations (extension .csv). données du journal vers un tableur, par
exemple.
463
Format du fichier journal Description Utilisation

Fichier binaire Définit un fichier journal séquentiel Utilisez ce format de fichier pour
binaire (extension .blg). Seuls les enregistrer les instances de données
formats binaires peuvent intégrer intermittentes, à savoir celles qui
des instances discontinues. s’arrêtent et reprennent une fois le
journal commencé.
Utilisez la commande tracerpt
pour convertir les fichiers binaires en
fichiers journaux délimités par des
virgules.
Fichier circulaire binaire Définit un fichier journal circulaire Utilisez ce format pour enregistrer des
11. La maintenance
binaire (extension .blg). données en continu dans le même

des serveurs
fichier journal, les nouvelles données

remplaçant les enregistrements
précédents lorsque la taille maximale
du fichier est atteinte.
Utilisez la commande tracerpt
pour convertir les fichiers binaires en
fichiers journaux délimités par des
virgules.
Base de données SQL Définit le nom d’une base de Utilisez ce format de fichier pour
données SQL et d’un ensemble de récupérer les données sur les
journaux au sein de la base de performances au niveau de l’entreprise
données dans laquelle les données et non pour chaque ordinateur.
sur les performances seront lues ou
écrites.
Pour définir les paramètres de fichier d’un journal de compteur, procédez ainsi :
3. Pour définir les propriétés de fichier d’un journal de compteur, double-cliquez sur
Journaux de compteur.
4. Dans le volet des informations, double-cliquez sur le journal.
5. Passez sous l’onglet Fichiers journaux.
6. Sur la liste Type de fichier journal, sélectionnez le format souhaité pour ce fichier
journal, paramétrez les options, puis cliquez sur le bouton Configurer.
7. Dans la zone Configurer, déterminez les paramètres de configuration à l’aide des
options Configurer les fichiers journaux ou Configurer les journaux SQL, selon le type
de fichier journal choisi sur la liste correspondante.
8. Activez l’option Terminer les noms de fichiers avec, puis, sur la liste, cliquez sur le
style de suffixe souhaité. Utilisez cette option pour distinguer les fichiers journaux
464
ayant le même nom de fichier dans un groupe de journaux générés

automatiquement.
9. Dans la zone Démarrer la numérotation à partir de, indiquez le premier chiffre de la
numérotation automatique des fichiers, lorsque vous sélectionnez nnnnnn pour
l’option Terminer les noms de fichiers avec.
10. Dans la zone Commentaire, tapez si nécessaire un commentaire ou une description
concernant le fichier journal.
Figure 11.38 :
Les différents types de
fichiers journal
11. La maintenance
des serveurs
11. Dans la boîte de dialogue Configurer les fichiers journaux, sous la rubrique Taille
du fichier journal, activez l’option Limite maximale pour que les données soient
récupérées de façon continue dans un fichier journal jusqu’à ce que sa taille limite
définie par les quotas de disque ou le système d’exploitation soit atteinte. Pour les
journaux SQL, les données sont récupérées dans une base de données jusqu’à ce que
sa taille limite définie par le nombre d’enregistrements effectués soit atteinte.
Choisissez Limite de et indiquez la taille limite du fichier journal. Pour les journaux
de compteur et de traçage, indiquez la taille maximale en mégaoctets. Pour les
journaux SQL, indiquez la taille maximale dans les enregistrements (voir fig. 11.39).
Pour définir les paramètres de début et de fin d’un journal de compteur, procédez ainsi :
compteur.
465
Figure 11.39 :
Limiter la taille du
fichier journal
11. La maintenance
des serveurs
3. Dans le volet des informations, double-cliquez sur le nom du journal de compteur.

4. Sous l’onglet Planification, sous la rubrique Démarrer l’enregistrement dans le
journal, cliquez sur Heure, puis indiquez l’heure et la date.
Figure 11.40 :
Planification des heures
de démarrage et d’arrêt
du journal
5. Sous l’onglet Arrêter l’enregistrement dans le journal, sélectionnez l’une des

options suivantes :
j Pour que le journal s’arrête après une durée précise, cliquez sur Après, puis
indiquez le nombre d’intervalles et leur type (jours, heures, etc.).
j Pour que le journal s’arrête à une heure et à une date précises, cliquez sur
Heure, puis indiquez l’heure et la date. Vous pouvez saisir quatre caractères
dans la zone de l’année, deux dans les autres.
466
j Pour que le journal de compteur s’arrête lorsque le fichier journal atteint sa

taille maximale, activez l’option Quand le fichier journal de 10 Mo est plein. Le
fichier continue à accumuler des données selon la taille limite indiquée sous
l’onglet Fichiers journaux (en kilo-octets, jusqu’à 2 Go).
6. Dans la zone Quand un fichier journal est fermé, sélectionnez l’option appropriée :
j Si vous souhaitez configurer un journal de compteur circulaire (continu,
automatique), sélectionnez l’option Commencer un nouveau fichier journal.
j Pour exécuter un programme après l’arrêt du fichier journal (par exemple, si
vous souhaitez utiliser la commande copy pour transférer les journaux terminés
vers un site d’archive), sélectionnez Exécuter cette commande. Tapez le chemin
11. La maintenance
d’accès et le nom du fichier du programme à exécuter ou cliquez sur Parcourir
des serveurs
pour rechercher l’emplacement du programme.
Pour commencer et arrêter manuellement les journaux de compteur, procédez ainsi :

1. Ouvrez la console Performances, puis double-cliquez sur Journaux et alertes de
performance.
2. Cliquez sur Journaux de compteur.
3. Dans le volet des informations, cliquez du bouton droit de la souris sur le journal de
compteur à arrêter ou à démarrer.
4. Cliquez sur Démarrer ou Arrêter.
Figure 11.41 : Démarrage et arrêt manuel du fichier journal
467
Les alertes
Grâce à la fonction d’alerte, vous pouvez définir une valeur de compteur qui déclenche
des actions, telles que l’envoi d’un message réseau, l’exécution d’un programme ou le
démarrage d’un journal. Les alertes sont utiles si vous n’analysez pas de façon active une
valeur seuil d’un compteur particulier mais que vous souhaitiez être informé lorsqu’elle
est supérieure ou inférieure à un paramètre spécifié, afin de pouvoir rechercher l’origine
de ce changement.
Alertes
Une alerte est une fonction qui détecte à quel moment une valeur de compteur
11. La maintenance
prédéfinie est supérieure ou inférieure à un paramètre spécifié. Ce dernier est un seuil

des serveurs
d’alerte.
Vous pouvez définir une alerte pour un compteur afin d’effectuer les actions suivantes :
j créer une entrée dans le journal des événements de l’application pour, notamment,
enregistrer tous les événements ayant provoqué une alerte ;
j commencer un journal lorsque la valeur de compteur sélectionnée est supérieure ou
inférieure au seuil d’alerte ;
j envoyer un message pour être prévenu lorsqu’un événement spécifique se produit ;
j exécuter un programme pour lancer un programme lorsqu’un événement se produit
(par exemple, le serveur peut s’arrêter si le disque dur est plein).
Pour créer une alerte, procédez ainsi :

2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes.
Toutes les alertes existantes apparaissent dans le volet des informations. L’icône verte
indique que l’alerte est en cours et l’icône rouge signale l’arrêt de l’alerte.
3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations,
puis sur Nouveaux paramètres d’alerte.
4. Dans la zone de texte Nom, tapez le nom de l’alerte, puis cliquez sur OK.
Figure 11.42 :
Nouveaux paramètres
d’alerte
468
5. Dans la fenêtre d’alerte portant le nom du fichier que vous venez de donner,
paramétrez les différents onglets :
j Sous l’onglet Général, vous pouvez ajouter un commentaire pour votre alerte,
ainsi que des compteurs, des seuils d’alerte et des intervalles d’échantillonnage.
Figure 11.43 :
L’onglet Général
11. La maintenance
des serveurs
j Sous l’onglet Action, définissez les actions à réaliser lorsque des données de
compteur génèrent une alerte.
Figure 11.44 :
L’onglet Action d’une
alerte
469
j Sous l’onglet Planification, vous avez la possibilité de définir à quel moment le

service commence à rechercher les alertes.
Figure 11.45 :
L’onglet Planification
d’une alerte
11. La maintenance
des serveurs
Si vous avez choisi d’envoyer un message réseau, vous recevrez ce type de message :
Figure 11.46 : Pop-up d’alerte
Si vous avez choisi d’enregistrer un événement dans le journal des événements, voici ce
que vous obtiendrez :
Figure 11.47 :
Message d’alerte
enregistré dans le journal
d’événements
470
Pour supprimer une alerte, procédez ainsi :

3. Dans le volet des informations, cliquez du bouton droit de la souris sur l’alerte à
supprimer.
11. La maintenance
des serveurs
Figure 11.48 : Suppression d’une alerte
4. Cliquez sur Supprimer.
Les compteurs de performance

Nous venons de voir comment tirer parti des compteurs de performance. Maintenant,
étudions un peu plus dans le détail ces compteurs.
La mémoire
La mémoire du serveur est le sous-système ayant la plus grande incidence sur les
performances générales du serveur. Si le serveur ne dispose pas de mémoire suffisante
pour contenir les données qui lui sont nécessaires, il doit temporairement stocker ces
données sur le disque (on dit qu’il swappe). L’accès au disque est beaucoup plus lent que
l’accès à la mémoire RAM. Par conséquent, tout stockage de données sur le disque
altère les performances du serveur de façon importante. Par rebond, si les performances
du serveur sont altérées, les applications qu’il fait tourner le sont aussi, logiquement.
471
La surveillance et l’analyse de l’utilisation de la mémoire sont, par conséquent, les

premières étapes à suivre dans le cadre de l’évaluation des performances du serveur.
Tableau 11.3 : Identifier et résoudre les problèmes de goulet d’étranglement au niveau de

la mémoire
Compteur de Plage moyenne Valeur désirée Action
mémoire acceptable
Pages/s De 0 à 20 Basse Rechercher le processus à l’origine
des échanges. Ajouter de la RAM
Octets disponibles Au moins 5 % de Haute Rechercher le processus à l’origine
11. La maintenance
la mémoire totale des échanges. Ajouter de la RAM

des serveurs
Octets validés Moins que la Basse Rechercher le processus à l’origine

mémoire RAM des échanges. Ajouter de la RAM
physique
Octets de réserve Reste constante, Sans objet Rechercher une fuite de mémoire
non paginée n’augmente pas dans une application
Défauts de Inférieure à 5 Basse Rechercher le processus à l’origine
pages/s des échanges. Ajouter de la RAM
Pour analyser la mémoire à l’aide de la console Performances, procédez comme suit :

1. Cliquez sur Démarrer/Panneau de configuration, puis double-cliquez sur Outils
d’administration et Performances.
2. Cliquez du bouton droit de la souris dans le volet de droite du Moniteur système,
puis cliquez sur Ajouter des compteurs.
3. Dans Objet de performance, cliquez sur Mémoire. Sélectionnez un à un les
compteurs suivants, puis cliquez sur Ajouter :
j Pages/s ;
j Octets disponibles ;
j Octets validés ;
j Octets de réserve non paginée ;
j Défauts de page/s.
4. Bien que les compteurs suivants ne soient pas explicitement des compteurs d’objets
mémoire, ils sont également utiles à l’analyse de la mémoire :
j Fichier d’échange\Pourcentage d’utilisation ;
j Cache\% Présence des données mappées ;
j Serveur\Octets de réserve paginée et Serveur\Octets de réserve non paginée.
472
Figure 11.49 :
Sélection des compteurs
et objets pour l’analyse
de la mémoire
11. La maintenance
des serveurs
5. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez
les opérations nécessaires à la résolution du problème de mémoire.
Figure 11.50 : Analyseur de performance utilisé depuis Internet Explorer
473
Le processeur
L’aspect le plus important concernant les performances du processeur est le niveau
d’utilisation de ce dernier. Lorsqu’une application ou un autre logiciel utilise plus que sa
part du cycle du processeur, tous les autres programmes en cours d’exécution sont
ralentis.
Après la quantité de mémoire utilisée, l’activité du processeur est l’information la plus

importante permettant d’analyser un serveur.
Tableau 11.4 : Identifier et résoudre les problèmes de goulet d’étranglement au niveau du

11. La maintenance
processeur
des serveurs
Compteur Plage moyenne Valeur désirée Action

processeur acceptable
% Temps Inférieur à 85 % Basse Rechercher le processus utilisant trop de
processeur processeur. Mettre à niveau ou ajouter un
autre processeur
Système : longueur Inférieur à 10 Basse Mettre à niveau ou ajouter un autre
de la file du processeur
processeur
Files de travail du Inférieur à 4 Basse Rechercher le processus utilisant trop de
serveur : longueur processeur. Mettre à niveau ou ajouter un
de la file autre processeur
Interruptions/S Dépend du Basse Rechercher le contrôleur générant les
processeur interruptions
Les disques
La vitesse d’accès du disque dur physique peut fortement ralentir les applications et le
chargement des données. De plus, l’espace de stockage sur le disque doit être suffisant
pour permettre l’installation des applications, ainsi que le stockage des données et du
fichier d’échange.
Il est important d’analyser les disques pour maintenir le bon fonctionnement de vos
systèmes.
474

disque
Compteur de disque Plage acceptable Valeur désirée Action
physique
% Temps du disque Inférieure à 50 % Basse Analyser les disques pour déterminer si
des opérations d’échange s’effectuent,
mettre à niveau le sous-système disque
Taille de la file De 0 à 2 Basse Mettre à niveau le sous-système disque
d’attente du disque
actuel
11. La maintenance
Disque, octets Ligne de base ou Haute Mettre à niveau le sous-système disque
transfert moyen supérieure
des serveurs
Octets disque/s Ligne de base ou Haute Mettre à niveau le sous-système disque
supérieure
Pour analyser les disques, procédez ainsi :

3. Dans la boîte de dialogue Ajouter des compteurs, sous Objet de performance,
choisissez Disque physique. Sélectionnez les compteurs suivants et cliquez sur
Ajouter.
j % Temps du disque ;
j Moy. disque, octets/transfert ;
j Taille de file d’attente du disque actuelle ;
j Octets disque/s.
les opérations nécessaires à la résolution des éventuels problèmes de disque.
Le réseau
Les performances du réseau dépendent de la vitesse du matériel de l’infrastructure de
votre réseau et de celle des logiciels en cours d’exécution sur les serveurs et clients.
Dans tout environnement de travail, les communications réseau sont extrêmement

importantes. À l’instar du processeur ou des disques de votre système, le comportement
du réseau influe sur le fonctionnement du système.
475

réseau
Compteur de l’interface Plage moyenne acceptable Valeur Désirée Action
réseau
Utilisation du réseau (dans le Inférieur à 30 %, en général Basse Mettre à niveau la carte ou le
Gestionnaire de tâches) réseau physique
Interface réseau : Octets Ligne de base ou supérieure Haute Mettre à niveau la carte ou le
envoyés/s réseau physique
Interface réseau : Total des Ligne de base ou supérieure Haute Poursuivre l’analyse pour
octets/s déterminer la cause du
11. La maintenance
problème, mettre à niveau la

carte ou le réseau physique
des serveurs
Serveur : Octets reçus Moins de 50 % de la Sans objet Mettre à niveau la carte ou le

capacité de la bande réseau physique
passante de la carte réseau
Pour analyser le réseau, procédez ainsi :

3. Sous Objet de performance, choisissez Interface réseau. Sélectionnez les compteurs
suivants et cliquez sur Ajouter :
j Interface réseau\Octets envoyés/s ;
j Interface réseau\Total des octets/s.
4. Sous Objet de performance, choisissez Serveur. Sélectionnez les compteurs

Serveur\Octets et reçus/s, cliquez sur Ajouter, puis sur Fermer.
les opérations nécessaires à la résolution des éventuels problèmes de réseau.
11.3. En résumé
La maintenance de vos serveurs Windows Server 2003 est, évidemment, une partie très
importante du travail d’un administrateur. C’est même une des parties qui vous suivra
une fois le projet d’implémentation d’Active Directory terminé.
Comme nous pouvons le constater, Windows Server 2003 est suffisamment bien équipé
en standard pour vous proposer de maintenir et d’analyser les performances afin de
résoudre des problèmes ou réaliser des prévisions sur les évolutions matérielles du
serveur. Sachez tirer parti de tous les outils mis à votre disposition.
476
Chapitre 12
Windows
Server 2008
12.1 Les prérequis à l’installation de Windows Server 2008 . . . . . . . . . . . . . . . . . 479
12.2 Qu’est-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
12.3 Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
12.4 Les services par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
12.5 Gérer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
12.6 Les rôles et les fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
12.7 Les améliorations liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
12.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Les prérequis à l’installation de Windows Server 2008
C inq ans après l’arrivée de Windows Server 2003, Windows Server 2008 est le
successeur d’un système d’exploitation fiable et robuste qui a fait toutes ces
preuves. Mais alors qu’apporte Windows Server 2008 ? Tout d’abord, il a été conçu pour
fournir aux entreprises la plateforme la plus productive pour virtualiser des charges de
travail, alimenter des applications et protéger des réseaux. Il propose une plateforme
sécurisée et facile à gérer servant à développer et à héberger de façon fiable des
applications et des services web. Polyvalent, du groupe de travail au centre de données,
Windows Server 2008 propose des fonctionnalités nouvelles et extrêmement utiles, ainsi
que des améliorations importantes au système d’exploitation de base.
12.1. Les prérequis à l’installation de Windows

Server 2008
L’installation de Windows Server dans une entreprise ne diffère pas des versions
précédentes de Windows 2000 Server ou Windows Server 2003. Il est toujours
12. Windows
Server 2008
nécessaire de définir son besoin au préalable en vérifiant les points suivants :
j définir l’utilisation de son serveur pour choisir la version Standard, Entreprise,
Datacenter ou Web ;
j vérifier que l’on répond bien aux prérequis matériels de l’installation CPU, RAM,
disques, etc. ;
j choisir la version que l’on souhaite installer, complète ou Core.
Voici les prérequis d’installation de demande Windows Server 2008, que cela soit dans
les versions Core ou complètes…
Le processeur
j Minimum : 1 GHz.
j Recommandé : 2 GHz.
j Optimal : 3 GHz ou plus.
L’espace disque
j Espace disque requis au minimum : 8 Go.
j Recommandé : 40 Go (installation complète) ou 10 Go (installation Server Core).
j Optimal : 80 Go (installation complète) ou 40 Go (installation Server Core) ou plus.
La mémoire
j Mémoire minimale : 512 Mo de RAM.
j Recommandé : 1 Go de RAM.
479
Chapitre 12 Windows Server 2008
j Optimal : 2 Go de RAM (installation complète) ou 1 Go de RAM (installation

Server Core) ou plus.
j Maximum (systèmes 32 bits) : 4 Go (Standard) ou 64 Go (Entreprise).
j Maximum (systèmes 64 bits) : 32 Go (Standard) ou 2 To (Entreprise).
Taille du fichier d’échange

Les ordinateurs avec plus de 16 Go de RAM nécessiteront davantage d’espace disque
pour les fichiers de pagination, de mise en veille prolongée et de vidage.
Les périphériques
j Un lecteur de DVD-Rom ;
j un moniteur Super VGA (800 x 600) ou d’une résolution supérieure ;
j un clavier et une souris.
12. Windows
Server 2008
12.2. Qu’est-ce que la version Server Core ?

Le serveur dans sa version Core et l’une des nouveautés de Windows 2008 Server. Les
administrateurs peuvent choisir une installation minimale de Windows Server avec des
fonctionnalités spécifiques et sans les fonctionnalités inutiles. Server Core fournit un
environnement pour l’exécution d’un ou de plusieurs rôles de serveur suivants :
j virtualisation Windows Server ;
j serveur DHCP (Dynamic Host Configuration Protocol) ;
j serveur DNS (Domain Name System) ;
j serveur de fichiers ;
j services d’annuaire Active Directory (AD DS) ;
j Active Directory Lightweight Directory Services (AD LDS) ;
j services Windows Media ;
j gestion de l’impression (voir fig. 12.1).
Server Core offre les avantages principaux suivants aux organisations :

j La maintenance de logiciels réduite : étant donné que Server Core installe
uniquement ce qui est nécessaire pour qu’un serveur facile à gérer exécute les rôles
de serveur pris en charge, le serveur requiert moins de maintenance logicielle. Avec
une installation Server Core plus réduite, le nombre des mises à jour et correctifs est
réduit, ce qui permet d’économiser sur l’utilisation de la bande passante du réseau
étendu par les serveurs et le temps d’administration pour le personnel informatique.
480
Qu’est-ce que la version Server Core ?
12. Windows
Server 2008
Figure 12.1 : Sélection de l’installation d’un serveur Core ou d’un serveur en version
complète
j Une surface d’attaque réduite : étant donné qu’il y a moins de fichiers installés et
exécutés sur le serveur, il y a moins de vecteurs d’attaque exposés au réseau. Par
conséquent, la surface d’attaque est réduite. Les administrateurs peuvent installer
uniquement les services spécifiques nécessaires à un serveur donné, en maintenant
le risque d’exposition à un minimum absolu.
j Moins de redémarrages et un espace disque réduit : avec une installation minimale
de Server Core, moins de composants installés auront besoin d’être mis à jour ou
corrigés et le nombre de redémarrages requis sera réduit. Une installation Server
Core installe les fichiers minimaux nécessaires pour les fonctionnalités requises, et
l’espace disque utilisé sur le serveur sera donc réduit. En choisissant d’utiliser
l’option d’installation Server Core sur un serveur, les administrateurs peuvent
réduire les exigences en matière de gestion et mise à jour logicielle pour un serveur,
tout en réduisant les risques liés à la sécurité.

L’installation de Windows Server 2008 ressemble énormément à celle de Windows Vista
et pour cause, ils partagent les mêmes mécanismes d’installation et de fonctionnement.
481
Ils utilisent tous les deux le principe des images WIM. Pour installer Windows
Server 2008, procédez de la manière suivante :
1. Insérez le DVD de Windows Server 2008 et redémarrez votre serveur à partir de
votre lecteur de DVD.
Une première fenêtre s’ouvre et vous propose de choisir les options suivantes :
j langues à installer ;
j format de l’heure et de la monnaie ;
j clavier ou méthode d’entrée.
2. Une fois vos choix réalisés, cliquez sur Suivant.
12. Windows
Server 2008
Figure 12.2 : Première fenêtre de l’installation de Windows Server 2008
La fenêtre suivante vous propose :

j de lire les instructions et les recommandations ;
j d’accéder aux fonctionnalités de réparation ;
j de poursuivre l’installation standard.
3. Cliquez sur Installer pour continuer.
482
12. Windows
Server 2008
Figure 12.3 : À partir de cettee fenêtre, vous avez la possibilité d’installer ou réparer
Windows Server 2008
4. Dans la fenêtre Entrez votre clé de produit pour activation, dans le champ Clé de
produit, saisissez votre clé de produit et cliquez sur Suivant.
Figure 12.4 : Saisie de la clé produit qui débloque la version de Windows Server 2008
(Standard, Entreprise…)
483
La partie Sélectionnez le système d’exploitation que vous voulez installer est une étape
importante et structurante. C’est ici, que vous allez choisir l’installation d’un serveur
complet ou l’installation d’un serveur Core.
5. Dans notre exemple, sélectionnez Windows Server 2008 Enterprise (Installation
complète), puis cliquez sur Suivant.
Server Core
Pour rappel, Server Core est une version de serveur sans interface graphique pour
l’administration. Sa configuration se fait en ligne de commandes. Le Serveur Core ne
possède pas la totalité des rôles que propose la version complète de Windows
Server 2008.
Les rôles proposés par le serveur Core sont les suivants :
j virtualisation Windows Server ;

j serveur DHCP (Dynamic Host Configuration Protocol) ;
serveur DNS (Domain Name System) ;
12. Windows
j
Server 2008
j serveur de fichiers ;
j services d’annuaire Active Directory (AD DS) ;
j Active Directory Lightweight Directory Services (AD LDS) ;
j services Windows Media ;
j gestion de l’impression.
6. Dans la fenêtre Veuillez lire le contrat de licence, cliquez sur la case à cocher
J’accepte les termes du contrat de licence et cliquez sur Suivant.
Figure 12.5 : La fenêtre des termes de licence
484
7. Nous devons choisir la destination de l’installation, à savoir le lecteur logique et la

taille de la partition sur laquelle nous souhaitons réaliser l’installation. Dans la
fenêtre Quel type d’installation voulez-vous effectuer, sélectionnez Personnalisée
(option avancée).
12. Windows
Server 2008
Figure 12.6 : C’est à cette étape que vous avez le choix de mettre votre système à niveau
ou de personnaliser une installation
8. À l’étape Où souhaitez-vous installer Windows ?, sélectionnez le disque de votre

choix et cliquez sur Suivant. Pour définir une partition et une taille de partition
spécifique, cliquez sur Options de lecteurs (avancées).
Figure 12.7 : Étape de personnalisation de la partition d’installation
485
9. Une fois l’installation terminée, Windows Server 2008 redémarre et vous demande
de changer de mot de passe.
12. Windows
Server 2008
Figure 12.8 : La fenêtre de login du premier démarrage
12.3. Les groupes et utilisateurs

Une fois installé, Windows Server propose par défaut les groupes suivants :
j Accès DCOM au service de certificats ;
j Administrateurs ;
j Duplicateurs ;
j IIS_IUSRS ;
j Invités ;
j Lecteurs des journaux d’événements ;
j Opérateurs de chiffrement ;
486
Les services par défaut
j Opérateurs de configuration réseau ;

j Opérateurs de sauvegarde ;
j Opérateurs d’impression ;
j Utilisateurs ;
j Utilisateurs avec pouvoirs ;
j Utilisateurs de l’analyseur de performances ;
j Utilisateurs du bureau à distance ;
j Utilisateurs du journal de performances ;
j Utilisateurs du modèle COM distribué.
Les utilisateurs suivants sont également créés lors de l’installation :

j Administrateur ;
j Invité (désactivé par défaut).
12. Windows
Server 2008
12.4. Les services par défaut
Lors du premier démarrage Windows Server 2008 exécute un certain nombre de
services avec des profils différents. Le tableau suivant vous les présente :
Tableau 12.1 : Services démarrés par défaut dans Windows Server 2008 Entreprise
Nom Statut Type de démarrage Système pour l’ouverture de
session
Application Experience Started Automatic Local System
Background Intelligent Transfer Started Automatic (Delayed Start) Local System
Service
Base Filtering Engine Started Automatic Local Service
COM+ Event System Started Automatic Local Service
Cryptographic Services Started Automatic Network Service
DCOM Server Process Started Automatic Local System
Launcher
Desktop Window Manager Started Automatic Local System
Session Manager
DHCP Client Started Automatic Local Service
Diagnostic Policy Service Started Automatic Local Service
Diagnostic System Host Started Manual Local System
Distributed Link Tracking Client Started Automatic Local System
487

session
Distributed Transaction Started Automatic (Delayed Start) Network Service
Coordinator
DNS Client Started Automatic Network Service
Group Policy Client Started Automatic Local System
IKE and AuthIP IPsec Keying Started Automatic Local System
Modules
IP Helper Started Automatic Local System
IPsec Policy Agent Started Automatic Network Service
KtmRm for Distributed Started Automatic (Delayed Start) Network Service
Transaction Coordinator
Network Connections Started Manual Local System
Network List Service Started Automatic Local Service
12. Windows
Server 2008
Network Location Awareness Started Automatic Network Service

Network Store Interface Service Started Automatic Local Service
Plug and Play Started Automatic Local System
Print Spooler Started Automatic Local System
Remote Access Connection Started Manual Local System
Manager
Remote Procedure Call (RPC) Started Automatic Network Service
Remote Registry Started Automatic Local Service
Secondary Logon Started Automatic Local System
Secure Socket Tunneling Started Manual Local Service
Protocol Service
Security Accounts Manager Started Automatic Local System
Server Started Automatic Local System
Shell Hardware Detection Started Automatic Local System
SL UI Notification Service Started Manual Local Service
Software Licensing Started Automatic Network Service
System Event Notification Started Automatic Local System
Service
Task Scheduler Started Automatic Local System
TCP/IP NetBIOS Helper Started Automatic Local Service
Telephony Started Manual Network Service
Terminal Services Started Automatic Network Service
User Profile Service Started Automatic Local System
488
Gérer le serveur

session
Windows Error Reporting Started Automatic Local System
Service
Windows Event Log Started Automatic Local Service
Windows Firewall Started Automatic Local Service
Windows Management Started Automatic Local System
Instrumentation
Windows Remote Management Started Automatic (Delayed Start) Network Service
(WS-Management)
Windows Time Started Automatic Local Service
Windows Update Started Automatic (Delayed Start) Local System
Workstation Started Automatic Local Service
12. Windows
Server 2008
12.5. Gérer le serveur
De la rationalisation de la configuration de nouveaux serveurs à l’automatisation des
tâches de gestion répétitives, la simplification des complexités quotidiennes de
l’administration des serveurs est un thème clé dans un grand nombre des améliorations
incluses dans Windows Server 2008. Des outils de gestion centralisés, des interfaces
intuitives et des fonctionnalités d’automatisation permettent aux professionnels de
l’informatique de gérer plus facilement les serveurs, les services et les imprimantes
réseau, aussi bien dans le réseau central que dans les sites distants comme les
succursales.
Les tâches de configuration initiales

Avec Windows Server 2008, le processus d’installation rationalisé n’est pas interrompu
par des tâches de configuration qui requièrent l’intervention de l’utilisateur. Ces tâches
et ces boîtes de dialogue surviennent maintenant une fois l’installation principale
terminée, ce qui signifie que l’administrateur n’a plus besoin d’être disponible pour
interagir avec la séquence d’installation (voir fig. 12.9).
La fenêtre Tâches de configuration initiales représente une nouvelle fonctionnalité de

Windows Server 2008 qui aide les administrateurs à fournir un nouveau serveur et à le
configurer. Elle permet notamment de définir le mot de passe administrateur, de
modifier le nom du compte administrateur pour améliorer la sécurité du serveur, de
joindre le serveur à un domaine existant et d’activer Windows Update et le pare-feu
Windows.
489
12. Windows
Server 2008
Figure 12.9 : La fenêtre Tâches de configuration initiales
La console Gestionnaire de serveur

Windows Server 2008 facilite la gestion et la sécurisation de plusieurs rôles de serveurs
dans une organisation grâce à la nouvelle console Gestionnaire de serveur. Elle propose
une seule console unifiée pour gérer la configuration et les informations système d’un
serveur. Elle affiche l’état du serveur, identifie les problèmes de configuration des rôles
du serveur et gère tous les rôles installés sur le serveur (voir fig. 12.10).
Le volet hiérarchie de la console Gestionnaire de serveur contient des nœuds

extensibles que les administrateurs peuvent utiliser pour atteindre directement des
consoles afin de gérer des rôles spécifiques, de dépanner des outils ou de trouver des
options de sauvegarde et de récupération après un incident (voir fig. 2.11).
490
Gérer le serveur
12. Windows
Server 2008
Figure 12.10 : La console Gestionnaire de serveur
Figure 12.11 :
Le volet Hiérarchie de la console
Gestionnaire de serveur
491
Le Gestionnaire de serveur consolide une variété d’interfaces et d’outils de gestion dans

une console de gestion unifiée, permettant aux administrateurs de compléter des tâches
de gestion courantes sans avoir à naviguer entre plusieurs interfaces, outils et boîtes de
dialogue.
Les assistants Server Manager

Les assistants Server Manager rationalisent les tâches de déploiement de serveurs dans
une entreprise en réduisant le temps de déploiement, par rapport aux versions
antérieures de Windows Server. La plupart des tâches de configuration courantes telles
que la configuration ou la suppression de rôles, la définition de plusieurs rôles et les
services de rôles peuvent maintenant être réalisées en une seule session grâce aux
assistants Server Manager.
12. Windows
Server 2008
Figure 12.12 : Assistant d’ajout de rôles de serveurs
492
Les rôles et les fonctionnalités
12.6. Les rôles et les fonctionnalités

Les rôles sont au nombre de 17.
j Serveur d’applications : il permet la gestion centralisée et l’hébergement
d’applications métier distribuées à hautes performances, telles que celles des
entreprises et le Framework 3.0
j Serveur de télécopie : il envoie des télécopies. Il permet de gérer les ressources de
télécopie, comme les tâches, les paramètres, les rapports et les périphériques de
télécopie sur le serveur ou sur le réseau.
j Serveur DHCP : il permet la configuration, la gestion et la fourniture de manière
centralisée d’adresses IP et d’informations connexes pour les ordinateurs clients.
j Serveur DNS : il permet la résolution de noms pour les réseaux TCP/IP. Pour
simplifier la gestion de ce serveur, il est préférable qu’il soit installé sur le même
serveur que le service Active Directory. En sélectionnant le rôle Active Directory, il
est possible d’installer et configurer le service DNS et le Service Active Directory
12. Windows
Server 2008
pour qu’ils fonctionnent ensemble.
j Serveur Web IIS : il fournit une infrastructure web par le biais d’un ensemble de
composants.
j Services AD LDS (Active Directory Lightweight Directory Services) : ils fournissent un
magasin pour les données spécifiques de l’application, pour les applications Active
Directory qui ne nécessitent pas l’infrastructure des services de domaine Active
Directory. Il peut avoir plusieurs instances AD LDS sur un seul serveur, chacune
d’entre elles disposant de son propre schéma.
j Services AD RMS (Active Directory Rights Management Services) : ils permettent de
protéger les informations contre une utilisation non autorisée. Les services AD
RMS établissent l’identité des utilisateurs et fournissent aux utilisateurs autorisés
des licences pour les informations protégées.
j Services ADFS (Active Directory Federation Services) : ils intègrent des
fonctionnalités de fédération des identités sécurisée et simplifiées d’authentification
unique via le Web. AD FS inclut un service de fédération via le Web basé sur un
navigateur, un proxy du service de fédération pour personnaliser l’environnement
au client et protéger les ressources internes et des agents web utilisés pour fournir
aux utilisateurs fédérés l’accès aux applications hébergés en interne.
j Services d’impression : ils permettent de partager des imprimantes sur un réseau,
ainsi que de centraliser des tâches de gestion de serveur d’impression et
d’imprimantes réseau. Ils permettent également de migrer des serveurs
d’impression et de déployer des connexions d’imprimante à l’aide de la stratégie de
groupe.
j Services de certificats Active Directory : ils permettent de créer des autorités de
certification et des services de rôle associés pour émettre et gérer les certificats
utilisés dans diverses applications.
493
j Services de déploiement Windows : ils fournissent un moyen simple et sécurisé pour

déployer rapidement à distance des systèmes d’exploitation Windows sur des
ordinateurs par le réseau.
j Services de domaine Active Directory : ils stockent des informations sur les objets
sur le réseau et les rendent disponibles aux utilisateurs et aux administrateurs du
réseau. Ces services utilisent des contrôleurs de domaines pour donner accès aux
ressources autorisées aux utilisateurs réseau n’importe où sur le réseau via un
processus d’ouverture de session unique.
j Services de fichiers : ils fournissent des technologies simplifiant la gestion du
stockage, la réplication des fichiers, la gestion des dossiers partagés, la recherche
rapide de fichiers et l’accès aux ordinateurs clients Unix.
j Services de stratégie et accès réseau : ils fournissent le serveur NPS (Network Policy
Server), le routage et l’accès distant, l’autorité HRA (Health Registration Authority)
et le protocole HCAP (Host Credential Authorization Protocol), qui favorisent le
maintient de l’intégrité et de la sécurité de votre réseau.
j Services Terminal Server : il intègre des technologies qui permettent aux
12. Windows
Server 2008
utilisateurs d’accéder aux programmes Windows installés sur un serveur Terminal

Server ou d’accéder au Bureau Windows. Grâce aux services Terminal Server, les
utilisateurs peuvent accéder à un serveur Terminal Server à partir du réseau
d’entreprise ou d’Internet.
j Services UDDI : ils offrent des fonctionnalités UDDI (description, découvertes et
intégration universelles) pour le partage d’informations relatives aux services web
sur l’intranet d’une organisation entre partenaires commerciaux sur un extranet.
j Services Windows Sharepoint : ils permettent la création de sites web sur lesquels
les utilisateurs peuvent collaborer sur des documents, tâches et événements et
partager facilement des contacts et d’autres informations. Cet environnement est
conçu pour le déploiement, l’administration et le développement souples des
applications.
Il y a 36 fonctionnalités :
j assistance à distance ;
j base de données interne Windows ;
j chiffrement de lecteur Bitlocker ;
j client d’impression Internet ;
j client Telnet ;
j client TFTP ;
j clustering avec basculement ;
j compression différentielle à distance ;
j disque de récupération de données ;
494
j équilibrage de charge réseau ;

j expérience audio-vidéo haute qualité Windows ;
j expérience utilisateur ;
j extensions du serveur BITS ;
j fonctionnalités .NET Framework 3.0 ;
j fonctionnalités de la sauvegarde de Windows Server ;
j gestion des stratégies de groupe ;
j gestionnaire de ressources système Windows ;
j gestionnaire de stockage amovible ;
j gestionnaire de stockage pour réseau SAN ;
j kit d’administration de Connection Manager ;
j message Queuing ;
12. Windows
Server 2008
j moniteur de port LPR ;
j MPIO (Multhipath I/O) ;
j outils d’administration de serveur à distance ;
j protocole de résolution de noms d’homologues ;
j proxy RPC sur HTTP ;
j serveur ISSN (Internet Storage Name Server) ;
j serveur SMTP ;
j serveur Telnet ;
j serveur WINS ;
j service d’activation de processus Windows ;
j service de réseau local sans fil ;
j services SMNP ;
j services TCP/IP simplifiés ;
j sous-systèmes pour les applications Unix ;
j Windows PowerShell.
Pour ajouter une fonctionnalité, procédez ainsi :

1. Sélectionnez le menu Démarrer/Gestionnaire de serveur.
495
12. Windows
Server 2008
Figure 12.13 : Sélection du Gestionnaire de serveur
2. Dans la partie gauche du Gestionnaire de serveur, cliquez sur Rôles.
Figure 12.14 : Sélection de l’outil de gestion des rôles
496
3. Dans le volet de droite, sélectionnez Ajouter des rôles. Dans la fenêtre Sélectionnez
des rôles de serveurs, cochez la case du rôle que vous souhaitez installer et cliquez
sur Suivant.
12. Windows
Server 2008
Figure 12.15 : Sélection d’un rôle
4. En cas d’ajout de composants optionnels nécessaires, l’assistant vous propose de les

ajouter et de les installer également. Pour cela, cliquez sur Ajouter les
fonctionnalités requises.
Figure 12.16 : Ajout des fonctionnalités requises pour le rôle
497
5. Dans la fenêtre suivante, l’assistant vous expliquez les fonctionnalités du rôle et vous
propose des informations complémentaires liées au rôle. Cliquez sur Suivant pour
poursuivre l’installation.
12. Windows
Server 2008
Figure 12.17 : Description du rôle
6. Un rôle représente bien souvent plusieurs services. Dans la fenêtre Sélectionner les
services de Rôle, sélectionnez uniquement les services utiles à votre besoin et
Figure 12.18 : Sélection des services pour le rôle
498
7. Dans la fenêtre Confirmation, cliquez sur Installer pour continuer l’installation.
12. Windows
Server 2008
Figure 12.19 : La fenêtre de confirmation d’installation du rôle
8. À la fin de l’installation, la fenêtre Résultat de l’installation présente un

récapitulatif de l’installation. Cliquez sur Fermer pour terminer l’installation du rôle
Figure 12.20 : Fenêtre de résultat de l’installation
499
La fenêtre de rôle présente le nouveau rôle installé, il s’agit ici du serveur web Internet
Information Server 7.
12. Windows
Server 2008
Figure 12.21 : Présentation du nouveau rôle installé
12.7. Les améliorations liées à la sécurité

La sécurité est l’un des sujets que l’on ne peut plus ignorer de nos jours. Derrière ce mot
se cache un ensemble d’enjeux pour l’entreprise, qu’il s’agisse de protéger les accès, les
authentifications ou les autorisations. À ce titre, Windows Server 2008 compte de
nombreuses fonctionnalités qui améliorent la sécurité et la conformité. Voici les
principales améliorations…
j Obliger les postes clients à rester en bonne santé : la protection NAP (Network
Access Protection) permet aux administrateurs de configurer et de mettre en place
des exigences en matière de santé et de sécurité avant d’autoriser les postes clients
à accéder au réseau.
j Contrôler les autorités de certification : l’infrastructure de clé publique (PKI, Public
Key Infrastructure) d’entreprise améliore la possibilité de contrôler et de dépanner
plusieurs autorités de certification.
500
Les améliorations liées à la sécurité
j Disposer d’un véritable pare-feu : le nouveau pare-feu Windows avec sécurité

avancée fournit un certain nombre d’améliorations en matière de sécurité.
j Le chiffrement et la protection des données : BitLocker protège les données
sensibles en chiffrant le lecteur de disque.
j Les outils cryptographiques : une cryptologie nouvelle génération fournit une
plateforme de développement cryptographique flexible.
j L’isolement de serveur et de domaine : les ressources de serveur et de domaine
peuvent être isolées pour limiter l’accès aux ordinateurs authentifiés et autorisés.
j Le contrôleur de domaine en lecture seule (RODC) : le RODC est une nouvelle
option d’installation de contrôleur de domaine qui peut être installée sur des sites
distants susceptibles d’avoir des niveaux inférieurs de sécurité physique.
Ces améliorations aident les administrateurs à augmenter le niveau de sécurité de leur

organisation et simplifient la gestion et le déploiement des configurations et des
paramètres liés à la sécurité.
12. Windows
Server 2008
Les fonctionnalités de sécurité avancée du pare-feu Windows
Le pare-feu de Windows Server 2008 est avant tout la plateforme Windows Filtering
platform. Elle se compose des éléments suivants :
j Un ensemble d’API, destiné avant tout aux éditeurs tiers, leur permet de venir
inclure leur moteur de filtrage et de disposer ainsi d’un filtrage beaucoup plus
évolué.
j Des fonctionnalités de filtrage avancées :
− communications authentifiées ;
− configuration dynamique et robuste du pare-feu avec les appels WinSock ;
− fondation de pare-feu Windows et IPSec ;
− fonctionnement avec du trafic chiffré (par exemple, RPC dans Windows
Server 2008).
j Le système de Hooking – passage dans la pile (stack) – est mieux documenté, ce qui
réduit considérablement les risques d’incompatibilité.
L’architecture Windows Filtering Platform

Pour mieux comprendre, voici une présentation de l’architecture de Windows Filtering
Platform.
Windows Filtering Platform utilise le Filtering Engine qui est placé dans le kernel de
Windows. Lorsqu’on utilise une application pare-feu et une application antivirus, elles
font toutes deux appel aux API de Windows Filtering Platform. Elles vont pouvoir être
501
contrôlées depuis le BFE (Base Filtering Engine). Il y a plusieurs niveaux comme IPSec,
ALE (Application Layer Enforcement), etc. Toutes les applications d’éditeurs tiers vont
donc venir s’inclure dans le système sous forme de Callout. Par l’intermédiaire des API,
Windows Filtering Platform va faire appel de manière standard aux différents
composants quel que soit leur éditeur.
Voici un petit comparatif entre le pare-feu de Windows Server 2003 et celui de Windows
Server 2008 :
Tableau 12.2 : Comparatif des pare-feu Windows XP SP2 et Windows Vista

Fonction Windows Server 2003 Windows Server 2008
Sens Entrant Entrant et sortant
Réglage par défaut Bloquer Cela dépend du sens
Filtres de paquets TCP, UDP, ICMP Tout type
Critères de règles Application, port, types ICMP Multiples combinaisons
12. Windows
Server 2008
Action Bloquer Bloquer, autoriser, ignorer

Configuration Panneau de configuration et Panneau de configuration et
Netsh Netsh enrichis et MMC
Administration à distance Aucune Via RPC
GPO Fichier ADM MMC et Netsh
Terminologie Exceptions, profils Règles, catégorie profils
Le nouveau pare-feu, dans ses fonctions avancées, vous permet de créer des règles selon
les critères de filtrage suivants :
j groupe utilisateurs/machine Active Directory ;
j IP source et destination (individuelle ou plage) ;
j ports TCP/UDP source et destination ;
j liste des ports délimités par des points-virgules ;
j numéro de protocole IP ;
j type d’interface (filaire, sans-fil, VPN/RAS) ;
j type/code ICMP ;
j service.
502
Le stockage des règles de votre pare-feu se fait à différents endroits :
Tableau 12.3 : Stockage des règles de sécurité

Stockage Description
GPO Lorsqu’il s’agit du stockage des GPO, ces règles sont stockées dans le
SYSVOL des contrôleurs de domaine, stockage de la stratégie de groupe.
GP_RSOP Il s’agit du résultat de l’application des stratégies de groupe, il se trouve dans la
base de Registre de la machine.
Local Le store local est en fait la ruche de Registre où sont stockées les
informations des applications et des utilisateurs pour les stratégies locales.
Voici le chemin de registre :
HKEY-LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\.
Dynamique Cela consiste en la stratégie actuellement appliquée par le pare-feu.
12. Windows
Server 2008
Dans les versions antérieures de Windows Server, le pare-feu Windows et IPSec étaient
configurés séparément. Étant donné qu’un pare-feu basé sur l’hôte et IPSec dans
Windows peuvent bloquer ou autoriser le trafic entrant, il est possible de créer des
exceptions de pare-feu et des règles IPSec contradictoires ou qui se chevauchent. Le
nouveau pare-feu Windows de Windows Server 2008 a associé la configuration des
services réseau avec les mêmes commandes d’interface graphique et de ligne de
commande. Cette intégration de paramètres de pare-feu et IPSec simplifie la
configuration du pare-feu et IPSec, et contribue à empêcher les chevauchements de
stratégies et les paramètres contradictoires.
La protection : NAP
NAP (Network Access Protection) empêche les ordinateurs non intègres d’accéder au
réseau d’une organisation et de le compromettre. NAP est utilisée pour configurer et
mettre en place des exigences en matière de santé client et mettre à jour, ou corriger, des
ordinateurs clients non conformes afin qu’ils puissent être connectés au réseau de
l’entreprise. Avec NAP, les administrateurs peuvent configurer des stratégies de santé
qui définissent des éléments tels que la configuration logicielle requise, les mises à jour
de sécurité requises et les paramètres de configuration requis pour les ordinateurs se
connectant au réseau de l’organisation.
NAP permet d’appliquer les exigences en matière de santé en évaluant la santé des
ordinateurs clients et en limitant l’accès réseau lorsque les ordinateurs clients ne sont
pas conformes. Les composants clients et serveurs participent à la correction des
ordinateurs clients non conformes, pour qu’ils puissent obtenir un accès réseau illimité.
Si un ordinateur client est déterminé non conforme, il peut se voir refuser l’accès au
réseau ou être réparé immédiatement pour devenir conforme.
503
Les méthodes de mise en place de la NAP prennent en charge quatre technologies

d’accès réseau qui travaillent conjointement avec celle-ci pour mettre en place des
stratégies de santé : mise en place d’IPSec (Internet Protocol Security), de 802.1X, d’un
réseau privé virtuel (VPN) pour le routage et l’accès distant et du protocole DHCP
(Dynamic Host Configuration Protocole).
Le chiffrement de lecteur BitLocker

Le chiffrement de lecteur BitLocker est une nouvelle fonctionnalité de sécurité clé dans
Windows Server 2008 qui aide à protéger les serveurs, les postes de travail et les
ordinateurs mobiles. Cette fonctionnalité est également disponible dans Windows Vista
Entreprise et Windows Vista Édition Intégrale pour la protection des ordinateurs
clients et des ordinateurs mobiles. BitLocker chiffre le contenu d’un lecteur de disque.
Cela empêche un voleur qui exécute un système d’exploitation parallèle ou qui exécute
d’autres outils logiciels de contourner les protections de fichiers et système ou
d’exécuter un affichage hors ligne des fichiers enregistrés sur le lecteur protégé.
12. Windows
Server 2008
BitLocker améliore la protection des données en réunissant deux sous-fonctions

majeures : le chiffrement de volume système et la vérification de l’intégrité des
composants d’amorçage. L’ensemble du volume système est chiffré, y compris les
fichiers de remplacement et de veille prolongée, ce qui augmente la sécurité des
serveurs distants dans la succursale. BitLocker répond aux menaces de vol de données
ou d’exposition à partir d’un PC perdu, volé ou mis hors service de façon inappropriée.
Enterprise PKI
Il existe un certain nombre d’améliorations de l’infrastructure de clé publique (PKI)
dans les systèmes d’exploitation Windows Server 2008 et Windows Vista. La gestion a
été facilitée dans tous les aspects de PKI Windows, les services de révocation ont été
retravaillés et la surface d’attaque pour l’inscription a diminué. Voici quelques-unes des
améliorations de la PKI…
j Enterprise PKI (PKIView) : PKIView, qui faisait partie à l’origine du kit de
ressources Microsoft Windows Server 2003 et s’appelait "l’outil PKI Health", est
maintenant un composant logiciel enfichable MMC (Microsoft Management
Console) pour Windows Server 2008. Il est utilisé pour analyser l’état de santé des
autorités de certification et pour afficher des détails sur les certificats générés par
l’autorité de certification et publiés dans AD CS.
j Protocole OCSP (Online Certificate Status Protocol) : un répondeur en ligne basé sur
le protocole OCSP (Online Certificate Status Protocol) peut être utilisé pour gérer et
distribuer des informations sur l’état de révocation dans les cas où l’utilisation de
CRL conventionnelles ne serait pas une solution optimale. Des répondeurs en ligne
peuvent être configurés sur un seul ordinateur ou dans un tableau de répondeurs en
ligne.
504
j Service NDES (Network Device Enrollment Service) : dans Windows Server 2008, le
service NDES est l’implémentation Microsoft du protocole SCEP (Simple
Certificate Enrollment Protocol), un protocole de communication qui permet aux
logiciels exécutés sur des périphériques réseau, tels que les routeurs et les
commutateurs qui ne peuvent pas être authentifiés autrement sur le réseau,
d’obtenir des certificats x509 auprès d’une autorité de certification.
j Web Enrollment : le nouveau contrôle Web Enrollment (inscription par le Web) est
plus sûr, plus facile à rédiger en script et plus facile à mettre à jour que sa version
antérieure.
j Stratégie de groupe et PKI : des paramètres de certificat dans la stratégie de groupe
permettent aux administrateurs de gérer les paramètres de certificat à partir d’un
emplacement central pour tous les ordinateurs du domaine.
La cryptographie nouvelle génération (CNG)

La CNG fournit une plateforme de développement cryptographique flexible permettant
12. Windows
Server 2008
aux professionnels de l’informatique de créer, de mettre à jour et d’utiliser des
algorithmes cryptographiques personnalisés dans des applications à caractère
cryptographique, telles qu’AD CS (Active Directory Certificate Services), SSL (Secure
Sockets Layer) et IPSec (Internet Protocol Security). CNG implémente les algorithmes
cryptographiques de la Suite B du gouvernement américain, qui incluent des
algorithmes pour le chiffrement, les signatures numériques, l’échange de clés et le
hachage.
CNG propose une série d’API qui sont utilisées pour exécuter des opérations
cryptographiques fondamentales, telles que la création, le stockage et la récupération de
clés cryptographiques. Elle prend également en charge l’installation et l’utilisation de
fournisseurs cryptographiques supplémentaires. CNG permet aux organisations et aux
développeurs d’utiliser leurs propres algorithmes cryptographiques ou des
implémentations d’algorithmes cryptographiques standards.
CNG prend en charge l’ensemble actuel d’algorithmes CryptoAPI 1.0 et fournit

également une prise en charge pour les algorithmes de cryptographie à courbe
elliptique. La Suite B du gouvernement américain exige un certain nombre
d’algorithmes de cryptographie à courbe elliptique.
RODC (contrôleurs de domaine en lecture seule)

Le contrôleur de domaine en lecture seul (RODC, Read-Only Domain Controller) est un
nouveau type de contrôleur de domaine disponible dans le système d’exploitation
Windows Server 2008, conçu principalement pour être déployé dans des
environnements de succursales. Un RODC peut réduire les risques de déploiement d’un
contrôleur de domaine dans des emplacements distants tels que des succursales où la
sécurité physique ne peut pas être garantie.
505
En dehors des mots de passe des comptes, le RODC renferme tous les objets et attributs
des services de domaine Active Directory (AD DS) de Microsoft qu’un contrôleur de
domaine réinscriptible renferme. Cependant, les clients ne peuvent pas inscrire de
modifications directement dans un RODC. Comme les modifications ne peuvent pas
être inscrites directement dans le RODC et que, par conséquent, leur source n’est pas
locale, les contrôleurs de domaine réinscriptibles qui sont des partenaires de réplication
n’ont pas besoin d’extraire des modifications du RODC. La séparation des rôles
d’administrateur spécifie que n’importe quel utilisateur de domaine peut être délégué
pour être l’administrateur local d’un RODC sans que cet utilisateur ne bénéficie de
droits d’utilisateur pour le domaine lui-même ou d’autres contrôleurs de domaine.
L’isolement de serveur et de domaine

Dans un réseau Microsoft Windows, les administrateurs peuvent logiquement isoler des
ressources de serveur et de domaine pour limiter l’accès aux ordinateurs authentifiés et
autorisés. Par exemple, un réseau logique peut être créé dans le réseau physique
existant, où les ordinateurs partagent une série commune d’exigences pour les
12. Windows
Server 2008
communications sécurisées. Chaque ordinateur dans ce réseau isolé logiquement doit

fournir des informations d’authentification aux autres ordinateurs du réseau isolé pour
établir la connectivité.
Cet isolement empêche les ordinateurs et programmes non autorisés d’obtenir un accès
abusif aux ressources. Les demandes provenant d’ordinateurs qui ne font pas partie du
réseau isolé sont ignorées. L’isolation du serveur et du domaine permet de protéger les
serveurs et les données spécifiques de grande valeur, ainsi que les ordinateurs gérés des
ordinateurs et des utilisateurs non gérés ou non autorisés.
Deux types d’isolation peuvent être utilisés pour protéger un réseau.

j Isolation du serveur : dans un scénario d’isolation du serveur, les serveurs
spécifiques sont configurés en utilisant la stratégie d’IPSec afin de n’accepter que les
communications authentifiées issues d’autres ordinateurs. Par exemple, le serveur
de base de données peut être configuré pour n’accepter que les connexions du
serveur d’application web.
j Isolation du domaine : pour isoler un domaine, les administrateurs peuvent utiliser
l’appartenance de domaine Active Directory afin de s’assurer que les ordinateurs
qui sont membres d’un domaine n’acceptent que les communications authentifiées
et sécurisées émanant d’autres ordinateurs membres du domaine. Le réseau isolé
est composé uniquement d’ordinateurs faisant partie du domaine. L’isolation du
domaine utilise la stratégie d’IPSec pour assurer la protection du trafic circulant
entre les membres de domaine, y compris tous les ordinateurs clients et serveurs.
506
En résumé
12.8. En résumé
Windows Server 2008 représente la nouvelle génération de Windows Server. Il offre un
contrôle accru de l’infrastructure serveur et réseau. Il augmente la sécurité en
renforçant le système d’exploitation et en protégeant l’environnement réseau. Il permet
également d’être flexible en accélérant le déploiement et la maintenance des systèmes
informatiques, facilitant la consolidation et la virtualisation des serveurs et applications
et en fournissant des outils d’administration intuitifs.
12. Windows
Server 2008
507
Partie
B
Active Directory
Partie
B Active Directory
Chapitre 13 Introduction à LDAP et Active Directory . . . . . . . 511

Chapitre 14 La planification d’un projet Active Directory . . . . . . 535
Chapitre 15 La conception de l’infrastructure logique Active Directory . 545
Chapitre 16 La conception de la topologie de sites . . . . . . . . 563
Chapitre 17 La conception et l’implémentation de la structure des unités
d’organisation . . . . . . . . . . . . . . . . . 593
Chapitre 18 L’implémentation des serveurs d’infrastructure Active
Directory . . . . . . . . . . . . . . . . . . . 613
Chapitre 19 Les fonctions et les rôles dans Active Directory . . . . . 661
Chapitre 20 La maintenance d’Active Directory . . . . . . . . . . 695
Chapitre 21 La sécurisation d’Active Directory . . . . . . . . . . 715
Chapitre 22 Active Directory Application Mode et Active Directory
Federation Services . . . . . . . . . . . . . . . 733
Chapitre 13
Introduction à
LDAP et Active
Directory
13.1 Généralités sur l’annuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
13.2 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
13.3 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Généralités sur l’annuaire et LDAP
C e chapitre a pour premier objectif d’introduire les principes de base des annuaires,
mais également de présenter le protocole LDAP, jusqu’à sa version 3, qui constitue
une norme ouverte pour les annuaires.
Dans un second temps, ce chapitre abordera la présentation d’Active Directory avec la

structure logique et physique pour se terminer par un bref résumé.
13.1. Généralités sur l’annuaire et LDAP

Il est très important de bien comprendre ce qu’est un annuaire et ce à quoi il sert avant
de décrire le standard LDAP (Lightweight Directory Access Protocol) lui-même.
En effet, le standard LDAP et l’annuaire qu’il soit LDAP ou non sont deux choses
différentes.
Le premier définit l’interface d’accès à un annuaire et le second est une sorte de base de
données permettant de retrouver facilement des personnes ou des ressources comme
des imprimantes, des ordinateurs et des applications.
C’est parce que les annuaires présentent certains besoins caractéristiques que leur accès
13. Introduction à
nécessite de définir un standard. Les annuaires ne sont pas que des bases de données. Ils
LDAP et Active
doivent également offrir des services particuliers comme la recherche, le classement ou
Directory
l’organisation des informations. C’est ce que la suite de ce chapitre va s’efforcer de vous
démontrer.
Qu’est-ce qu’un annuaire ?

Nous sommes tous familiers d’annuaires que nous utilisons dans notre quotidien.
Prenons, par exemple, notre carnet d’adresses, les annuaires web ou les pages blanches
et les jaunes que nous recevons dans nos boîtes aux lettres.
Ils sont tous destinés à faciliter la localisation d’une personne ou d’une entreprise à
partir de différents critères de recherche comme le nom, le code postal, voire la fonction
pour les personnes ou le type de service rendu pour les entreprises. Le résultat des
recherches est un numéro de téléphone, une adresse postale complète, une adresse de
site web, une adresse de messagerie électronique, etc.
Ils doivent donc offrir des critères de recherche puissants, pragmatiques et simples à
utiliser.
Un annuaire est d’autant plus utile qu’il est simple à employer, notamment lorsque vous
devez effectuer une recherche avec très peu d’informations. À l’extrême, cette
recherche peut n’être qu’une vague formulation ; par exemple : « Je veux trouver un
restaurant. » D’ailleurs, si vous tapez cette phrase dans la zone de recherche du site
513
Chapitre 13 Introduction à LDAP et Active Directory
Internet des pages jaunes (www.pagesjaunes.fr), vous retrouverez les services relatifs à la
restauration et aux établissements de la restauration.
Les annuaires électroniques et en ligne ont la même vocation que les annuaires papier,
mais ils apportent en plus les avantages suivants : ils sont dynamiques, flexibles,
sécurisés et personnalisables.
Un peu d’histoire sur le protocole

En 1988 l’ISO (International Organization Standardization) et l’ITU (International
Telecommunications Union) fusionnent leurs travaux et approuvent la première version
du standard X.500, laquelle sera officiellement publiée par l’ITU en 1990.
En fait, X.500 est constitué d’un ensemble de protocoles standards, tous issus des
travaux de l’ISO. Pour vous donner un bref aperçu de l’étendue des services offerts par
le standard X.500, voici un rappel de ses différentes recommandations et protocoles…
j Spécification X.501 : description des concepts X.500.
j Spécification X.509 : descriptions des mécanismes d’authentification X.500.
j Spécification X.511 : description des fonctions de recherche et de manipulation
13. Introduction à
d’objets.
LDAP et Active
Directory
j Spécification X.518 : description des services distribués.

j Spécification X.519 : description des protocoles X.500 tels que DAP, DSP, DOP et
DISP.
j Spécification X.520 : description des attributs et des classes X.500.
j Spécification X.525 : description des mécanismes de réplication X.500.
j Spécification X530 : description des services d’administration des annuaires X.500.
Comme vous pouvez le constater, le protocole X.500 a été conçu dès le départ pour
offrir aux services d’annuaires des services complets et sophistiqués. Annuaire du
monde OSI, il repose sur les services de la couche 7 (application) du modèle ISO de
l’OSI. Cependant, ce cahier des charges énorme et sa complexité de mise en œuvre
seront les causes des nombreux problèmes de fonctionnement et de performance des
premières versions d’annuaire X.500. En raison de son coût, il sera réservé aux grands
comptes exigeants, comme les opérateurs de télécommunication, pour lesquels il a été
initialement conçu. Malgré une couverture fonctionnelle complète, il n’aura pas connu
le succès escompté.
De plus, le principal inconvénient viendra du fait que seuls les protocoles ISO étaient
reconnus. Au commencement de l’Internet, certains disaient même que le rêve secret
des architectes de l’OSI aurait été que X.500 supplante TCP/IP ! En fait, cela n’arrivera
jamais et, bien au contraire, les implémentations X.500 les plus modernes seront petit à
petit adaptées pour prendre en charge TCP/IP.
514
LDAP version 2 et version 3

Les méthodes d’accès aux annuaires basés sur X.500 étaient bien trop complexes. C’est
ainsi qu’après plusieurs méthodes "plus simples" permettant l’accès aux annuaires X
.500, l’OSI et l’IETF (Internet Engineering Task Force) décidèrent de se regrouper pour
formaliser un protocole allégé capable d’accéder aux annuaires X.500. Ces différentes
évolutions sont rappelées ici :
j La première spécification a été publiée en 1993 sous la RFC 1487.
j La spécification LDAPv2 publiée sous la RFC 1777 sera la première version
approuvée par l’industrie.
j La RFC 1778 (String Representation of Standard Attribute Syntaxes) et la RFC 1779
(String Representation of Distinguished Mane) participent aussi à la clarification des
syntaxes reconnues.
j La spécification LDAPv3 est publiée en 1997 sous la RFC 2251. Cette version
améliorera de manière significative LDAPv2 dans les domaines suivants…
− L’extensibilité plus importante : le protocole LDAPv3 peut être étendu pour
prendre en charge de nouvelles opérations à l’aide de nouveaux contrôles. De
cette manière, les services LDAP pourront être étendus au fur et à mesure que
ce sera nécessaire.
13. Introduction à
LDAP et Active
− La découverte des fonctionnalités et du schéma disponible : les serveurs
Directory
LDAPv3 disposent d’une nouvelle entrée dans l’annuaire appelée
"RootDSE" (Root Directory Server Specific Entry). Ce nouvel élément permet la
publication de nombreuses informations spécifiques, par exemple les
informations de schéma ou les contrôles disponibles. Cette fonctionnalité
permet aux clients LDAP de mieux négocier les fonctionnalités et les services
disponibles par tel ou tel serveur d’annuaires LDAP.
− Une meilleure gestion des authentifications : LDAPv3 implémente le support
de SASL (Simple Authentification and Security Layer) et de TLS (Transport Layer
Security).
− La gestion des références : LDAPv3 implémente un mécanisme de gestion des
références qui permet aux serveurs LDAP de renvoyer des références vers
d’autres serveurs LDAP.
− Le support des jeux de caractères Unicode : le support du jeu de caractères
UTF-8 permet au protocole LDAP de manipuler des données quel que soit le
langage utilisé.
Comme LDAPv2, le protocole LDAPv3 nécessite un certain nombre de clarifications,

lesquelles sont publiées dans les RFC suivantes…
j RFC 2252 : Attribut Syntax Definitions.
j RFC 2253 : UTF-8 String Representation of Distinguished Names.
j RFC 2254 : String Representation of LDAP Search Filters.
515
j RFC 2255 : The LDAP URL Format.

j RFC 2256 : A Summary of X.500 (96) User Schema for Use with LDAPv3.
j RFC2829 : Authentication Methods for LDAP.
j RFC2830 : Extensions for Transport Layer Security.
Adresse de référence des RFC

Voici une adresse incontournable pour les RFC, mais surtout pour les RFC traduites
en français : http ://abcdrfc.free.fr.
Le standard LDAP v3
Le standard LDAP v3 est constitué de plusieurs spécifications dont certaines sont à
l’état de standard proposé (première étape avant de devenir un standard Internet à part
entière), d’autres sont à l’état expérimental ou ont un simple statut d’information. Vous
trouverez dans le tableau suivant les principales spécifications existant à ce jour ainsi
que leurs états respectifs :
13. Introduction à
LDAP et Active
Tableau 13.1 : Spécifications du standard LDAP v3

Directory
Numéro Titre Description Date Statut

RFC 1823 The LDAP Description de l’interface de Août 1995 Information
Application programmation pour l’accès aux
Program services d’un annuaire LDAP.
Interface
RFC 2247 Using Ce document décrit comment Janvier 1998 Standard
Domains in établir la correspondance entre un proposé
LDAP /X.500 nom de domaine Internet (par
Distinguished exemple, NomSociete.com)
Name et un DN (Distinguished
Name), racine de l’arbre LDAP
de ce domaine.
RFC 2251 Lightweight Ce document décrit les éléments Décembre 1997 Standard
Directory du protocole LDAP, ainsi que proposé
Access l’ensemble des fonctions, leurs
Protocol (v3) paramètres et leurs codes retour.
RFC 2252 Lightweight Ce document décrit la syntaxe Décembre 1997 Standard
Directory des attributs et l’ensemble des proposé
Access attributs normalisés qui doivent
Protocol (v3) être pris en charge pour les
serveurs LDAP.
516

RFC 2253 Lightweight Ce document décrit la syntaxe Décembre 1997 Standard
Directory UTF-8 pour la prise en charge du proposé
Access multilinguisme dans les requêtes
Protocol (v3) LDAP.
RFC 2254 The String Ce document décrit la syntaxe Décembre 1997 Standard
Representation des filtres de recherche dans une proposé
of LDAP requête LDAP.
Search Filters
RFC 2255 The LDAP Ce document décrit le format des Décembre 1997 Standard
URL Format URL permettant d’interroger un proposé
annuaire LDAP à partir d’un
navigateur Web ou de toute
application HTTP.
RFC 2256 A Summary of Ce document décrit les attributs Décembre 1997 Standard
the X.500 (96) normalisés dans le standard X500 proposé
User Schema et communément utilisés dans
for Use With les annuaires LDAP.
LDAP v3
RFC 2307 An Approach Ce document établit une Mars 1998 Expérimental
for Using correspondance entre des
13. Introduction à
LDAP et Active
LDAP as a attributs et des classes d’objets
Directory
Network LDAP et NIS. Rappelons que NIS
Information est une sorte d’annuaire de
Service ressources, implémenté dans la
majorité des systèmes Unix.
RFC 2587 Internet .X509 Ce document décrit les attributs Juin 1999 Standard
Public Key et les objets requis pour gérer proposé
Infrastructure dans un annuaire LDAP des
LDAP v2 certificats X509.
Schema
RFC 2589 Lightweight Ce document décrit une extension Mai 1999 Standard
Directory du protocole LDAP permettant de proposé
Access gérer des données volatiles (ou
Protocol (v3) dynamiques) dans l’annuaire. Par
exemple une adresse IP attribuée
dynamiquement par un réseau à
un utilisateur peut être
sauvegardée dans l’annuaire et
être rattaché à l’entrée qui décrit
cet utilisateur. Mais elle a une
durée de vie limitée, et change
chaque fois que l’utilisateur se
reconnecte au réseau.
517

RFC 2596 Use of Ce document décrit la façon de Mai 1999 Standard
Language désigner à l’aide d’une proposé
Codes in codification la langue utilisée
LDAP dans les requêtes LDAP.
RFC 2649 An LDAP Ce document décrit une extension Août 1999 Expérimental
Control and du protocole LDAP permettant de
Schema for signer les informations
Holding sauvegardées dans l’annuaire.
Operation Cette signature permet de
Signatures s’assurer de l’intégrité des
données et de leur appartenance
à leur auteur, en se basant sur
des certificats.
RFC 2696 LDAP Control Ce document décrit une extension Septembre 1999 Information
Extension for du protocole LDAP permettant de
Simple Paged contrôler la taille des réponses
Results renvoyées suite à une recherche.
Manipulation
RFC 2713 Schema for Ce document définit des classes Octobre 1999 Information
Representing d’objets permettant de décrire
13. Introduction à
Java Y des objets Java dans un annuaire

LDAP et Active
Objects in LDAP.
Directory
LDAP
Directory
RFC 2714 Schema for Ce document définit des classes Octobre 1999 Information
Representing d’objets permettant de décrire
CORBA des objets CORBA dans un
Object annuaire LDAP.
References in
an LDAP
Directory
L’ensemble de ces spécifications a favorisé l’émergence de produits qui prennent en

charge le standard LDAP en mode natif. Plutôt que de développer des interfaces LDAP
à des annuaires existants ou à des bases de données, les éditeurs de solutions ont préféré
de nouveaux produits optimisés pour ce standard. C’est le cas de Microsoft avec Active
Directory (AD), d’IBM avec Secure Way, d’iPlanet avec iPlanet Directory Server, et de
bien d’autres encore.
Notons enfin que ce standard est actuellement adopté par la majorité des acteurs du
marché, et qu’il est d’ores et déjà intégré dans leurs produits. Citons à titre d’exemple
Novell, IBM, Oracle, Microsoft, iPlanet, Lotus, HP, etc.
Comme vous pouvez le constater dans la liste des spécifications du standard LDAP v3,
ce standard évolue constamment. Aucune version 4 n’est prévue pour le moment, car la
518
plupart des évolutions sont soit des modifications du schéma, soit de nouveaux services
qu’il est possible de solliciter à travers les extensions LDAP. On entend par extensions,
de nouvelles fonctions offertes à travers une opération particulière prévue dans le
standard LDAP v3, permettant d’exécuter des traitements dans un serveur d’annuaire,
qui ne font pas partis du standard lui-même. Un groupe de travail de l’IETF, nommé
LDAPEXT, œuvre à normaliser ces extensions.
Ainsi, il n’est pas nécessaire, pour le moment, de modifier la structure du standard

LDAP. Il est tout à fait possible avec la version actuelle de faire évoluer le schéma si
celui-ci dérive du schéma proposé dans le standard, et de faire appel à de nouvelles
fonctions à travers les interfaces déjà prévues à cet effet.
La conformité LDAP de Windows Server 2003

Windows Server 2003 Active Directory est en fait une implémentation de LDAP, qui
comprend une multitude de classes d’objets permettant de stocker les droits des
utilisateurs, leurs préférences, l’état de leur bureau etc. Il est possible d’y accéder au
moyen de l’API appropriée spécifiée par Microsoft. Attention toutefois car, même si
Microsoft s’est clairement engagé dans le support des technologies d’annuaires,
notamment le support inconditionnel de LDAP avec sa participation active au sein des
différents groupes de l’IETF, il n’en reste pas moins qu’à proprement parler le LDAP
13. Introduction à
LDAP et Active
implémenté par Microsoft respecte le standard ! Par contre, le schéma utilisé est, quant
Directory
à lui, propriétaire, ce qui pose certains problèmes d’intégration avec d’autres
environnements. Il existe cependant des produits permettant de résoudre ce problème.
Windows Server 2003 reprend les bases apportées par Windows 2000 Server et apporte
de nouvelles fonctionnalités qui peuvent aussi bien intéresser les développeurs que les
ingénieurs ou bien les architectes système. Il est important de noter que toutes ces
nouvelles fonctionnalités font l’objet de RFC. En voici un bref récapitulatif des
fonctionnalités les plus importantes…
j Support des entrées dynamiques : l’annuaire Active Directory peut stocker les
valeurs d’entrées dynamiques en leur assignant une durée de vie (TTL). De cette
manière, ces valeurs peuvent être automatiquement détruites lors de l’expiration du
TTL.
j Support du protocole TLS (Transport Layer Security) : les connexions vers l’Active
Directory via le protocole LDAP peuvent être désormais cryptées et authentifiées à
l’aide du support TLS.
j Support des authentifications DIGEST-MD5 : les connexions vers l’Active
Directory via le protocole LDAP peuvent désormais être authentifiées à l’aide du
mécanisme d’authentification SASL-DIGEST-MD5 (SASL, Simple Authentication
and Security Layer). L’interface Windows Digest SSPI (Security Support Provider
Interface) permet d’utiliser des authentifications de type DIGEST-MD5 en tant que
méthode de type SASL.
519
j Support des vues virtuelles : il s’agit d’une optimisation du traitement des réponses
aux requêtes LDAP. Par exemple, lorsqu’une requête doit retourner vers le client
un résultat trop volumineux, l’idée consiste à lui retourner seulement le contenu
d’une fenêtre de valeurs plutôt que l’intégralité de la réponse. De cette manière, le
client voit le résultat instantanément et la surcharge sur le réseau est contenue.
j Bind LDAP multiples : cette fonctionnalité permet à un client de réaliser plusieurs
Bind LDAP au travers de la même connexion pour pouvoir authentifier les
utilisateurs.
Le tableau suivant liste les différentes RFC LDAP reconnues par l’implémentation de
l’annuaire Active Directory de Windows 2000 Server.
Tableau 13.2 : Principales RFC LDAP prises en charge par l’annuaire Active Directory
Windows 2000 Server
RFC RFC LDAP principaux État des RFC
2251 Lightweight Directory Access Protocol (v3) Proposé
2252 Lightweight Directory Access Protocol (v3) : Attribute Proposé
Syntax Definitions
Attention, certaines syntaxes Unix ne sont pas reconnues à ce
jour !
13. Introduction à
LDAP et Active
2253 Lightweight Directory Access Protocol (v3) : UTF-8 Proposé

Directory
String Representation of Distinguished Names

2254 String Representation of LDAP Search Filters Proposé
2255 The LDAP URL Format Proposé
2256 A Summary of the X.500 User Schema for Use with Proposé
LDAPv3
2829 Authentication Methods for LDAP Proposé
2830 Lightweight Directory Access Protocol (v3) : Extension Proposé
for Transport Layer Security
Le tableau suivant liste les différentes RFC LDAP additionnelles reconnues par
l’implémentation de l’annuaire Active Directory de Windows 2000 Server.
Tableau 13.3 : RFC LDAP additionnelles prises en charge par l’annuaire Active Directory
Windows 2000 Server
RFC RFC LDAP additionnels État des RFC
2696 LDAP Control Extension for Simple Paged Results Proposé
Manipulation
2247 Using Domains in LDAP/X.500 Distinguished Names Proposé
520
Support des RFC

L’ensemble des RFC prises en charge par l’implémentation de LDAP sous
Windows 2000 Server est accepté par Windows Server 2003.
Le tableau suivant liste les différentes RFC LDAP reconnues par l’implémentation de
l’annuaire Active Directory de Windows Server 2003.
Tableau 13.4 : RFC LDAP additionnelles prises en charge par l’annuaire Active Directory
Windows Server 2003
RFC RFC LDAP additionnels État des RFC
2589 LDAP Protocol (v3) : Extension for Dynamic Directory Proposé
Services
2798 Definition of the InetOrgPerson LDAP Object Class Proposé
2831 Using Digest Authentication as an SASL Mechanism Proposé
2891 LDAP Control extension for Server Side Sorting of Proposé
Search Results
2589 LDAP Protocol (v3) : Extensions for Dynamic Directory Proposé
Services
13. Introduction à
LDAP et Active
Directory
Cependant, tout le monde le sait, les technologies passent par des étapes intermédiaires
nécessaires, lesquelles génèrent souvent des problèmes de compatibilité. C’est le cas
avec les problèmes générés par la classe InetOrgPerson définie dans la RFC 2798.
La compatibilité LDAP et InetOrgPerson

Une nouvelle classe d’objet est disponible dans les versions Windows Server 2003
d’Active Directory : la classe d’objet InetOrgPerson. La définition d’une classe d’objet
est donnée plus loin dans ce chapitre. La classe d’objet InetOrgPerson est définie dans
la RFC 2798, et a été acceptée en tant que standard.
Active Directory, dans sa version Windows Server 2003, a donc été modifié afin de
prendre en charge la classe InetOrgPerson et, avec l’ajout de la définition de classe
Utilisateur, vous pouvez désormais créer la classe InetOrgPerson comme entité de
sécurité dans Active Directory. Cela optimise les possibilités de migration des comptes
d’utilisateur de répertoires tiers (provenant de programmes tiers qui utilisent Active
Directory comme méthode d’authentification) vers Active Directory.
Des critiques ont été émises concernant la pseudo-compatibilité de l’annuaire Active

Directory comme annuaire respectant les recommandations de l’IETF, et tout
particulièrement la conformité LDAPv3. Le grand reproche était que la classe
InetOrgPerson n’était pas prise en charge.
521
En fait, plusieurs éléments sont à prendre en compte :

j L’annuaire Active Directory respecte toutes les RFC fondamentales traitant du
protocole LDAP et tout particulièrement la RFC 3377 qui définit les spécifications
du protocole LDAPv3.
j La classe InetOrgPerson est définie dans la RFC 2798, laquelle est considérée
comme une extension de LDAPv3 et, de ce fait, elle n’est donc pas incluse dans la
RFC 3377 qui décrit les spécifications LDAPv3.
j La classe InetOrgPerson définie dans la RFC 2798 n’a été publiée par l’IETF
qu’en avril 2000 alors que Windows 2000 Server était livré en février de la même
année, ce qui évidemment rend impossible la prise en charge de cette classe sous
Windows 2000 Server.
j En cas de nécessité, il est toujours possible d’étendre le schéma de l’Active
Directory pour y ajouter une nouvelle classe.
j Microsoft a livré quelque temps après la sortie de Windows 2000 Server un
complément logiciel capable d’intégrer cette nouvelle classe dans le schéma Active
Directory. Ce complément logiciel s’appelle "Windows 2000 InetOrgPerson Kit", il
est disponible gratuitement sur le site de Microsoft.
j Le schéma Active Directory de Windows Server 2003 intègre la définition complète
13. Introduction à
de la classe InetOrgPerson ainsi que l’intégralité des fonctions d’administrations

LDAP et Active
relatives à cette classe.

Directory
Finalement, nous pourrions en conclure que cette classe a toujours été reconnue sous
Windows 2000 Server, mais qu’elle n’a réellement été intégrée à la base que sous
Windows Server 2003.
13.2. Active Directory

Active Directory est le service d’annuaire de Microsoft. Ce service d’annuaire est
disponible depuis la version Windows 2000 Server, ce qui a marqué un vrai tournant
pour la plateforme Windows et une véritable rupture avec Windows NT4 en ce qui
concerne la façon d’administrer son organisation. Même si avec Windows Server 2003,
Active Directory a subi des modifications et des améliorations, il n’en reste pas moins
que les systèmes d’exploitation Windows 2000 Server et Windows Server 2003
fonctionnent parfaitement ensemble et cela même au niveau des contrôleurs de
domaine. Toutefois, pour bénéficier pleinement des modifications apportées par la
version 2003, il est nécessaire de passer par quelques exigences au niveau de la forêt et
des domaines.
522
Active Directory
Les avantages d’Active Directory

Active Directory est bien plus que le simple modèle de domaine Windows NT. Il va aussi
au-delà des annuaires propriétaires éparpillés en fournissant des sources d’informations
centralisées. Voici, à ce titre, quelques caractéristiques et avantages offerts par Active
Directory…
La centralisation des données

L’idée directrice de la centralisation de données est de diminuer le nombre d’annuaires
sur le réseau. Le stockage des informations concernant toutes les ressources réseau dans
un annuaire centralisé a pour effet de fournir un point unique d’administration. Cela
simplifie la gestion des ressources et permet de déléguer plus efficacement les tâches
administratives. Cela offre aussi un point d’entrée unique aux utilisateurs, ordinateurs et
applications qui cherchent des ressources.
L’évolutivité
Le service d’annuaire doit être également en mesure de faire face à la croissance du
réseau sans qu’il soit trop surchargé. Cela implique que l’on puisse partitionner la base
de données d’annuaire de façon à ce qu’elle n’augmente pas au point de devenir
13. Introduction à
LDAP et Active
instable. Rassurez-vous, cela ne sera jamais le cas pour un très grand nombre de petites
Directory
et moyennes entreprises, particulièrement en France. Pour information, Microsoft
supporte des bases de données pouvant aller jusqu’à 1 million d’objets et des tests avec
plusieurs dizaines de millions d’objets ont déjà été réalisés avec succès.
La standardisation
Le service d’annuaire doit aussi permettre l’accès à ses données via des normes ouvertes.
Cela garantit que d’autres applications pourront utiliser les ressources de l’annuaire au
lieu de gérer des annuaires spécifiques. Active Directory repose sur des protocoles
d’accès standardisés comme LDAP version 3 et NSPI (Name Service Provider Interface).
À noter que le protocole NSPI, qui est exploité par les clients Microsoft Exchange
Server 5.x, est pris en charge par Active Directory, ce qui permet la compatibilité avec
l’annuaire Exchange.
L’extensibilité
Le service d’annuaire doit permettre aux administrateurs et aux applications d’ajouter
toutes sortes de données en fonction des besoins de l’entreprise.
523
La séparation par rapport au réseau physique

Le service d’annuaire doit également rendre la topologie physique du réseau
transparente pour les utilisateurs et les administrateurs. Il doit être possible de localiser
une ressource et d’y accéder, sans être obligé de savoir où et comment elle est reliée sur
le réseau.
La sécurité
Le service d’annuaire pourrait permettre à un intrus de tout savoir sur l’entreprise. Il est
donc impératif que le service d’annuaire dispose de moyens pour sécuriser le stockage.
Pour y répondre, Active Directory est intégré à la sécurité de Windows Server 2003, et
il est possible de définir un contrôle d’accès pour tout objet de l’annuaire et pour chaque
propriété des objets. Il est possible d’appliquer des stratégies de sécurité localement ou
à l’échelle d’un site, d’un domaine ou d’une unité organisationnelle.
Le trafic LDAP est signé et crypté. Par défaut, les outils Active Directory de Windows
Server 2003 signent et cryptent tout le trafic LDAP. Cela garantit que les données
proviennent d’une source connue et qu’elles n’ont pas subi d’altérations.
Active Directory prend en charge plusieurs protocoles d’authentification, comme

Kerberos, version 5, SSL, version 3, avec les certificats X.509, version 3. Active
13. Introduction à
LDAP et Active
Directory permet également de mettre en place des groupes de sécurité qui s’étendent
Directory
sur plusieurs domaines.
La structure logique d’Active Directory

Voici une présentation des différents composants de la structure d’Active Directory…
Les objets
Dans Active Directory, les ressources sont stockées sous forme d’objets. L’objet étant le
composant d’Active Directory le plus facile à décrire puisqu’il représente en général une
ressource concrète.
Dans Active Directory, les objets sont stockés dans une structure hiérarchique de
conteneurs et de sous-conteneurs qui facilite l’administration. Il serait simple de
comparer cela au système de dossiers dans Windows. Il est possible de tailler cette
structure sur mesure pour pouvoir répondre aux besoins de l’entreprise, mais aussi pour
qu’elle s’adapte aux différentes évolutions sans trop de contraintes.
j Les classes d’objets : un objet n’est en fait qu’une collection d’attributs. Ainsi un
objet utilisateur est fait d’attributs du genre nom, mot de passe, appartenance de
groupe, etc. Les attributs d’un objet sont définis via une classe d’objets. La classe
utilisateur, par exemple, spécifie les attributs constituant l’objet utilisateur.
Les classes d’objets permettent de regrouper les objets en fonction de leurs
524
Active Directory
similitudes. Ainsi, tous les objets utilisateur sont définis par la classe d’objet
utilisateur. Quand vous créez un nouvel objet, il hérite automatiquement des
attributs de sa classe. Microsoft définit un ensemble basique de classes d’objets avec
leurs attributs utilisés par Active Directory sous Windows Server 2003. Active
Directory étant extensible, les administrateurs et les applications peuvent
naturellement modifier les classes d’objet ainsi que les attributs définis par ces
classes.
j Le schéma Active Directory : les classes et les attributs qu’elles définissent sont
désignés collectivement par l’appellation de "schéma Active Directory" (dans la
terminologie des bases de données, le schéma est la structure des tables et des
champs avec leurs interrelations). Vous pouvez vous représenter Active Directory
comme un ensemble de données (classes d’objets) qui définissent la façon selon
laquelle les données réelles de l’annuaire (attributs des objets) sont structurées et
stockées.
Presque tout dans Active Directory est un objet, y compris le schéma lui-même. À
l’instar de tous les autres objets, le schéma est protégé par des listes de contrôles d’accès
(ACL) administrées par le sous-système de sécurité de Windows Server 2003. Les
utilisateurs et les applications munis de permissions appropriées peuvent lire le schéma,
voire le modifier.
13. Introduction à
LDAP et Active
Les domaines
Directory
Un domaine est une partition dans une forêt Active Directory. Le partitionnement des
données permet aux organisations de répliquer des données uniquement là où elles sont
requises. De cette manière, l’annuaire peut s’étendre globalement sur un réseau qui
possède une bande passante limitée. En outre le domaine prend en charge un certain
nombre d’autres fonctions centrales liées à l’administration, dont…
j L’identité d’utilisateur de niveau réseau : les domaines permettent de créer des
identités d’utilisateurs une fois, puis de le référencer sur n’importe quel ordinateur
joint à la forêt dans laquelle le domaine se trouve. Les contrôleurs de domaine qui
constituent un domaine sont utilisés pour stocker de manière sécurisée les comptes
d’utilisateurs et les informations d’authentification comme les mots de passe ou les
certificats.
j L’authentification : les contrôleurs de domaine offrent des services
d’authentification pour les utilisateurs et fournissent des données d’autorisation
supplémentaires, comme des appartenances de groupes d’utilisateurs, qui peuvent
être utilisées pour contrôler l’accès aux ressources sur le réseau.
j La relation d’approbation : les domaines peuvent étendre les services
d’authentification aux utilisateurs dans des domaines en dehors de leur propre forêt
grâce à des relations d’approbation.
j La réplication : le domaine définit une partition de l’annuaire contenant
suffisamment de données pour fournir des services de domaine et les répliquer
525
entre contrôleurs de domaines. De cette manière, tous les contrôleurs de domaine

sont des pairs dans un domaine et sont gérés comme une unité.
L’arbre
Les domaines sont organisés en une structure hiérarchique appelée "arbre". Même avec
un seul domaine, il y a un arbre. Le premier domaine créé dans un arbre est le domaine
racine. Le domaine suivant sera un domaine enfant de la forêt. Cette extensibilité,
permet d’avoir une multitude de domaines dans un arbre.
13. Introduction à
LDAP et Active
Directory
Figure 13.1 : Schéma d’un arbre
Ce schéma d’exemple vous montre la représentation d’un arbre. Dans cet exemple,
puzmmania.com a été le premier domaine créé dans Active Directory, ce qui en fait le
domaine racine.
526
Active Directory
Tous les domaines d’un arbre se partagent le même schéma et un espace de noms
connexe. Dans l’exemple du schéma d’arbre, tous les domaines situés sous le domaine
racine puzzmania.com se partagent l’espace de noms puzzmania.com. Posséder un
seul arbre peut être bien si l’entreprise emploie le même espace de noms DNS. Par
contre, pour une entreprise utilisant plusieurs espaces de noms DNS, le modèle doit
pouvoir s’étaler sur plusieurs arbres… Ce qui nous donne l’occasion de passer au
concept de forêt.
Les forêts
Une forêt représente un groupe d’arbres qui ne forment pas un espace de noms
connexe, mais qui peuvent se partager un même schéma et un même catalogue global. Il
y a toujours au moins une forêt dans une infrastructure Active Directory et elle est créée
lors de l’installation du premier contrôleur de domaine Active Directory sur le réseau.
13. Introduction à
LDAP et Active
Directory
Figure 13.2 : Schéma d’une forêt
Les unités organisationnelles

Les unités d’organisation (OU) sont utilisées pour grouper des objets à des fins
administratives, par exemple pour l’application de stratégies de groupe ou pour la
délégation d’autorité. Les OU peuvent être utilisées pour former une hiérarchie de
conteneurs au sein d’un même domaine. Le contrôle sur une unité organisationnelle et
527
les objets qu’elle contient est déterminé par des listes de contrôle d’accès (ACL, Access
Control Lists) associées à l’unité organisationnelle et aux objets qu’elle contient.
Figure 13.3 :
Schéma d’OU
13. Introduction à
LDAP et Active
Directory
Le partitionnement de la base de données Active Directory

Comme vous le savez déjà certainement, Active Directory représente l’ensemble des
objets de la forêt. Quand la forêt grossit, il en est de même pour l’annuaire. L’une des
difficultés en matière de conception est de garantir que la base de données de l’annuaire
pourra augmenter en même temps que l’entreprise sans pour autant pénaliser les
performances d’un serveur ou d’un emplacement particulier du réseau. La réponse à
cette problématique consiste à partitionner l’annuaire en plusieurs morceaux. Bien
évidemment, cela concerne davantage les grandes entreprises, mais il reste toutefois
intéressant de connaître ou de comprendre l’existence de cette fonctionnalité.
De manière plus simple, en partant du principe que les domaines sont les briques
fondamentales de l’infrastructure, il est judicieux de partitionner l’annuaire selon les
frontières du domaine. Chaque domaine contient une partition de l’annuaire qui
renferme les informations relatives aux objets de ce domaine. Chaque domaine ne
528
Active Directory
contient qu’une et une seule partition d’annuaire. La combinaison des partitions des
différents domaines de la forêt représente l’intégralité d’Active Directory.
Quel pourrait être le ou les avantages à partitionner l’annuaire ? L’un des avantages est
que vous pouvez ajouter de nouveaux domaines à une forêt sans surcharger de manière
injustifiée les domaines existants. La raison en est que lorsque l’on crée une partition
pour un nouveau domaine, ce sont les nouveaux contrôleurs de domaine qui font la
plupart des tâches impliquées par l’administration de la nouvelle partition.
La structure physique d’Active Directory

La structure physique de l’infrastructure, au sens Active Directory du terme, est très
simple comparée avec la structure logique. Les composants physiques sont au nombre
de deux : les sites et les contrôleurs de domaine.
Les sites
Par définition, un site est une combinaison d’un ou plusieurs sous-réseaux IP reliés par
une liaison fiable et rapide permettant de localiser autant de trafic réseau que possible.
En règle générale, un site présente les mêmes limites qu’un réseau local (LAN).
Lorsque vous regroupez des sous réseaux de votre réseau, vous ne devez combiner entre
13. Introduction à
LDAP et Active
eux que des sous-réseaux équipés de connexions rapides. On peut considérer comme
Directory
rapides les connexions qui s’effectuent au moins à 512 kbits/s.
Avec Active Directory, les sites ne font pas partie de l’espace de noms. Lorsque vous
parcourez l’espace de noms logique, vous ne voyez pas de sites. Vous ne voyez que les
utilisateurs et les ordinateurs regroupés en domaine et en OU.
Figure 13.4 :
Site dans Active Directory
Les sites ne contiennent que les objets ordinateurs et connexions utilisés pour configurer
la réplication entre les sites.
529
Figure 13.5 :
Objets ordinateur et connexion
Considérations sur les sites

Un seul domaine peut s’étendre sur plusieurs sites géographiques et un seul site
géographique peut inclure des comptes d’utilisateurs et d’ordinateurs appartenant à
plusieurs domaines.
Les sites servent surtout à contrôler le trafic de réplication. Les contrôleurs de domaine
d’un site disposent d’une grande latitude pour répliquer les modifications apportées à la
base de données Active Directory chaque fois qu’il y a des modifications. Les
contrôleurs de domaine situés sur des sites différents compressent le trafic de
réplication et opèrent selon une planification prédéfinie, tout cela afin de réduire le
trafic réseau. Cette réplication peut être planifiée par défaut (c’est-à-dire toutes les
3 heures) ou bien être planifiée par l’administrateur selon ses besoins.
13. Introduction à
LDAP et Active
Directory
Figure 13.6 : Intervalle de réplication
Création de site et site par défaut

Si vous ne créez pas vous-même votre propre site dans Active Directory, tous les
contrôleurs de domaine appartiendront automatiquement à un même site, par défaut
appelé "Premier-Site-par-défaut", qui est créé en même temps que le premier
domaine.
Pour plus d’informations sur les sites et la topologie de site, reportez-vous au chapitre
La conception de la topologie des sites.
Les contrôleurs de domaine

Les contrôleurs de domaine permettent aux utilisateurs d’ouvrir une session sur le
réseau et d’accéder aux ressources pour lesquelles ils ont les autorisations adéquates. Ils
permettent également de rechercher dans Active Directory des dossiers partagés, des
530
Active Directory
imprimantes partagées et d’autres informations publiées. Un domaine doit avoir au

moins un contrôleur de domaine, c’est une obligation. En fait, c’est en promouvant un
serveur Windows Server 2003 autonome au rôle de contrôleur de domaine que le
domaine est créé. Cependant, pour des questions de redondance, il est fortement
recommandé d’avoir au moins deux contrôleurs de domaine par domaine pour chaque
domaine. Si votre entreprise est constituée de plusieurs sites reliés par des liaisons WAN
lentes, il sera judicieux alors de placer également un contrôleur de domaine sur chaque
site afin de réduire le trafic d’ouverture de session sur le WAN.
Les rôles maîtres d’opérations

Les contrôleurs de domaine de la forêt, peu importe leur nombre, doivent se partager
les rôles maîtres d’opérations. Ces rôles maîtres sont divisés en deux familles :
j Les rôles maîtres au niveau de la forêt sont au nombre de deux dans la forêt entière.
j Les rôles maîtres au niveau du domaine sont au nombre de trois par domaine.
Un contrôleur de domaine peut-être propriétaire d’un ou de plusieurs rôles tout en

respectant des règles bien précises. Ces rôles maîtres jouent un rôle (comme leur nom
l’indique) au niveau de l’infrastructure Active Directory.
13. Introduction à
LDAP et Active
Directory
Pour plus d’informations sur la répartition des rôles maîtres, reportez-vous au
chapitre La conception de la topologie des sites.
Les rôles maîtres au niveau de la forêt

j Le maître de schéma : le premier contrôleur de domaine de la forêt tient le rôle de
maître de schéma. Il est chargé de gérer et de distribuer le schéma au reste de la
forêt. Il gère la liste de toutes les classes d’objets et de tous les attributs définissant
les objets rencontrés dans Active Directory. Le maître de schéma doit être
opérationnel pour que l’on puisse actualiser ou modifier le schéma.
j Le maître d’attribution de noms de domaine : ce contrôleur enregistre les ajouts et
les suppressions de domaines dans la forêt, il est vraiment vital pour la préservation
de l’intégrité de domaine. Le maître d’attribution de noms de domaine est consulté
à chaque fois que l’on ajoute de nouveaux domaines à la forêt. En cas
d’indisponibilité de ce rôle maître, il sera impossible d’ajouter de nouveaux
domaines.
Les rôles maîtres au niveau du domaine

j Le maître d’ID relatifs : il alloue des séquences d’ID relatifs à chacun des différents
contrôleurs de son domaine. À tout moment, il ne peut exister qu’un seul contrôleur
de domaine jouant se rôle de maître RID dans chaque domaine de la forêt. Quand
un contrôleur de domaine crée un utilisateur, un groupe ou un ordinateur, il assigne
531
à cet objet un ID de sécurité unique. L’ID de sécurité se compose d’un ID de

sécurité de domaine qui est identique à tous les ID de sécurité dans le domaine, et
un ID relatif qui est unique pour chaque ID créé dans le domaine.
j L’émulateur de contrôleur principal de domaine (CDP) : ce contrôleur de domaine
a la charge d’émuler un CDP (contrôleur de domaine principal) Windows NT 4.0
pour les clients n’ayant pas encore migré vers une des versions de Windows 2000,
Windows Server 2003 ou Windows XP et qui n’exécutent pas de logiciel client pour
les services d’annuaire. L’une des grandes fonctions de l’émulateur PDC est de
contrôler l’ouverture de session pour les clients antérieurs à Windows 2000.
L’émulateur de PDC est consulté également si un client n’arrive pas à se faire
authentifier. Cela donne l’opportunité de voir s’il y a eu des modifications de mots
de passe de dernière minute pour les anciens clients du domaine (avant
Windows 2000) avant de rejeter l’ouverture de session.
j Le maître d’infrastructure : ce contrôleur de domaine enregistre les modifications
apportées aux objets du domaine. Toutes les modifications sont d’abord signalées au
maître d’infrastructure, avant d’être répliquées vers les autres contrôleurs de
domaine. Le maître d’infrastructure gère les groupes et les appartenances de groupe
concernant les objets du domaine. Le maître d’infrastructure a aussi pour rôle
d’informer les autres domaines des modifications apportées aux objets.
13. Introduction à
LDAP et Active
Le catalogue global
Directory
Le catalogue global est une réplique partielle des attributs le plus souvent recherchés de
tous les objets de tous les domaines de la forêt. L’objectif du catalogue global est
d’augmenter la rapidité des recherches émises sur Active Directory, en particulier les
requêtes concernant la forêt entière et les tentatives d’ouvertures de sessions
interdomaines. Le catalogue global réside sur un ou plusieurs contrôleurs de domaine
d’un site ou d’un domaine. Un serveur qui contient le catalogue global est appelé
serveur de catalogue global. Les serveurs de catalogue global contiennent les objets
Active Directory suivants :
j La réplique complète de tous les objets de leur propre domaine ;
j la réplique partielle de tous les objets de la forêt de tous les contextes de nommage.
Par défaut, le premier contrôleur de domaine du premier domaine (domaine racine de

la forêt) est configuré automatiquement comme serveur de catalogue global. Tout autre
contrôleur de domaine peut être serveur de catalogue global à condition d’être
configuré pour cela.
Pour configurer un serveur en tant que serveur de catalogue global, reportez-vous au

chapitre L’administration et la gestion des sites du volume II de cet ouvrage.
532
Active Directory
La réplication dans Active Directory

Dans le principe, tous les objets et attributs doivent être répliqués vers tous les
contrôleurs d’un domaine, afin que chaque contrôleur de domaine possède un
exemplaire maître à jour de la partition du domaine. Voilà qui peut représenter parfois
une quantité gigantesque de données en circulation sur le réseau. Suivre toutes ces
données ne reste pas une simple affaire. Alors comment cela se passe-t-il ?
Pour cela, Windows Server 2003 emploie un modèle de réplication, appelé "réplication
multimaître", dans lequel toutes les répliques de la base de données sont considérées
comme égales. Vous pouvez modifier la base de données sur n’importe quel contrôleur
de domaine, et les modifications seront propagées juste après vers l’ensemble des
contrôleurs du domaine.
Lorsqu’il se produit une modification sur l’un des contrôleurs de domaine du même site,
celui-ci informe ces partenaires de réplication. Les partenaires réclament alors les
modifications. Il y a donc réplication. Deux types de réplications sont possibles…
j La réplication intrasite : elle envoie le trafic de réplication sous forme non
compressée dans la mesure où tous les contrôleurs de domaine du même site sont
reliés par des liaisons à haut débit. La réplication fonctionne alors avec un
mécanisme de notifications. Cela veut dire plus simplement qu’en cas de
13. Introduction à
modifications faites sur le domaine, celles-ci sont rapidement répliquées vers les
LDAP et Active
autres contrôleurs de domaine du même site.
Directory
j La réplication intersite : elle compresse tout le trafic de réplication car celui-ci
transite à travers les liens WAN. Il est possible de planifier la réplication intersite
pour que celle-ci réplique aux heures les plus justes ou simplement laisser les
paramètres par défaut, c’est-à-dire toutes les 3 heures.
Figure 13.7 :
plages horaires de
réplication
Pour plus d’informations sur les concepts de réplication, reportez-vous au chapitre

La conception de la topologie des sites.
533
13.3. En résumé
Ce chapitre vous a présenté les bases et les définitions du protocole LDAP et surtout
d’Active Directory. Tout cela vous sera très utile pour la suite et plus particulièrement
dans votre activité professionnelle. Prenez le temps d’aller sur Internet et de lire les
RFC si vous souhaitez approfondir le sujet. Cela vous permettra d’aborder les
problématiques d’annuaire avec un certain recul et un regard avisé.
Maintenant que vous avez les bases, mettez tout cela en pratique en attaquant la
conception de l’infrastructure d’annuaire de la société Puzzmania.
13. Introduction à
LDAP et Active
Directory
534
Chapitre 14
La planification
d’un projet Active
Directory
14.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
14.2 Le processus de conception d’Active Directory . . . . . . . . . . . . . . . . . . . . . . 538
14.3 Le processus de planification d’un projet Active Directory . . . . . . . . . . . . . . . 539
14.4 Les définitions communes dans un projet Active Directory . . . . . . . . . . . . . . . 541
14.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Vue d’ensemble
A vant d’aborder en détail (dans les chapitres suivants) la conception technique

d’Active Directory, ce chapitre va vous permettre d’aborder globalement la
planification d’un projet Active Directory. Implémenter Active Directory, c’est
maîtriser non seulement des aspects techniques, mais aussi la gestion de projet,
l’élaboration du planning, l’encadrement des ressources humaines qui travailleront ainsi
que la rédaction de toute la documentation qui l’accompagne.
Cette vision globale vous permettra d’aborder aussi bien un projet Active Directory
Windows Server 2003 que Windows Server 2008.
14.1. Vue d’ensemble

L’implémentation d’Active Directory commence par la création de sa conception,
autrement dit de son architecture. Cette conception vous permet ensuite de planifier
Active Directory avant son implémentation.
Un ou plusieurs architectes de systèmes créent la conception d’Active Directory, en se

basant sur les besoins de l’entreprise. Ces besoins déterminent les spécifications
fonctionnelles pour la conception.
Le plan d’implémentation d’Active Directory détermine la mise en œuvre de la

conception d’Active Directory en fonction de l’infrastructure matérielle de l’entreprise.
Par exemple, la conception d’Active Directory peut spécifier le nombre de contrôleurs
de domaine pour chaque domaine sur la base de la configuration d’un serveur
spécifique. Cependant, si cette configuration n’est pas disponible, lors de la phase de
14. La planification
planification, vous pouvez décider de modifier le nombre de serveurs afin de répondre
aux besoins de l’entreprise.
Directory
Après avoir implémenté Active Directory, vous devez gérer et assurer la maintenance
d’Active Directory afin de garantir disponibilité, fiabilité et sécurité du réseau.
Durant le déploiement d’Active Directory, les ingénieurs système :

j créent la structure du domaine et de la forêt et déploient les serveurs ;
j créent la structure de l’unité d’organisation ;
j créent les comptes d’utilisateur et d’ordinateur ;
j créent les groupes de sécurité et de distribution
j créent les objets Stratégie de groupe (GPO) qu’ils appliquent aux domaines, aux
sites et aux unités d’organisation ;
j créent les stratégies de distribution de logiciels.
537
Chapitre 14 La planification d’un projet Active Directory
Figure 14.1 : Vue d’ensemble de la planification projet
14.2. Le processus de conception d’Active Directory

Une conception d’Active Directory inclut plusieurs tâches. Chacune définit les besoins
fonctionnels pour un composant de l’implémentation d’Active Directory.
Le processus de conception d’Active Directory inclut les tâches suivantes…

j Collecte d’informations sur l’entreprise : cette première tâche définit les besoins en
Directory
service d’annuaire et les besoins de l’entreprise concernant le projet. Les

informations sur l’organisation incluent notamment un profil organisationnel de
haut niveau, les implantations géographiques de l’entreprise, l’infrastructure
technique et du réseau et les plans liés aux modifications à apporter dans
l’entreprise.
j Analyse des informations sur l’organisation : vous devez analyser les informations
collectées pour évaluer leur pertinence et leur valeur par rapport au processus de
conception. Vous devez ensuite déterminer quelles sont les informations les plus
importantes et quels composants de la conception d’Active Directory ces
informations affecteront. Soyez prêt à appliquer ces informations dans l’ensemble
du processus de conception.
j Analyse des options de conception : lorsque vous analysez des besoins d’entreprise
spécifiques, plusieurs options de conception peuvent y répondre. Par exemple, un
besoin administratif peut être résolu par le biais d’une conception de domaine ou
d’une structure d’unité d’organisation. Comme chacun de vos choix affecte les
autres composants de la conception, restez flexible dans votre approche de la
conception durant tout le processus.
538
Le processus de planification d’un projet Active Directory
j Sélection d’une conception : développez plusieurs conceptions d’Active Directory,

puis comparez leurs points forts et leurs points faibles. Lorsque vous sélectionnez
une conception, analysez les besoins d’entreprise qui entrent en conflit et tenez
compte de leurs effets sur les choix de vos conceptions. Il se peut qu’aucune des
conceptions soumises ne fasse l’unanimité. Choisissez la conception qui répond le
mieux à vos besoins d’entreprise et qui représente globalement le meilleur choix.
j Affinage de la conception : la première version de votre plan de conception est
susceptible d’être modifiée avant la phase pilote de l’implémentation. Le processus
de conception est itératif parce que vous devez tenir compte de nombreuses
variables lorsque vous concevez une infrastructure Active Directory. Révisez et
affinez plusieurs fois chacun des concepts de votre conception pour prendre en
compte tous les besoins d’entreprise.
Le résultat de la phase de conception d’Active Directory inclut les éléments suivants…

j La conception du domaine et de la forêt : la conception de la forêt inclut des
informations comme le nombre de forêts requis, les consignes de création des
approbations et le nom de domaine pleinement qualifié pour le domaine racine de
chaque forêt. La conception inclut également la stratégie de contrôle des
modifications de la forêt, qui identifie les processus de propriété et d’approbation
pour les modifications de la configuration présentant un impact sur toute la forêt.
Identifiez la personne chargée de déterminer la stratégie de contrôle des
modifications de chaque forêt dans l’organisation. Si votre plan de conception
comporte plusieurs forêts, vous pouvez évaluer si des approbations de forêts sont
requises pour répartir les ressources du réseau parmi les forêts. La conception du
domaine indique le nombre de domaines requis dans chaque forêt, le domaine qui
sera le domaine racine pour chaque forêt et la hiérarchie des domaines si la
Directory
conception comporte plusieurs domaines. La conception du domaine inclut
également le nom DNS pour chaque domaine et les relations d’approbation entre
domaines.
j La conception de l’unité d’organisation : elle indique comment vous créerez les
unités d’organisation pour chaque domaine dans la forêt. Incluez une description de
l’autorité d’administration qui sera appliquée à chaque unité d’organisation, et à qui
cette même autorité sera déléguée. Pour finir, incluez la stratégie utilisée pour
appliquer la stratégie de groupe à la structure de l’unité d’organisation.
j La conception du site : elle spécifie le nombre et l’emplacement des sites dans
l’organisation, les liens requis pour relier les sites et le coût de ces liens.
14.3. Le processus de planification d’un projet Active

Directory
Le résultat du processus de planification est le plan d’implémentation d’Active
Directory. Ce plan se compose lui-même de plusieurs plans qui définissent les besoins
539
fonctionnels pour un composant spécifique de l’implémentation d’Active Directory. Ces

plans sont tout autant de documents très importants à conserver et archiver
soigneusement.
Un plan Active Directory inclut les composants suivants…

j Stratégie de compte : elle inclut des informations comme les consignes d’attribution
de nom aux comptes et la stratégie de verrouillage, la stratégie en matière de mots
de passe et les consignes portant sur la sécurité des objets.
j Stratégie d’audit : elle détermine le suivi des modifications apportées aux objets
Active Directory.
j Plan d’implémentation d’unité d’organisation : il définit quelles unités
d’organisation créer et comment. Par exemple, si la conception d’unité
d’organisation spécifie que ces unités seront créées géographiquement et organisées
par division à l’intérieur de chaque zone géographique, le plan d’implémentation
des unités d’organisation définit les unités à implémenter, telles que celles des
ventes, des ressources humaines et de production. Le plan fournit également des
consignes portant sur la délégation d’autorité.
j Plan de stratégie de groupe : il détermine qui crée, relie et gère les objets de
stratégie de groupe, et comment cette stratégie sera implémentée.
j Plan d’implémentation du site : il spécifie les sites, les liens qui les relient, et les
liaisons de sites planifiées. Il spécifie également la planification et l’intervalle de
réplication ainsi que les consignes en matière de sécurisation et de configuration de
la réplication entre sites.
j Plan de déploiement de logiciels : il spécifie comment vous utiliserez la stratégie de

groupe pour déployer de nouveaux logiciels et des mises à niveau de logiciels. Il
Directory
peut, par exemple, spécifier si les mises à niveau de logiciels sont obligatoires ou
facultatives.
j Plan de placement des serveurs : il spécifie le placement des contrôleurs de
domaine, des serveurs de catalogue global, des serveurs DNS intégrés à Active
Directory et des maîtres d’opérations. Il spécifie également si vous activerez la mise
en cache des appartenances à un groupe universel pour les sites ne possédant pas de
serveur de catalogue global.
Lorsque tous les plans de composant sont terminés, vous devez les combiner pour
former le plan complet d’implémentation d’Active Directory. Si la taille de votre
entreprise ne nécessite pas des documents distincts pour tous ces plans, vous ne pouvez
créer qu’un seul et unique document qui combine les différents plans en chapitres du
même document maître.
Une fois le plan d’implémentation d’Active Directory en place, vous pouvez commencer
à implémenter Active Directory conformément à votre plan de conception.
Vous devez exécuter les tâches suivantes pour implémenter Active Directory…
540
Les définitions communes dans un projet Active Directory
j Implémentation de la forêt, du domaine et de la structure DNS : créez le domaine

racine de la forêt, les arborescences de domaines et tout autre domaine enfant
constituant la forêt et la hiérarchie des domaines.
j Création des unités d’organisation et des groupes de sécurité : créez la structure
d’unité d’organisation pour chaque domaine dans chaque forêt, créez des groupes
de sécurité et déléguez l’autorité administrative à des groupes administratifs dans
chaque unité d’organisation.
j Création des comptes d’utilisateur et d’ordinateur : importez les comptes
d’utilisateur dans Active Directory.
j Création des objets Stratégie de groupe : créez des objets Stratégie de groupe basés
sur la stratégie de groupe, puis reliez-les à des sites, à des domaines ou à des unités
d’organisation.
j Implémentation des sites : créez des sites en fonction du plan des sites, créez des
liens reliant ces sites, définissez les liaisons de sites planifiées et déployez sur les sites
des contrôleurs de domaine, des serveurs de catalogue global, des serveurs DNS et
des maîtres d’opérations.
Mais tout cela sera largement détaillé dans la suite de l’ouvrage.
14.4. Les définitions communes dans un projet Active

Directory
Pour vous aider à rédiger votre documentation de planification projet Active Directory,
ou pour vous donner des arguments supplémentaires à faire valoir dans votre projet,
Directory
voici une série de définitions standards que vous pourrez utiliser.
Définition du service d’annuaire

Dans de grands réseaux, les ressources sont partagées par de nombreux utilisateurs et
applications. Pour permettre aux utilisateurs et aux applications d’accéder à ces
ressources et aux informations les concernant, une méthode cohérente est nécessaire
pour nommer, décrire, localiser, accéder, gérer et sécuriser les informations concernant
ces ressources. Un service d’annuaire remplit cette fonction.
Un service d’annuaire est un référentiel d’informations structuré concernant les

personnes et les ressources d’une organisation. Dans un réseau Windows Server 2003, le
service d’annuaire est Active Directory.
Active Directory dispose des fonctionnalités suivantes…

j Accès pour les utilisateurs et les applications aux informations concernant des
objets : ces informations sont stockées sous forme de valeurs d’attributs. Vous
pouvez rechercher des objets selon leur classe d’objet, leurs attributs, leurs valeurs
541
d’attributs et leur emplacement au sein de la structure Active Directory ou selon

toute combinaison de ces valeurs.
j Transparence des protocoles et de la topologie physique du réseau : un utilisateur
sur un réseau peut accéder à toute ressource, une imprimante par exemple, sans
savoir où celle-ci se trouve ou comment elle est connectée physiquement au réseau.
j Possibilité de stockage d’un très grand nombre d’objets : comme il est organisé en
partitions, Active Directory peut répondre aux besoins issus de la croissance d’une
organisation. Par exemple, un annuaire peut ainsi passer d’un serveur unique
contenant quelques centaines d’objets à des milliers de serveurs contenant des
millions d’objets.
j Possibilité d’exécution en tant que service indépendant du système d’exploitation :
ADAM (Active Directory Application Mode) est une nouvelle fonctionnalité d’Active
Directory de Windows Server 2003 permettant de résoudre certains scénarios de
déploiement liés à des applications utilisant un annuaire. ADAM s’exécute comme
un service indépendant du système d’exploitation qui, en tant que tel, ne nécessite
pas de déploiement sur un contrôleur de domaine. L’exécution en tant que service
indépendant du système d’exploitation signifie que plusieurs instances ADAM
peuvent s’exécuter simultanément sur un serveur unique, chaque instance étant
configurable de manière indépendante.
Définition du schéma
Le schéma Active Directory définit les genres d’objets, les types d’informations
concernant ces objets, et la configuration de sécurité par défaut pour les objets pouvant
être stockés dans Active Directory. Le schéma Active Directory contient les définitions
de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stockés dans
Directory
Active Directory. Les contrôleurs de domaine exécutant Windows Server 2003 ne

comportent qu’un seul schéma pour toute une forêt. Ainsi, tous les objets créés dans
Active Directory se conforment aux mêmes règles.
Le schéma possède deux types de définitions : les classes d’objets et les attributs. Les
classes d’objets, comme utilisateur, ordinateur et imprimante, décrivent les
objets d’annuaire possibles que vous pouvez créer. Chaque classe d’objet est un
ensemble d’attributs. Les attributs sont définis séparément des classes d’objets. Chaque
attribut n’est défini qu’une seule fois et peut être utilisé dans plusieurs classes d’objets.
Par exemple, l’attribut Description est utilisé dans de nombreuses classes d’objets,
mais il n’est défini qu’une seule fois dans le schéma afin de préserver la cohérence.
Vous pouvez créer de nouveaux types d’objets dans Active Directory en développant le
schéma. Par exemple, pour une application de serveur de messagerie comme Exchange,
vous pouvez développer la classe d’utilisateur dans Active Directory en lui ajoutant de
nouveaux attributs stockant des informations supplémentaires, telles que les adresses de
messagerie des utilisateurs. On appelle cela "étendre le schéma".
542
Les définitions communes dans un projet Active Directory
Sur les contrôleurs de domaine Windows Server 2003, vous pouvez annuler des
modifications apportées à un schéma en les désactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalités d’extensibilité d’Active Directory
(ce n’était pas le cas sous Windows 2000). Vous pouvez également redéfinir une classe
ou un attribut de schéma.
Définition du catalogue global

Dans Active Directory, les ressources peuvent être partagées parmi des domaines et des
forêts. Le catalogue global d’Active Directory permet de rechercher des ressources
parmi des domaines et des forêts de manière transparente pour l’utilisateur. Par
exemple, si vous recherchez toutes les imprimantes présentes dans une forêt, un serveur
de catalogue global traite la requête dans le catalogue global, puis renvoie les résultats.
En l’absence de serveur de catalogue global, cette requête exigerait une recherche dans
chaque domaine de la forêt.
Le catalogue global est un référentiel d’informations qui contient un sous-ensemble des

attributs de tous les objets d’Active Directory. Les membres du groupe Administrateurs
du schéma peuvent modifier les attributs stockés dans le catalogue global, en fonction
des impératifs d’une organisation. Le catalogue global contient :
j les attributs les plus fréquemment utilisés dans les requêtes, comme le nom et le
prénom d’un utilisateur, et son nom d’ouverture de session ;
j les informations requises pour déterminer l’emplacement de tout objet dans
l’annuaire ;
j un sous-ensemble d’attributs par défaut pour chaque type d’objet ;
Directory
j les autorisations d’accès pour chaque objet et attribut stocké dans le catalogue
global. Si vous recherchez un objet pour lequel vous ne possédez pas les
autorisations de visualisation requises, cet objet n’apparaîtra pas dans les résultats
de la recherche. Les autorisations d’accès garantissent que les utilisateurs ne
pourront trouver que les objets pour lesquels ils possèdent un droit d’accès.
Un serveur de catalogue global est un contrôleur de domaine qui traite efficacement les
requêtes intraforêts dans le catalogue global. Le premier contrôleur de domaine que
vous créez dans Active Directory devient automatiquement un serveur de catalogue
global. Vous pouvez configurer des serveurs de catalogue global supplémentaires pour
équilibrer le trafic lié aux authentifications de connexion et aux requêtes.
Le catalogue global permet aux utilisateurs d’exécuter deux fonctions importantes :

j trouver les informations Active Directory en tout point de la forêt,
indépendamment de l’emplacement des données ;
j utiliser les informations d’appartenance au groupe universel pour se connecter au
réseau.
543
Définition d’un nom unique et d’un nom unique relatif

Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des
objets dans une base de données Active Directory. Le protocole LDAP est un
sous-ensemble de la norme ISO X.500 relative aux services d’annuaire. Il utilise les
informations portant sur la structure d’un annuaire pour trouver des objets individuels
possédant chacun un nom unique.
Le protocole LDAP utilise un nom représentant un objet Active Directory par une série
de composants concernant la structure logique. Cette représentation, appelée nom
unique de l’objet, identifie le domaine dans lequel se trouve l’objet ainsi que le chemin
complet permettant d’accéder à celui-ci. Un nom de ce type ne peut être qu’unique dans
une forêt Active Directory.
Le nom unique relatif d’un objet identifie l’objet de manière unique dans son conteneur.
Deux objets situés dans un même conteneur ne peuvent porter le même nom. Le nom
unique relatif est toujours le premier composant du nom unique, mais il n’est pas
toujours un nom usuel.
Chaque élément de la structure logique de l’utilisatrice Coralie Darboux de l’unité

d’organisation Ventes du domaine corp.puzzmania.com est représenté dans le nom
unique suivant : CN=Coralie Darboux,OU=Ventes,DC=corp,DC=puzzmania,
DC=com.
j CN (Common Name) est le nom usuel de l’objet dans son conteneur.

j OU (Organizational Unit) est l’unité d’organisation qui contient l’objet. Plusieurs
valeurs d’OU peuvent exister si l’objet se trouve dans une unité d’organisation
imbriquée.
Directory
j DC (Domain Component) est un composant de domaine, tel que com ou local. Il

existe toujours au moins deux composants de domaine, voire davantage si le
domaine est un domaine enfant.
Les composants de domaine du nom unique sont basés sur le DNS. Dans l’exemple
suivant, Ventes est le nom unique relatif d’une unité d’organisation représentée par le
chemin LDAP suivant : OU=Ventes,DC=corp,DC=puzzmania,DC=com.
14.5. En résumé
L’implémentation d’Active Directory, dans toute entreprise, sera considérée comme un
projet à part entière. Il est donc intéressant d’avoir les éléments en main pour savoir
comment gérer, mettre en place et démarrer rapidement un projet autour d’Active
Directory.
544
Chapitre 15
La conception de
l’infrastructure logique
Active Directory
15.1 Du projet d’entreprise à la conception d’Active Directory . . . . . . . . . . . . . . . 547
15.2 Les modèles de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
15.3 Principe de conception des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
15.4 Les modèles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
15.5 Choisir le domaine racine de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
15.6 Conception de domaine et sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
15.7 Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
15.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Du projet d’entreprise à la conception d’Active Directory
R eprenons le cours de notre étude de cas Puzzmania. Comme vous l’avez suivi, la
direction et le service informatique de Puzzmania ont décidé d’implémenter une
forêt puzzmania.com selon un modèle de racine vide avec les domaines fils corp
.puzzmania.com et rd.puzzmania.com. Ce choix découle d’un historique, d’un besoin
et d’une orientation stratégique d’entreprise.
Ce chapitre explique le choix des équipes de Puzzmania en décrivant les différents

modèles d’infrastructures logiques d’Active Directory.
15.1. Du projet d’entreprise à la conception d’Active

Directory
L’intérêt de l’étude de cas Puzzmania est de montrer que la conception de
l’infrastructure logique d’Active Directory satisfait des besoins et s’inscrit dans un projet
d’entreprise. Vous devez en permanence mettre en relation les besoins et
l’infrastructure Active Directory.
Une infrastructure logique Active Directory bien choisie est celle qui répond le mieux à
l’entreprise, en termes de besoins et d’évolution. Suivez toujours les quelques conseils
suivants avant de sélectionner votre modèle de forêt ou de domaine :
j Faites en sorte que les besoins de l’entreprise déterminent la conception. Une
conception d’Active Directory appropriée doit satisfaire les exigences initiales. La
conception du service d’annuaire doit être élaborée en fonction de ces besoins, et
non en fonction de la technologie du service d’annuaire.
j Traitez le processus de conception d’Active Directory au fur et à mesure que vous
recevez des informations. En effet, vous analyserez de nouveau vos décisions de
conception lorsque vous recevrez de nouvelles informations (par exemple, l’ajout de
15. La conception de
pare-feu entre des sites distants). Étant donné que votre conception est susceptible
Active Directory
de changer au cours du processus, il est important de rester flexible jusqu’à ce que
tous les besoins de l’entreprise aient été considérés.
j Commencez par la conception la plus simple possible, soit une forêt avec un seul
domaine et un site unique. Définissez ensuite le critère lié à l’introduction
d’éléments plus complexes. Tout nouvel élément que vous souhaitez ajouter, une
forêt, un domaine, un site ou une unité d’organisation, doit avoir un objectif défini
spécifique car la quantité d’objets augmente les coûts d’infrastructure et
d’administration de l’implémentation.
j Considérez les compromis comme faisant partie intégrante de la conception de
l’infrastructure logique d’Active Directory. L’objectif est de créer une structure
Active Directory qui répond à tous les besoins. Toutefois, ces derniers pourront
547
Chapitre 15 La conception de l’infrastructure logique Active Directory
entraîner des conflits de conception qui vous conduiront à prendre des décisions et
à trouver des compromis : ils font partie du jeu et vous devez les inclure tout au long
de l’évolution de la conception.
MSF
Si vous souhaitez mettre en place un projet tel que la conception et l’implémentation
d’Active Directory au sein de votre entreprise, sachez que Microsoft a mis au point
une méthode très performante pour créer des solutions professionnelles dans les
limites temporelles et budgétaires fixées. Cette méthode s’appelle MSF (Microsoft
Solutions Framework). C’est une approche posée et structurée pour mener à bien des
projets technologiques. MSF couplé à MOF (Microsoft Operations Framework)
s’apparente à une méthodologie proche de celle décrite dans le référentiel ITIL.
Pour en savoir plus, rendez-vous à l’adresse
www.microsoft.com/technet/itsolutions/msf/default.mspx.
La suite du chapitre présente les différents modèles d’infrastructures afin que vous vous
posiez les bonnes questions quant à votre projet d’entreprise et que vous déterminiez le
modèle le mieux adapté.
15.2. Les modèles de forêts

Il existe trois modèles de forêts Active Directory : l’un se fonde sur l’organisation, l’autre
sur les ressources et le dernier est le modèle de forêt à accès restreint. En fonction de vos
contraintes, vous serez peut-être amené à utiliser une combinaison de ces différents
modèles pour répondre aux besoins de votre entreprise.
Le modèle de forêt basé sur l’organisation

Active Directory
Dans ce modèle, une forêt (ou plusieurs selon le contexte) permet de gérer les comptes
d’utilisateurs et les ressources. Chaque solution Active Directory comprend au moins
une forêt basée sur l’organisation.
Si, pour une raison ou une autre, plusieurs forêts sont utilisées, des relations
d’approbation peuvent permettre aux utilisateurs d’une forêt d’accéder aux ressources
d’une autre forêt.
Vous pouvez utiliser ce modèle pour assurer l’autonomie ou l’isolation de données ou

d’un service de l’entreprise. Ainsi, pour garantir l’isolation du service, il suffit d’une
seule forêt configurée pour empêcher toute personne extérieure de l’administrer.
548
Les modèles de forêts
Figure 15.1 : Modèle de forêt basé sur l’organisation
La forêt reste la limite de sécurité de l’infrastructure la plus forte.
Le modèle de forêt basé sur les ressources

Dans ce modèle, une forêt distincte est créée pour la gestion des ressources. Une forêt
de ressources comprend uniquement les comptes d’utilisateur nécessaires pour
administrer cette forêt et les ressources qu’elle contient. Si vous isolez des ressources de
la sorte, on peut déduire aisément leur importance au sein de l’entreprise. Des relations
d’approbation sont utilisées pour permettre aux utilisateurs d’autres forêts d’accéder à
ces ressources isolées.
Vous pouvez utiliser une forêt de ressources pour assurer l’isolation d’un service. Par ce
moyen, vous pouvez, par exemple, protéger une zone du réseau qui contient des
ressources auxquelles accèdent plusieurs forêts qui ne doivent pas communiquer
directement ensemble ou qui est obligée de maintenir un état élevé de disponibilité.
Active Directory
Figure 15.2 : Modèle de forêt basé sur les ressources
549
Le modèle de forêt à accès restreint

Dans ce modèle, une forêt distincte est créée pour les comptes d’utilisateurs et les
données qui doivent être isolées du reste de l’organisation. Vous pouvez utiliser des
forêts à accès restreint pour assurer l’isolation de données classées confidentielles et
soumises à des contraintes de sécurité fortes (du style norme C2 par exemple).
Dans ce modèle, aucune relation d’approbation n’est utilisée car les utilisateurs des
autres réseaux ne doivent pas pouvoir accéder aux données. De plus, les utilisateurs qui
ont besoin d’accéder aux données de plusieurs forêts doivent posséder un compte
d’utilisateur dans chacune de ces forêts. Dans les situations où l’intégrité et la
confidentialité des données doivent être préservées à tout prix, la forêt d’accès aux
ressources peut être placée sur un réseau complètement isolé du reste. Les utilisateurs
qui doivent accéder aux données de la forêt à accès restreint disposent d’une station de
travail distincte connectée au réseau dédié isolé. Vu les contraintes que cela impose, ce
modèle ultra-sécurisé sera utilisé uniquement dans des cas bien précis.
Active Directory
Figure 15.3 : Modèle de forêt à accès restreint
15.3. Principe de conception des forêts

L’analyse de l’existant et des besoins reste toujours le point de départ de la conception.
Vous pouvez vous inspirer des conseils suivants pour axer votre réflexion de
conception :
j Déterminez le nombre minimal de forêts requis pour répondre aux besoins. Une
seule forêt permet une collaboration maximale au sein de l’environnement et elle
représente la configuration la plus facile et la moins coûteuse à gérer. Elle doit être
550
Principe de conception des forêts
toujours évoquée en priorité car un nombre minimal de forêts réduit la charge de

gestion nécessaire à la maintenance du réseau.
j Utilisez des unités d’organisation dans une forêt existante basée sur l’organisation
pour répondre aux besoins d’autonomie des données. Il n’est pas nécessaire de créer
une nouvelle forêt ou un nouveau domaine pour assurer l’autonomie des données.
Utilisez plutôt des unités d’organisation dans un domaine existant de la forêt basée
sur l’organisation et déléguez-en le contrôle à des administrateurs.
j Créez une nouvelle forêt basée sur l’organisation ou à accès restreint pour répondre
aux besoins d’isolation des données. Déterminez le type de forêt en fonction du
niveau de confidentialité et d’intégrité requis pour les données isolées. En ce qui
concerne les données très confidentielles ou secrètes, envisagez l’utilisation d’une
forêt à accès restreint. Pour tous les autres besoins d’isolation des données, utilisez
une forêt basée sur l’organisation. Vérifiez avant tout que le besoin d’isolation des
données est bien réel et que l’autonomie des données est insuffisante avant
d’ajouter une forêt à votre solution.
j Créez une nouvelle forêt pour assurer l’isolation d’un service. L’isolation du service
est généralement imposée par des contraintes opérationnelles ou légales. La seule
façon d’assurer l’isolation du service consiste à créer une nouvelle forêt. Pour
atteindre le niveau maximal d’isolation du service, envisagez d’utiliser un modèle de
forêt à accès restreint.
Quand vous concevrez votre forêt, commencez par prendre en compte les besoins de
votre entreprise en matière d’isolation d’un service ou de données particulières.
D’ailleurs, ces deux principes d’isolation (service ou données) sont des éléments
déterminants lors de la conception d’une forêt.
Après l’analyse de l’existant, si votre conception de forêt doit comprendre une stratégie
d’isolation d’un service, suivez ces étapes :
1. Créez une forêt supplémentaire basée sur l’organisation ou une forêt de ressources
Active Directory
pour permettre l’isolation du service.
2. Établissez un pare-feu entre la forêt basée sur l’organisation et les autres forêts afin
de limiter l’accès d’administrateurs extérieurs aux informations contenues dans la
forêt.
3. Configurez les forêts qui sont créées pour assurer l’isolation du service de telle sorte
qu’elles approuvent des domaines appartenant à d’autres forêts. Assurez-vous que
les utilisateurs d’autres forêts ne sont pas membres des groupes d’administrateurs
dans les forêts isolées pour éviter de compromettre la sécurité de ces dernières.
4. Protégez vos contrôleurs de domaine contre les attaques potentielles. En ce qui
concerne la protection physique, placez les contrôleurs de domaine dans une salle
informatique avec accès sécurisé. Pour ce qui est de la protection logique, placez les
contrôleurs de domaine sur un réseau sécurisé avec limitation d’accès.
551
Si, après l’analyse de l’existant, votre conception de forêt doit comprendre une stratégie
d’isolation des données, suivez ces étapes :
1. Créez une forêt supplémentaire basée sur l’organisation ou une forêt à accès
restreint pour assurer l’isolation des données.
2. Si vous utilisez une forêt basée sur l’organisation, configurez-la de telle sorte qu’elle
approuve des domaines appartenant à d’autres forêts. Pour garantir que la sécurité
de la forêt isolée n’est pas compromise, vérifiez que les utilisateurs d’autres forêts ne
peuvent pas être membres des groupes ayant des droits élevés sur les serveurs sur
lesquels sont placées les données.
3. Configurez d’autres forêts pour qu’elles approuvent la forêt basée sur l’organisation
afin que les utilisateurs de la forêt isolée puissent accéder aux ressources de ces
autres forêts (si nécessaire).
4. Établissez un pare-feu entre la forêt basée sur l’organisation et les autres forêts afin
de limiter l’accès des utilisateurs aux informations situées hors de leur forêt.
Si vous utilisez un modèle de forêt à accès restreint pour l’isolation des données, faites
en sorte qu’elle n’approuve pas d’autres forêts ou domaines. Par ailleurs, limitez l’accès
au réseau hébergeant les contrôleurs de domaine et les ordinateurs dans la forêt à accès
restreint.
Si nécessaire, et si vous en avez les moyens et les besoins, vous pouvez maintenir les
données protégées de la forêt à accès restreint sur un réseau indépendant qui n’est pas
connecté physiquement à un autre réseau de votre entreprise.
15.4. Les modèles de domaines

À chaque fois que vous créez une forêt Active Directory, vous devez forcément
sélectionner un modèle de domaine. Vous avez le choix entre le modèle de domaine

Active Directory
unique (qui est recommandé) et le modèle de domaine dit régional.
Le modèle de domaine unique

Le modèle de domaine unique est le plus simple à administrer et le moins coûteux à
maintenir. Vous devez évaluer en premier lieu s’il convient. Dans ce modèle, la forêt ne
compte qu’un seul domaine qui contient tous les comptes (utilisateurs, ordinateurs et
groupes) existants. On parle alors de structure "monoforêt monodomaine". Chaque
contrôleur de domaine contient tous les comptes d’utilisateur, d’ordinateur et de groupe
de la forêt, de sorte que n’importe quel contrôleur de domaine peut authentifier tous les
utilisateurs de la forêt. Par ailleurs, dans la mesure où le catalogue global ne contient pas
d’informations sur les comptes d’autres domaines, chaque contrôleur de domaine peut
être désigné comme serveur de catalogue global sans qu’augmente la charge de
réplication.
552
Les modèles de domaines
Figure 15.4 :
Modèle de domaine
unique
Le modèle de domaine unique répond à peu près à tous les besoins des petites
entreprises. La raison qui motiverait la création d’un domaine supplémentaire au sein
d’une forêt pourrait être le nombre excessif d’utilisateurs au sein d’un domaine. Mais en
fait, il n’en est rien car, comme le montre le tableau qui suit (tiré des informations
données par Microsoft), le nombre maximal d’utilisateurs dans un seul domaine est très
élevé. Seul le trafic de réplication sur les liaisons distantes (WAN) influe sur le nombre
maximal d’utilisateurs dans un domaine.
Active Directory
Tableau 15.1 : Nombre maximal recommandé d’utilisateurs dans un seul domaine
Liaison la plus lente Nombre maximal Nombre maximal Nombre maximal
connectant un contrôleur d’utilisateurs si 1 % de d’utilisateurs si 5 % de d’utilisateurs si 10 % de
de domaine (kbit/s) la bande passante est la bande passante sont la bande passante sont
disponible disponibles disponibles
28,8 10 000 25 000 40 000
32 10 000 25 000 50 000
56 10 000 50 000 100 000
64 10 000 50 000 100 000
128 25 000 100 000 100 000
256 50 000 100 000 100 000
512 80 000 100 000 100 000
1 500 100 000 100 000 100 000
553
Conditions d’évaluation du tableau

Les valeurs de ce tableau tiennent compte des hypothèses suivantes :
j Le taux de nouveaux utilisateurs rejoignant la forêt est de 20 % par an.

j Le taux d’utilisateurs quittant la forêt est de 15 % par an.
j Chaque utilisateur est membre de cinq groupes globaux et de cinq groupes
universels.
j Le rapport utilisateurs/ordinateurs est de 1 pour 1.
j Le système DNS intégré à Active Directory est utilisé.
j La fonction de nettoyage DNS est utilisée.
Le modèle de domaine régional

Dans votre contexte d’entreprise, si votre forêt comprend beaucoup d’utilisateurs
répartis entre différents sites géographiques connectés via le WAN, il sera peut-être
nécessaire de déployer des domaines dits régionaux, c’est-à-dire basés sur
l’emplacement géographique, pour réduire le trafic des réplications sur les liaisons
WAN.
Le modèle de domaine régional permet de maintenir un environnement stable avec le

temps. Basez les régions utilisées pour définir les domaines de votre modèle sur des
éléments stables, par exemple une ville.
Utilisez des domaines régionaux dans les cas suivants :

j Le nombre d’utilisateurs de votre forêt est supérieur au nombre d’utilisateurs qu’un
seul domaine peut contenir.

Active Directory
j Vous souhaitez permettre aux administrateurs régionaux de bénéficier d’une

autonomie de service au niveau domaine.
Le modèle de domaine basé sur les entités de l’entreprise

Dans votre contexte d’entreprise, si votre forêt comprend beaucoup d’utilisateurs
répartis entre différentes entités, par exemple des pôles de compétences bien
spécifiques tels la recherche et le développement, il sera peut-être nécessaire de
déployer des domaines basés sur les entités de l’entreprise pour mieux segmenter et
sécuriser les pôles, tout en ayant une administration centralisée.
C’est le modèle de domaine auquel a pensé l’équipe informatique de Puzzmania.
Attention, ce modèle de domaine est soumis aux réorganisations internes !

Sélectionnez-le avec précaution en vous assurant que votre contexte lui correspond
554
Choisir le domaine racine de la forêt
bien. Ce n’est pas parce qu’il convient à l’étude de cas Puzzmania qu’il représente
forcément la meilleure solution pour vous.
15.5. Choisir le domaine racine de la forêt

Le domaine racine de la forêt se trouve au sommet de la représentation de la forêt. Il est
également appelé "domaine père", les autres domaines étant ses fils. Il contient, entre
autres, le contrôleur de domaine qui sera maître du schéma de toute la forêt et les
administrateurs qui seront administrateurs de l’entreprise tout entière.
Active Directory
Figure 15.5 : Domaine racine de la forêt
Des choix s’offrent à vous quant au design de ce domaine racine. Tout dépend du
modèle de domaine sélectionné.
555
Le domaine racine d’une forêt dans un modèle de domaine

unique
Lorsque vous utilisez un modèle de domaine unique, deux options s’offrent à vous :
j Vous pouvez utiliser le domaine unique en tant que domaine racine de la forêt (cela
paraît logique).
j Vous pouvez créer un domaine racine contenant uniquement les comptes
administratifs à l’échelle de la forêt (on l’appelle un "domaine racine vide", au sens
vide d’utilisateurs et de ressources), le domaine de vos comptes étant un enfant du
domaine racine de la forêt. Utilisez cette option si vos plans de croissance vous
amènent à utiliser un modèle de domaine régional.
Active Directory
Figure 15.6 : Domaine racine vide et modèle de domaine unique
556
Choisir le domaine racine de la forêt
Si l’on ajoute un domaine racine vide à un modèle de domaine unique, on pourrait

croire que ce dernier n’est plus unique ! En fait, il est unique au sens où il est le seul à
contenir tous les utilisateurs et toutes les ressources de l’entreprise.
Le domaine racine d’une forêt dans un modèle de domaine

régional ou basé sur les entités de l’entreprise
Lorsque vous utilisez un modèle de domaine régional ou un modèle basé sur les entités
de l’entreprise, deux options s’offrent à vous :
j Vous pouvez créer un domaine racine vide et faire de chaque domaine (régional ou
autres) un enfant du domaine racine de la forêt.
Active Directory
Figure 15.7 : Domaine racine vide et domaines enfants
557
j Vous pouvez utiliser un des domaines régionaux en tant que domaine racine de la
forêt et faire des domaines régionaux restants les enfants de la racine. Si vous
choisissez cette option, sélectionnez comme racine de la forêt un domaine régional
de situation centrale. Cette méthode s’applique également aux domaines basés sur
les entités de l’entreprise.
Active Directory
Figure 15.8 : Domaine racine régional et domaines enfants régionaux
La méthode qui consiste à créer un domaine racine vide, puis des domaines enfants
basés sur l’organisation de l’entreprise, a été adoptée par Puzzmania. Pourquoi une
racine vide ? En voici les avantages.
558
Conception de domaine et sécurité
Les avantages du domaine racine vide

L’utilisation d’un domaine racine vide présente un certain nombre d’avantages…
j Séparation opérationnelle entre les administrateurs de la forêt et les
administrateurs du domaine (domaines enfants) : dans un environnement à
domaine unique, les membres du groupe Administrateurs du domaine ou du groupe
Administrateurs intégré peuvent utiliser des outils et des procédures standards pour
adhérer aux groupes Administrateurs de l’entreprise et Administrateurs du schéma. En
revanche, dans une forêt qui utilise un domaine racine dédié, les membres du
groupe Administrateurs du domaine ou du groupe Administrateurs intégré dans les
domaines enfants ne peuvent pas adhérer aux groupes d’administrateurs de niveau
forêt à l’aide d’outils et de procédures standards. Cela permet de sécuriser
l’infrastructure.
j Protection contre les changements opérationnels dans l’organisation ou dans
d’autres domaines : un domaine racine dédié ne représente pas une région ou une
activité particulière dans la structure de domaines. C’est pourquoi il n’est pas affecté
par les réorganisations et les autres modifications qui obligent à renommer ou à
restructurer les domaines. Par exemple, si votre entreprise rachète une autre
entreprise (comme l’a fait Puzzmania), l’intégration au sein de l’infrastructure
informatique se fera de façon plus aisée.
j Maintien d’une racine neutre pour qu’aucune région ou activité n’apparaisse
comme subordonnée à une autre : certaines entreprises préfèrent éviter de donner
l’impression qu’une région est subordonnée à une autre dans l’espace de noms.
Lorsque vous utilisez un domaine racine vide dans la forêt, tous les domaines
enfants peuvent être égaux dans la hiérarchie des domaines.
Les avantages d’un domaine régional ou d’entité en tant que
racine de la forêt
Active Directory
L’utilisation d’un domaine régional ou basé sur une entité de l’entreprise en tant que
domaine racine de la forêt peut également présenter un avantage. Cela vous permet
d’éviter la surcharge administrative liée à la gestion d’un domaine racine vide
supplémentaire.
15.6. Conception de domaine et sécurité

La sécurité peut être un élément important dans le choix de conception. Voyons en quoi
elle peut influencer vos décisions.
Active Directory comprend des fonctionnalités de sécurité qui sont définies par deux
composants.
559
j Le logiciel système qui compose un contrôleur de domaine Active Directory : il gère

entre autres les processus d’authentification et la définition de l’identité d’un
utilisateur.
j La base de données de l’annuaire stockée sur les contrôleurs de domaine : elle stocke
des informations telles que les mots de passe des utilisateurs, la composition des
groupes et les listes de contrôle d’accès (ACL) qui régissent l’accès aux objets.
Si un intrus modifie le logiciel système ou la base de données de l’annuaire sur un

contrôleur de domaine, les fonctionnalités de sécurité incluses dans Active Directory
peuvent être désactivées ou modifiées. Les personnes suivantes ont la possibilité de
lancer de telles attaques…
j Les administrateurs : ils doivent avoir la possibilité de modifier le logiciel système sur
les contrôleurs de domaine pour appliquer des correctifs logiciels, pour installer des
Service Packs ou des mises à niveau du système d’exploitation. Pendant ces
interventions classiques, un administrateur peut très bien installer un logiciel tiers
qui effectue des modifications malveillantes.
j Les personnes pouvant accéder physiquement aux contrôleurs de domaine : tout
individu ayant physiquement accès à un contrôleur de domaine peut attaquer le
système de deux manières. Soit il modifie ou remplace des fichiers de Windows
Server 2003 sur le disque dur hébergeant le logiciel système du contrôleur de
domaine, soit il utilise un accès hors ligne à la base de données de l’annuaire pour
lire des données sans que les listes de contrôle d’accès ne fonctionnent, pour utiliser
les mots de passe stockés dans la base ou faire des modifications dans cette dernière
qui affectent le comportement des contrôleurs de domaine si la base de données
hors ligne est connectée au système.
Les méthodes d’attaque sont les suivantes :

j accès aux disques physiques en redémarrant un contrôleur de domaine sur un autre

système d’exploitation ;
Active Directory
j suppression ou remplacement des disques physiques sur un contrôleur de domaine ;

j obtention et manipulation d’une copie d’une sauvegarde de l’état du système d’un
contrôleur de domaine.
Toutes ces éventualités d’attaque doivent être prises en compte, notamment dans le
choix du nombre de domaines (ou forêts) et de l’emplacement des contrôleurs de
domaine par exemple. La réflexion autour de la conception d’Active Directory doit tenir
compte de la sécurité.
15.7. Principe de conception des domaines

Voici quelques principes que vous pouvez appliquer dans votre conception de
domaines :
560
En résumé
j Déterminez le nombre minimal de domaines requis pour répondre aux besoins de

l’entreprise.
j Si possible, utilisez un modèle de domaine unique, sinon ayez recours à un modèle
de domaine régional ou basé sur les entités de l’entreprise.
Si vous utilisez un modèle de domaine régional ou basé sur les entités de

l’entreprise, créez un nouveau domaine comme racine vide de la forêt ou désignez
un des domaines régionaux ou basés sur les entités de l’entreprise comme racine de
la forêt.
j Enfin et surtout, pensez à décrire votre projet de conception dans un document, en
précisant le modèle de domaine, le nombre de domaines, le niveau fonctionnel de
chacun d’eux et celui qui sera utilisé comme racine de la forêt.
15.8. En résumé
En exposant les différents modèles de forêts et de domaines, nous avons posé les briques
fondamentales de la conception d’Active Directory. Les besoins de l’entreprise, ses
contraintes et son activité sont très importants car ils vont orienter la conception de
l’infrastructure logique d’Active Directory. Il n’y a pas de recette toute faite indiquant
d’appliquer tel modèle en fonction de l’activité de l’entreprise. Chaque cas est différent.
Ayez toujours le réflexe de considérer la structure monoforêt monodomaine en premier

lieu. Seules de bonnes raisons doivent vous pousser à ajouter des domaines dans la forêt
(comme Puzzmania) ou à ajouter d’autres forêts. Cette structure est la plus simple, mais
elle couvre quand même un très grand nombre de cas d’entreprise. Il serait dommage de
s’en priver.
Les grandes lignes de la conception sont maintenant posées : c’est à vous de jouer !
Active Directory
561
Chapitre 16
La conception de
la topologie de
sites
16.1 Les mécanismes de conception : définitions . . . . . . . . . . . . . . . . . . . . . . . . 565
16.2 Collecter les informations sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
16.3 Prévoir l’emplacement des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . 581
16.4 Concevoir des sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
16.5 Concevoir les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
16.6 Concevoir les ponts de liaison de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
16.7 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Les mécanismes de conception : définitions
L’ expression "topologie des sites" désigne la représentation logique du réseau

physique. La conception d’une topologie de sites permet de router efficacement
les requêtes clients et le trafic de réplication d’Active Directory. Lorsqu’elle est réussie,
elle offre les avantages suivants :
j une diminution du coût de la réplication des données Active Directory ;
j une diminution des efforts administratifs requis pour la maintenance de la topologie
des sites ;
j une planification de la réplication pendant les heures creuses pour les
emplacements équipés de liens réseau lents ou de connexions à distance ;
j une optimisation de la localisation des ressources les plus proches (contrôleurs de
domaine, serveurs DFS…), une amélioration des processus d’ouverture et de
fermeture de session et une amélioration des opérations de téléchargement de
fichiers.
En outre, elle permet une meilleure visibilité sur le projet de déploiement d’Active
Directory. Une conception de topologie de sites réussie permet aussi d’avoir les idées
claires avant d’aborder des aspects plus techniques. Une réflexion sur les aspects
concrets que sont la structure physique du réseau et l’objectif d’entreprise dans ce projet
est cruciale : c’est le moyen d’éviter les ennuis techniques par la suite. Bien que ce
chapitre soit plus théorique que pratique, notamment en ce qui concerne la mise en
place d’Active Directory chez Puzzmania, il est indispensable d’aborder ce sujet au
préalable afin d’éviter de prendre une mauvaise direction.
La conception d’une topologie de sites Active Directory inclut la compréhension de la

structure physique du réseau, la planification du placement des contrôleurs de domaine,
la conception des sites, des sous-réseaux, des liens de sites et des ponts de liaison de sites
pour assurer l’efficacité du routage des requêtes et du trafic de réplication.
Voici la description du processus de conception d’une topologie de sites :
16. La conception de la
topologie de sites
Figure 16.1 : Processus de conception de la topologie de sites
Avant d’examiner chaque point, familiarisez-vous avec les concepts relatifs aux sites.
16.1. Les mécanismes de conception : définitions

La topologie de sites affecte les performances du réseau et la capacité des utilisateurs à
accéder aux ressources réseau. Autrement dit, les utilisateurs risquent d’avoir une
565
Chapitre 16 La conception de la topologie de sites
mauvaise opinion de la nouvelle infrastructure si vous ne maîtrisez pas les concepts qui
vont suivre et si vous ne concevez pas une topologie de sites adéquate.
Pour ce faire, vous devez connaître un minimum de définitions techniques.
Les fonctionnalités liées aux sites

Windows Server 2003 utilise des fonctionnalités liées aux sites qu’il est important de
comprendre. Il s’agit du routage de la réplication, de l’affinité des clients, de la
réplication des volumes systèmes (Sysvol), de DFS et de la localisation des services.
Routage de la réplication
Active Directory utilise un modèle de réplication multimaître afin de répliquer d’un
contrôleur de domaine à un autre. Cela signifie qu’un contrôleur de domaine
communique les modifications de l’annuaire à un deuxième contrôleur, qui les
communique à un troisième, et ainsi de suite, jusqu’à ce que tous les contrôleurs de
domaine soient informés des modifications. Afin d’obtenir le meilleur équilibre possible
entre la réduction de la latence de réplication et la réduction du trafic, la topologie des
sites contrôle la réplication Active Directory en distinguant la réplication qui intervient
au sein d’un site et celle qui intervient entre les sites distants. À l’intérieur d’un même
site, la réplication, dite réplication intrasite, est optimisée en termes de vitesse.
En pratique, vous trouverez et pourrez configurer l’objet de connexion de réplication

dans le composant logiciel enfichable Sites et services Active Directory en déployant
l’objet contrôleur de domaine et le sous-objet NTDS Settings.
Figure 16.2 :
Boîte de dialogue d’un
objet de connexion de
réplication intrasite du
composant logiciel
enfichable Sites et
services Active Directory
topologie de sites
566
Une mise à jour de données d’annuaire, la création d’un compte par exemple, déclenche
la réplication et les données sont transmises non compressées aux autres contrôleurs de
domaine. À l’inverse, on compresse les données dans le cadre d’une réplication entre
des sites distants afin de minimiser le coût de transmission sur les liens distants. Lorsque
la réplication intervient entre des sites, un unique contrôleur par domaine sur chaque
site collecte et stocke les modifications de l’annuaire et les communique à intervalles
planifiés à un contrôleur de domaine d’un autre site.
Affinité des clients

Les contrôleurs de domaine utilisent les informations de site pour signaler aux clients
Active Directory la présence d’un ou de plusieurs contrôleurs de domaine à l’intérieur
du site le plus proche des clients en question. Prenons l’exemple de Puzzmania.
Considérez un client du domaine corp.puzzmania.com situé sur le site géographique

de Toulouse. Il ne connaît pas son affiliation de site. Il contacte un contrôleur de
domaine du site de Nice. En consultant l’adresse IP du client, le contrôleur de Nice
détermine le site auquel le client appartient et lui transmet les informations de site
afférentes. Il indique au client si le contrôleur de domaine choisi est le plus proche ou
non. Le client met en cache les informations de site fournies par Nice, demande
l’enregistrement de ressources de service (SRV) spécifiques au site et trouve donc un
contrôleur de domaine sur le site qui est le sien.
topologie de sites
Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services
Active Directory
567
Enregistrement de ressources de service (SRV)

Un enregistrement de ressources de service (SRV) est un enregistrement de ressources
DNS utilisé pour localiser les contrôleurs de domaine Active Directory.
En trouvant un contrôleur de domaine sur son site, le client s’épargne les

communications par les liens distants. Mais il est possible qu’il n’en trouve pas. Dans ce
cas, un contrôleur de domaine qui possède les connexions de plus faible coût par rapport
aux autres sites connectés publiés sur le site du client (enregistre via un enregistrement
de ressources SRN spécifique au site dans le DNS). Les contrôleurs de domaine publiés
dans le DNS sont ceux du site le plus proche selon ce qui est configuré dans la topologie.
Ce processus garantit que chaque site possède un contrôleur de domaine préféré pour
l’authentification.
Réplication Sysvol
Le volume système Sysvol est une arborescence de dossiers qui se trouve sur chaque
contrôleur de domaine. Les dossiers Sysvol fournissent un emplacement Active
Directory par défaut pour les fichiers qui doivent être répliqués dans un domaine,
c’est-à-dire les objets de stratégie de groupe, les scripts de démarrage et de fermeture
ainsi que les scripts d’ouverture et de fermeture de session.
Connectez-vous au partage Sysvol de votre contrôleur de domaine.
Figure 16.4 :
Vue du partage Sysvol du
domaine
puzzmania.com
Windows Server 2003 utilise le service de réplication de fichiers (FRS, File Replication
Service) pour répliquer les modifications apportées au contenu de Sysvol d’un contrôleur
de domaine vers un autre. Le service FRS réplique ces modifications en fonction de la
planification que vous créez durant la conception de la topologie des sites.
topologie de sites
DFS (Distributed File System)

Le système de fichiers distribués DFS utilise les informations de site pour diriger un
client vers le serveur qui héberge les données requises. Si le service DFS ne trouve pas
une copie des données dans le même site que celui du client, il utilise les informations de
site de l’annuaire pour déterminer le serveur de fichiers qui possède les données
partagées DFS les plus proches du client.
568
Localisation de services
En publiant des services comme les services de fichiers et d’impression dans Active
Directory, vous permettrez aux clients de localiser les services qu’ils requièrent dans leur
propre site ou dans le site le plus proche. Les services d’impression, par exemple,
utilisent l’attribut d’emplacement stocké dans Active Directory pour permettre aux
utilisateurs de parcourir le réseau à la recherche d’imprimantes en fonction de leur
emplacement, même s’ils ne le connaissent pas exactement. Il suffit de lancer une
recherche en remplissant le champ Emplacement et les imprimantes configurées pour ce
site apparaissent en résultat.
Figure 16.5 :
Recherche
d’imprimantes par
emplacement
Les concepts de réplication d’Active Directory

Nous définissons dans ce qui suit les concepts de réplication d’Active Directory.
Les différentes partitions

La base de données Active Directory est divisée de manière logique en plusieurs
partitions.
j la partition de schéma ;
j la partition d’annuaire ;
topologie de sites
j la partition de la configuration ;
j la partition du domaine ;
j la partition d’application.
La partition d’annuaire
Chaque partition est une unité de réplication et possède sa propre topologie de
réplication. La réplication est exécutée entre les réplicas des partitions d’annuaire. Tous
les contrôleurs de domaine de la même forêt ont au moins deux partitions d’annuaire en
commun : celles du schéma et de la configuration. De plus, ils partagent une partition de
domaine commune.
569
Figure 16.6 :
Définition des partitions
d’annuaire
La partition de schéma
Chaque forêt possède une seule partition de schéma. Cette partition de schéma est
stockée dans tous les contrôleurs de domaine de la même forêt. Elle contient les
définitions de tous les objets et attributs créés dans l’annuaire, ainsi que les règles qui
permettent de les créer et de les manipuler. Les données du schéma sont répliquées dans
tous les contrôleurs de domaine de la forêt. C’est pourquoi les objets doivent être
conformes aux définitions d’objet et d’attribut du schéma.
La partition de la configuration
Chaque forêt possède une seule partition de configuration. Stockée dans tous les
contrôleurs de domaine de la même forêt, la partition de configuration contient les
données sur la structure Active Directory de l’ensemble de la forêt, telles que les
domaines et les sites existants, les contrôleurs de domaine existants dans chaque forêt et
les services disponibles. Les données de la configuration sont répliquées dans tous les
contrôleurs de domaine de la forêt.
La partition de domaine
Chaque forêt peut avoir plusieurs partitions de domaine. Elles sont stockées dans
chaque contrôleur de domaine d’un domaine donné. Une partition de domaine contient
topologie de sites
les données sur tous les objets propres au domaine et créés dans ce domaine, tels que les
utilisateurs, les groupes, les ordinateurs et les unités d’organisation. Une partition de
domaine est répliquée dans tous les contrôleurs de domaine du domaine considéré.
Tous les objets de chaque partition de domaine d’une forêt sont stockés dans le
catalogue global avec un seul sous-ensemble de leurs valeurs d’attribut.
La partition d’application
Les partitions d’application stockent les données sur les applications dans Active
Directory. Chaque application détermine comment elle stocke, classe et utilise ses
propres données. Pour éviter toute réplication inutile des partitions d’application, vous
pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la
570
différence d’une partition de domaine, une partition d’application ne peut pas stocker
les principaux objets de sécurité, tels que les comptes d’utilisateur. De plus, les données
contenues dans une partition d’application ne sont pas stockées dans le catalogue global.
Par exemple, si vous utilisez le système DNS intégré à Active Directory, vous avez deux
partitions d’application pour les zones DNS : ForestDNSZones et DomainDNSZones.
j ForestDNSZones fait partie d’une forêt : tous les contrôleurs de domaine et les
serveurs DNS d’une forêt reçoivent un réplica de cette partition. Une partition
d’application d’une forêt entière stocke les données de la zone de la forêt.
j DomainDNSZones est unique pour chaque domaine : tous les contrôleurs de
domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette
partition. Les partitions d’application stockent la zone DNS du domaine dans
DomainDNSZones <nom_domaine>.
Chaque domaine possède une partition DomainDNSZones, mais il n’existe qu’une
partition ForestDNSZones. Aucune donnée DNS n’est répliquée sur le serveur de
catalogue global.
Le numéro de séquence de mise à jour (USN)

L’implémentation d’un annuaire implique la mise en place d’un mécanisme afin de
gérer le stockage incrémentiel des modifications apportées aux objets de l’annuaire. En
effet, le moindre changement de mot de passe doit pouvoir être transmis à tous les
contrôleurs de domaine. Ce système doit pouvoir être sélectif en cas de changements
portant sur une même propriété d’objet pour n’appliquer que le plus récent.
Certains services d’annuaire s’appuient sur une synchronisation en temps réel de tous
les contrôleurs de domaine. Toutefois, ce type de synchronisation temporelle de
plusieurs contrôleurs de domaine entre eux, s’avère difficile à gérer. La plus faible
variation peut influencer les résultats de la réplication.
La réponse à ce problème est le concept de numéro de séquence de mise à jour (USN,
Update Sequence Number). Active Directory l’utilise pour assurer une application exacte
des changements de l’annuaire. Un USN est une valeur de 64 bits et tous les contrôleurs
de domaine en possèdent un. Chaque modification d’une propriété d’objet dans un
annuaire (un changement de mot de passe par exemple) entraîne une incrémentation de
l’USN du contrôleur de domaine en question. Chaque contrôleur de domaine possède
topologie de sites
également une copie du dernier USN reçu par les autres contrôleurs. Grâce à cette
technique, les mises à jour sont plus directes. Prenons l’exemple de Puzzmania : lorsque
le contrôleur de domaine racine de la forêt SNCERCDC01 sollicite du contrôleur de
domaine SNCERCDC02 la réplication des modifications de ce dernier (création
d’utilisateurs), il extrait de sa table de référence interne l’USN de SNCERCDC02 le plus
récent reçu et ne réclame que les changements intervenus depuis ce numéro. La
simplicité de cette opération garantit la justesse du processus.
L’intégrité de la réplication est garantie car l’incrémentation d’un USN est dépendante
de la réussite d’une mise à jour. Si un problème vient entraver un cycle de réplication, le
récepteur concerné recherche toujours une mise à jour à partir de l’USN approprié.
571
Il est inutile de vous inquiéter des risques éventuels d’épuisement de la réserve d’USN.
Les 64 bits de ce nombre lui permettent de prendre en compte jusqu’à
18 446 744 073 709 551 616 changements par contrôleur de domaine.
La collision de réplication
Même avec le mécanisme de numéro de séquence de mise à jour, la collision est
possible. Par exemple, si un administrateur du domaine racine de la forêt puzzmania
.com réinitialise un mot de passe sur SNCERCDC01 et qu’un autre administrateur
réinitialise le même mot de passe sur SNCERCDC02 avant que SNCERCDC01 n’ait eu
l’occasion de distribuer sa modification, il y a inévitablement collision.
Ce problème est résolu grâce à un numéro de version de propriété (PVN, Property

Version Number). Il est appliqué en tant qu’attribut à chaque objet dans Active Directory
et est mis à jour et horodaté en séquence chaque fois qu’une modification est apportée
à l’objet. Si une collision de réplication se produit, le PVN le plus récent a priorité et le
mot de passe associé est affecté à l’utilisateur.
L’objet connexion
Un objet connexion est un objet Active Directory qui représente une connexion de
réplication d’un contrôleur de domaine à un autre. Un contrôleur de domaine est un
membre d’un unique site et est représenté dans le site par un objet serveur dans Active
Directory. Chaque objet serveur possède un objet NTDS Settings enfant qui
représente le contrôleur de domaine répliquant dans le site.
topologie de sites
Figure 16.7 : Objet serveur de type contrôleur de domaine et objet NTDS Settings vus par le
composant logiciel enfichable Sites et services Active Directory
572
L’objet connexion est un enfant de l’objet NTDS Settings du serveur de destination.

Pour que la réplication intervienne entre deux contrôleurs de domaine, l’objet serveur
de l’un doit avoir un objet connexion qui identifie le serveur source de réplication.
Toutes les connexions de réplication d’un contrôleur de domaine sont stockées sous la
forme d’objets de connexion sous l’objet NTDS Settings. L’objet connexion identifie
le serveur source de réplication, contient une planification de réplication et spécifie un
transport de réplication.
Le vérificateur de cohésion de connaissances (KCC, Knowledge Consistency Checker)

crée automatiquement des objets de connexion, qui peuvent aussi être créés
manuellement. À chaque fois que vous modifiez un objet de connexion créé par le KCC,
vous le convertissez automatiquement en un objet de connexion de type "manuel" et le
KCC cessera alors de lui apporter des modifications.
Les protocoles de transport de réplication

Active Directory utilise la technologie d’appel de procédure distante RPC (Remote
Procedure Call) sur le protocole IP pour transférer les données de réplication entre les
contrôleurs de domaine. Les réplications intersite et intrasite se servent de RPC sur IP.
Pour assurer la sécurité des données en transit, la réplication RPC sur IP fait appel à la
fois à l’authentification (protocole Kerberos v5) et au cryptage des données.
Si aucune connexion directe ou IP fiable n’est disponible, la réplication intersite peut

être configurée pour utiliser le protocole SMTP (Simple Mail Transfer Protocol).
Toutefois, la fonctionnalité de réplication SMTP est limitée et nécessite une autorité de
certification d’entreprise. SMTP ne peut être utilisé que pour répliquer les partitions de
configuration, de schéma et d’application de l’annuaire ; il ne prend pas en charge la
réplication des partitions de domaine.
Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intégré qui s’exécute sur tous
les contrôleurs de domaine et génère la topologie de réplication pour la forêt. Il crée des
topologies de réplications intrasite et intersite séparées. Le KCC ajuste dynamiquement
la topologie afin de tenir compte des contrôleurs de domaine qui sont nouveaux, ou
topologie de sites
temporairement indisponibles ou encore qui se sont déplacés d’un site à un autre, des
modifications de coûts, des planifications.
KCC et ISTG
Le KCC crée des objets de connexion afin de relier les contrôleurs de domaine au sein
d’une topologie commune. Il comprend deux composants : un contrôleur intrasite
KCC, qui se charge de la réplication à l’intérieur d’un site, et le générateur de
topologie intersite, ou ISTG (Intersite Topology Generator), qui crée les objets de
connexion entre sites.
573
Dans Windows Server 2003, ISTG a été amélioré et peut maintenant gérer jusqu’à
5000 sites. Toutefois, vous ne pourrez bénéficier des améliorations apportées à ISTG
que lorsque le niveau fonctionnel de la forêt sera passé en mode Windows
Server 2003.
Sur chaque contrôleur de domaine, le KCC crée des itinéraires de réplication en

créant des objets de connexion entrante unidirectionnelle qui définissent des
connexions depuis d’autres contrôleurs de domaine. Pour les contrôleurs de domaine
dans le même site, le KCC crée des objets de connexion de manière automatique.
Lorsque vous possédez plusieurs sites, vous configurez les liens qui les unissent et un
unique KCC dans chaque site se charge de créer automatiquement les connexions
intersites.
Fonctionnalité de basculement
Les sites garantissent que les données de réplication sont routées même en cas de
pannes réseau et de pannes des contrôleurs de domaine. Le KCC s’exécute à des
intervalles spécifiés afin d’ajuster la topologie de réplication pour l’adapter aux
modifications qui interviennent dans Active Directory (par exemple, en cas
d’extension de la société, lorsque de nouveaux contrôleurs de domaine sont ajoutés ou
lorsque de nouveaux sites sont créés). Le KCC vérifie le statut de réplication des
connexions existantes afin de déterminer si des connexions ont cessé de fonctionner.
Si une connexion ne fonctionne pas à cause d’un contrôleur de domaine en panne, le
KCC construit automatiquement des connexions temporaires vers les autres
partenaires de réplication (s’il en existe) afin de s’assurer que la réplication peut
s’opérer. Si tous les contrôleurs de domaine dans un site sont indisponibles, le KCC
crée automatiquement des connexions de réplication avec les contrôleurs de domaine
d’un autre site.
Le sous-réseau
Un sous-réseau est un segment d’un réseau TCP/IP auquel un ensemble d’adresses IP
logiques est attribué. Les sous-réseaux regroupent des ordinateurs en fonction de leur
proximité physique sur le réseau.

topologie de sites
D’un point de vue Active Directory, les objets de sous-réseau identifient les adresses
réseau qui sont utilisées pour mettre en correspondance les ordinateurs avec les
sites.
574
Figure 16.8 : Les sous-réseaux vus par le composant logiciel enfichable Sites et services
Active Directory
Les sites
Les sites correspondent à un ou plusieurs sous-réseaux TCP/IP dotés de connexions
réseau fiables et rapides. Les informations de site permettent aux administrateurs de
configurer l’accès et la réplication Active Directory afin d’optimiser l’utilisation du
réseau physique. Les sites sont représentés dans Active Directory sous la forme d’objets
de site. Les objets de site sont des ensembles de sous-réseaux et chaque contrôleur de
domaine dans la forêt est associé à un site Active Directory en fonction de son
adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs
domaines et un domaine peut être représenté dans plusieurs sites.
topologie de sites
Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory
575
Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour établir une
connexion pour la réplication Active Directory. Ils sont stockés dans Active Directory
sous la forme d’objets de lien de sites. Un tel objet représente un ensemble de sites qui
peuvent communiquer à coût uniforme via un transport intersite spécifié.
Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services
Active Directory
Tous les sites contenus dans un lien sont considérés comme connectés au sein d’un
même type de réseau. On relie manuellement les sites en utilisant des liens de sorte que
les contrôleurs de domaine dans un site puissent répliquer les modifications de

topologie de sites
l’annuaire vers les contrôleurs de domaine d’un autre site. Étant donné que les liens de
sites ne correspondent pas au chemin effectif pris par les paquets réseau sur le réseau
physique durant la réplication, vous n’avez pas besoin de créer des liens redondants pour
améliorer l’efficacité de la réplication Active Directory.
Lorsque deux sites sont connectés par un lien, le système de réplication crée
automatiquement des connexions entre des contrôleurs de domaine spécifiques dans
chaque site, appelés "serveurs tête de pont". Dans Windows Server 2003, le KCC peut
désigner plusieurs contrôleurs de domaine par site hébergeant la même partition
d’annuaire comme candidat au rôle de serveur tête de pont. Les connexions de
réplication créées par le KCC sont aléatoirement réparties entre tous les serveurs tête
576
de pont candidats dans un site afin que la charge de réplication soit partagée. Par défaut,
le processus de sélection aléatoire a lieu uniquement lorsque de nouveaux objets de
connexion sont ajoutés au site.
Toutefois, vous pouvez exécuter Adlb.exe, un nouvel outil du kit de ressources Windows
Server 2003 appelé "ADLB" (Active Directory Load Balancing) pour rééquilibrer la
charge à chaque fois qu’une modification intervient dans la topologie des sites ou que le
nombre de contrôleurs de domaine du site varie. En outre, ADLB peut échelonner les
planifications de manière que la charge de réplication sortante pour chaque contrôleur
de domaine soit répartie de façon égale au fil du temps. Interrogez l’aide de l’utilitaire
ADLB afin d’obtenir ses différentes options.
Pont de liaison de sites

Un pont de liaison de sites est un objet Active Directory qui représente un ensemble de
liens de sites susceptibles de communiquer en utilisant un transport commun. Les ponts
de liaison permettent aux contrôleurs de domaine qui ne sont pas directement connectés
au moyen d’un lien de communication d’opérer des réplications intersites. En général,
un pont de liaison correspond à un routeur (ou à un ensemble de routeurs) d’un
réseau IP.
En pratique, vous pourrez créer un pont de liaison de sites dans le composant logiciel
enfichable Sites et services Active Directory en déployant le conteneur Inter-Site
Transports, en sélectionnant le protocole de transport souhaité, puis en cliquant sur
Action et Nouveau pont entre liens de sites.
Figure 16.11 :
Création d’un pont de
liaison de sites à l’aide
du composant logiciel
enfichable Sites et
topologie de sites
Par défaut, le KCC peut former un itinéraire transitif via les liens de sites qui possèdent
certains sites en commun. Si ce comportement est désactivé, chaque lien de sites
577
représente son propre réseau distinct isolé. Les ensembles de liens de sites qui peuvent
être traités comme un unique itinéraire sont représentés sous la forme de ponts de
liaison de sites. Chaque pont représente un environnement de communication isolé
pour le trafic réseau.
Les ponts de liaison permettent de représenter logiquement la connectivité physique

transitive entre les sites. Chaque pont permet au KCC d’utiliser n’importe quelle
combinaison de liens de sites inclus pour déterminer l’itinéraire le moins coûteux
lorsqu’il s’agit d’interconnecter des partitions d’annuaires conservées dans ces sites. Le
pont ne fournit lui-même aucune connectivité aux contrôleurs de domaine. S’il est
supprimé, la réplication sur les liens de sites combinés se poursuit jusqu’à ce que le KCC
supprime les liens.
Les ponts ne sont nécessaires que si un site contient un contrôleur de domaine

hébergeant une partition d’annuaire qui n’est pas également hébergée par un contrôleur
de domaine dans un site adjacent. Les sites adjacents sont définis comme étant inclus
dans un unique lien de sites.
Le pont crée une connexion logique entre deux liens de sites déconnectés, qui fournit un
chemin transitif via un site intérimaire. Pour les besoins du générateur de topologie
intersite (ISTG, Intersite Topology Generator), le pont n’implique pas qu’un contrôleur
de domaine dans le site intérimaire fournisse le chemin de réplication. Toutefois, ce
serait le cas si le site intérimaire contenait un contrôleur de domaine qui hébergeait la
partition d’annuaire à répliquer ; un pont ne serait alors pas requis.
Le coût de chaque lien de sites est additionné jusqu’à former une somme totale pour le
chemin résultant. Le pont serait utilisé si le site intérimaire ne contenait pas un
contrôleur hébergeant la partition d’annuaire et s’il n’existait aucun lien de coût plus
faible. Si le site intérimaire contenait un contrôleur qui héberge la partition d’annuaire,
deux sites déconnectés configureraient des connexions de réplication pour le contrôleur
de domaine intermédiaire et n’utiliseraient pas le pont.
Transitivité des liens de sites

Par défaut, tous les liens de sites sont transitifs. Lorsqu’ils sont reliés par un pont et que
les planifications se chevauchent, le KCC crée des connexions de réplication qui

topologie de sites
déterminent les partenaires de réplication intersite des contrôleurs de domaine. Dans ce

contexte, les sites sont connectés, non pas directement par des liens, mais de manière
transitive via un ensemble de sites communs. Cela signifie que vous pouvez connecter
n’importe quel site à n’importe quel autre via une combinaison de liens.
En général, pour un réseau complètement routé, vous n’avez pas besoin de créer de
ponts, à moins de vouloir contrôler le flot des changements de réplication. Tous les liens
de sites pour un transport spécifique appartiennent implicitement à un unique pont. La
mise en pont par défaut des liens de sites survient automatiquement et aucun autre objet
Active Directory ne représente ce pont. Le paramètre Relier tous les liens du site
578
disponible dans les propriétés des conteneurs de transport intersite IP et SMTP

implémente les ponts de liaison de sites.
Serveur de catalogue global

Un serveur de catalogue global est un contrôleur de domaine qui stocke des
informations concernant tous les objets de la forêt, mais pas les attributs, afin que les
applications puissent effectuer des recherches dans l’annuaire Active Directory sans
avoir à se référer à des contrôleurs de domaine spécifiques qui stockent les données
requises. Comme tous les contrôleurs de domaine, le serveur de catalogue global stocke
des réplicas complets et enregistrables du schéma et de la configuration des partitions
d’annuaire ainsi qu’un réplica complet et enregistrable de la partition d’annuaire du
domaine qui l’héberge.
Il est possible de configurer le contrôleur qui sera serveur de catalogue global à l’aide du
composant logiciel enfichable Sites et services et des propriétés de l’objet NTDS
Settings de l’objet contrôleur de domaine.
Figure 16.12 :
Configuration du serveur
de catalogue global à
l’aide du composant
logiciel enfichable Sites
et services Active
Directory
topologie de sites
Mise en cache de l’appartenance aux groupes universels
Un contrôleur de domaine peut mettre en cache les informations d’appartenance aux
groupes universels. Sur les contrôleurs de domaine exécutant Windows Server 2003,
vous pouvez activer cette fonctionnalité à l’aide du composant logiciel enfichable Sites
et services Active Directory, via les propriétés de l’objet NTDS Settings du site.
579
Figure 16.13 :
Configuration de la mise
en cache de
l’appartenance aux
groupes universels à
l’aide du composant
logiciel enfichable Sites
et services Active
Directory
La mise en cache de l’appartenance aux groupes universels évite qu’un serveur de

catalogue global soit requis dans chaque site d’un domaine. L’utilisation de la bande
passante réseau est ainsi minimisée car il n’est pas nécessaire qu’un contrôleur de
domaine réplique tous les objets situés dans la forêt. Les temps d’authentification sont
également réduits, car les contrôleurs de domaine qui authentifient n’ont pas toujours
besoin d’accéder à un catalogue global pour obtenir des informations d’appartenance
aux groupes universels.
16.2. Collecter les informations sur le réseau

Cette étape, très importante, permet de se faire une meilleure idée de ce qui va être mis
en place par la suite et de repérer des points de contention ou difficultés dues au réseau
physique. Pour synthétiser ces informations, vous devez…

topologie de sites
j Créer une carte des emplacements : il s’agit de lister les sites géographiques et les
groupes d’ordinateurs sur un réseau local dans le but de schématiser son
infrastructure.
j Lister les liens de communication et la bande passante : cela vous permettra
d’attirer l’attention sur les sites reliés par des lignes bas débit, par exemple.
j Lister les sous-réseaux IP à chaque emplacement : il s’agit de relever les
sous-réseaux IP et les masques associés afin de déterminer la configuration des sites
dans Active Directory.
580
Prévoir l’emplacement des contrôleurs de domaine
Tableau 16.1 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris,
Toulouse, Londres et Nice R&D pour Puzzmania
Site Numéro de Adresse du sous- Adresses IP des Adresse de broadcast
géographique sous-réseau réseau machines
Nice 1 172.100.0.0 172.100.0.1 à 172.100.15.255
172.100.15.254
Toulouse 2 172.100.16.0 172.100.16.1 à 172.100.31.255
172.100.31.254
Paris 3 172.100.32.0 172.100.32.1 à 172.100.47.255
172.100.47.254
Londres 4 172.100.48.0 172.100.48.1 à 172.100.63.255
172.100.63.254
Nice R&D 5 172.100.64.0 172.100.64.1 à 172.100.79.255
172.100.79.254
Active Directory associe chaque machine à un site spécifique en comparant l’adresse IP

de la machine avec les sous-réseaux associés à chaque site. Lorsque vous ajoutez des
contrôleurs à un domaine, Active Directory examine également leur adresse IP et les
place dans le site approprié. Ce processus est automatique.
j Lister les domaines et le nombre d’utilisateurs pour chaque emplacement : cette
information est un des facteurs qui détermine le placement des contrôleurs de
domaine et des serveurs de catalogue global.
L’association des informations sur les sous-réseaux IP, la bande passante et les
emplacements va déterminer la configuration de réplication.
16.3. Prévoir l’emplacement des contrôleurs de

domaine
Grâce aux informations recueillies par la collecte des informations sur le réseau, vous
pourrez déterminer à quel endroit il sera judicieux d’installer un contrôleur de domaine.
Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre
topologie de sites
grands rôles dévolus aux contrôleurs de domaine :
j les contrôleurs de domaine racine de la forêt ;
j les contrôleurs de domaine régionaux (les contrôleurs de domaine des domaines
enfants) ;
j les contrôleurs de domaine qui sont aussi serveurs de catalogue global ;
j les contrôleurs de domaine ayant des rôles maîtres d’opération particuliers.
D’une manière générale, ne choisissez pas un emplacement sur lequel vous ne pouvez
pas garantir sa sécurité physique.
581
Prévoir l’emplacement des contrôleurs de domaine racine de

la forêt
Les contrôleurs de domaine racine de la forêt sont cruciaux dans l’infrastructure. Sans eux,
il est difficile d’aller plus loin. Ils doivent donc être situés plutôt à des emplacements qui
hébergent des centres de données ou des emplacements principaux de la société, là où se
trouvent les personnes les plus compétentes. Ces personnes doivent avoir mis en place et
décrit des procédures de sauvegarde et de restauration d’Active Directory éprouvées.
Pour plus d’informations sur les techniques de sauvegarde et de restauration d’Active

Directory, consultez le chapitre La maintenance d’Active Directory.
Les contrôleurs de domaine racine de la forêt doivent être placés sur un site
géographique qui possède des liens distants suffisamment rapides pour répliquer
correctement les données d’annuaire vers les autres sites. Les lignes d’accès distants vers
les contrôleurs de domaine racine de la forêt doivent être les plus stables possibles.
Les administrateurs de l’infrastructure de Puzzmania décident donc, d’après ces
caractéristiques, de placer les contrôleurs de domaine racine de la forêt puzzmania.com
sur le site géographique de Nice. C’est à cet endroit que se trouvent les personnes les plus
compétentes et aussi les locaux les plus sécurisés, notamment en raison de l’activité de
recherche et de développement. Le site de Nice est en outre un point névralgique du
réseau. Les contrôleurs de domaine en question s’appellent SNCERCDC01 et SNCERCDC02.
Prévoir l’emplacement des contrôleurs de domaine régionaux

Les contrôleurs de domaine régionaux s’occupent des domaines fils du domaine racine
de la forêt.
Figure 16.14 :
Schéma de
représentation de la forêt
puzzmania.com
topologie de sites
582
Ici, corp.puzzmania.com et rd.puzzmania.com sont considérés comme des domaines

régionaux contenant des contrôleurs de domaine régionaux. Il faut prévoir de les positionner,
pour chaque domaine représenté, aux emplacements principaux. Limitez leur nombre autant
que possible pour réduire les coûts. Le fait d’éliminer des contrôleurs de domaine des
emplacements dits secondaires (les sites sur lesquels ne se trouvent qu’une poignée de
personnes) réduit les coûts de maintenance des contrôleurs de domaine à distance.
Combien existe-t-il de contrôleurs de domaine de secours ?

Outre le placement de ces contrôleurs de domaine, posez-vous la question du nombre de
contrôleurs de domaine de secours dont vous avez besoin pour un domaine donné.
Êtes-vous prêt à n’avoir qu’un seul contrôleur de domaine pour votre domaine au risque
que le domaine soit indisponible en cas de problème ? Préférez-vous placer un, voire deux
contrôleurs de domaine de secours, quitte à ce qu’ils soient sur des sites distants, pour
modérer l’impact d’un arrêt d’un contrôleur de domaine, même si les authentifications
sont plus lentes, et éviter une éventuelle indisponibilité totale du domaine ?
À vous de faire la part des choses en vous aidant des informations collectées sur le
réseau et en tenant compte également du nombre d’utilisateurs sur votre domaine, du
nombre et des horaires de leurs authentifications, ainsi que des services rendus par le
domaine, comme le déploiement d’applications. Quel sera l’impact sur les postes
clients en cas d’indisponibilité du domaine ?
Vous pouvez suivre le raisonnement logique suivant afin de vous aider dans votre démarche.
topologie de sites
Figure 16.15 : Prévoir l’emplacement des contrôleurs de domaine régionaux
583
En recoupant les informations, les administrateurs de l’infrastructure des domaines

corp.puzzmania.com et rd.puzzmania.com décident de placer les contrôleurs de
domaine de la façon suivante…
j Pour corp.puzzmania.com : trois contrôleurs seront installés et configurés, un
dans chaque site géographique principal. SNCECPDC01 se trouvera sur le site de
Nice, STLSCPDC01 sur le site de Toulouse et SPARCPDC01 sur le site de Paris. Aucun
contrôleur de domaine ne sera sur le site de Londres. Ce choix allie le compromis
car on réduit les coûts en prenant le risque de ne mettre qu’un contrôleur par site
géographique et de subir des ralentissements, et la faisabilité car on tient compte du
nombre d’utilisateurs et de ressources.
j Pour rd.puzzmania.com : deux contrôleurs seront installés et configurés sur le site
de Nice. SNCERDDC01 et SNCERDDC02 seront sécurisés (il y en aura deux pour éviter
les arrêts de service et ils seront installés dans une salle informatique sécurisée, et
donc située à Nice). En outre, les utilisateurs qui s’y connecteront sont situés à Nice.
Prévoir l’emplacement des serveurs de catalogue global

Les serveurs de catalogue global facilitent les requêtes d’authentification des utilisateurs
et les recherches portant sur la forêt entière.
Certaines applications, comme Exchange et les applications utilisant DCOM

(Distributed COM), nécessitent un accès rapide aux serveurs de catalogue global afin de
répondre aux transactions utilisateurs sans effet de latence. Cela signifie qu’il faut au
moins un serveur de catalogue global sur le même site que le serveur applicatif.
Pour des emplacements qui incluent moins de cent utilisateurs et peu d’utilisateurs
itinérants ou d’applications qui requièrent un serveur de catalogue global, vous pouvez
activer la mise en cache de l’appartenance aux groupes universels. Assurez-vous que les
serveurs de catalogue global ne se trouvent pas à plus d’un saut de réplication du
contrôleur de domaine sur lequel la mise en cache de l’appartenance aux groupes
universels est activée, de manière que les informations de groupe universel dans le cache
puissent être actualisées.
Afin de déterminer à quel emplacement vous devez mettre vos serveurs de catalogue
topologie de sites
global ou si vous devez activer la mise en cache de l’appartenance aux groupes

universels, vous pouvez suivre le raisonnement logique suivant (voir fig. 16.16).
Revenons à Puzzmania. C’est le nombre d’applications nécessitant un accès rapide aux

serveurs de catalogue global qui détermine combien et quels contrôleurs de domaine
doivent être configurés comme serveurs de catalogue global :
j SNCERCDC01 (racine puzzmania.com) ;
j SNCECPDC01 (corp.puzzmania.com) ;
j SPARCPDC01 (corp.puzzmania.com) ;
j SNCERDDC01 (rd.puzzmania.com).
584
topologie de sites
Figure 16.16 : Prévoir l’emplacement des serveurs de catalogue global
Déterminer l’emplacement des rôles maîtres d’opération

Trois rôles maîtres d’opération existent dans chaque domaine :
j L’émulateur de contrôleur de domaine principal (CPD) traite toutes les requêtes de
réplication provenant de contrôleurs de domaine secondaires Windows NT 4.0
585
Server et toutes les mises à jour de mots de passe pour les clients qui n’exécutent pas
le logiciel client Active Directory (Windows 95 par exemple).
j Le maître d’ID relatifs alloue des ID relatifs à tous les contrôleurs de domaine pour
garantir que tous les principaux de sécurité (les identifiants de sécurité) possèdent
un identifiant unique.
j Le maître d’infrastructure d’un domaine conserve une liste des principaux de
sécurité d’autres domaines qui sont membres de groupes dans son propre domaine.
Deux rôles maîtres d’opération existent dans chaque forêt :

j Le maître de schéma régit les modifications du schéma.
j Le maître d’attribution de noms de domaine ajoute et supprime des domaines à la
forêt.
Maître de schéma
Avant d’ouvrir le composant logiciel enfichable Schéma Active Directory, qui permet
d’attribuer le rôle maître de schéma, n’oubliez pas d’enregistrer la DLL schmmgmt
.dll de la façon suivante : cliquez sur Démarrer/Exécuter, saisissez regsvr32
schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel
enfichable Schéma Active Directory à condition d’avoir les droits nécessaires.
Les détenteurs des rôles maîtres d’opération sont désignés automatiquement lorsque le
premier contrôleur de domaine dans un domaine est créé. Les deux rôles de niveau forêt
sont attribués au premier contrôleur de domaine créé dans la forêt et les trois rôles de
niveau domaine sont attribués au premier contrôleur de domaine créé dans le domaine.
Désignez ces contrôleurs de domaine, puis ceux qui seront maîtres d’opération
remplaçants. Assurez-vous que le maître d’opérations remplaçant est un partenaire de
réplication direct du maître d’opération titulaire.
Dans un modèle de forêt comprenant des domaines père et fils, veillez à ce que le
contrôleur maître d’infrastructure ne soit pas également serveur de catalogue global.
Une pratique courante est de placer, dans un domaine donné, tous les rôles maîtres
d’opération sur le premier contrôleur installé et de désigner le contrôleur de domaine de

topologie de sites
secours comme serveur de catalogue global. C’est un choix possible. Dans un modèle à
domaine unique, laissez le rôle maître d’infrastructure au premier contrôleur de
domaine et configurez tous les autres, même le premier, comme serveurs de catalogue
global. En effet, le rôle de maître d’infrastructure est sans importance dans un modèle à
domaine unique parce que les principaux de sécurité des autres domaines n’existent pas.
La répartition des maîtres d’opération est intéressante chez Puzzmania. Elle tient
compte des serveurs de catalogue global, de l’équilibre de charge et des bonnes
coutumes de placement des maîtres d’opération. Voici un tableau synthétisant les rôles
tenus par les contrôleurs de domaine de la forêt puzzmania.com.
586
Concevoir des sites
Tableau 16.2 : Emplacement des maîtres d’opération dans la forêt puzzmania.com

Localisation Rôles maîtres Rôles maîtres d’opération du Paramètre
d’opération de la domaine de site
forêt
Domaine Contrôleur de Maître de Maître Émulateur Maître Maître Serveur
domaine schéma d’attribution CPD d’ID d’infra- de
de noms relatifs structure catalogue
de (RID) global
domaine
puzzmania.com SNCERCDC01 Non Non Oui Oui Non Oui
SNCERCDC02 Oui Oui Non Non Oui Non
corp.puzzmania SNCECPDC01 Non Non Oui Non Non Oui
.com
STLSCPDC01 Non Non Non Non Oui Non
SPARCPDC01 Non Non Non Oui Non Oui
rd.puzzmania SNCERDDC01 Non Non Oui Oui Non Oui
.com
SNCERDDC02 Non Non Non Non Oui Non
16.4. Concevoir des sites

Une fois les contrôleurs de domaine définis et placés sur le réseau, vous devez maintenant
en créer les sites dans Active Directory. Pour cela, respectez les conseils suivants :
j Créez des sites pour tous les emplacements dans lesquels vous prévoyez de placer
des contrôleurs de domaine (utilisez les informations récoltées lors de la phase de
prévision des emplacements des contrôleurs de domaine).
j Créez des sites pour les emplacements qui incluent des serveurs exécutant des
applications qui requièrent qu’un site soit créé (par exemple DFS).
j Si un site n’est pas requis, ajoutez le sous-réseau associé à un site pour lequel
l’emplacement possède la vitesse et la bande passante disponible intersite
maximales.
C’est à l’aide du composant logiciel enfichable Sites et services Active Directory que
topologie de sites
vous créerez les sites.
Pour plus d’informations sur les opérations pratiques à réaliser à l’aide du composant
logiciel enfichable Sites et services Active Directory, consultez le chapitre L’administration
et la gestion des sites dans le volume II de la bible Windows Server 2003.
La configuration appliquée à Puzzmania est très simple : les sites Nice, Toulouse, Paris,
Londres, Nice R&D sont créés. Même s’il n’y a aucun contrôleur de domaine à Londres,
cela ne coûte pas grand-chose d’anticiper l’avenir.
587
16.5. Concevoir les liens de sites

Maintenant que les contrôleurs de domaine sont positionnés et que les sites sont créés
dans Active Directory, vous allez devoir relier ces derniers avec des liens de sites de
manière que lesdits contrôleurs dans chaque site puissent répliquer les modifications
d’Active Directory.
En vous aidant des informations collectées sur le réseau, notamment de la liste des liens
de communication et de la bande passante, "superposez" les sites géographiques, les
liens de communication, les sites Active Directory et déduisez-en les sites à relier et les
liens à mettre en place.
Une fois les liens de sites positionnés, vous devez les pondérer. En effet, d’un point de
vue Active Directory, lorsque vous affectez un lien entre deux sites, il est identique à
première vue à n’importe quel autre lien. Or, lorsque vous superposez les liens de sites
et les liens de communication entre les sites géographiques, vous vous apercevez
immédiatement de leurs différences (certains sont à 56 ko et d’autres à 4 Mo par
exemple). Il faut en fait tenir compte de la notion de coût dans Active Directory afin de
pondérer les liens de sites.
Comment déterminer le coût d’un lien de sites ? Il faut savoir que le coût permet de
valoriser les connexions peu coûteuses (rapides) par rapport aux connexions plus
coûteuses (lentes) dans le but d’encombrer le moins possible les liens réseau lents
pendant les requêtes clients ou la réplication d’Active Directory. Par exemple : un
contrôleur de domaine d’un site qui est relié à plusieurs autres sites par des liens à débits
différents répliquera en priorité les informations vers les contrôleurs de domaine situés
sur les sites où le lien de sites est le moins coûteux.
Pour savoir comment affecter un coût à un lien de sites par rapport aux caractéristiques
du lien de communication, aidez-vous du tableau des valeurs de coût suivant :
Tableau 16.3 : Tableau des valeurs de coût en fonction de la bande passante disponible
Bande passante disponible (Ko/s) Coût
9,6 1042
19,2 798
38,4 644
topologie de sites
56 586
64 567
128 486
256 425
512 378
1024 340
2048 309
4096 283
588
Concevoir les liens de sites
Figure 16.17 :
Affectation du coût d’un
lien de sites à l’aide du
composant logiciel
enfichable Sites et
Des liens de sites sont donc créés entre les différents sites de l’infrastructure Puzzmania.
En correspondance avec le schéma réseau, un coût de 283 est paramétré sur les liens
Nice-Paris et Nice-Toulouse. Un coût de 309 est paramétré sur le lien Toulouse-Paris.
L’étape logique qui vient après la détermination du coût du lien de sites est la
planification des horaires de réplication entre les deux sites reliés. Vous avez la
possibilité de déterminer les heures auxquelles la réplication va se dérouler en fonction
de la qualité du lien de sites (et par extension, de la qualité du lien de communication).
Pour régler ces horaires, utilisez le composant logiciel enfichable Sites et services Active
Directory.
Figure 16.18 :
Réglage des horaires de
topologie de sites
réplication à l’aide du
composant logiciel
enfichable Sites et
589
En fonction des heures travaillées, il est plus judicieux, dans le contexte de Puzzmania,
de suspendre la réplication de 7 heures à 12 heures et de 14 heures à 20 heures. Cela
permettra de réserver le WAN à d’autres usages.
16.6. Concevoir les ponts de liaison de sites

Pour les architectures plus complexes, un pont de liaison de sites connecte deux liens de
sites ou plus. Il active la transitivité entre les liens. Chaque lien dans un pont doit avoir
un site commun avec un autre lien participant au pont, sans quoi ledit pont ne peut
calculer le coût entre les sites dans le lien et les sites dans les autres liens du pont.
Par défaut, tous les liens de sites sont transitifs. Le paramètre Relier tous les liens du site
est en effet activé par défaut. Créer un pont correspond à désactiver cette option pour
certains liens de sites et à activer la transitivité pour les liens de sites que l’on
sélectionne.
Dans quels cas devez-vous créer un pont ?

j Pour pallier le fait que le réseau IP n’est pas complètement routé.
j Pour contrôler le flux de réplication d’Active Directory, soit parce que la réplication
s’effectue au travers d’un pare-feu, soit parce que vous voulez contrôler le
basculement de la réplication lors d’une panne d’un contrôleur de domaine.
topologie de sites
Figure 16.19 : Schéma de pont de liaison de sites
590
En résumé
Dans cet exemple, ce pont empêchera la réplication des contrôleurs de domaine des
sites A, C et D vers le reste du réseau en cas de panne du contrôleur du site B.
L’infrastructure de Puzzmania n’est pas assez complexe pour nécessiter la création de

ponts de liaison de sites.
16.7. En résumé
Ce chapitre aborde les aspects théoriques de la conception de la topologie de sites. Il
présente des définitions, une méthodologie mais également des règles incontournables
de bon fonctionnement. Si vous respectez cette méthodologie et ces règles, les
utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce
qui concerne la réplication des informations d’annuaire entre les sites distants.
Selon votre infrastructure, vous trouverez forcément plusieurs solutions, plusieurs

configurations qui répondront correctement à vos besoins en respectant la
méthodologie et les règles. D’autres facteurs rentreront alors en ligne de compte,
comme la consolidation des serveurs ou la réduction des coûts.
En ce sens, il est intéressant de mettre en parallèle les règles de conception et l’étude de

cas car, durant la lecture de ce chapitre, vous vous êtes sûrement dit que vous auriez
procédé autrement, ou bien que cette solution ne serait pas applicable au projet sur
lequel vous travaillez. Mais les administrateurs de Puzzmania ont tranché, ils ont fait des
compromis et vous serez amené à en faire de votre côté.
topologie de sites
591
Chapitre 17
La conception et
l’implémentation de la
structure des unités
d’organisation
17.1 Planifier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
17.2 Concevoir une structure d’unités d’organisation – les modèles de structure
d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
17.3 Implémenter la structure d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . 601
17.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Planifier la structure administrative
L es unités d’organisation sont les conteneurs (des sortes d’espaces de classement) du
service d’annuaire Active Directory que vous utilisez pour placer des utilisateurs,
17. La conception et
structure des UO
des groupes, des ordinateurs et d’autres unités d’organisation. Du fait de la grande
flexibilité dans la création des unités d’organisation et de leur imbrication, ces
conteneurs peuvent refléter une structure organisée et, par extension, les structures
hiérarchique et logique de votre entreprise.
Vous pouvez gérer la configuration et l’utilisation de comptes et de ressources en
fonction de votre modèle d’organisation. Vous êtes libre, par exemple, d’utiliser les
unités d’organisation pour appliquer automatiquement des stratégies de groupe
définissant des paramètres pour les comptes d’ordinateur et d’utilisateur dans Active
Directory en accord avec la politique d’entreprise (sécurité, applications, droits).
Le cycle de vie des unités d’organisation inclut quatre phases :
j La planification : durant cette phase, vous déterminez quelles unités d’organisation
vous allez créer et comment vous en déléguerez le contrôle administratif.
j Le déploiement : vous créez la structure d’unités d’organisation en fonction de leur plan.
j La maintenance : après avoir créé la structure, vous pouvez renommer, déplacer ou
modifier les unités d’organisation créées en fonction des besoins de l’organisation.
j La suppression : dans Active Directory, tous les objets, y compris les unités
d’organisation, occupent de l’espace sur le contrôleur de domaine qui les héberge.
Lorsque des unités d’organisation ne sont plus requises, vous devez les supprimer.
17.1. Planifier la structure administrative

Cette section explique comment concevoir la structure administrative de
l’infrastructure. Elle montre comment collecter les données nécessaires et fournit des
instructions à suivre. En règle générale, la conception de la structure administrative de
l’infrastructure est basée sur la structure d’administration du service informatique de
l’entreprise. La technologie (les unités d’organisation) se met au service des besoins (le
service informatique de l’entreprise qui comprend les hommes et les processus).
L’un des points-clés concerne la conception d’une structure d’unités d’organisation. Par
exemple, une structure d’unités d’organisation bien conçue permet aux administrateurs
de déléguer leur autorité, ce qui allège leur charge de travail par rapport à une
administration centralisée. Mais cette délégation n’est possible que si le découpage de
l’administration des objets est en adéquation avec les rôles et les responsabilités de la
personne à qui l’on délègue cette administration.
La collecte des données

Vous devez examiner les éléments essentiels de votre structure d’annuaire et de votre
service informatique, puis collecter les informations utiles pour concevoir une nouvelle
structure administrative. Voici les bonnes questions à vous poser pour y arriver.
595
Chapitre 17 La conception et l’implémentation de la structure des UO
Examen de la structure d’annuaire existante

Comprendre comment et pourquoi la structure d’annuaire existante a été créée vous

structure des UO
aidera à concevoir une structure administrative en adéquation avec vos besoins. Utilisez
les données fournies en réponse aux questions suivantes pour votre réflexion.
j Quelles sont les raisons qui justifient la structure d’annuaire actuelle ? Par exemple,
quels sont les liens avec le découpage en sites physiques ? Avec l’enjeu
d’entreprise ?
j La structure d’annuaire est-elle évolutive ?
j Quelles personnes administrent actuellement la forêt et les domaines ? Leurs rôles
doivent-ils être maintenus ?
j Qui sont les administrateurs de service actuels ? Le nombre de personnes
remplissant ce rôle est-il suffisant ? Les responsabilités de ces personnes
doivent-elles rester les mêmes ?
Examen des ressources de l’organisation

L’identification et la catégorisation des ressources sont un aspect essentiel dans la
conception d’une structure administrative. La collecte d’informations sur les ressources
vous permet de concevoir une structure englobant tous les types de ressources. Par
exemple, vous pouvez créer une unité d’organisation qui contient tous les ordinateurs
portables des commerciaux.
Prenez en compte les informations suivantes sur les ressources de votre organisation :
j Le matériel : identifiez les serveurs, les ordinateurs, les portables, les
imprimantes, etc. Veillez à inclure la fonction de chaque équipement, son
emplacement physique et la quantité de chaque équipement. Consignez certains
détails importants sur les équipements. Pour des imprimantes par exemple, indiquez
si elles sont locales ou reliées au réseau.
j Les rôles professionnels : consignez tous les rôles professionnels (par exemple,
commercial) et décrivez les tâches associées à chacun d’entre eux. Déterminez quels
rôles présentent des exigences particulières en matière d’administration.
j Les groupes : identifiez tous les groupes et décrivez-les.
Examen des ressources administratives

Pour créer une structure administrative efficace, vous devez identifier et catégoriser les
ressources de votre entreprise selon leur fonction administrative. À partir des
informations collectées, déterminez si la structure d’unités organisation est basée sur le
rôle professionnel, sur la fonction administrative ou sur les deux. Collectez les
informations relatives aux thèmes suivants :
596
Planifier la structure administrative
Les rôles administratifs
Parmi les rôles suivants, déterminez ceux qui existent actuellement dans votre
structure des UO
organisation :
j Les administrateurs de rôles : administrateurs du support technique,
administrateurs des services, administrateurs des données.
j Les administrateurs de groupes fonctionnels : administrateurs de serveurs,
d’imprimantes, de bureaux.
j Les administrateurs d’emplacements : administrateurs de sites distants.
Les contraintes pour l’administration

Posez-vous les questions suivantes :
j Quelles personnes ont besoin de créer, de modifier, de gérer et de supprimer des
comptes d’utilisateurs ?
j Quelles personnes ont besoin de gérer les ressources de fichiers et de dossiers, y
compris les autorisations associées ?
j Quelles personnes ont besoin de gérer la stratégie de groupe ?
Les modèles administratifs informatiques

Un modèle administratif informatique définit les personnes chargées de gérer des
ressources informatiques spécifiques dans le réseau d’une entreprise, ainsi que le niveau
de contrôle exercé par chaque administrateur.
Si vous arrivez à établir un parallèle entre un modèle administratif prédéfini et votre
structure administrative lorsque vous concevez une structure d’unités d’organisation,
vous êtes sur la bonne voie.
Nous allons décrire dans ce qui suit les différents types de modèles administratifs.
Le modèle Informatique centralisée

Le service informatique de l’entreprise ne fait appel qu’à une seule personne. Elle est
responsable de tous les services réseau et informatiques, mais quelques tâches
quotidiennes peuvent être déléguées à certains groupes.
Le modèle Informatique centralisée avec administration

décentralisée
Le service informatique utilise une gestion distribuée où le contrôle est réparti entre
plusieurs emplacements. Une équipe informatique principale centralisée est
responsable de l’administration de l’infrastructure, mais elle délègue des tâches aux
administrateurs informatiques situés sur les sites distants, lesquels assurent le support
technique à leurs utilisateurs.
597
Le modèle Informatique décentralisée

Ce modèle permet à plusieurs services de l’entreprise de choisir le modèle informatique

structure des UO
qui répond le mieux aux besoins de chacun d’entre eux. Il peut se composer de plusieurs
groupes d’administrateurs informatiques avec des objectifs et des besoins divers. Pour
chaque mise à jour ou installation majeure affectant toute l’entreprise, par exemple la
mise en place de la messagerie à l’échelle de l’entreprise, les groupes d’administrateurs
informatiques doivent travailler ensemble pour implémenter les modifications.
Le modèle Informatique externalisée

Les entreprises externalisent tout ou partie de leur service informatique. Ce modèle
accroît les risques d’intrusion du fait de droits d’accès incomplètement maîtrisés. Il faut
redoubler d’efforts sur la sécurité lors de la mise en place de ce modèle.
17.2. Concevoir une structure d’unités d’organisation –

les modèles de structure d’unités d’organisation
Après avoir déterminé le meilleur modèle administratif pour votre entreprise, vous
devez structurer ce modèle pour qu’il reflète la manière dont l’entreprise gère ses
ressources informatiques. Ces ressources comprennent des utilisateurs, des ordinateurs,
des groupes, des imprimantes et des fichiers partagés. Cette structure montre comment
sont organisés les personnes ou les groupes chargés de gérer des ressources spécifiques.
j L’examen de la structure du modèle administratif vous permettra de déterminer
comment faire en sorte que la conception des unités d’organisation reflète la
structure du service informatique et la structure de gestion des ressources.
j Lorsque vous concevez une structure d’unités d’organisation, veillez à ce qu’elle puisse
prendre en charge les évolutions et la croissance de l’organisation. Les modifications de
l’organisation ne doivent pas affecter la structure d’unités d’organisation.
Voici des modèles de structure d’unités d’organisation auxquels peut correspondre
votre modèle administratif. Ils vous aideront à concevoir la meilleure structure d’unités
d’organisation pour votre entreprise.
Détaillons les cinq modèles de structure d’unités d’organisation les plus fréquemment
rencontrés.
Le modèle basé sur l’emplacement

Description
Vous pouvez organiser vos unités d’organisation en fonction de leur emplacement aux
niveaux supérieurs de l’arborescence si le service informatique de l’entreprise est
centralisé et si l’administration du réseau est distribuée géographiquement.
598
Concevoir une structure d’unités d’organisation – les modèles de structure d’unités d’organisation
Avantage
structure des UO
j Résiste aux réorganisations de l’entreprise.
j Accepte les fusions et les expansions.
Inconvénient
j Risque éventuel pour la sécurité : si un emplacement inclut plusieurs divisions ou
services, une personne ou un groupe possédant l’autorité administrative sur un
domaine ou une unité d’organisation peut également posséder cette autorité sur les
domaines ou les unités d’organisation enfants.
j Nécessite des administrateurs réseau à chaque emplacement.
Le modèle basé sur l’organisation
Description
Vous pouvez organiser les unités d’organisation des niveaux supérieurs de
l’arborescence par département ou par service de l’entreprise (par exemple, le service
des ressources humaines) pour que chaque service ait son propre groupe informatique.
Avantage
j Conserve l’autonomie des services de l’entreprise.
j Accepte les fusions, les acquisitions et les expansions de l’entreprise.
Inconvénient
j Impact possible sur la réplication d’Active Directory.
j Ne résiste pas aux réorganisations de l’entreprise.
Le modèle basé sur la fonction
Description
Vous pouvez organiser les unités d’organisation des niveaux supérieurs de
l’arborescence par fonction, si le service informatique est décentralisé mais s’il base ses
modèles administratifs sur les fonctions professionnelles au sein de l’entreprise. Ce
modèle est idéal pour les petites entreprises où les responsabilités professionnelles
couvrent plusieurs domaines de compétence de l’entreprise.
599
Du fait de la spécificité du domaine rd.puzzmania.com, ce modèle basé sur la fonction,

dans ce cas la recherche et le développement, est le mieux adapté aux contraintes.

structure des UO
Avantage
j Insensible aux réorganisations de l’entreprise.
Inconvénient
j Impact possible sur la réplication d’Active Directory.
j Il peut être nécessaire de créer des couches supplémentaires dans la hiérarchie des
unités d’organisation pour prendre en charge l’administration des utilisateurs, des
imprimantes, des serveurs et des partages réseau.
Le modèle hybride basé sur l’emplacement, puis sur

l’organisation
Description
Vous pouvez organiser les unités d’organisation situées aux niveaux supérieurs de la
hiérarchie selon leur emplacement, puis organiser les unités d’organisation situées plus
bas dans la hiérarchie selon l’organisation.
En ce qui concerne Puzzmania, ce modèle est appliqué pour le domaine corp

.puzzmania.com, qui contient le plus grand nombre d’objets utilisateurs et ordinateurs.
En effet, comme le domaine est éclaté sur trois sites géographiques qui ont des rôles
particuliers, ce modèle hybride est le plus adapté.
Avantage
j Permet d’envisager la croissance des services de l’entreprise.
j Permet de définir des limites de sécurité distinctes en fonction des sites.
Inconvénient
j Nécessite une nouvelle conception si le service informatique se retrouve
décentralisé.
j Nécessite une coopération entre les administrateurs informatiques si ces derniers
sont situés au même emplacement, mais appartiennent à des départements
différents.
600
Implémenter la structure d’unités d’organisation
Le modèle hybride basé sur l’organisation, puis sur
l’emplacement
structure des UO
Description
Vous pouvez organiser les unités d’organisation situées aux niveaux supérieurs de la
hiérarchie selon l’organisation, puis organiser les unités d’organisation situées plus bas
dans la hiérarchie selon leur emplacement.
Avantage
j Permet une sécurité robuste entre les services de l’entreprise, tout en autorisant la
délégation d’administration basée sur l’emplacement physique.
Inconvénient
j Ne résiste pas aux réorganisations de l’entreprise.
17.3. Implémenter la structure d’unités d’organisation

Une fois la conception réalisée, vous êtes prêt à implémenter votre hiérarchie d’unités
d’organisation.
Les outils de création

Windows Server 2003 fournit plusieurs composants logiciels enfichables et outils en
ligne de commandes qui permettent, entre autres, de créer des unités d’organisation.
Vous pouvez également utiliser des outils en ligne de commandes afin d’exécuter des
scripts pour gérer des unités d’organisation.
Voici quelques outils (composants logiciels enfichables et outils en ligne de

commandes) qui vous permettront de créer et de gérer des unités d’organisation :
j Utilisateurs et ordinateurs Active Directory : ce composant logiciel enfichable
permet de créer, de modifier et de supprimer des unités d’organisation. Utilisez-le
lorsque vous n’avez que quelques unités d’organisation à gérer, ou pour des
opérations de base.
j Outils de service d’annuaire : cet ensemble d’outils en ligne de commandes, parmi
lesquels Dsadd, Dsmod et Dsrm, permet de gérer des objets et d’effectuer des
requêtes d’informations dans Active Directory.
j Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory
Exchange) : cet outil en ligne de commandes permet de créer des unités
d’organisation et d’autres objets Active Directory. Ldifde utilise un fichier d’entrée
contenant des informations sur les objets à ajouter, à modifier ou à supprimer.
601
j Environnement d’exécution de scripts Windows : vous pouvez créer des unités

d’organisation à l’aide d’applications Windows ou à l’aide de scripts Windows avec

structure des UO
les composants fournis par les interfaces ADSI (Active Directory Service Interfaces).
Le composant logiciel enfichable Utilisateurs et ordinateurs

Active Directory
Cet outil permet de gérer les unités d’organisation de façon la plus intuitive et naturelle
possible. Vous l’utiliserez la plupart du temps. Entrons dans le détail de l’opération de
création d’unité d’organisation.
Pour créer une unité d’organisation, procédez comme suit :

1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory. Pour cela, cliquez sur Démarrer/Programmes/Outils d’administration/
Utilisateurs et ordinateurs Active Directory.
2. Dans l’arborescence de la console, double-cliquez sur le nom du domaine.
3. Cliquez du bouton droit sur le nom du domaine ou sur le dossier dans lequel vous
souhaitez ajouter l’unité d’organisation, pointez sur Nouveau, puis cliquez sur Unité
d’organisation.
Figure 17.1 : Création d’unité d’organisation avec le composant logiciel enfichable

Utilisateurs et ordinateurs Active Directory
602
4. Dans la zone Nom de la boîte de dialogue Nouvel objet – Unité d’organisation, saisissez
le nom de l’unité d’organisation, puis cliquez sur OK.
structure des UO
Les opérations de suppression et de modification sont aussi très simples : cliquez du
bouton droit sur l’unité d’organisation et sélectionnez la bonne commande.
Les outils de service d’annuaire

Les outils en ligne de commandes Dsadd, Dsmod et Dsrm du service d’annuaire vous
permettent de créer et de gérer des unités d’organisation à partir de l’Invite de
commandes. Vous pouvez également les utiliser dans des scripts.
Créer une unité d’organisation avec Dsadd

Pour créer une unité d’organisation, exécutez la commande Dsadd à partir de l’Invite de
commandes. Voyons d’abord la syntaxe de cette commande.
DSADD
Ajoute des types d’objets spécifiques à l’annuaire.
dsadd computer Ajoute un ordinateur à l’annuaire.
dsadd contact Ajoute un contact à l’annuaire.
dsadd group Ajoute un groupe à l’annuaire.
dsadd ou Ajoute une unité d’organisation à l’annuaire.
dsadd user Ajoute un utilisateur à l’annuaire.
dsadd quota Ajoute une spécification de quota à une partition d’annuaire.
Parmi tous les éléments, c’est le commutateur ou qui nous intéresse le plus. En voici la
description :
DSADD OU
Ajoute des unités d’organisation à l’annuaire.
603
Syntaxe : dsadd ou NU_Unité_Organisation −desc Description −s

Serveur −d Domaine −u Nom_Utilisateur −p Mot_de_passe −q

structure des UO
NU_Unité_
Organisation Nom unique de l’unité d’organisation que vous désirez ajouter.
−desc Description Description de l’unité d’organisation que vous désirez ajouter.
−s Serveur Contrôleur de domaine auquel l’ordinateur se connecte.
−d Domaine Domaine auquel l’ordinateur se connecte. Par défaut, l’ordinateur
est connecté au contrôleur de domaine du domaine sur lequel il a
ouvert une session.
−u Nom
_Utilisateur Nom d’utilisateur permettant de se connecter à un serveur distant.
Par défaut, le nom de l’utilisateur connecté est utilisé. Vous pouvez
spécifier un nom d’utilisateur selon l’un des formats suivants : nom
d’utilisateur (par exemple, Bob), domaine\nom d’utilisateur (par
exemple, corp\Bob) ou nom d’utilisateur principal (UPN, User
Principal Name, par exemple Bob@corp.puzzmania.com).
−p Mot_de_Passe Mot de passe à utiliser pour ouvrir une session sur un serveur distant.
Si vous saisissez * (astérisque), un mot de passe sera demandé.
−q Mode silencieux : supprime tout affichage sur la sortie standard.
Chez Puzzmania, il s’agit de créer des unités d’organisation pour le domaine corp
.puzzmania.com. Suite à la conception de la structure d’unités d’organisation,
commencez par créer les unités d’organisation hiérarchiques relatives aux sites
géographiques de Nice, Toulouse et Paris. Procédez comme suit :
1. Ouvrez une session sur le contrôleur de domaine SNCECPDC01. Ouvrez une Invite de
commandes en cliquant sur Démarrer/Exécuter et en saisissant cmd.
2. Saisissez la commande dsadd ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com −desc "OU de niveau hiérarchique du site de Toulouse" et
validez.
Dans cet exemple, la commande est lancée à partir d’un contrôleur de domaine. Si ce
n’avait pas été le cas, vous auriez utilisé les commutateurs donnant les droits nécessaires
à la création d’unités d’organisation sur le domaine.
604
structure des UO
Figure 17.2 : Création d’une unité d’organisation avec Dsadd
Commande Dsadd
Si vous ne saisissez pas le nom distinctif de l’objet que vous créez, il est lu sur l’entrée
standard (STDIN), c’est-à-dire via le clavier, dans un fichier redirigé ou une sortie de
canal provenant d’une autre commande. Utilisez [Ctrl]+[Z] pour indiquer le caractère
de fin de fichier pour STDIN.
Modifier une unité d’organisation avec Dsmod

Pour modifier la description d’une unité d’organisation, exécutez la commande Dsmod à
partir de l’Invite de commandes. Voyons d’abord la syntaxe de cette commande,
comparable à celle de Dsadd.
DSMOD
Modifie des types d’objets spécifiques à l’annuaire.
dsmod computer Modifie un ordinateur existant dans l’annuaire.
dsmod contact Modifie un contact existant dans l’annuaire.
dsmod group Modifie un groupe existant dans l’annuaire.
dsmod ou Modifie une unité d’organisation existant dans l’annuaire.
dsmod server Modifie un contrôleur de domaine existant dans l’annuaire.
dsmod user Modifie un utilisateur existant dans l’annuaire.
605
dsmod quota Modifie une spécification de quota existant dans l’annuaire.

dsmod partition Modifie une spécification de quota existant dans l’annuaire.

structure des UO
Parmi tous les éléments, c’est le commutateur ou qui nous intéresse. En voici la
description :
DSMOD OU
Modifie des unités d’organisation de l’annuaire.
Syntaxe : dsmod ou NU_Unité_Organisation −desc Description −s Serveur

−d Domaine −u Nom_Utilisateur −p Mot_de_passe −c −q
NU_Unité
_Organisation Nom unique de l’unité d’organisation que vous désirez modifier.
−desc
Description Description de l’unité d’organisation que vous désirez modifier.
−s Serveur Contrôleur de domaine auquel l’ordinateur se connecte.
−d Domaine Domaine auquel l’ordinateur se connecte. Par défaut, l’ordinateur
est connecté au contrôleur de domaine du domaine sur lequel il a
ouvert une session.
−u Nom
_Utilisateur Nom d’utilisateur permettant de se connecter à un serveur distant.
Par défaut, le nom de l’utilisateur connecté est utilisé. Vous pouvez
spécifier un nom d’utilisateur selon l’un des formats suivants : nom
d’utilisateur (par exemple, Bob), domaine\nom d’utilisateur (par
exemple, corp\Bob) ou nom d’utilisateur principal (UPN, User
Principal Name, par exemple Bob@corp.puzzmania.com).
−p Mot_de_Passe Mot de passe à utiliser pour ouvrir une session sur un serveur distant.
Si vous saisissez * (astérisque), un mot de passe sera demandé.
−c Mode opératoire continu. Signale les erreurs, mais passe à l’objet
suivant sur la liste d’arguments quand plusieurs objets cibles sont
spécifiés. Sans cette option, la commande se termine à la première
erreur.
606
Les paramètres transmis à la commande dsmod sont les mêmes que ceux de dsadd.
Pour transmettre une nouvelle description via le paramètre desc, procédez comme suit :
structure des UO
2. Saisissez la commande dsmod ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com −desc "OU de niveau hiérarchique du site géographique de
Toulouse" et validez.
Le champ de description de l’unité d’organisation est modifié.
Figure 17.3 : Modification d’une unité d’organisation avec Dsmod
Supprimer d’une unité d’organisation avec Dsrm

Vous devez supprimer d’Active Directory les unités d’organisation qui ne sont plus
utilisées. Pour ce faire, utilisez la commande Dsrm. Voyons d’abord la syntaxe de cette
commande, comparable à celles de Dsadd et de Dsmod.
DSRM
Supprime des objets de l’annuaire.
Syntaxe : dsrm NU_Unité_Organisation [−noprompt] [−subtree

[−exclude]] [{−s <Serveur> | −d <Domaine>}] [−u
<Nom_Utilisateur>] [−p {<Mot_de_passe> | *}] [−c] [−q]
[{−uc | −uco | −uci}]
NU_Unité
_Organisation Requis/stdin. Liste d’un ou de plusieurs noms uniques (DN) d’objets
à supprimer. Si ce paramètre est omis, il est lu à partir de l’entrée
standard (stdin).
607
−noprompt Mode silencieux : ne demande pas de confirmation de suppression.

−subtree
structure des UO
[−exclude] Supprime l’objet et tous les objets de sa sous-arborescence. Avec

−exclude, l’objet n’est pas supprimé ; seule sa sous-arborescence
l’est.
{−s <Serveur> |
−d <Domaine>} −s <Serveur> : contrôleur de domaine nommé <Serveur>
auquel l’ordinateur se connecte. −d <Domaine> : contrôleur de
domaine auquel l’ordinateur se connecte dans le domaine
<Domaine>. Par défaut : un contrôleur de domaine dans le domaine
de connexion.
−u <Nom
_Utilisateur> Nom d’utilisateur permettant de se connecter. Par défaut :
l’utilisateur connecté. Vous pouvez spécifier un nom d’utilisateur
selon l’un des formats suivants : nom d’utilisateur (par exemple,
Bob), domaine\nom d’utilisateur (par exemple, corp\Bob) ou nom
d’utilisateur principal (UPN, User Principal Name, par exemple
Bob@corp.puzzmania.com).
−p {<Mot_de
_passe> | *} Mot de passe de l’utilisateur <Nom_Utilisateur>. Si vous
saisissez *, un mot de passe sera demandé.
−c Mode opératoire continu : signale les erreurs mais poursuit avec
l’objet suivant sur la liste d’arguments lorsque plusieurs objets cibles
sont spécifiés. Sans cette option, la commande se termine à la
première erreur.
{−uc | −uco |
−uci} −uc indique que l’entrée à partir du pipe ou la sortie vers le pipe est
au format Unicode. −uco indique que la sortie vers le pipe ou le
fichier est au format Unicode. −uci indique que l’entrée à partir du
pipe ou du fichier est au format Unicode.
Les paramètres transmis à la commande dsrm sont les mêmes que ceux de la commande
dsadd. Par contre, vous pouvez utiliser les paramètres supplémentaires suivants avec
dsrm :
j subtree supprime l’objet ainsi que tous les objets contenus dans la
sous-arborescence située sous cet objet.
608
j exclude spécifie de ne pas supprimer l’objet de base fourni par
NU_Unité_Organisation lorsque vous supprimez la sous-arborescence située
structure des UO
au-dessous. Par défaut, seul l’objet de base spécifié est supprimé. Le paramètre
exclude ne peut être spécifié qu’avec le paramètre subtree.
Pour supprimer l’unité d’organisation Toulouse du domaine corp.puzzmania.com,

procédez comme suit :
2. Saisissez la commande dsrm OU=Toulouse,DC=corp,DC=puzzmania,DC=com
−desc "OU de niveau hiérarchique du site géographique de Toulouse"
et validez.
Figure 17.4 : Suppression d’une unité d’organisation avec Dsrm
L’outil Ldifde
L’outil en ligne de commandes Ldifde vous permet de créer, de modifier et de
supprimer des unités d’organisation et de définir des hiérarchies d’unités d’organisation.
L’outil se base sur un fichier d’entrée qui indique les actions à exécuter. La première
étape consiste donc à créer le fichier d’entrée à utiliser. Après avoir créé ce fichier,
exécutez la commande Ldifde.
Procédez comme suit pour créer des unités d’organisation (ici pour le domaine corp
.puzzmania.com) à l’aide de l’outil en ligne de commandes Ldifde :
1. Créez un fichier d’entrée.
609
L’exemple suivant montre le format du fichier :

dn: OU=Toulouse,DC=corp,DC=puzzmania,DC=com
structure des UO
changetype: add
objectClass: organizationalUnit
j Changetype détermine le type d’opération effectuée sur l’objet Active Directory.

j ObjectClass spécifie la classe de l’objet Active Directory. Ldifde ajoute une unité
d’organisation appelée Toulouse au domaine corp.puzzmania.com. Vous pouvez
ajouter plusieurs unités d’organisation en ajoutant d’autres entrées. Chaque entrée
dn: doit être précédée d’une ligne vide, sauf la première.
2. Exécutez Ldifde pour créer, modifier ou supprimer des unités d’organisation en

saisissant la commande ldifde −i −k −f OUList.ldf −b Nom_Utilisateur
Domaine Mot_de_Passe.
Les premiers paramètres de la commande sont :

−i Mode d’importation. Si celui-ci n’est pas spécifié, le mode par défaut
est exportation.
−k Permet de ne pas tenir compte des erreurs durant une opération
d’importation et de poursuivre le traitement.
−f Nom du fichier d’importation ou d’exportation. Où List.ldf est le
fichier d’entrée.
−b Nom
_Utilisateur
Domaine Mot_de
_Passe Nom d’utilisateur, nom de domaine et mot de passe associés au
compte d’utilisateur qui sera utilisé pour exécuter l’opération
d’importation ou d’exportation.
L’outil de scripts Windows

ADSI est une interface de programmation d’applications (API, Application
Programming Interface) que vous utilisez à partir de l’environnement d’exécution de
scripts pour automatiser l’administration d’Active Directory. ADSI utilise le protocole
LDAP pour communiquer avec Active Directory. Toutes les opérations ADSI que vous
effectuez sur Active Directory respectent la même procédure. D’abord, vous devez vous
connecter à Active Directory, ensuite vous pouvez effectuer des tâches, comme extraire
des informations concernant des objets, ajouter, modifier ou supprimer des objets. Si
vous apportez des modifications à Active Directory, vous devez les enregistrer dans la
base de données Active Directory afin qu’elles soient conservées.
610
En résumé
Procédez comme suit pour créer une unité d’organisation à l’aide de l’environnement
d’exécution de scripts Windows :
structure des UO
1. À l’aide du Bloc-notes, créez un fichier texte portant l’extension .vbs. Insérez les
opérations à effectuer dans ce fichier de la façon suivante :
2. Commencez par vous connecter au domaine dans lequel vous souhaitez créer l’unité
d’organisation en saisissant Set objDom = GetObject("LDAP://dc=corp,
dc=puzzmania,dc=com").
3. Créez ensuite l’unité d’organisation en spécifiant OrganizationalUnit comme
type d’objet Active Directory à créer et le nom de l’unité d’organisation en saisissant
Set objOU = objDom.Create("OrganizationalUnit", "ou=Toulouse").
4. Enregistrez ces informations dans la base de données Active Directory en saisissant
la commande objOU.SetInfo.
5. Enregistrez le fichier sous le nom script.vbs par exemple.
6. Pour exécuter les commandes de ce fichier, saisissez à l’Invite de commandes
wscript script.vbs.
17.4. En résumé
Le plus remarquable, quand on travaille avec les unités d’organisation, notamment dans
la phase de conception, c’est de voir à quel point on peut faire refléter la vie du service
informatique et, par extension, la vie de l’entreprise, au travers d’une technologie telle
que les conteneurs d’Active Directory.
Au-delà des possibilités techniques, vous devez vous attacher à mettre l’implémentation
de la structure d’unités d’organisation (la technologie) au service de l’organisation
informatique de l’entreprise (le besoin). C’est la clé de la réussite de l’implémentation
en entreprise, quel que soit le contexte. Profitez de l’expérience des unités
d’organisation, où c’est facilement visible et appréhendable, pour le mettre en œuvre
dans tous les domaines informatiques de l’entreprise.
611
Chapitre 18
L’implémentation
des serveurs
d’infrastructure Active
Directory
18.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . 615
18.2 Déployer le domaine racine de la forêt puzzmania.com . . . . .... . . . . . . . . 619
18.3 Après l’installation du premier contrôleur de domaine . . . . . .... . . . . . . . . 641
18.4 Déployer le deuxième contrôleur de domaine sur le même site ... . . . . . . . . 649
18.5 Déployer les domaines enfants . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . 655
18.6 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . 658
Vue d’ensemble
C e chapitre décrit la mise en place de l’infrastructure, à savoir l’implémentation

d’Active Directory selon les besoins de l’entreprise. Après avoir étudié dans les
chapitres précédents l’installation de Windows Server 2003 et les différents concepts
servant à fédérer l’organisation de l’entreprise, nous abordons l’implémentation de la
structure au sens large et, plus précisément, celle de Puzzmania. Seront énoncées dans
un premier temps les diverses préconisations concernant Active Directory ainsi que les
18. L’implémentation
conditions requises pour son installation. Ensuite, il sera question de la mise en place de
d’infrastructure AD
la forêt et de ses domaines. Pour cela, nous verrons les différentes installations possibles
des serveurs
d’Active Directory. Une fois le ou les domaines implémentés, nous vérifierons
l’installation des contrôleurs de domaine et regarderons les objets créés par défaut après
l’installation du premier contrôleur de domaine. Au besoin, nous supprimerons ou
rétrograderons un contrôleur de domaine.
18.1. Vue d’ensemble

Avant de commencer le déploiement de l’infrastructure de l’organisation Puzzmania et
la mise en place du service d’annuaire Active Directory, voyez cette vue d’ensemble des
différentes étapes nécessaires à la mise en place des contrôleurs de domaine :
j Détermination des contraintes matérielles : il s’agit d’estimer les serveurs pour
pouvoir utiliser les contrôleurs de domaine aujourd’hui et demain, dans des
conditions optimales.
j Vérification des conditions requises pour l’installation d’Active Directory :
partitionnement disque, DNS, NTFS, etc.
j Installation des contrôleurs de domaine : il existe quatre méthodes d’installation et
de déploiement d’Active Directory, vous utiliserez celle qui correspond le plus à
votre cadre de travail.
Pour l’implémentation des domaines et de la forêt, nous adopterons une vision plutôt
globale. La aussi, plusieurs méthodes de fonctionnement s’offrent à vous (plusieurs
forêts, plusieurs domaines ou pas de domaine racine). Il n’existe pas ou peu de
mauvaises solutions tant qu’elles répondent pleinement à vos contraintes d’entreprise
(par exemple, le nombre de sites et de personnes par site, les contraintes de bande
passante…).
Pour répondre à ses besoins et contraintes, comme vous l’avez dans les chapitres
précédents, Puzzmania a choisi de séparer la partie recherche et développement de la
partie plus classique appelée Corp. Pour que ces domaines restent unifiés et évolutifs,
Puzzmania a choisi de mettre en place un domaine racine.
Pour en savoir plus sur les besoins et les contraintes de Puzzmania, lisez les chapitres
Une étude de cas et La conception de l’infrastructure logique d’Active Directory.
615
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
Forêt multidomaine
Dans le cas d’une conception multidomaine, le domaine racine de la forêt peut être
une racine dédiée, utilisée uniquement pour l’administration de la forêt ou, au
contraire, contenir des utilisateurs, des groupes et des ressources en plus des comptes
d’administration de la forêt. Une fois le domaine racine de la forêt déployée, le
propriétaire de la forêt crée un ou plusieurs domaines enfants pour terminer la
hiérarchie de la forêt Active Directory. Les domaines enfants peuvent être créés soit en
des serveurs
mettant à niveau des domaines Windows NT ou Windows 2000, soit en déployant

des domaines supplémentaires.
Ce qui nous conduit donc aux étapes suivantes :

j Installation du premier contrôleur de domaine, donc création de la forêt : cette
partie du déploiement du domaine racine de la forêt est la première étape du
déploiement de l’infrastructure de service d’annuaire Active Directory dans
l’organisation de Puzzmania.
j Vérification de l’installation du contrôleur de domaine et de la mise en place du
service d’annuaire Active Directory.
j Installation du deuxième contrôleur de domaine sur le même site : à ce stade, on
peut déjà dire qu’il commence à y avoir une tolérance aux pannes dans la forêt, les
réplications du service d’annuaire se font automatiquement.
j Installation du premier contrôleur de domaine du domaine enfant, une fois le
domaine racine installé : de préférence, commencez par le site où les contrôleurs de
domaine racine sont installés.
j Vérification de l’installation du contrôleur de domaine et de la création du domaine
enfant.
j Installation des autres contrôleurs de domaine du domaine enfant localement ou
sur les sites distants.
j Installation des autres domaines enfants.
Maintenant que les grandes lignes de l’implémentation ont été brossées, entrons dans le
vif du sujet.
Déterminer les contraintes matérielles pour les contrôleurs de

domaine
L’analyse des besoins d’un contrôleur de domaine en matière de processeurs dépend
essentiellement du nombre d’utilisateurs qui ouvriront une session sur le domaine :
j Pour 500 utilisateurs, le contrôleur de domaine n’aura besoin que d’un seul
processeur cadencé à 850 MHz.
616
Vue d’ensemble
j Entre 500 et 1500 utilisateurs, le contrôleur de domaine aura besoin de deux

processeurs cadencés à 850 MHz.
j S’il y a plus de 1500 utilisateurs, le contrôleur de domaine aura besoin de quatre
processeurs cadencés à 850 MHz.
Notez qu’un processeur à 1,6 GHz peut remplacer deux processeurs cadencés à
850 MHz. Un processeur à 3 GHz peut remplacer quatre processeurs cadencés à
des serveurs
850 MHz.
L’analyse des besoins d’un contrôleur en matière d’espace disque, comme les besoins en
matière de processeur, dépend surtout du nombre d’utilisateurs dans le domaine. Tenez
compte des éléments suivants pour analyser l’espace disque nécessaire :
j Le lecteur qui contient la base de données Active Directory (NTDS.dit) exige au
moins 400 Mo pour chaque bloc d’utilisateurs. Cela englobe l’espace requis pour la
partition DNS.
j Le lecteur qui contient les journaux de transactions Active Directory exige au moins
500 Mo.
j Le lecteur qui contient le dossier SYSVOL exige lui aussi au moins 500 Mo.
j Le lecteur qui contient les fichiers du système d’exploitation Windows Server 2003
exige environ 2 Go d’espace disque.
Calcul de l’espace libre

Lors du calcul de l’espace disque, vous devez prévoir de l’espace disque
supplémentaire sur les contrôleurs de domaine qui hébergent le catalogue global.
Pour une forêt multidomaine, chaque domaine supplémentaire ajoute au catalogue
global environ 50 % de la taille de sa base de données personnelle.
L’analyse des besoins en matière de mémoire dépend une fois de plus du nombre
d’utilisateurs :
j Pour 500 utilisateurs, le contrôleur de domaine n’aura besoin que de 512 Mo de
mémoire.
j Entre 500 et 1500 utilisateurs, le contrôleur de domaine aura comme exigence 1 Go
de mémoire.
j S’il y a plus de 1500 utilisateurs, le contrôleur de domaine aura alors besoin de 2 Go
de mémoire.
Dimensionnement de la base de données Active Directory

Rendez-vous à l’adresse www.microsoft.com/france/technet/produits/win2000s/info/info
.asp?mar=/france/technet/produits/win2000s/info/adsize.html.
617
Toute configuration de serveur à l’heure actuelle peut faire face et répondre aux besoins
de la quasi-totalité des moyennes et grandes entreprises, ce qui laisse des marges de
manœuvre et de la souplesse dans la configuration. C’est pourquoi il n’est pas toujours
nécessaire de placer des machines neuves ou puissantes pour les contrôleurs de domaine
du domaine racine par exemple. Cela dit, n’hypothéquez pas l’avenir en plaçant des
machines dont la maintenance est trop compliquée.
des serveurs
Les conditions requises pour l’installation d’Active Directory

Avant d’installer Active Directory, vous devez vous assurer que l’ordinateur devant être
configuré comme contrôleur de domaine satisfait certaines conditions de configuration
relatives au système d’exploitation. De plus, le contrôleur de domaine doit être en
mesure d’accéder à un serveur DNS satisfaisant certaines conditions de configuration
pour prendre en charge l’intégration à Active Directory.
La liste suivante décrit la configuration requise pour une installation d’Active

Directory :
j Un serveur sur lequel est installé Windows Server 2003 Standard Edition,
Enterprise Edition ou Datacenter Edition : attention, Web Edition ne prend pas en
charge Active Directory !
j Une partition ou un volume formaté avec le système de fichiers NTFS : la partition
NTFS est nécessaire pour le dossier SYSVOL.
j Les privilèges administratifs nécessaires pour la création, le cas échéant, d’un
domaine dans un réseau Windows Server 2003 existant.
j Le protocole TCP/IP installé et configuré pour utiliser le système DNS.
j Un serveur DNS qui fait autorité pour le domaine.
Le serveur DNS qui fait autorité pour le domaine DNS doit prendre en charge les
conditions suivantes :
Tableau 18.1 : Conditions de prise en charge du serveur DNS

Condition requise Description
Enregistrements de ressources Les enregistrements de ressources SRV sont des
SRV (obligatoires) enregistrements DNS identifiant les ordinateurs qui hébergent
des services spécifiques dans un réseau Windows Server 2003.
Le serveur DNS qui prend en charge le déploiement d’Active
Directory doit également prendre en charge les enregistrements
de ressources SRV. Si ce n’est pas le cas, vous devez
configurer le système DNS localement lors du processus
d’installation d’Active Directory ou le configurer manuellement
après l’installation d’Active Directory.
618
Déployer le domaine racine de la forêt puzzmania.com
Condition requise Description

Mises à jour dynamiques Microsoft recommande vivement de faire en sorte que les
(facultatives) serveurs DNS prennent en charge les mises à jour dynamiques.
Le protocole de mise à jour dynamique permet aux serveurs et
aux clients évoluant dans un environnement DNS d’ajouter et de
modifier automatiquement des enregistrements dans la base de
données DNS, ce qui réduit les tâches administratives. Si vous
utilisez un logiciel DNS qui prend en charge des enregistrements
des serveurs
de ressources SRV, mais pas le protocole de mise à jour
dynamique, vous devez entrer les enregistrements de ressources
SRV manuellement dans la base de données DNS.
Transferts de zones Dans un transfert de zone incrémentiel, les modifications
incrémentiels (facultatives) apportées à une zone d’un serveur DNS maître doivent être
répliquées sur les serveurs DNS secondaires. Les transferts de
zone incrémentiels sont facultatifs. Ils sont toutefois
recommandés car ils permettent d’économiser de la bande
passante réseau. En effet, seuls les enregistrements de
ressources nouveaux ou modifiés sont répliqués entre des
serveurs DNS, au lieu du fichier entier de base de données de la
zone.
Dans la plupart des cas, dans les PME et PMI, ces questions ne se posent pas car le
serveur Windows Server 2003 lui-même gère le DNS.
18.2. Déployer le domaine racine de la forêt

puzzmania.com
Le premier domaine que nous allons créer dans la forêt Active Directory (puzzmania
.com) est automatiquement désigné comme étant le domaine racine de la forêt. Le
domaine racine de la forêt constitue le fondement de la forêt Active directory. Il est
impératif de créer le domaine racine puzzmania.com avant de créer les domaines
régionaux (corp.puzzmania.com et rd.puzzmania.com).
Rôle de contrôleur de domaine

Par rapport à Windows NT 4.0 Server, qui distingue contrôleur de domaine principal
et contrôleur de domaine secondaire, Windows Server 2003 considère que tous les
contrôleurs de domaine sont égaux en droits dans le cadre d’un système de réplication
multimaître.
Avant de passer à l’installation du premier contrôleur de domaine de la forêt, il est

intéressant d’aborder les différentes façons d’implémenter Active Directory.
L’installation d’Active Directory peut se réaliser de quatre manières :
619
j Utilisation de l’Assistant Installation d’Active Directory : cette méthode convient à

la majeure partie des situations. Nous l’aborderons en détail et l’utiliserons tout au
long de notre étude de cas sur l’ensemble des contrôleurs de domaine, à l’exception
du contrôleur SNCERCDC03 (pour ce dernier, nous emploierons une autre méthode
uniquement pour montrer une alternative d’installation). Cet assistant présente une
suite de pages dans lesquelles il faudra saisir les informations que nous allons
détailler lors de l’installation de notre premier contrôleur de domaine SNCERCDC01.

L’assistant permet d’installer tous les contrôleurs de domaine de manière identique,

des serveurs
tout en limitant le nombre d’erreurs.

j Utilisation d’un fichier de réponses pour lancer l’installation sans assistance : cela
permet d’installer Active Directory à distance (nous n’aborderons pas cette
méthode dans ce chapitre vu le faible nombre de contrôleurs utilisé pour
Puzzmania). Cette méthode reste toutefois intéressante pour les entreprises qui
possèdent un nombre important d’agences ayant des contrôleurs de domaine sur
site.
j Utilisation du réseau ou d’un support de sauvegarde : attention, cette installation ne
permet d’installer Active Directory que sur des contrôleurs de domaine
supplémentaires !
j Utilisation de l’Assistant Configurer votre serveur : une manière supplémentaire
d’installer le premier contrôleur de domaine uniquement.
Le processus d’installation d’Active Directory

Pour démarrer le processus d’installation d’Active Directory, lancez l’Assistant
Installation d’Active Directory. Lors de cette tâche, un certain nombre de modifications
sont apportées au serveur Windows Server 2003 sur lequel est installé Active Directory.
La connaissance de ces modifications permet de résoudre les problèmes susceptibles de
survenir après l’installation.
Active Directory
Pour avoir une vue d’ensemble d’Active Directory, rendez-vous à l’adresse
http://support.microsoft.com/default.aspx?scid=kb;fr;196464.
Vous trouverez des informations sur l’architecture Active Directory à l’adresse
www.microsoft.com/france/technet/produits/win2000s/info/info.asp?mar/france/technet
/produits/win2000s/info/adarch.html.
Le processus d’installation exécute les tâches suivantes :

j Démarrage du protocole d’authentification Kerberos, version 5.
j Définition de la stratégie de l’autorité de sécurité locale (LSA, Local Security
Authority) : le paramètre indique que ce serveur est un contrôleur de domaine.
j Création de partitions Active Directory : une partition de répertoire est une partie
de l’espace de noms du répertoire. Chaque partition contient une hiérarchie, ou une
620
sous-arborescence, des objets d’annuaire de l’arborescence de répertoire. Lors de

l’installation, les partitions suivantes sont créées sur le premier contrôleur de
domaine d’une forêt…
− partition d’annuaire de schéma ;
− partition d’annuaire de configuration ;
− partition d’annuaire de domaine ;
des serveurs
− zone DNS de la forêt ;
− partition de la zone DNS du domaine.
j Mises à jour des partitions par l’intermédiaire de la réplication sur chaque

contrôleur de domaine subséquent créé dans la forêt.
j Création de la base de données Active Directory et des fichiers journaux :
l’emplacement par défaut de la base de données et des fichiers journaux est
systemroot\Ntds.
Améliorer les performances

Pour améliorer les performances, placez la base de données et les fichiers journaux
sur des disques durs distincts. De cette manière, les opérations de lecture et d’écriture
réalisées dans la base de données et dans les fichiers journaux n’entrent pas en
concurrence pour les ressources en entrée et en sortie.
j Création du domaine racine de la forêt : si le serveur est le premier contrôleur de

domaine du réseau, le processus d’installation crée le domaine racine de la forêt,
puis attribue les rôles maîtres d’opération au contrôleur de domaine, notamment…
− l’émulateur de contrôleur principal de domaine (PDC, Primary Domain
Controller) ;
− le maître des identificateurs relatifs (RID, Relative Identifier) ;
− le maître d’attribution de noms de domaine ;
− le contrôleur de schéma ;
− le maître d’infrastructure.
Attribution des rôles maîtres d’opération

Vous pouvez attribuer les rôles maîtres d’opération à un autre contrôleur de domaine
lorsque vous ajoutez des contrôleurs de domaine répliqués au domaine.
j Création du dossier volume système partagé : cette structure de dossiers est

hébergée sur tous les contrôleurs de domaine Windows Server 2003. Elle contient
les dossiers suivants…
621
− le dossier partagé SYSVOL, qui contient des informations relatives à la stratégie

de groupe ;
− le dossier partagé Net Logon, qui contient les scripts de connexion des
ordinateurs qui ne sont pas équipés de Windows Server 2003.
j Configuration de l’appartenance du contrôleur de domaine à un site approprié : si

l’adresse IP du serveur que vous souhaitez promouvoir contrôleur de domaine se

trouve dans la plage d’adresses d’un sous-réseau donné défini dans Active
des serveurs
Directory, l’assistant configure l’appartenance du contrôleur de domaine au site

associé au sous-réseau. Si aucun objet de sous-réseau n’est défini ou si l’adresse IP
du serveur ne se trouve pas dans la plage des objets de sous-réseau présents dans
Active Directory, le serveur est placé sur le site Premier-Site-par-Défaut (premier site
configuré automatiquement lorsque vous créez le premier contrôleur de domaine
dans une forêt).
Pour plus d’informations sur les sites sous Windows Server 2003, lisez le chapitre La
conception de la topologie des sites du volume I et le chapitre L’administration et la
gestion des sites du volume II de cet ouvrage.
L’Assistant Installation d’Active Directory crée un objet serveur pour le contrôleur de

domaine dans le site approprié. L’objet serveur contient les informations nécessaires
pour la réplication. Cet objet serveur contient une référence à l’objet ordinateur de
l’unité d’organisation Domain Controllers qui représente le contrôleur de domaine en
cours de création.
Objet serveur
Si un objet serveur pour ce domaine existe déjà dans le conteneur Servers du site dans
lequel vous ajoutez le contrôleur de domaine, l’assistant le supprime, puis le recrée
car il suppose que vous réinstallez Active Directory.
j Activation de la sécurité sur le service d’annuaire et sur les dossiers de réplication de

fichiers : cela permet de contrôler l’accès des utilisateurs aux objets Active
Directory.
j Application du mot de passe fourni par l’utilisateur au compte administrateur : vous
utilisez ce compte pour lancer le contrôleur de domaine en mode Restauration des
services d’annuaire.
Installer le premier contrôleur de domaine

Une fois l’installation des serveurs terminée, installez le premier contrôleur de domaine.
622
Pour apprendre à installer des serveurs, lisez le chapitre L’installation et le

déploiement de Windows Server 2003.
L’Assistant Installation Active Directory Windows Server 2003 apporte des

améliorations à l’Assistant Installation Active Directory. Lorsque vous installez le
premier contrôleur de domaine dans un domaine, vous pouvez autoriser l’assistant à
des serveurs
installer et à configurer automatiquement le service DNS intégré à Active Directory.
Même s’il reste quand même certains réglages à effectuer manuellement par la suite,
l’assistant permet de gagner du temps et d’éviter des erreurs de configuration.
Que fait l’assistant sur le premier contrôleur de domaine de la racine de la forêt

(SNCERCDC01) ?
j Il demande à l’administrateur de vérifier l’installation et la configuration du service
DNS.
j Il configure la résolution de noms DNS récursive par redirection, en ajoutant les
adresses IP des entrées existantes pour le serveur DNS préféré et le serveur DNS
auxiliaire à la liste des serveurs DNS de l’onglet Redirecteur. Cet onglet est
accessible sur la page des propriétés du contrôleur de domaine dans le composant
logiciel enfichable DNS.
j Il configure la résolution des noms récursive par indications de racine, en ajoutant
les indications de racine configurées sur le serveur DNS préféré.
j Il configure le serveur DNS préféré de manière à ce qu’il pointe sur le serveur DNS
qui s’exécute.
Serveur contrôleur de domaine

Contrairement à Windows NT 4.0 Server, Windows Server 2003 ne permet pas de
spécifier en cours d’installation que la machine sera un contrôleur de domaine.
Chaque serveur Windows Server 2003 est installé en tant que serveur autonome ou en
tant que serveur membre d’un domaine. Une fois l’installation terminée, vous pouvez
promouvoir le serveur au rang de contrôleur de domaine.
L’installation détaillée d’Active Directory

1. Cliquez sur Démarrer/Tous les programmes/Outils d’administration/Gérer votre
serveur.
623
des serveurs
Figure 18.1 : Assistant Gérer votre serveur
2. Dans l’Assistant Gérer votre serveur, cliquez sur Ajouter ou supprimer un rôle.
3. L’Assistant Configurer votre serveur se lance. Cliquez sur Suivant. L’assistant
inspecte votre configuration afin d’y trouver les rôles déjà installés sur votre serveur.
4. Une fois l’inspection terminée, cliquez sur Configuration personnalisée.
5. L’assistant ouvre la fenêtre Rôle du serveur dans laquelle se trouve l’ensemble des
rôles configurés ou non. Sélectionnez Contrôleur de domaine (Active Directory), puis
Figure 18.2 : Assistant Configurer votre serveur – Rôle Contrôleur de domaine (Active
Directory)
624
6. L’assistant ouvre une fenêtre Aperçu des sélections dans laquelle se trouve un
résumé. Dans ce résumé doit figurer la mention "Exécuter l’Assistant Installation
d’Active Directory pour configurer ce serveur en tant que contrôleur de domaine".
7. La fenêtre Assistant Installation Active Directory démarre. Cliquez sur Suivant.
Figure 18.3 :
Assistant Installation
des serveurs
d’Active Directory
8. Sur la page Compatibilité du système d’exploitation, cliquez sur Suivant.

9. Sur la page Type de contrôleur de domaine, sélectionnez l’option Contrôleur de
domaine pour un nouveau domaine.
Figure 18.4 :
Type de contrôleur de
domaine
625
10. Sur la page Créer un nouveau domaine, sélectionnez l’option Domaine dans une
nouvelle forêt, puis cliquez sur Suivant.
Figure 18.5 :
Créer un nouveau
domaine
des serveurs
11. Sur la page Installer ou configurer le service DNS, sélectionnez Non, je veux installer
et configurer le service DNS sur cet ordinateur. Cliquez sur suivant.
12. Sur la page Nouveau nom de domaine, saisissez le nom du domaine puzzmania.com
dans la zone Nom DNS complet pour le nouveau domaine, puis cliquez sur Suivant.
Figure 18.6 :
Nom de domaine DNS
pour le domaine
À propos des minuscules et des majuscules (RFC 1034)

Les noms de domaine peuvent être enregistrés en minuscules, en majuscules ou dans
un mélange des deux. Cependant, le RFC précise que, quelle que soit la façon dont le
nom est enregistré, toutes les opérations sont insensibles à la casse.
626
13. Patientez jusqu’à l’affichage de la page Nom de domaine NetBIOS. Il est

recommandé d’utiliser le nom NetBIOS préconisé par défaut (PUZZMANIA). Cliquez
sur Suivant.
Figure 18.7 :
Nom de domaine
NetBIOS
des serveurs
14. Sur la page Dossiers de la base de données et du journal, saisissez le chemin de
l’emplacement de la base de données Active Directory dans la zone Dossier de la
base de données. Saisissez le chemin de l’emplacement du journal dans la zone
Dossier du journal. Cliquez sur Suivant.
Figure 18.8 :
Dossiers de la base de
données et du journal
Dossiers de la base de données et du journal

Bien qu’il soit recommandé de placer ces deux dossiers sur des disques durs différents,
il est préférable pour une entreprise de taille moyenne possédant des contrôleurs de
domaine de puissance correcte de garder ces deux dossiers à l’emplacement d’origine.
627
15. Sur la page Volume système partagé, saisissez l’emplacement du dossier SYSVOL.
Le volume système partagé doit se trouver sur une partition ou un volume formatés
NTFS. Cliquez sur Suivant. Il est préférable pour de moyennes entreprises de
garder SYSVOL à son emplacement d’origine.
16. Sur la page Autorisations, sélectionnez les permissions par défaut des objets
utilisateur et groupe, et cliquez sur Suivant.
Figure 18.9 :
des serveurs
Autorisations
17. Sur la page Mot de passe administrateur de restauration des services d’annuaire,
saisissez de mot de passe que vous souhaitez affecter à ce compte d’administrateur sur
le serveur pour le cas où il serait nécessaire de démarrer l’ordinateur en mode
Restauration des services d’annuaire. Confirmez le mot de passe et cliquez sur Suivant.
Figure 18.10 :
Mot de passe
administrateur de
restauration des services
d’annuaire
628
18. Sur la page Résumé, les options que vous avez sélectionnées apparaissent. Revoyez
le contenu de cette page avant de cliquer sur Suivant. L’assistant met quelques
minutes à configurer les composants Active Directory. Si vous n’avez pas configuré
l’adresse IP statique pour le serveur, vous serez invité à le faire à ce moment-là.
Figure 18.11 :
Résumé
des serveurs
Voici le résumé de l’installation du contrôleur de domaine que nous venons d’installer.
Configurer ce serveur en tant que premier contrôleur de domaine
d’une nouvelle forêt d’arborescences de domaines.
Le nouveau nom de domaine est puzzmania.com. C’est aussi le nom

de la nouvelle forêt.
Le nom NetBIOS du domaine est PUZZMANIA.
Dossier de la base de données : C:\WINDOWS\NTDS

Dossier du fichier journal : C:\WINDOWS\NTDS
Dossier Sysvol : C:\WINDOWS\SYSVOL
Le service DNS sera installé et configuré sur cet ordinateur.

Cet ordinateur sera configuré pour utiliser ce serveur DNS en
tant que serveur DNS préféré.
Le mot de passe du nouvel administrateur de domaine sera le

même que celui de l’administrateur de cet ordinateur.
19. Lorsque la page Fin de l’Assistant Installation de Active Directory apparaît, cliquez
sur Terminer, puis sur Redémarrer maintenant.
629
Figure 18.12 :
Fin d’installation
des serveurs
Une fois que le serveur a redémarré, la fenêtre Gérer votre serveur indique qu’il a été
configuré avec les rôles contrôleur de domaine (Active Directory) et serveur DNS.
Le premier contrôleur de domaine est installé. À ce stade de l’implémentation, ce

contrôleur joue le contrôleur de domaine du domaine, mais également de la forêt. Il
possède donc pour le moment tous les rôles maîtres d’opération ainsi que le catalogue
global.
Vérifier le premier contrôleur de domaine

Le processus d’installation d’Active Directory crée un certain nombre d’objets par
défaut dans la base de données Active Directory. Il crée également le dossier système
partagé ainsi que la base de données et les fichiers journaux. Vérifiez l’installation
d’Active Directory lorsque l’assistant a terminé l’installation et que le nouveau
contrôleur de domaine redémarre.
Emplacement de la base de données et des fichiers journaux

Si vous avez modifié l’emplacement de la base de données et des fichiers journaux de
l’annuaire lors de l’installation, remplacez %systemroot% par l’emplacement
correct.
Vous devez vérifier que la structure de dossiers SYSVOL et que les dossiers partagés
nécessaires ont été créés. Si le dossier SYSVOL n’a pas été créé correctement, ses
données (stratégie de groupe et scripts, par exemple) ne seront pas répliquées entre les
contrôleurs de domaine.
630
Vérifier la structure de dossiers

Pour vérifier que la structure de dossiers a été créée, exécutez la procédure suivante :
1. Cliquez sur Démarrer, puis sur Exécuter.
2. Saisissez %systemroot%\sysvol et cliquez sur OK.
L’Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit réunir les
des serveurs
sous-dossiers domain, staging, staging areas et sysvol.
Figure 18.13 : Dossier SYSVOL
Vérifier les dossiers partagés

Pour vérifier que les dossiers partagés nécessaires ont été créés, saisissez net share à
l’Invite de commandes et appuyez sur [Ä]. Les partages NETLOGON et SYSVOL doivent
apparaître.
Figure 18.14 : net share
Tableau 18.2 : Partage NETLOGON et SYSVOL

Nom de partage Enregistrement Remarque
NETLOGON %systemroot%\SYSVOL\sysvol Partage de serveur d’accès
\domaine\SCRIPTS
SYSVOL %systemroot%\SYSVOL\sysvol Partage de serveur d’accès
631
Vérifier la base de données et les fichiers journaux d’Active Directory

Pour vérifier que la base de données et les fichiers journaux d’Active Directory ont été
créés, cliquez sur Démarrer, sur Exécuter, saisissez %systemroot%\ntds et cliquez sur
OK. L’Explorateur Windows affiche le contenu du dossier Ntds, qui doit réunir les
fichiers suivants…
j Ntds.dit : fichier de la base de données de l’annuaire.

des serveurs
j Edb.* : fichiers journaux des transactions et des points de vérification.

j Res*.log : fichiers journaux réservés.
Figure 18.15 : %systemroot%ntds
Lors de l’installation d’Active Directory sur le premier contrôleur de domaine d’un

nouveau domaine, ce qui est le cas sur SNCERCDC01 pour le domaine puzzmania,
plusieurs objets par défaut sont créés. Ces objets peuvent être des conteneurs, des
utilisateurs, des ordinateurs, des groupes et des unités d’organisation.
Affichez ces objets par défaut à l’aide du composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory.
Figure 18.16 : Objets par défaut
632
Nous aborderons plus en détail les objets créés par Active Directory un peu plus loin
dans ce chapitre.
Vérifier la configuration DNS

Si vous autorisez l’Assistant Installation d’Active Directory à configurer le DNS
automatiquement, et si votre installation prend en charge les mises à jour dynamiques,
le service Netlogon enregistre un certain nombre d’inscriptions de ressources SRV par
des serveurs
défaut sur le serveur DNS. Bien que la capture d’image suivante montre l’ensemble des
trois domaines, il est possible de voir les inscriptions DNS qui sont nécessaires aux
clients pour localiser les hôtes qui fournissent les services qu’ils sollicitent.
Figure 18.17 : Les inscriptions par défaut pour le serveur scnercdc01
Voici les étapes permettant de vérifier la configuration DNS :

1. Cliquez sur Démarrer/Outils d’administration, puis sélectionnez DNS.
2. Dans l’arborescence de la console DNS, double-cliquez sur le serveur DNS, puis
dans la zone de recherche directe, sélectionnez puzzmania.com et développez les
nœuds _msdcs, _sites, _tcp et _udp pour voir les inscriptions de ressources par
défaut.
Le service Netlogon crée un fichier journal qui contient les inscriptions de ressources
SRV. Ce fichier est stocké dans %systemroot%\system32\config\Netlogon.dns.
633
des serveurs
Figure 18.18 : Fichier journal Netlogon.dns
Vérifier l’intégration du DNS à Active Directory

Si vous autorisez l’Assistant Installation d’Active Directory à configurer
automatiquement un DNS de base et que la solution DNS prenne en charge les mises à
jour dynamiques, l’assistant configure une zone de recherche directe intégrée à Active
Directory prenant en compte le nom du domaine. La configuration de cette zone
modifie l’emplacement de stockage des données de la zone, qui passent du fichier de
zone à Active Directory sur le serveur. Si vous souhaitez vérifier l’intégration de DNS,
affichez les propriétés de la zone DNS et du serveur DNS.
Voici les étapes permettant d’effectuer cette vérification :

1. Cliquez sur Démarrer/Outils d’administration, puis sélectionnez DNS.
2. Dans l’arborescence de la console DNS, double-cliquez sur le serveur DNS, puis
dans la zone de recherche directe, sélectionnez puzzmania.com. Cliquez du bouton
droit de la souris sur la zone et choisissez Propriétés dans le menu contextuel. Une
boîte de dialogue apparaît.
3. Sous l’onglet Général, vérifiez que l’onglet Type indique Intégrée à Active Directory.
La zone Mises à jour dynamiques doit présenter les options Non sécurisé et Sécurisé.
L’onglet Sécurité est présent et vous permettra de configurer la sécurité des mises à
jour dynamiques. Cliquez sur OK.
634
Figure 18.19 :
Données enregistrées
dans Active Directory
des serveurs
4. Dans l’arborescence de la console, cliquez du bouton droit de la souris sur le serveur
DNS et choisissez Propriétés dans le menu contextuel. Une boîte de dialogue
apparaît.
5. Sous l’onglet Avancé, vérifiez que, dans la zone intitulée Charger les données de zone
au démarrage, l’option À partir d’Active Directory et du registre est activée. Cliquez sur
OK.
Vérifier le mode Restauration des annuaires

Cette option d’amorçage permet de restaurer Active Directory sur un contrôleur de
domaine. Elle n’est pas disponible pour les serveurs membres. Vérifiez qu’elle est
opérationnelle avec le mot de passe que vous avez saisi au cours de l’installation Active
Directory. Vous en aurez peut-être besoin au cours des opérations de maintenance ou
de restauration.
Voici les étapes à réaliser :

1. Redémarrez votre serveur et appuyez sur [F8] lorsque vous voyez apparaître le menu
d’amorçage.
2. Dans le menu d’options avancées de Windows, sélectionnez Mode restauration
Active Directory en vous servant des touches de défilement du clavier. Appuyez sur
[Ä].
3. Le menu d’amorçage réapparaît avec la mention "Mode restauration Active Directory"
en lettres bleues au bas de l’écran. Sélectionnez le système d’exploitation à démarrer
et appuyez sur [Ä]. Le système redémarre en mode Restauration des services
d’annuaire. Cela peut prendre quelques minutes.
635
4. Dans la fenêtre de bienvenue de Windows, cliquez sur [Ctrl]+[Alt]+[Suppr]. Ouvrez une

session sur l’ordinateur local en utilisant le nom de compte administrateur (spécifié
au cours de la configuration du serveur) et le mot de passe du mode Restauration
(spécifié pendant l’installation d’Active Directory). Cliquez sur OK.
Nom de compte et mot de passe

Il n’est pas possible d’utiliser le nom et le mot de passe administrateur Active

des serveurs
Directory car le service est déconnecté et la vérification de compte ne peut avoir lieu.
C’est la base de compte SAM qui intervient pour le contrôle des accès à Active
Directory sur l’ordinateur pendant que ce dernier est déconnecté.
5. Un message vous avertit que Windows fonctionne en mode sans échec. Cliquez sur
OK pour démarrer le contrôleur de domaine en mode sans échec.
6. Pour retourner au fonctionnement normal d’Active Directory, redémarrez votre
serveur.
Vérifier les journaux d’événements

Après avoir installé Active Directory, jetez un œil dans les journaux des événements
pour prendre connaissance des éventuelles erreurs produites lors du processus
d’installation. Les messages d’erreur générés lors de l’installation sont enregistrés dans
les journaux Système, Service d’annuaire, Serveur DNS et Service de réplication de fichier.
1. Sélectionnez Démarrer, puis cliquez du bouton droit de la souris sur le Poste de
travail.
2. Développez le nœud Observateur d’événements, puis parcourez l’ensemble des
journaux.
Figure 18.20 : Observateur d’événements
636
Configurer le serveur de temps

La synchronisation des horloges entre les contrôleurs de domaine d’un domaine Active
Directory est capitale car le protocole Kerberos s’appuie sur cette horloge pour valider
les tickets d’authentification.
Le contrôleur de domaine ayant le rôle d’émulateur PDC, c’est-à-dire scnercdc01 pour
le moment dans le domaine racine, est automatiquement considéré par les autres
des serveurs
contrôleurs de domaine du même domaine comme la source de temps à utiliser pour la
synchronisation.
Les postes clients Windows 2000 ou XP et les serveurs membres Windows 2000 ou 2003
se synchronisent automatiquement avec un contrôleur du domaine auquel ils
appartiennent. Les postes clients antérieurs à Windows 2000 ou XP et les serveurs
membres antérieurs à Windows 2000 ou 2003 devront être synchronisés avec la
commande Net Time ou le service horaire présent dans les ressources kit respectif.
Il n’y a aucune action à prévoir dans l’architecture Active Directory pour que les serveurs et
les postes conservent en permanence leurs horloges synchronisées. Le seul contrôleur sur
lequel il est nécessaire d’intervenir, si l’on souhaite que l’heure système soit exacte est
l’émulateur PDC du domaine racine de la forêt. Pour cela, il faut indiquer une référence
externe accessible via le protocole NTP sur Internet ou sur une source interne…
j Sur Internet via le protocole NTP : dans ce cas, il faut permettre à l’émulateur PDC
de résoudre les noms DNS vers Internet et faire en sorte qu’il puisse dialoguer avec
un serveur NTP externe via le port TCP/IP 123.
j Sur une source interne via le protocole NTP : il faudra dans ce cas permettre à
l’émulateur PDC de résoudre le nom DNS de la référence externe et faire en sorte
qu’il puisse dialoguer avec le serveur NTP interne via le port TCP/IP 123.
Il est possible de synchroniser l’heure de l’émulateur PDC avec celle d’un serveur
externe en exécutant la commande net time conformément à la syntaxe net time
\\NomServeur /setsntp:SourceHeure. Cela permet à tous les ordinateurs de la forêt
qui exécutent Windows Server 2003, Windows 2000 ou Windows XP d’être à la même
heure, à quelques secondes près.
Les ordinateurs exécutant une version de Windows antérieure doivent disposer de la

commande de synchronisation à partir d’une référence horaire lors de l’ouverture de
session utilisateur (script de login), conforme à la syntaxe net time \\NomServeur /set.
Configurer le service de temps Windows pour utiliser une horloge

matérielle interne
Pour configurer le contrôleur de domaine sans utiliser de source de temps externe, il
faut modifier l’indicateur d’annonce sur le serveur émulateur PDC. Cette configuration
force le maître émulateur PDC à se déclarer en tant que source de temps fiable et utilise
l’horloge temps réel CMOS (Complementary Metal Oxide Semiconductor) intégrée.
637
j HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
\Config
Tableau 18.3 : Configuration du service de temps Windows pour utiliser une horloge
matérielle interne
Paramètre Valeur Observation
AnnounceFlags A L’émulateur PDC ne doit pas être configuré pour se

des serveurs
synchroniser avec lui-même. Si l’émulateur PDC est

configuré pour se synchroniser avec lui-même, plusieurs
événements sont enregistrés dans le journal d’application.
Ces événements sont des rappels pour utiliser une source
de temps externe et peuvent être ignorés.
Configurer le service de temps Windows pour utiliser une source de

temps externe
Changer le type de serveur en NTP

\Parameters
Tableau 18.4 : Changement du type de serveur en NTP

Type NTP
Définir l’AnnounceFlags
\Config
Tableau 18.5 : Définition de l’AnnounceFlags

AnnounceFlags 5
Activer NTPServer
\TimeProviders
638
Tableau 18.6 : Activation de NTPServer

NTPServer Homologues Homologues est un espace réservé pour une liste
limitée d’homologues à partir desquels votre ordinateur
obtient les informations horaires. Chaque nom DNS
répertorié doit être unique. Vous devez ajouter ,0x1 à la
fin de chaque nom DNS.
des serveurs
Sélectionner l’intervalle d’interrogation
\TimeProviders\NtpClient
Tableau 18.7 : Sélection de l’intervalle d’interrogation

SpecialPoll TempsEn TempsEnSecondes est un espace réservé pour le
Interval Secondes nombre de secondes souhaité entre chaque
interrogation. La valeur recommandée est 900. Cette
valeur configure le serveur de temps pour une
interrogation toutes les 15 minutes.
Configurer les paramètres de correction de temps

j HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Configq
Tableau 18.8 : Configuration des paramètres de correction de temps

MaxPos Phase TempsEn TempsEnSecondes est un espace réservé pour une
Correction Secondes valeur raisonnable, par exemple 1 heure (3600) ou
30 minutes (1800). La valeur que vous sélectionnez
dépend de l’intervalle d’interrogation, des conditions
réseau et de la source de temps externe.
MaxNeg Phase TempsEn TempsEnSecondes est un espace réservé pour une
Correction Secondes valeur raisonnable, par exemple 1 heure (3600) ou
30 minutes (1800). La valeur que vous sélectionnez
dépend de l’intervalle d’interrogation, des conditions
réseau et de la source de temps externe.
639
Vérifier la résolution de noms récursive sur le premier

contrôleur de la forêt
La résolution de noms DNS récursive est configurée automatiquement durant le
processus d’installation d’Active Directory. Si la conception spécifie une configuration
différente, vous pouvez utiliser le composant logiciel enfichable DNS ou Dnscmd.exe
pour modifier les réglages.

des serveurs
Utilisez le composant logiciel enfichable DNS pour vérifier la résolution de noms

récursive du serveur DNS sur le premier contrôleur du domaine racine de la forêt. Selon
la méthode utilisée dans votre organisation, reportez-vous aux informations fournies
dans le tableau suivant :
Tableau 18.9 : Vérification de la résolution de noms récursive du serveur DNS

Méthode Configuration
Résolution de noms récursive Les indications de racine sont la méthode recommandée pour la
par indications de racine résolution de noms récursive dans un environnement Windows
Server 2003.
Aucune configuration supplémentaire n’est requise. Lorsque le
serveur DNS spécifié comme serveur DNS préféré durant le
processus d’installation est correctement configuré, les
indications de racine sont automatiquement configurées. Pour
vérifier les indications de racine en utilisant le composant logiciel
enfichable DNS, dans l’arborescence de la console, cliquez du
bouton droit de la souris sur le nom du contrôleur de domaine,
puis choisissez Propriétés. Sur la page Propriétés du
contrôleur de domaine, affichez les indications de racine
en cliquant sur l’onglet Indication de racine.
Résolution de noms récursive N’utilisez les redirecteurs que si la conception de votre
par redirection organisation le spécifie. Les indications de racine sont la
méthode recommandée pour la résolution de noms récursive
dans un environnement Windows Server 2003.
Redirigez les requêtes non résolues vers des serveurs DNS
spécifiés. Pour tester la redirection en utilisant le composant
logiciel enfichable DNS, dans l’arborescence de la console,
cliquez du bouton droit de la souris sur le nom du contrôleur de
domaine, puis choisissez Propriétés. Sous l’onglet
Redirecteur, observez la liste d’adresses des redirecteurs et
vérifiez que les adresses IP correspondent à celles spécifiées
dans votre conception.
Aucune infrastructure DNS Aucune configuration supplémentaire n’est requise.
existante Dans cet environnement, si vous souhaitez configurer un serveur
DNS interne pour résoudre les requêtes pour des noms externes,
configurez ce serveur DNS de manière à rediriger les requêtes
non résolues vers un serveur externe, par exemple dans votre
réseau de périmètre, ou un serveur hébergé par un prestataire de
service Internet.
640
Après l’installation du premier contrôleur de domaine…
18.3. Après l’installation du premier contrôleur de

domaine…
Lors de l’installation d’Active Directory sur le premier contrôleur de domaine d’un
nouveau domaine, plusieurs objets par défaut sont créés. Ces objets peuvent être des
conteneurs, des utilisateurs, des ordinateurs, des groupes et des unités d’organisation.
Affichez ces objets par défaut à l’aide du composant logiciel enfichable Utilisateurs et
des serveurs
ordinateurs Active Directory. Le tableau suivant présente la fonction de certains de ces
objets par défaut :
Tableau 18.10 : Objets créés par défaut dans un domaine Active Directory
Objet Type d’objet Empla- Fonction
cement
Builtin Domaine intégré Racine du Conteneur par défaut des groupes qui
domaine permettent d’administrer le serveur
Computers Conteneur Racine du Conteneur par défaut des comptes
domaine d’ordinateur
Users Conteneur Racine du Conteneur par défaut des comptes
domaine d’utilisateur
Contrôleur de Unité Racine du Conteneur par défaut des contrôleurs de
domaine organisationnelle domaine domaine Windows Server 2003
(OU)
Opérateurs Groupe de sécurité Interne Personnes pouvant administrer les
– local prédéfini groupes utilisateurs/les groupes du
domaine
Administrateurs Groupe de sécurité Interne Personne pouvant administrer
– local prédéfini l’ordinateur/le domaine
Opérateurs de Groupe de sécurité Interne Personnes pouvant passer outre les
sauvegarde – local prédéfini permissions de fichiers pour faire des
sauvegardes
Invités Groupe de sécurité Interne Personnes pouvant accéder à
– local prédéfini l’ordinateur/ au domaine avec des
privilèges très limités
Opérateurs Groupe de sécurité Interne Personnes pouvant administrer les
d’impression – local prédéfini imprimantes du domaine
Duplicateurs Groupe de sécurité Interne Gère la réplication de fichiers dans un
– local prédéfini domaine
Opérateurs de Groupe de sécurité Interne Personnes pouvant administrer les
serveurs – local prédéfini serveurs du domaine
Utilisateurs Groupe de sécurité Interne Utilisateurs ordinaires
– local prédéfini
Utilisateurs DHCP Groupe de sécurité Conteneur Personnes pouvant accéder en lecture
– local au domaine Users seule au serveur DHCP
DnsAdmins Groupe de sécurité Conteneur Administrateurs DNS
– local au domaine Users
641
Objet Type d’objet Empla- Fonction

cement
Serveurs RAS et IAS Groupe de sécurité Conteneur Serveurs RAS et IAS
– local au domaine Users
Utilisateurs WINS Groupe de sécurité Conteneur Personnes pouvant accéder en lecture
– local au domaine Users seule à WINS
Éditeurs de Groupe de sécurité Conteneur Certification d’entreprise et agents de

certificats – global Users renouvellement
des serveurs
DnsUpdateProxy Groupe de sécurité Conteneur Clients DNS pouvant faire des mises à
– Global Users jour dynamiques pour le compte d’autres
clients (serveurs DHCP par exemple)
Admins du domaine Groupe de sécurité Conteneur Administrateurs du domaine
– global Users
Ordinateurs du Groupe de sécurité Conteneur Stations et serveurs, membres du
domaine – global Users domaine
Contrôleurs de Groupe de sécurité Conteneur Contrôleurs du domaine
domaine – global Users
Invités du domaine Groupe de sécurité Conteneur Tous les invités du domaine
– global Users
Utilisa. du domaine Groupe de sécurité Conteneur Tous les utilisateurs du domaine
– global Users
Administrateurs de Groupe de sécurité Conteneur Administrateurs désignés de l’entreprise
l’entreprise – global Users
Administrateurs du Groupe de sécurité Conteneur Administrateurs désignés du schéma
schéma – global Users
Administrateur Utilisateur Conteneur Compte prédéfini pour l’administration de
Users l’ordinateur/du domaine
Invité Utilisateur Conteneur Compte prédéfini pour les accès du type
Users Invité à l’ordinateur/au domaine
IUSR_xxx Utilisateur Conteneur Compte prédéfini pour les accès
Users anonymes à IIS (Internet Information
Services)
IWAM_xxx Utilisateur Conteneur Compte prédéfini pour les accès
Users anonymes aux applications IIS Out-of-
process
Krbtgt Utilisateur Conteneur Compte du service KDC
Users
Résoudre les problèmes d’installation

Lors de l’installation d’Active Directory, vous risquez de rencontrer certains problèmes.
Ils peuvent être le résultat d’informations d’identification de sécurité invalides, de
l’utilisation de noms qui ne sont pas uniques, d’un réseau qui n’est pas fiable ou de
ressources insuffisantes. Le tableau suivant décrit certains problèmes courants que vous
642
êtes susceptible de rencontrer lors de l’installation d’Active Directory, ainsi que les
stratégies permettant de les résoudre :
Tableau 18.11 : Problèmes liés à l’installation d’Active Directory

Problème Solution
Accès refusé lors de Fermez la session, puis ouvrez-la de nouveau à l’aide d’un
l’installation ou de l’ajout de compte appartenant au groupe Administrateurs local.
des serveurs
contrôleurs de domaine Fournissez les informations d’identification d’un compte
d’utilisateur membre des groupes Admins du domaine et
Administrateurs de l’entreprise.
Les noms de domaine DNS ou Modifiez le nom de sorte qu’il soit unique.
NetBIOS ne sont pas uniques
Le domaine ne peut pas être Assurez-vous que la connexion réseau est effective entre le
contacté serveur que vous souhaitez promouvoir au titre de contrôleur de
domaine et au moins l’un des contrôleurs de domaine du
domaine. Utilisez la commande ping à partir de l’Invite de
commandes. Pour tester la connexion à un contrôleur de
domaine du domaine, vérifiez que le système DNS fournit une
résolution de noms à au moins un contrôleur du domaine en
vous connectant à un contrôleur de domaine à l’aide de son
nom DNS. Pour cela, à l’Invite de commandes, saisissez le nom
de domaine pleinement qualifié (FQDN, Fully Qualified
Domain Name) du contrôleur de domaine. Si le système DNS
est configuré correctement, vous pourrez vous connecter au
Vous pouvez également vous assurer que le système DNS a été
configuré correctement en vérifiant les enregistrements A que les
contrôleurs de domaine enregistrent dans la base de données
DNS.
Espace disque insuffisant Augmentez la taille de la partition ou installez la base de données
et les fichiers journaux Active Directory sur des partitions
distinctes.
Windows Server 2003 propose un ensemble d’outils pour diagnostiquer et résoudre les
problèmes susceptibles de survenir durant l’installation d’Active Directory :
j Le journal du service d’annuaire.
j Netdiag.exe : cet utilitaire permet de tester la connectivité réseau. Exécutez netdiag
.exe chaque fois qu’un ordinateur rencontre un problème sur le réseau. Cet utilitaire
essaiera de diagnostiquer le problème. Il peut même baliser les zones
problématiques pour une inspection plus approfondie. Il est capable de remédier à
des problèmes de DNS simples grâce à son commutateur /fix.
643
des serveurs
Figure 18.21 : netdiag.exe
j Dcdiag.exe : cet outil permet d’examiner les contrôleurs de domaine. Il analyse l’état
des contrôleurs de domaine de la forêt ou d’une entreprise et décrit les problèmes
éventuels. Dcdiag.exe lance une série de tests pour vérifier différentes fonctions
d’Active Directory. Saisissez la commande dcdiag /s:mon_controleur_domaine
/test:connectivity depuis une Invite de commandes pour tester la connectivité
à un autre contrôleur de domaine.
Figure 18.22 : dcdiag : test de connectivité
j Les fichiers Dcpromoui.log, Dcpromos.log et Dcpromo.log.

j Ntdsutil.exe : il s’agit de l’outil de diagnostic d’Active Directory. Il propose des
services de gestion d’Active Directory. Attention, utilisez cet utilitaire très puissant
avec précaution !
Saisissez un nom d’utilitaire suivi de /? pour en savoir plus à son sujet. Ces outils sont
puissants et complets. Avant d’utiliser certains d’entre eux, il faut installer les supports
tools qui se trouvent dans la partie Support\tools\suptools.msi du CD-Rom d’installation
de Windows Server 2003.
644
Modifier le nom d’un contrôleur de domaine

Dans Windows Server 2003, vous avez la possibilité de renommer un contrôleur de
domaine après l’avoir installé. Pour cela, vous devez disposer des droits Administrateurs
du domaine. Lorsque vous renommez un contrôleur de domaine, vous devez ajouter le
nouveau nom et supprimer l’ancien des bases de données DNS et Active Directory.
Vous pouvez renommer un contrôleur de domaine uniquement si le niveau fonctionnel
du domaine est défini sur Windows Server 2003.
des serveurs
Pour renommer un contrôleur de domaine, procédez ainsi :
1. Dans le Panneau de configuration, double-cliquez sur l’icône Système.
2. Dans la boîte de dialogue Propriétés Système, sous l’onglet Nom de l’ordinateur,
cliquez sur Modifier.
Figure 18.23 :
Modifier le nom d’un
contrôleur de domaine
3. Lorsque vous y êtes invité, confirmez que vous souhaitez renommer le contrôleur de
domaine.
4. Entrez le nom complet de l’ordinateur (notamment le suffixe DNS principal), puis
cliquez sur OK.
Indisponibilité du contrôleur
Le fait de renommer un contrôleur de domaine risque de le rendre provisoirement
indisponible : ni les utilisateurs ni les ordinateurs ne pourront y accéder.
Lorsque vous renommez un contrôleur de domaine, vous pouvez modifier son suffixe
DNS principal. Cependant, cette modification ne permet pas de déplacer le contrôleur
de domaine vers un nouveau domaine Active Directory. Par exemple, si vous renommez
le serveur stlsrcdc01.corp.puzzmania.com en sncercdc04.puzzmania.com,
l’ordinateur reste un contrôleur de domaine pour le domaine corp.puzzmania.com,
même si le suffixe DNS principal est puzzmania.com. Pour déplacer un contrôleur de
645
domaine vers un autre domaine, vous devrez préalablement "rétrograder" le contrôleur

de domaine, puis le promouvoir au titre de contrôleur de domaine dans le nouveau
domaine.
Supprimer un contrôleur de domaine dans Active Directory

Dans Windows Server 2003, vous avez la possibilité de supprimer un contrôleur de

des serveurs
domaine qui n’est plus nécessaire ou qui a été endommagé. S’il s’agit du dernier
contrôleur de domaine, le domaine va être supprimé de la forêt lors du retrait du
contrôleur. Si ce domaine est le dernier de la forêt, celle-ci sera également supprimée.
Rétrograder un contrôleur de domaine principal

Windows NT 4.0 Server permet de rétrograder un contrôleur de domaine principal
pour en faire un contrôleur de domaine secondaire, mais, pour transformer un
contrôleur en serveur autonome ou en serveur membre, il faut réinstaller le système
d’exploitation. Cette limitation a disparu sous Windows 2000 Server et a été
améliorée sous Windows Server 2003.
Supprimer le contrôleur depuis l’interface graphique

Pour supprimer depuis l’interface graphique un contrôleur de domaine qui est en ligne
et qui n’est plus nécessaire, procédez ainsi :
1. Ouvrez l’Assistant Installation d’Active Directory.
2. Sur la page Supprimer Active Directory, s’il s’agit du dernier contrôleur de domaine
du domaine, cochez la case Ce serveur est le dernier contrôleur de domaine du
domaine, puis cliquez sur Suivant.
Figure 18.24 :
Information sur la
suppression du
646
3. Sur la page Mot de passe administrateur, saisissez le nouveau mot de passe

administrateur dans les boîtes de dialogue Nouveau mot de passe administrateur et
Confirmer le mot de passe, puis cliquez sur Suivant.
Figure 18.25 :
Validation du mot de
passe Active Directory
pour la suppression du
des serveurs
4. Sur la page Résumé, passez en revue le résumé, cliquez sur Suivant, puis sur
Terminer.
Une fois redémarré, le serveur sera toujours dans le domaine, mais il sera un simple
serveur membre du domaine.
Supprimer le contrôleur en ligne de commandes

Pour supprimer en ligne de commandes un contrôleur de domaine qui est en ligne et qui
n’est plus nécessaire, procédez de la manière suivante :
1. Tout d’abord, ouvrez une Invite de commandes et saisissez ntdsutil.
2. Saisissez metadata cleanup, puis appuyez sur [Ä]. C’est la section du programme
qui supprime les objets. Mais, pour cela, vous devez vous connecter à un contrôleur
de domaine. Ensuite, indiquez à Ntdsutil ce que vous souhaitez supprimer. Après
cela, vous pourrez supprimer le contrôleur de domaine ou le domaine.
3. À l’invite de commandes metadata cleanup, saisissez connections et appuyez
sur [Ä].
4. À l’invite de commandes server connections, saisissez connect to server
localhost, puis appuyez sur [Ä].
5. Retournez à l’Invite metadata cleanup en saisissant quit, puis en appuyant sur
[Ä].
647
6. Maintenant, il faut sélectionner le serveur à supprimer. Pour cela, saisissez select

operation target, puis appuyez sur [Ä].
7. Vous pouvez sélectionner domaines, sites et serveurs en demandant préalablement
à Ntdsutil de les lister. Celui-ci les liste en les numérotant. Tout d’abord, saisissez
list domains, puis appuyez sur [Ä]. La liste de domaines apparaît. Dans notre
exemple, Ntdsutil liste les trois domaines en les numérotant de 0 à 2.
8. Pour sélectionner le domaine puzzmania.com, saisissez select domain 0 et

des serveurs
appuyez sur [Ä].

select operation target: list domains
3 domaine(s) trouvé(s)
0 - DC=puzzmania,DC=com
1 - DC=corp,DC=puzzmania,DC=com
2 - DC=rd,DC=puzzmania,DC=com
9. Ensuite, choisissez le site dans lequel réside le contrôleur de domaine à supprimer.

Vous devez connaître le numéro du site de Nice où réside SNCERCDC03. Pour
trouver les sites qui existent et connaître leur numéro, saisissez list sites, puis
appuyez sur [Ä].
10. Le site de Nice porte le numéro 0. Saisissez select site 1 et appuyez sur [Ä] pour
le sélectionner.
Figure 18.26 : Suppression d’un contrôleur de domaine en ligne de commandes
11. Maintenant que vous avez le domaine et le site, il faut vous rapprocher du serveur.
Pour trouver le numéro du serveur, saisissez list servers for domain in site,
puis appuyez sur [Ä].
648
Déployer le deuxième contrôleur de domaine sur le même site
12. Une fois les serveurs listés, sélectionnez le contrôleur de domaine en saisissant
select server 2 puisque SCNERCDC03 est le troisième contrôleur de domaine.
Appuyez sur [Ä].
13. À présent, le contrôleur de domaine du site choisi est sélectionné. Saisissez quit
pour revenir à l’Invite de commandes metadata cleanup.
14. Saisissez remove selected server et appuyez sur [Ä]. Deux boîtes de dialogue
d’avertissement demandent de confirmer votre choix. Confirmez et le serveur est
des serveurs
supprimé.
Ntdsutil
Si vous effectuez les mêmes manipulations au niveau du domaine et que vous
saisissiez remove selected domain, après confirmation dans les boîtes de dialogue,
votre domaine part en fumée.
15. Saisissez quit et appuyez sur [Ä] pour quitter Ntdsutil.
Attention, lorsque vous supprimez un contrôleur de domaine qui est serveur de

catalogue global, assurez-vous que les utilisateurs peuvent disposer d’un autre catalogue
global avant la suppression ! De même, si le contrôleur de domaine détient un rôle
maître d’opération, vous devez transférer ce rôle vers un autre contrôleur avant la
suppression. Nous y reviendrons plus loin.
18.4. Déployer le deuxième contrôleur de domaine

sur le même site
Pour activer la tolérance aux pannes au cas où le contrôleur de domaine se
déconnecterait de manière inattendue, vous devez disposer d’au moins deux contrôleurs
de domaine dans un seul domaine. Étant donné que tous les contrôleurs de domaine
d’un domaine répliquent entre eux les données spécifiques au domaine, leur installation
dans le domaine active automatiquement la tolérance aux pannes pour les données
enregistrées dans Active Directory. Si l’un d’entre eux tombe en panne, les autres
fournissent les services d’authentification et assurent l’accès aux objets d’Active
Directory, de sorte que le domaine peut continuer à fonctionner. Les choix possibles
quant au positionnement du deuxième contrôleur peuvent différer d’une entreprise à
l’autre. Les deux contrôleurs de domaine peuvent être sur un même site ou sur des sites
différents. Tout dépend des besoins.
Installer un contrôleur de domaine via le réseau

Nous souhaitons vous montrer les différentes possibilités d’installer Active Directory.
En ce sens, nous allons installer le deuxième contrôleur de domaine via le réseau.
649
1. Ouvrez une session en tant qu’administrateur.

2. Cliquez sur Démarrer/Exécuter, puis saisissez dcpromo/adv dans la zone Ouvrir.
Cliquez sur OK.
3. Sur la page Type de contrôleur de domaine, cochez la case Contrôleur de domaine
supplémentaire pour un domaine existant. Sinon, si vous lancez l’Assistant
Installation d’Active Directory avec l’option /adv, choisissez sur la page Copie des
informations du domaine en cours l’option Via le réseau ou l’option À partir des

des serveurs
fichiers de restauration de cette sauvegarde, puis indiquez l’emplacement des fichiers

de sauvegarde restaurés.
Figure 18.27 :
Installation Active
Directory depuis le
réseau
4. Sur la page Informations d’identification réseau, saisissez le nom d’utilisateur, le

mot de passe et le domaine utilisateur du compte d’utilisateur que vous souhaitez
utiliser pour cette opération.
Le compte d’utilisateur doit être un membre du groupe Admins du domaine pour le

domaine cible.
5. Sur la page Contrôleur de domaine supplémentaire, spécifiez le nom de domaine
pour lequel ce serveur deviendra un contrôleur de domaine supplémentaire.
6. Sur la page Dossiers de la base de données et du journal, indiquez l’emplacement
dans lequel vous souhaitez installer les dossiers de la base de données et du journal,
ou cliquez sur Parcourir pour choisir un emplacement.
7. Sur la page Volume système partagé, saisissez l’emplacement dans lequel vous
souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un
emplacement.
650

saisissez et confirmez le mot de passe du mode Restauration des services
d’annuaire, puis cliquez sur Suivant.
9. Passez en revue la page Résumé, puis cliquez sur Suivant pour commencer
l’installation.
10. Lorsque le système vous y invite, redémarrez l’ordinateur.
des serveurs
Domaine et fichiers de sauvegarde
Pour copier les informations de domaine à partir de fichiers de sauvegarde, vous
devez d’abord sauvegarder l’état du système (System State) d’un contrôleur de
domaine appartenant au domaine dans lequel le nouveau serveur deviendra
contrôleur de domaine supplémentaire. Ensuite, restaurez la sauvegarde de l’état du
système localement sur le serveur que vous vous apprêtez à promouvoir. Pour cela,
recourez à l’utilitaire de sauvegarde Windows Server 2003, choisissez l’option
Restaurez vers : Autre emplacement. Si le contrôleur de domaine à partir duquel vous
avez restauré l’état du système était également un catalogue global, l’Assistant
Installation d’Active Directory vous demande si vous souhaitez que ce contrôleur de
domaine devienne également un catalogue global.
Installer un contrôleur de domaine à partir d’un fichier de

réponses
Voici une troisième possibilité d’installer Active Directory sur un contrôleur de
domaine. Cette possibilité peut être intéressante pour les entreprises souhaitant
automatiser et industrialiser le déploiement.
1. Ouvrez une session en tant qu’administrateur.
2. Cliquez sur Démarrer/Exécuter. Dans la zone Ouvrir, saisissez dcpromo
/answer : fichier réponse, où fichier réponse représente le nom de ce
fichier. Cliquez sur OK.
Pour plus d’informations sur les installations à partir de fichier de réponses,

reportez-vous au chapitre L’installation et le déploiement de Windows Server 2003.
Vérifier le deuxième contrôleur de domaine

Suivez les mêmes étapes que celles indiquées dans la procédure concernant le premier
contrôleur de domaine. Mais au lieu de vérifier que DomainDnsZones et
ForestDnsZones ont été créées, utilisez la commande Repadmin /showreps pour
vérifier que les partitions d’applications des annuaires ForestDnsZones et
651
DomainDnsZones sont bien répliquées. Utilisez le composant logiciel enfichable DNS

pour vérifier que la résolution de noms récursive du serveur DNS est configurée en
accord avec la méthode utilisée par votre organisation.
des serveurs
Figure 18.28 : Utilisation de la commande repadmin /showreps
Voici un script issu du script center qui vous permet de lister les partenaires de
réplications :
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\MicrosoftActiveDirectory")
Set colReplicationOperations = objWMIService.ExecQuery _

("Select * from MSAD_ReplNeighbor")
For each objReplicationJob in colReplicationOperations

Wscript.Echo "Domain: " & objReplicationJob.Domain
Wscript.Echo "Naming context DN: " & objReplicationJob.NamingContextDN
Wscript.Echo "Source DSA DN: " & objReplicationJob.SourceDsaDN
Wscript.Echo "Last synch result: " & objReplicationJob.LastSyncResult
Wscript.Echo "Number of consecutive synchronization failures: " & _
objReplicationJob.NumConsecutiveSyncFailures
Next
Reconfigurer le service DNS

Reconfigurez le service DNS afin de tenir compte de l’ajout du deuxième contrôleur de
domaine dans le domaine racine de la forêt. Vous pouvez également utiliser ces
procédures à mesure que vous déployez des contrôleurs de domaine supplémentaires
qui exécutent le service DNS. Pour configurer le service DNS :
1. Activez le vieillissement et le nettoyage pour le DNS.
652
2. Configurez les paramètres DNS clients du premier contrôleur de domaine et des

contrôleurs de domaine subséquents.
3. Mettez à jour la délégation DNS.
Activer le vieillissement et le nettoyage pour le DNS
Activez le vieillissement et le nettoyage sur deux contrôleurs de domaine Windows
des serveurs
Server 2003 exécutant le service Serveur DNS, afin d’autoriser le nettoyage automatique
et la suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler
dans les zones au cours du temps.
Avec la mise à jour dynamique, les enregistrements de ressources sont
automatiquement ajoutés aux zones lorsque des ordinateurs sont introduits sur le
réseau. Toutefois, dans certains cas, ces enregistrements ne sont pas automatiquement
supprimés lorsque les ordinateurs quittent le réseau. Par exemple, si un ordinateur
enregistre son propre enregistrement d’hôte (A) au démarrage et se trouve par la suite
incorrectement déconnecté du réseau, son enregistrement (A) peut ne pas être
supprimé. Si votre réseau possède des utilisateurs et ordinateurs mobiles, cette situation
peut se présenter fréquemment.
Lorsqu’ils ne sont pas gérés, les enregistrements de ressources obsolètes peuvent causer
des problèmes, notamment :
j Les enregistrements de ressources obsolètes peuvent consommer l’espace disque du
serveur et générer des temps de transfert de zones inutilement longs.
j Les serveurs DNS chargeant des zones avec des enregistrements de ressources
obsolètes risquent d’utiliser des informations qui ne sont pas à jour pour répondre
aux requêtes clients, ce qui peut générer des problèmes de résolution de noms pour
les clients sur le réseau.
j L’accumulation d’enregistrements de ressources obsolètes sur le serveur DNS peut
dégrader ses performances et sa réactivité.
Vieillissement et nettoyage
Par défaut, le mécanisme de vieillissement et de nettoyage du service Serveur DNS est
désactivé. Ne l’activez qu’après en avoir compris tous les paramètres. Sans cela, le
serveur pourrait accidentellement supprimer des enregistrements de ressources qui ne
doivent pas l’être. Si un enregistrement de ressource est accidentellement supprimé,
les utilisateurs ne parviendront plus à obtenir une réponse à leurs requêtes pour cet
enregistrement de ressource ; tout utilisateur pourra en outre créer l’enregistrement de
ressource et en devenir le propriétaire, même sur des zones configurées pour les mises
à jour dynamiques sécurisées.
Pour plus d’informations concernant la manière de configurer le vieillissement et le
nettoyage, consultez la page de présentation du vieillissement du nettoyage du centre
d’aide et de support de Windows Server 2003.
653
Pour activer les fonctionnalités de vieillissement et de nettoyage, suivez ces étapes :

1. Activez le vieillissement et le nettoyage sur le serveur DNS approprié. Ces
paramètres déterminent les propriétés de niveau zone pour toute zone intégrée
Active Directory sur le serveur.
2. Activez le vieillissement et le nettoyage pour les zones sélectionnées sur le serveur
DNS. Lorsque des propriétés de zone sont définies pour une zone sélectionnée, ces
paramètres s’appliquent uniquement à la zone en question et à ses enregistrements

des serveurs
de ressources. À moins que ces propriétés de niveau zone soient configurées

autrement, elles héritent leurs paramètres par défaut de réglages comparables
conservés dans les propriétés de vieillissement/nettoyage du serveur DNS.
Définir les propriétés de vieillissement et de nettoyage du serveur

DNS
Pour définir les propriétés de vieillissement et de nettoyage sur le serveur, procédez
comme suit :
1. Connectez-vous à l’ordinateur qui exécute le service Serveur DNS avec un compte
membre du groupe local Administrateur.
2. Dans l’arborescence de la console DNS, cliquez du bouton droit de la souris sur le
serveur DNS approprié, puis choisissez Définir le vieillissement/nettoyage pour
toutes les zones.
Figure 18.29 :
Vieillissement de
serveur/Propriétés de
nettoyage
3. Cochez l’option Nettoyer les enregistrements de ressources obsolètes.

4. Modifiez les autres propriétés de vieillissement et de nettoyage comme requis.
654
Déployer les domaines enfants
Figure 18.30 :
Vieillissement de
serveur/Confirmation de
nettoyage
des serveurs
Définir les propriétés de vieillissement et de nettoyage pour une zone
Pour définir les propriétés de vieillissement et de nettoyage pour une zone, procédez ainsi :
1. Connectez-vous à l’ordinateur qui exécute le service Serveur DNS avec un compte
membre du groupe local Administrateur.
2. Dans l’arborescence de la console DNS, cliquez du bouton droit de la souris sur le
serveur DNS approprié, puis choisissez Propriétés.
3. Sous l’onglet Général, cliquez sur Vieillissement et sélectionnez la case à cocher
Nettoyer les enregistrements de ressources obsolètes.
4. Modifiez les autres propriétés de vieillissement et de nettoyage comme requis.
18.5. Déployer les domaines enfants

Maintenant que le domaine racine de Puzzmania est en place, il est possible de passer à
la mise en place de domaines enfants corp.puzzmania.com et rd.puzzmania.com.
Dans cette application pratique, vous allez installer Active Directory et créer un
domaine enfant recherche dans le domaine racine de la forêt puzzmania.com.
Après l’installation d’Active Directory et la création du domaine enfant, vous

effectuerez l’ensemble des vérifications que vous avez précédemment réalisées après
l’installation d’un contrôleur de domaine et la création d’un domaine à savoir :
j vérification de la structure des dossiers ;
j vérification des dossiers partagés ;
j vérification de la base de données et des fichiers journaux d’Active Directory ;
j vérification de la configuration DNS ;
j vérification de l’intégration du DNS à Active Directory ;
j vérification du mode Restauration des annuaires.
Ces opérations pourront se faire également pour le deuxième domaine enfant de

puzzmania.
655
Pour installer le premier domaine enfant de puzzmania, procédez comme suit :

1. Connectez-vous en tant que puzzmania\administrateur.
2. Cliquez sur Démarrer, cliquez du bouton droit de la souris sur Invite de commandes,
puis cliquez sur Exécuter en tant que.
Figure 18.31 :
Commande Exécuter en
des serveurs
tant que
3. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L’utilisateur suivant,
saisissez un nom d’utilisateur puzzmania\administrateur et le mot de passe, puis
cliquez sur OK.
4. À l’Invite de commandes, saisissez dcpromo et appuyez sur [Ä].
5. Sur la page Assistant Installation d’Active Directory, cliquez sur Suivant.
6. Sur la page Compatibilité du système d’exploitation, cliquez sur Suivant.
7. Sur la page Type de contrôleur de domaine, cliquez sur Contrôleur de domaine pour
un nouveau domaine, puis cliquez sur Suivant.
8. Sur la page Créer un nouveau domaine, cliquez sur Domaine enfant dans une
arborescence de domaine existante, puis sur Suivant.
Figure 18.32 :
Création d’un domaine
enfant dans une
arborescence existante
656
Déployer les domaines enfants
9. Sur la page Informations d’identification réseau, saisissez Administrateur comme

nom d’utilisateur, assurez-vous que puzzmania.com est le domaine, puis cliquez sur
Suivant.
10. Sur la page Installation d’un domaine enfant, assurez-vous que le domaine parent
est puzzmania.com, saisissez le nom de domaine enfant recherche, puis cliquez
sur Suivant.
Figure 18.33 :
des serveurs
Création du domaine
enfant rd
11. Sur la page Nom de domaine NetBIOS, vérifiez que le nom NetBIOS est RD, puis
12. Sur la page Dossier de la base de données et du journal, acceptez la sélection par
défaut, puis cliquez sur Suivant.
13. Sur la page Volume système partagé, acceptez l’emplacement par défaut
d’installation du dossier SYSVOL, puis cliquez sur Suivant.
14. Sur la page Diagnostics des inscriptions DNS, assurez-vous que les paramètres de
configuration DNS sont exacts, puis cliquez sur Suivant.
15. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les
systèmes d’exploitation Windows 2000 ou Windows Server 2003, puis cliquez sur
Suivant.
saisissez et confirmez le mot de passe et cliquez sur Suivant.
17. Passez en revue la page Résumé, cliquez sur Suivant pour commencer l’installation,
puis sur Terminer.
18. Redémarrez le serveur.
657
19. Vous pouvez maintenant installer les deuxièmes contrôleurs de domaine de chaque
domaine sur leurs sites respectifs.
20. Testez la réplication à l’aide de la commande repadmin /showrepl pour vous
assurer que les réplications fonctionnent correctement entre les contrôleurs de
domaine. En cas de problème, vous pouvez dans un premier temps utiliser la
commande netdiag /fix.
des serveurs
18.6. En résumé
Pour résumer et clore ce chapitre, Active directory est en quelque sorte la colonne
vertébrale de votre organisation. Il bénéficie d’une grande souplesse lui permettant de
prendre en compte dans son implémentation les notions logiques pour les domaines, par
exemple, et les notions physiques telle que les sites. Le mode de réplication multimaître
permet à Active Directory de fonctionner de manière désynchronisée durant quelque
temps.
Nous avons vu qu’Active Directory devait répondre à quelque prérequis pour son bon
fonctionnement. Ce qui peut amener à poser la question suivante : "Active Directory
est-il tributaire de la configuration du serveur pour pouvoir bénéficier de bonnes
performances ?"
Oui, Active Directory est tributaire de sa configuration pour de bonnes performances,

celle-ci doit répondre aux exigences suivantes :
j 850 MHz par tranche de 500 utilisateurs ;
j 512 Mo de RAM par tranche de 500 utilisateurs ;
j 500 Mo d’espace disque pour SYSVOL ;
j 400 Mo d’espace disque pour NTDS.dit ;
j 2 Go d’espace disque pour la partition système.
Lors de l’installation du domaine racine de forêt, nous avons pu constater que l’on
pouvait installer Active Directory de plusieurs manières. Combien existe-t-il méthodes
pour installer Active Directory sur un contrôleur de domaine ?
Il existe quatre méthodes pour installer un contrôleur de domaine.

j utilisation de l’Assistant Installation d’Active Directory ;
j utilisation d’un fichier de réponse ;
j installation depuis le réseau ou un média ;
j utilisation de l’Assistant Configurer votre serveur.
658
En résumé
Après l’installation d’Active Directory sur les contrôleurs de domaine, il est nécessaire
de vérifier et de reconfigurer certains paramètres.
Que se passe-t-il une fois que le premier contrôleur de domaine est installé ? Un
ensemble d’utilisateurs et de groupes prédéfinis est installé. Le contrôleur possède
automatiquement le catalogue global, mais aussi l’ensemble des rôles maître
d’opérations.
des serveurs
L’évolution de la puissance des processeurs fait qu’aujourd’hui la plupart des
contrôleurs de domaine restent sous-exploités. La virtualisation permet d’optimiser et
de consolider les contrôleurs de domaines de plusieurs domaines d’un même site sur le
même serveur physique. Cependant, il n’est pas recommandé à ce jour de virtualiser
l’ensemble des contrôleurs de domaine d’un même domaine. À ce titre, Microsoft met à
disposition sur son site un document de 70 pages sur les recommandations de la
virtualisation des contrôleurs de domaine. Ce qu’il est important de garder à l’esprit,
c’est que les performances d’Active Directory résident dans la puissance processeur,
mais également dans la capacité à charger la base de données en mémoire.
659
Chapitre 19
Les fonctions et les

rôles dans Active
Directory
19.1 Configurer les rôles maîtres d’opération . . . . . . . . . . . . . . . . . . . . . . . . . . 663
19.2 Configurer le catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
19.3 Élever les niveaux fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
19.4 Les relations d’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
19.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Configurer les rôles maîtres d’opération
B ien qu’essentiels mais peu utilisés par les administrateurs, nous allons aborder les
rôles maîtres d’opération, apporter des explications par le biais de quelques
définitions ou travaux pratiques. Nous aborderons également la mise en place de
relations d’approbation afin de pouvoir continuer à utiliser des ressources des domaines
existants. Afin d’exploiter au mieux les nouvelles fonctionnalités apportées par
Windows Server 2003, nous décrirons les niveaux fonctionnels aux niveaux des
domaines et de la forêt.
19.1. Configurer les rôles maîtres d’opération
19. Les fonctions et les

rôles dans Active
Avant d’aborder la configuration des rôles maîtres en voici d’abord un bref rappel.
Directory
Même si de façon générale sous Active Directory aucun contrôleur de domaine installé
n’est plus important que l’autre, il existe quand même quelques exceptions pour les
contrôleurs de domaines qui hébergent les rôles maîtres d’opérations. Par défaut,
l’ensemble des rôles maîtres d’opérations appelés aussi FSMO (Flexible Single Master of
Operation) sont installés sur le premier contrôleur de domaine et, par conséquent, le
premier contrôleur de la forêt. Ce contrôleur de domaine possède donc l’ensemble de
cinq FSMO. De plus, ces rôles maîtres sont installés sur le contrôleur de domaine
possédant le catalogue global. À ce stade de l’implémentation, cela ne pose aucun
problème, mais au fur et à mesure que l’implémentation du service d’annuaire évolue, et
une fois encore selon les besoins de l’entreprise, il pourra être judicieux et parfois même
obligatoire de déplacer certains rôles maîtres, nous allons voir pourquoi.
Les rôles maîtres au niveau de la forêt

Les rôles du maître d’opérations concernent des tâches irréalisables en mode
multimaître. Il en existe cinq différents, et vous pouvez les attribuer à un ou plusieurs
contrôleurs de domaine. Certains rôles doivent être définis une fois dans chaque
domaine. Mais d’autres ne peuvent être assignés qu’une seule fois dans une forêt de
domaines. C’est le cas pour les rôles Contrôleur de schème et le maître d’attribution de
nom de domaine.
Le contrôleur de schéma
Le schéma Active Directory définit les types d’objets et les types d’informations qui s’y
rapportent pouvant être stockés dans Active Directory. Active Directory stocke ces
définitions sous forme d’objets. Active Directory gère les objets du schéma à l’aide des
mêmes opérations de gestion d’objet que celles qu’il utilise pour gérer les autres objets
de l’annuaire.
Le contrôleur de schéma exécute les rôles suivants :

j Il contrôle toutes les mises à jour d’origine apportées au schéma.
663
Chapitre 19 Les fonctions et les rôles dans Active Directory
j Il contient la liste principale des classes d’objets et des attributs utilisés pour la
création de tous les objets Active Directory.
j Il réplique les mises à jour apportées au schéma Active Directory sur tous les
contrôleurs de domaine de la forêt en utilisant la réplication de la partition de
schéma.
j Il autorise uniquement les membres du groupe Administrateurs du schéma à
modifier le schéma. Chaque forêt possède un seul contrôleur de schéma. Cela
permet d’éviter les conflits qu’entraîneraient des tentatives de mise à jour
simultanées du schéma par plusieurs contrôleurs de domaine. Si le contrôleur de
schéma n’est pas disponible, vous ne pouvez pas modifier le schéma ou installer des
applications qui le modifient.

rôles dans Active
Directory
Le maître d’attribution de noms de domaine

Lorsque vous ajoutez ou supprimez un domaine dans une forêt, cette modification est
enregistrée dans Active Directory. Le maître d’attribution de noms de domaine contrôle
l’ajout ou la suppression de domaines dans la forêt. Il n’existe qu’un maître d’attribution
de noms de domaine dans chaque forêt. Lorsque vous ajoutez un domaine à la forêt, seul
le contrôleur de domaine possédant le rôle de maître d’attribution des noms de domaine
peut ajouter le nouveau domaine. Le maître d’attribution de noms de domaine empêche
que plusieurs domaines portant le même nom soient ajoutés à la forêt. Lorsque vous
utilisez l’Assistant Installation d’Active Directory pour créer un domaine enfant, il
contacte le maître d’attribution des noms de domaine pour demander l’ajout ou la
suppression. Si le maître d’attribution des noms de domaine est indisponible, vous
n’avez pas la possibilité d’ajouter ni de supprimer des domaines.
Ces rôles au niveau de la forêt doivent être uniques c’est-à-dire qu’il ne peut exister
qu’un seul maître contrôleur de schéma et qu’un seul maître d’attribution de noms de
domaine par forêt. C’est pour cela que, pour l’organisation, ces rôles maîtres seront
placés sur l’un des contrôleurs de domaine du domaine racine (puzzmania.com) sur le
contrôleur de domaine sncercdc02.
Les rôles maîtres au niveau du domaine

Les trois rôles maîtres d’opérations suivants concernent donc les rôles maîtres
d’opération agissant au niveau du domaine. Ils seront installés par défaut sur le premier
contrôleur enfant de chaque domaine. Et puisque d’un domaine à l’autre les besoins
peuvent changer, ces rôles maîtres pourront être positionnés de manière différente.
Le maître des ID relatifs

Le maître des identificateurs relatifs (ou maître RID) est un contrôleur de domaine qui
alloue des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine.
Chaque fois qu’un contrôleur de domaine crée une nouvelle entité de sécurité, telle
qu’un objet utilisateur, groupe ou ordinateur, il attribue un identificateur de sécurité
664
(SID, Security IDentifier) à cet objet. Cet identificateur consiste en un identificateur de

sécurité de domaine, qui est le même pour toutes les entités de sécurité créées dans le
domaine, et en un identificateur relatif qui est unique pour chaque entité de sécurité
créée dans le domaine.
Le maître RID prend en charge la création et les déplacements d’objets…

j Création d’objets : pour permettre à une opération multimaître de créer des objets
sur un contrôleur de domaine, le maître RID alloue un bloc d’identificateurs relatifs
à un contrôleur de domaine. Lorsqu’un contrôleur de domaine requiert un bloc
d’identificateurs relatifs supplémentaires, il contacte le maître RID qui lui alloue un

nouveau bloc d’identificateurs relatifs, puis les attribue à de nouveaux objets.
rôles dans Active

Lorsque la réserve d’identificateurs relatifs d’un contrôleur de domaine est vide et
que le maître RID est indisponible, la création d’entité de sécurité sur ce contrôleur
Directory
de domaine est impossible. L’utilitaire de diagnostic du contrôleur de domaine
(commande dcdiag) vous permet d’afficher l’attribution de réserve
d’identificateurs relatifs.
j Déplacement d’objets : lorsque vous déplacez un objet d’un domaine à l’autre, le
déplacement est initié sur le maître RID qui contient l’objet. De cette façon, il n’y a
pas de duplication des objets. Si vous déplaciez un objet sans qu’un seul maître
conserve cette information, vous pourriez déplacer l’objet vers plusieurs domaines
sans savoir qu’un déplacement précédent a déjà eu lieu.
Suppression
Lors d’un déplacement d’un domaine à un autre, le maître RID supprime l’objet du
domaine d’origine.
L’émulateur PDC
L’émulateur PDC agit comme un contrôleur de domaine principal Microsoft
Windows NT pour prendre en charge les contrôleurs secondaires de domaine exécutant
Windows NT dans un domaine en mode mixte. À la création d’un domaine, Active
Directory attribue le rôle d’émulateur PDC au premier contrôleur de domaine du
nouveau domaine.
L’émulateur PDC exécute les rôles suivants :

j Il agit en tant que contrôleur de domaine principal pour tous les contrôleurs
secondaires de domaine existants. Si un domaine contient des contrôleurs
secondaires de domaine ou des ordinateurs clients exécutant Windows NT 4.0 ou
une version antérieure, l’émulateur PDC fonctionne en tant que contrôleur de
domaine principal Windows NT ; l’émulateur PDC réplique les modifications
apportées à l’annuaire sur tous les contrôleurs secondaires de domaine exécutant
Windows NT.
665
j Il gère les modifications de mot de passe des ordinateurs exécutant Windows NT,
Microsoft Windows 95 ou Windows 98. Active Directory inscrit directement les
modifications de mot de passe dans l’émulateur PDC.
j Il minimise la latence de réplication des modifications de mot de passe. Le délai
nécessaire pour qu’un contrôleur de domaine reçoive une modification apportée à
un autre contrôleur de domaine est appelé"latence de réplication". Lorsque le mot
de passe d’un ordinateur client exécutant Windows 2000 ou une version ultérieure
est modifié sur un contrôleur de domaine, ce dernier transmet immédiatement la
modification à l’émulateur PDC. Si une authentification de connexion échoue sur
un autre contrôleur de domaine du fait d’un mauvais mot de passe, ce contrôleur de
domaine transmet la demande d’authentification à l’émulateur PDC avant de

rôles dans Active
rejeter la tentative de connexion.

Directory
j Il synchronise l’heure de tous les contrôleurs de domaine du domaine en fonction de

son heure. Le protocole d’authentification Kerberos, version 5, exige que l’heure
des contrôleurs de domaine soit synchrone pour autoriser l’authentification. Les
ordinateurs clients d’un domaine synchronisent également leur heure sur celle du
contrôleur de domaine authentifiant l’utilisateur.
j Il interdit toute possibilité d’écrasement des objets de stratégie de groupe (GPO,
Group Policy Object). Par défaut, la stratégie de groupe réduit les risques de conflits
de réplication en s’exécutant sur le contrôleur de domaine jouant le rôle
d’émulateur PDC pour ce domaine.
Le maître d’infrastructure
Le maître d’infrastructure est un contrôleur de domaine qui met à jour les références
des objets de son domaine qui pointent vers les objets d’un autre domaine. La référence
contient l’identificateur global unique (GUID, Globally Unique IDentifier) de l’objet, son
nom unique et éventuellement un identificateur de sécurité (SID). Active Directory met
régulièrement à jour le nom unique et l’identificateur de sécurité afin de refléter les
modifications apportées à l’objet, par exemple lorsqu’un objet a été déplacé au sein d’un
domaine ou entre des domaines, ou qu’il a été supprimé.
Identification de l’appartenance à un groupe

Si l’identificateur de sécurité ou le nom unique d’un compte d’utilisateur ou d’un groupe
est modifié dans un autre domaine, Active Directory doit mettre à jour l’appartenance
au groupe de votre domaine faisant référence à l’utilisateur ou au groupe modifié. Le
maître d’infrastructure du domaine dans lequel réside le groupe (ou la référence) met à
jour l’appartenance au groupe en répliquant la modification sur l’ensemble du domaine.
Le maître d’infrastructure met à jour l’identification de l’objet en fonction des règles

suivantes :
j Si l’objet est déplacé, son nom unique change car il représente son emplacement
exact dans l’annuaire.
666
j Si l’objet est déplacé au sein du domaine, son identificateur de sécurité ne change

pas.
j Si l’objet est déplacé vers un autre domaine, l’identificateur de sécurité change afin
de refléter le nouvel identificateur de sécurité du domaine.
j L’identificateur global unique ne change pas quel que soit l’emplacement car il est
unique sur tous les domaines.
Vérifier le transfert de rôle

Dans un environnement à domaines multiples, assurez-vous que le rôle maître

d’infrastructure est transféré sur un contrôleur de domaine qui n’héberge pas le
rôles dans Active

catalogue global. Sinon, certains contrôleurs de domaine peuvent finir par disposer
Directory
d’informations obsolètes sur les appartenances aux groupes.
Le maître d’infrastructure et le catalogue global

Ne nommez pas maître d’infrastructure un contrôleur de domaine qui héberge le
catalogue global. Si le maître d’infrastructure et le catalogue global sont sur le même
ordinateur, le maître d’infrastructure ne fonctionne pas car il ne renferme aucune
référence aux objets qu’il ne contient pas.
Régulièrement, le maître d’infrastructure d’un domaine examine les références aux

objets non conservés sur ce contrôleur de domaine dans son réplica des données de
l’annuaire. Il demande à un serveur de catalogue global les informations en cours
relatives au nom unique et à l’identificateur de sécurité de chaque objet référencé. Si ces
informations ont changé, le maître d’infrastructure reproduit la modification dans son
réplica local, puis réplique les modifications sur les autres contrôleurs de domaine du
domaine.
Le transfert des rôles

Puisque nous venons de voir qu’il peut être utile et même parfois quasi obligatoire de
modifier l’emplacement des rôles maîtres d’opérations. Puzzmania a choisi en fonction
de besoins et des contraintes de positionner les rôles maîtres d’opération de la manière
suivante :
Tableau 19.1 : Récapitulatif des rôles maîtres pour l’organisation de puzzmania

Rôles maîtres Puzzmania.com Corp.puzzmania.com Recherche.puzzmania.com
Contrôleur de sncdrcdc02 Aucun Aucun
schéma
Attribution de noms sncdrcdc02 Aucun Aucun
de domaine
667
Rôles maîtres Puzzmania.com Corp.puzzmania.com Recherche.puzzmania.com

ID relatifs sncercdc01 sparcpdc01 sncerddc01
Émulateur PDC sncercdc01 sncecpdc01 sncerddc01
Infrastructure sncercdc02 stlscpdc01 sncerddc02
Ce qui nous amène à aborder le transfert de rôles des maîtres d’opérations. Une
question légitime pour se poser : "Mais s’il n’y a qu’un seul maître d’opérations pour la
forêt ou le domaine ! Que le contrôleur de domaine tombe en panne, comment vais-je
faire pour transférer mon rôle maître ? Que va-t-il se passer ?"
rôles dans Active
En fait, dans ce cas, il ne sera plus question de transférer un rôle maître, mais plutôt
d’effectuer une prise de ce rôle. Cela comporte un certain nombre de recommandations.
Directory
Le transfert du rôle maître de contrôleur de schéma

Commençons tout d’abord par transférer les rôles maîtres d’opérations uniques à la
forêt.
Procédure de détermination du contrôleur de schéma

Avant de transférer un rôle, vous devez tout d’abord savoir quel est le contrôleur de
domaine qui possède ce rôle maître. Pour cela, deux possibilités s’offrent à vous : le
mode graphique ou le mode ligne de commandes.
Pour déterminer en lignes de commandes quel serveur est le maître actuel du schéma,
tapez dans une fenêtre d’Invite de commandes : Dsquery server –hasfsmo schema.
Figure 19.1 : Ligne de commande
Pour déterminer en mode graphique quel serveur est le contrôleur de schéma, procédez
comme suit :
1. Enregistrez le composant logiciel enfichable Schéma Active Directory en exécutant la
commande suivante : regsvr32.exe %systemroot%\system32\schmmgmt.dll.
Figure 19.2 :
Enregistrement de la
DLL schmmgmt.dll
668
2. Cliquez sur OK.

3. Créez une console MMC (Microsoft Management Console) personnalisée, puis
ajoutez-lui le composant logiciel enfichable Schéma Active Directory.
4. Dans l’arborescence de la console, développez, puis cliquez avec le bouton droit sur
Schéma Active Directory, et cliquez sur Maître d’opérations.
5. Dans la boîte de dialogue Modifier le maître d’opérations, examinez le nom de
l’actuel contrôleur de schéma.
Procédure de transfert du rôle de contrôleur de schéma

Pour transférer le rôle de maître d’opérations du schéma, procédez comme suit :
rôles dans Active

Directory
1. Ouvrez Schéma Active Directory.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Schéma Active
Directory, puis cliquez sur Changer le contrôleur de domaine.
Figure 19.3 :
Changer le contrôleur d
domaine
3. Cliquez sur Spécifiez un nom, entrez le nom du contrôleur de domaine auquel vous
souhaitez transférer le rôle de contrôleur de schéma (scerddc02), puis cliquez sur
OK.
4. Dans l’arborescence de la console, cliquez avec le bouton droit sur Schéma Active
Directory, puis cliquez sur Maître d’opérations.
Figure 19.4 :
Transfert du rôle maître
de schéma
669
5. Lorsque vous voyez le nom du contrôleur de domaine scerddc02, cliquez sur

Modifier, puis sur Oui.
Utiliser le composant logiciel enfichable Schéma Active Directory

Avant de pouvoir utiliser le composant logiciel enfichable Schéma Active Directory,
vous devez utiliser Regsvr32.exe pour enregistrer ce composant, Schmmgmt.dll, puis
créer une nouvelle console MMC personnalisée.
Le transfert du rôle maître d’attribution de noms de domaine

rôles dans Active
Directory
Procédure de détermination du maître d’attribution de noms de

domaine
Pour déterminer en lignes de commandes quel serveur est le maître d’attribution de
noms de domaine actuel, tapez dans une fenêtre d’Invite de commandes : Dsquery
server –hasfsmo name.
Figure 19.5 : Ligne de commande
Pour déterminer en mode graphique quel serveur est le maître d’attribution de noms de
domaine actuel, procédez comme suit :
1. Ouvrez Domaines et approbations Active Directory.
Figure 19.6 : Console Domaines et approbations Active Directory
670
2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis
cliquez sur Maître d’opérations.
3. Dans la boîte de dialogue Modifier le maître d’opérations, examinez le nom de
l’actuel maître d’attribution de noms de domaine scncercdc01 (premier contrôleur
par défaut de la forêt).
Procédure de transfert du rôle de maître d’attribution de noms de

domaine
Pour transférer le rôle de maître d’attribution de noms de domaine sur un autre

contrôleur de domaine, procédez comme suit :
rôles dans Active

1. Ouvrez Domaines et approbations Active Directory.
Directory
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et
approbations Active Directory, puis cliquez sur Se connecter au contrôleur de
domaine.
3. Sur la liste, sélectionnez un contrôleur de domaine disponible, cliquez sur le
contrôleur de domaine qui deviendra le nouveau maître d’attribution de noms de
domaine scncercdc02, puis sur OK.
4. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et
approbations Active Directory, puis cliquez sur Maître d’opérations.
Figure 19.7 :
d’attribution de noms
5. Lorsque le nom du contrôleur de domaine apparaît, cliquez sur Modifier, puis sur
Oui.
Figure 19.8 :
Message de validation
du transfert
671
Le transfert des rôles maîtres de domaine
La détermination du maître RID, de l’émulateur PDC et du maître

d’infrastructure
Avant d’envisager le déplacement d’un rôle de maître d’opérations, identifiez le
contrôleur de domaine qui détient un rôle de maître d’opérations particulier.
Localisation des rôles maîtres d’opérations

Seuls les utilisateurs authentifiés ont l’autorisation de localiser les rôles de maître
d’opérations. Selon le rôle de maître d’opérations, utilisez l’un des composants

rôles dans Active
logiciels enfichables Active Directory suivants :

Directory
j Utilisateurs et ordinateurs Active Directory (rôles de maître d’infrastructure,

émulateur PDC et maître RID) ;
j Domaines et approbations Active Directory (rôle de maître d’attribution de noms
de domaine) ;
j Schéma Active Directory (rôle de contrôleur de schéma).
Pour déterminer quel contrôleur de domaine exécute le rôle de maître RID,

d’émulateur PDC ou de maître d’infrastructure, procédez comme suit :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
Figure 19.9 : Console Utilisateurs et Ordinateurs Active Directory
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le domaine pour
lequel vous souhaitez afficher les maîtres d’opérations, puis cliquez sur Maîtres
d’opérations.
3. Sous les onglets RID, CDP et Infrastructure, sous la rubrique Maîtres d’opérations,
visualisez le nom de l’actuel Maître d’opérations.
672
Figure 19.10 :
Maîtres d’opérations de
domaine

rôles dans Active
Directory
Le transfert des rôles de maître RID, d’émulateur PDC et de maître
d’infrastructure
Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory vous
permet de transférer les trois rôles de maître d’opérations au niveau du système. Pour
transférer le rôle de maître d’attribution de noms de domaine, utilisez le composant
logiciel enfichable Domaines et approbations Active Directory. Pour transférer le rôle
de contrôleur de schéma Active Directory, utilisez l’outil Schéma Active Directory.
Pour transférer le rôle de maître RID, d’émulateur PDC ou de maître d’infrastructure,

procédez comme suit :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et
ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
3. Sur la liste, sélectionnez un contrôleur de domaine disponible, cliquez sur les
contrôleurs de domaine pour chaque rôle qui conviendra au nouveau maître
d’opérations (voir le tableau récapitulatif des rôles maîtres d’opérations pour
puzzmania), puis sur OK.
4. Dans l’arborescence de la console, cliquez avec le bouton droit sur le domaine
puzzmania contenant les serveurs qui deviendront les nouveaux maîtres
d’opérations, puis cliquez sur Maîtres d’opérations. Effectuez ces tâches autant de
fois qu’il y a de domaines.
673
Figure 19.11 :
d’infrastructure
rôles dans Active
Directory
5. Sous les onglets RID, CDP et Infrastructure, sous Maîtres d’opérations, visualisez,
cliquez sur Modifier, puis sur Oui.
Déterminer les contrôleurs de domaine qui doivent obtenir les rôles

Lorsqu’un contrôleur de domaine est rétrogradé au rang de serveur membre, il
abandonne les rôles de maître d’opérations qu’il détenait aux autres contrôleurs de
domaine. Pour pouvoir déterminer les contrôleurs de domaine qui doivent obtenir les
rôles, transférez ces derniers avant de procéder à la rétrogradation.
19.2. Configurer le catalogue global

Maintenant que les rôles maîtres d’opérations sont transférés sur leur contrôleur de
domaine respectif, il faut encore configurer les contrôleurs de domaine qui devront
répondre au rang de serveur de catalogue global. Mais avant, voici un petit rappel
concernant le catalogue global.
Le catalogue global est le référentiel central des informations concernant les objets
d’une forêt dans Active Directory. La mise en cache de l’appartenance au groupe
universel dans Windows Server 2003 réduit le trafic et améliore le temps de connexion
entre des liaisons lentes de réseau étendu (WAN, Wide Area Network). Vous devez
comprendre les serveurs de catalogue global et la mise en cache de l’appartenance au
groupe universel pour planifier le placement de contrôleurs de domaine dans votre
réseau.
674
Configurer le catalogue global
Configurer des catalogues globaux

1. Démarrez Sites et services Active Directory.

rôles dans Active
Directory
Figure 19.12 : Console Sites et Services
2. Dans l’arborescence de la console, développez l’arborescence du site avec lequel

vous souhaitez travailler, par exemple Nice.
3. Développez le dossier serveur du site, puis cliquez sur le serveur qui devra héberger
le catalogue global. Prenons comme exemple scnecpdc01, domaine contrôleur du
site de Nice pour le domaine corp.
4. Dans le volet affichage, cliquez du bouton droit de la souris sur le paramètre NTDS,
puis sélectionnez Propriétés.
5. Pour activer le catalogue global, cochez la case Catalogue global sous l’onglet
Général.
Voici l’exemple présenté ci-après :
675
Figure 19.13 :
Activer le catalogue
global
rôles dans Active
Directory
6. Pour désactiver le catalogue global, décochez tout simplement l’option.
Figure 19.14 : Catalogue global pour puzzmania dans un environnement multidomaine
676
Trafic de réplications
L’activation d’un serveur de catalogue global peut entraîner un trafic de réplications
supplémentaire pendant que le serveur récupère une copie initiale complète de tout le
catalogue global. Le contrôleur de domaine ne s’annonce pas comme serveur de
catalogue global avant d’avoir reçu les informations du catalogue global via la
réplication.
Que se passe-t-il en l’absence de catalogue global ?

rôles dans Active
Si un catalogue global n’est pas disponible lorsqu’un utilisateur ouvre une session sur un
domaine s’exécutant dans le niveau fonctionnel de domaine de Windows 2000 natif ou
Directory
Windows Server 2003, le contrôleur de domaine qui traite la demande de connexion de
l’utilisateur refuse la requête, et l’utilisateur ne peut pas ouvrir de session.
Si aucun contrôleur de domaine n’est disponible pour traiter une demande de

connexion d’un utilisateur, le contrôleur de domaine traite la demande de connexion à
l’aide des informations d’identification de l’utilisateur en mémoire cache. Cette
fonctionnalité permet à des utilisateurs d’ouvrir une session sur des ordinateurs
portables lorsqu’ils ne sont pas connectés au réseau d’entreprise. Le compte
Administrateur du domaine peut toujours ouvrir une session, même lorsqu’aucun
serveur de catalogue global n’est disponible.
Bénéficier des avantages de réduction du trafic

Les ordinateurs clients doivent avoir accès à un serveur de catalogue global pour
ouvrir une session. Par conséquent, dans la plupart des cas, vous devez disposer d’au
moins un serveur de catalogue global dans chaque site pour bénéficier des avantages
de réduction du trafic sur le réseau que permet l’utilisation de sites.
Les niveaux fonctionnels sous Windows Server 2003

Sous Windows Server 2003, les fonctionnalités des forêts et des domaines offrent un
moyen d’activer les fonctionnalités Active Directory étendues à l’échelle de la forêt ou
du domaine dans votre environnement réseau. Selon votre environnement, différents
niveaux de fonctionnalité de forêt et de fonctionnalité de domaine sont disponibles.
Outre les fonctionnalités de base d’Active Directory sur les contrôleurs de domaine
individuels, de nouvelles fonctionnalités Active Directory étendues à la forêt et au
domaine sont disponibles lorsque certaines conditions sont satisfaites.
677
Au niveau des domaines

Par définition la fonctionnalité de domaine active des fonctionnalités qui auront un
impact sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux
fonctionnels de domaine sont disponibles :
j Windows 2000 mixte ;
j Windows 2000 natif ;
j Windows 2003 Server ;
j Windows 2003, version préliminaire.
rôles dans Active
Liste des fonctionnalités

Directory
Pour obtenir une liste exhaustive des fonctionnalités activées pour chaque niveau
fonctionnel de la forêt ou du domaine, reportez-vous à la rubrique Fonctionnalité des
domaines et des forêts, en ligne, dans Aide et Support.
Attention, il n’est pas possible de réduire le niveau fonctionnel d’un domaine après
l’avoir élevé !
Conditions requises pour activer de nouvelles fonctionnalités

étendues au domaine
Bien évidemment, tout le monde sous Windows 2003 Server ne peut pas élever les
niveaux fonctionnels des domaines comme il le souhaite. Pour activer les nouvelles
fonctionnalités étendues au domaine, tous les contrôleurs de domaine du domaine
doivent exécuter Windows Server 2003, et le niveau fonctionnel du domaine doit être
élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un administrateur
de domaine.
Voici les différents niveaux fonctionnels de domaine de Windows Server 2003 et les
contrôleurs de domaine pris en charge pour chaque niveau :
Tableau 19.2 : Niveaux de fonctionnalité dans le domaine

Niveau fonctionnel du domaine Contrôleurs de domaine pris en charge
Windows 2000 mixte Windows NT 4, Windows 2000, Windows
Server 2003
Windows 2000 natif Windows 2000, Windows Server 2003
Windows Server 2003, version préliminaire Windows NT 4, Windows Server 2003
Windows Server 2003 Windows Server 2003
Voici un récapitulatif des différences fonctionnelles entre les modes de domaine :
678
Tableau 19.3 : Différences fonctionnelles entre les modes de domaine

Fonctionnalité Windows 2000 mixte Windows 2000 natif Windows Server 2003
Renommer un Non Non Oui
Mise à jour de l’heure Non Non Oui
d’ouverture de session
Mot de passe de Non Non Oui
l’utilisateur dans l’objet
InetOrgPerson
object

Groupes Universels Groupes de Oui Oui
rôles dans Active

distribution : oui ; Autorise les groupes Autorise les groupes
Directory
Groupes de sécurité : de sécurité et de de sécurité et de
non distribution distribution
Imbrication de groupes Groupes de Oui Oui
distribution : oui ; Autorise une Autorise une
Groupes de sécurité : imbrication totale des imbrication totale des
non (toutefois les groupes groupes
groupes de sécurité du
domaine local peuvent
avoir des groupes
globaux comme
membres)
Conversion de groupes Non Oui Oui
Aucune conversion de Autorise la conversion Autorise la conversion
groupe n’est autorisée entre les groupes de entre les groupes de
sécurité et les groupes sécurité et les groupes
de distribution de distribution
Historique SID Non Oui Oui
Autorise les principaux Autorise les principaux
de sécurité à migrer de sécurité à migrer
d’un domaine à un d’un domaine à un
autre autre
Au niveau de la forêt
Par définition la fonctionnalité de forêt active les fonctionnalités à travers tous les
domaines de votre forêt. Deux niveaux fonctionnels de forêt sont disponibles : Windows
2000 et Windows Server 2003. Par défaut, les forêts opèrent au niveau fonctionnel
Windows 2000. Vous pouvez élever le niveau fonctionnel de la forêt vers Windows
Server 2003 afin d’activer des fonctionnalités qui ne sont pas disponibles au niveau
fonctionnel Windows 2000, notamment :
j les approbations de forêt ;
j une réplication accrue.
679

Attention, il n’est pas possible de réduire le niveau fonctionnel d’une forêt après l’avoir
élevé !
Tout comme pour l’élévation de niveau fonctionnel de domaine, ne peut pas élever qui
veut le niveau fonctionnel de forêt. Il est important de rappeler qu’élever ce niveau
fonctionnel aura un impact sur toute la forêt. Pour pouvoir effectuer cette manipulation,
rôles dans Active
il est nécessaire de répondre à certainement conditions.

Directory
Pour activer les nouvelles fonctionnalités étendues à la forêt, tous les contrôleurs de
domaine de la forêt doivent exécuter Windows Server 2003, et le niveau fonctionnel de
la forêt doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un
administrateur d’entreprise.
Voici les différents niveaux fonctionnels de forêt de Windows Server 2003 et les
contrôleurs de domaine pris en charge pour chaque niveau :
Tableau 19.4 : Niveaux de fonctionnalité de forêt

Niveau fonctionnel de forêt Contrôleurs de domaine pris en charge
Windows 2000 Windows NT 4, Windows 2000, Windows Server 2003
Windows Server 2003, version Windows NT 4, Windows Server 2003
préliminaire
Windows Server 2003 Windows Server 2003

Voici un récapitulatif des différences fonctionnelles entre les modes de domaine :
Tableau 19.5 : Différences fonctionnelles entre les modes de forêt

Fonctionnalité Windows 2000 Windows
Server 2003
Améliorations de la réplication du Non, à moins que les partenaires de Oui
catalogue global réplication soient tous sous Windows
Server 2003
680
Élever les niveaux fonctionnels
Fonctionnalité Windows 2000 Windows

Server 2003
Objets du schéma défunts Non Oui
Approbations de forêts Non Oui
Réplication de valeurs liées Non Oui
Changement de nom d’un domaine Non Oui
Algorithmes améliorés de la Non Oui
réplication Active Directory
Classes auxiliaires dynamiques Non Oui

rôles dans Active
Changement dans Non Oui
InetOrgPerson
Directory
objectClass
19.3. Élever les niveaux fonctionnels

En augmentant les fonctionnalités de la forêt et du domaine vers Windows Server 2003,
vous activez certaines fonctionnalités comme les approbations de forêt, par exemple qui
ne sont pas disponibles à d’autres niveaux fonctionnels. Vous pouvez augmenter les
fonctionnalités de la forêt ou du domaine en utilisant le composant logiciel enfichable
Domaines et approbations Active Directory.
Figure 19.15 : Console Domaines et approbations Active Directory
Élever le niveau fonctionnel du domaine

Conditions requises pour activer de nouvelles fonctionnalités étendues au domaine :
681
Pour activer les nouvelles fonctionnalités étendues au domaine, tous les contrôleurs de
domaine du domaine doivent exécuter Windows Server 2003, et le niveau fonctionnel
du domaine doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez
être un administrateur de domaine.
Pour augmenter le niveau fonctionnel du domaine, procédez ainsi :

1. Ouvrez la console Domaines et approbations Active Directory.
2. Cliquez du bouton droit de la souris sur le domaine que vous souhaitez faire évoluer
et choisissez Augmenter le niveau fonctionnel du domaine. Une boîte de dialogue
s’ouvre.
rôles dans Active
Figure 19.16 :
Augmenter le niveau
Directory
fonctionnel du domaine
3. Sélectionnez le niveau désiré sur la liste déroulante. Seuls les niveaux possibles
apparaissent. Cliquez sur Augmenter. Une boîte de confirmation apparaît.
Figure 19.17 : Information de mise en garde
4. Si vous êtes sûr de votre choix, cliquez sur OK.
Prudence
Vous ne pourrez plus revenir en arrière sans un gros travail de restauration du
domaine des sauvegardes Active Directory. Soyez prudent !
Figure 19.18 : Confirme que le niveau fonctionnel a bien été élevé
682
Élever les niveaux fonctionnels
Unique référence aux contrôleurs de domaines d’un domaine particulier

Le niveau fonctionnel du domaine fait. Vous pouvez toujours utiliser des contrôleurs
de domaines de niveaux inférieurs dans la même arborescence pourvu qu’ils se
situent dans des domaines différents.
Changer le niveau fonctionnel d’une forêt

Des conditions sont requises pour activer de nouvelles fonctionnalités étendues à la forêt…
Pour activer les nouvelles fonctionnalités étendues à la forêt, tous les contrôleurs de

domaine de la forêt doivent exécuter Windows Server 2003, et le niveau fonctionnel de
rôles dans Active

la forêt doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un
Directory
administrateur d’entreprise.
Augmenter le niveau fonctionnel de tous les domaines d’une forêt

Vous devez augmenter le niveau fonctionnel de tous les domaines d’une forêt vers
Windows 2000 natif ou supérieur avant de pouvoir augmenter celui de la forêt.
Pour augmenter le niveau fonctionnel de la forêt, procédez ainsi :

2. Cliquez du bouton droit de la souris à la racine de l’arborescence. Choisissez
Augmenter le niveau fonctionnel de la forêt.
3. Sélectionnez le niveau de fonctionnalité souhaité sur la liste déroulante. Seuls les
niveaux possibles apparaissent. Cliquez sur Augmenter. Une boîte de confirmation
apparaît. Si le niveau de la forêt ne peut pas être augmenté, la boîte de dialogue apparaît.
Figure 19.19 :
Augmenter le niveau
fonctionnel de forêt
4. Si vous êtes sûr de votre choix, Cliquez sur OK.
Attention car vous ne pourrez plus revenir en arrière !
683
19.4. Les relations d’approbation

L’implémentation du service d’annuaire Active Directory touche à ça fin ! Il reste
encore une étape facultative mais importante à aborder : les relations d’approbation.
Une fois l’implémentation et la nouvelle organisation mises en place, c’est par les
relations d’approbation avec les différents domaines de l’entreprise que puzzmania
pourra continuer à accéder aux ressources des domaines en productions.
Sous Windows Server 2003, plusieurs types de relations d’approbation existent. En voici
quelques explications…
rôles dans Active
Le composant logiciel enfichable Domaines et approbations Active Directory permet de

Directory
visualiser tous les domaines de la forêt, de gérer les relations d’approbation entre
domaines, de modifier le mode opératoire d’un domaine, de configurer les suffixes de
noms principaux d’utilisateurs pour la forêt et enfin d’accéder à l’outil d’administration
Utilisateurs et ordinateurs Active Directory.
Pour rappel, qu’est-ce qu’une relation d’approbation ? C’est tout simplement un canal
sécurisé entre des domaines, des arborescences ou de forêts. Les approbations
permettent aux utilisateurs d’un domaine d’être authentifiés par un contrôleur de
domaine présent dans d’autres domaines et, par nature, elles peuvent représenter des
liaisons transitives, unidirectionnelles ou bidirectionnelles.
Les domaines Windows 2003 Server sont plus simples à gérer que les domaines NT4 car
les approbations transitives bidirectionnelles sont établies automatiquement entre les
domaines parents et enfants dans une arborescence de domaine et entre les domaines
racines des arborescences d’une forêt. Cependant, il faut savoir que ces approbations ne
sont transitives que lorsque vous avez passé vos domaines au niveau fonctionnel
Windows 2000 natif ; autrement dit, lorsqu’il ne reste plus aucun BDC NT.
Les différentes approbations
Approbation racine d’arborescence

Celle-ci s’établit implicitement lorsque vous ajoutez un nouveau domaine racine à une
forêt. Par exemple dans le schéma Approbations racine d’arborescence (voir fig. 19.20).
Cette relation s’établit entre le domaine puzzmania.com et le domaine creadesign

.com. Ce dernier, qui est un nouveau domaine, vient s’ajouter à la forêt. L’approbation
est créée entre le domaine que vous vous apprêtez à créer (la racine de la nouvelle
arborescence) et le domaine racine de la forêt existante. Cela n’est possible qu’entre les
racines de deux arborescences de la même forêt. L’approbation est alors transitive et
bidirectionnelle.
684
Les relations d’approbation

rôles dans Active
Directory
Figure 19.20 : Approbations racine d’arborescence
Approbation parent enfant

Celle-ci s’établit implicitement lorsque vous créez un nouveau domaine enfant dans une
arborescence. Voyez, par exemple, le schéma suivant :
Figure 19.21 : Approbations parent enfant
685
Une relation d’approbation s’établit entre le domaine puzzmania.com et le corp

.puzzmania.com lorsque ce dernier, un nouveau domaine enfant du domaine
puzzmania.com, vient s’ajouter à l’arborescence. Le processus d’installation d’Active
Directory crée automatiquement une relation d’approbation entre le nouveau domaine
et celui qui le précède immédiatement dans la hiérarchie de l’espace de noms (par
exemple, corp.puzzmania.com et créé en tant qu’enfant de puzzmania.com). Il en
résulte qu’un domaine qui rejoint une arborescence dispose immédiatement des
relations d’approbations établies avec tous les domaines de l’arborescence. Cela rend
disponibles tous les objets de tous les domaines de l’arborescence pour tous les autres
domaines de ladite arborescence. L’approbation est transitive et bidirectionnelle.
rôles dans Active
Approbation raccourcie
Directory
Il s’agit tout simplement d’approbations externes créées pour raccourcir le chemin entre
deux domaines d’une même forêt lorsque les utilisateurs de l’un ou des domaines ont
besoin d’un accès fréquent aux ressources de l’autre domaine.
Figure 19.22 : Approbations raccourcie
En créant une approbation raccourcie entre deux domaines d’une forêt, le processus
d’authentification Kerberos, par lequel un accès à des ressources dans deux domaines
différents est accordé à des utilisateurs, est considérablement plus court d’un point de
vue du nombre de domaine à traverser, réduisant d’autant le trafic d’authentification et
accélérant le processus le processus d’authentification interdomaine. Ce type de
relations d’approbations reste utile uniquement pour les organisations possédant
plusieurs niveaux de domaines.
686
Approbation externe
Également appelé "approbation à sens unique", ce type d’approbation est
unidirectionnel et non transitif (similaire à NT) et doit être créé explicitement à l’aide
de la console Domaines et approbations Active Directory. Dans une approbation
externe le domaine approuvant approuve le domaine approuvé et les utilisateurs du
domaine approuvé peuvent accéder aux ressources du domaine approuvant, à condition
qu’ils disposent des autorisations adéquates sur les ressources auxquelles ils essaient
d’accéder.

rôles dans Active
Directory
Figure 19.23 : Approbations raccourcie
Vous pouvez établir explicitement une approbation externe entre un domaine Windows
Server 2003 et un autre domaine Windows Server 2003, un domaine Windows 2000
Server ou un domaine NT. Vous pouvez également créer une approbation
bidirectionnelle non transitive entre deux domaines en créant deux approbations
unidirectionnelles dans des sens opposés.
Voici les utilisations types des approbations externes :

j pour établir une approbation explicite entre un domaine Windows Server 2003 ou
Windows 2000 Server et un domaine NT4 ;
j pour établir une approbation explicite entre deux domaines Windows Server 2003 et
Windows 2000 se trouvant dans des forêts différentes.
687
Approbation au niveau de la forêt

Les approbations de forêt sont nouvelles sous Windows Server 2003. Elles ne sont
disponibles que pour les forêts configurées au niveau fonctionnel de forêt
Windows 2003. Les approbations de forêt permettent aux utilisateurs d’une forêt
d’accéder aux ressources d’une autre forêt en utilisant l’authentification Kerberos ou
NTLM. Les approbations de forêts sont des approbations transitives qui peuvent être
créées manuellement entre les domaines racines des deux forêts. Elles ajoutent une
nouvelle souplesse supplémentaire à la planification d’une implémentation d’Active
Directory. Notons toutefois que les approbations de forêt sont des approbations
externes créées entre les domaines racines de deux forêts. Que les approbations de
forêts ne fonctionnent qu’entre deux forêts. Autrement dit, si une approbation de forêt
rôles dans Active
et créée entre A et B et une seconde entre B et C, il n’y a aucune approbation implicite

entre les forêts A et C ; la transitivité n’est valide qu’entre deux forêts connectées par
Directory
l’approbation.
Approbation domaine kerberos

Encore une des nouveautés sous Windows Server 2003, Il est possible maintenant de
réaliser des approbations Kerberos. Ce sujet ne concerne pas le propos de cet ouvrage et
son étude de cas, et nous vous invitons à consulter les différents sites Internet traitant de
Le fonctionnement des approbations
Comment fonctionnent les approbations dans une forêt ?

Les approbations permettent aux utilisateurs d’un domaine d’accéder aux ressources
d’un autre domaine. Les relations d’approbation peuvent être transitives ou non
transitives.
Comment les approbations permettent aux utilisateurs d’accéder aux

ressources d’une forêt
Lorsqu’un utilisateur tente d’accéder à une ressource d’un autre domaine, le protocole
d’authentification Kerberos, version 5, doit déterminer si le domaine à approuver
(c’est-à-dire le domaine qui contient la ressource à laquelle tente d’accéder l’utilisateur)
possède une relation d’approbation avec le domaine approuvé (c’est-à-dire le domaine
dans lequel l’utilisateur tente d’ouvrir une session).
Pour déterminer cette relation, le protocole Kerberos, version 5, suit le chemin

d’approbation en utilisant le TDO afin d’obtenir une référence au contrôleur de
domaine du domaine cible. Le contrôleur de domaine cible émet un ticket de service
pour le service demandé. Le chemin d’approbation est le chemin d’accès le plus court
dans la hiérarchie d’approbation.
688
Lorsqu’un utilisateur du domaine approuvé tente d’accéder aux ressources d’un autre
domaine, son ordinateur contacte d’abord le contrôleur de domaine de son domaine
afin d’obtenir l’authentification pour la ressource. Si la ressource ne se trouve pas dans
le domaine de l’utilisateur, le contrôleur de domaine utilise la relation d’approbation
avec son parent et renvoie l’ordinateur de l’utilisateur vers un contrôleur de domaine de
son domaine parent.
Cette tentative de localisation de la ressource se poursuit jusqu’au sommet de la

hiérarchie, si possible vers le domaine racine de la forêt, et vers le bas de la hiérarchie
tant qu’un contact n’est pas établi avec un contrôleur de domaine du domaine dans
lequel se trouve la ressource.

rôles dans Active
Comment fonctionnent les approbations entre les forêts ?
Directory
Windows Server 2003 prend en charge les approbations entre forêts, qui permettent aux
utilisateurs d’accéder aux ressources d’une autre forêt. Lorsqu’un utilisateur tente
d’accéder aux ressources d’une forêt approuvée, Active Directory doit préalablement
rechercher les ressources. Une fois que les ressources ont été localisées, l’utilisateur
peut être authentifié et autorisé à accéder aux ressources. Si vous comprenez bien le
fonctionnement de ce processus, vous serez à même de résoudre les problèmes
susceptibles de survenir avec les approbations entre forêts.
Comment s’effectue l’accès à une ressource

Nous vous donnons une description de la manière dont un ordinateur client
Windows 2000 Professionnel ou Windows XP Professionnel recherche et accède aux
ressources d’une autre forêt dotée de serveurs Windows 2000 Server ou Windows
Server 2003.
1. Un utilisateur qui a ouvert une session sur le domaine corp.puzzmania.com tente
d’accéder à un dossier partagé de la forêt creadesign.com. L’ordinateur de
l’utilisateur contacte le KDC d’un contrôleur de domaine de corp.puzzmania.com
et demande un ticket de service en utilisant le SPN de l’ordinateur sur lequel
résident les ressources. Un SPN peut être le nom DNS d’un hôte ou d’un domaine,
ou le nom unique d’un objet point de connexion de service.
2. Les ressources ne sont pas localisées dans corp.puzzmania.com, le contrôleur de
domaine de corp.puzzmania.com demande donc au catalogue global de voir si
elles se trouvent dans un autre domaine de la forêt. Étant donné qu’un catalogue
global ne contient que des informations relatives à sa propre forêt, il ne trouve pas
le SPN. Il recherche alors dans sa base de données les informations relatives à des
approbations de forêt qui ont été établies avec sa forêt. S’il en trouve une, il compare
les suffixes de noms répertoriés dans le TDO de l’approbation de forêt par rapport
au suffixe du SPN cible. S’il trouve une correspondance, le catalogue global fournit
les informations de routage relatives à la manière de localiser les ressources au
contrôleur de domaine de corp.puzzmania.com.
689
3. Le contrôleur de domaine de corp.puzzmania.com envoie une référence à son

domaine parent, puzzmania.com, à l’ordinateur de l’utilisateur.
4. L’ordinateur de l’utilisateur contacte un contrôleur de domaine de puzzmania.com
pour obtenir une référence à un contrôleur de domaine du domaine racine de la
forêt creadesign.com.
5. Grâce à la référence renvoyée par le contrôleur de domaine de puzzmania.com,
l’ordinateur de l’utilisateur contacte un contrôleur de domaine de la forêt
creadesign.com pour obtenir un ticket de service pour le service demandé.
6. Les ressources ne se trouvent pas dans le domaine racine de la forêt creadesign
.com, le contrôleur de domaine contacte donc son catalogue global pour trouver le
rôles dans Active
SPN. Le catalogue global trouve une correspondance pour le SPN et l’envoie au

Directory
7. Le contrôleur de domaine envoie une référence à etude.creadesign.com à

l’ordinateur de l’utilisateur.
8. L’ordinateur de l’utilisateur contacte le KDC sur le contrôleur de domaine d’etude
.creadesign.com et négocie un ticket pour l’utilisateur afin de pouvoir accéder
aux ressources du domaine etude.creadesign.com.
9. L’ordinateur de l’utilisateur envoie le ticket de service à l’ordinateur sur lequel se
trouvent les ressources partagées, il lit les informations d’identification de sécurité
et crée un jeton d’accès permettant à l’utilisateur d’accéder aux ressources.
Créer des approbations

Vous pouvez utiliser Domaines et approbations Active Directory pour créer des
relations d’approbation entre des forêts ou entre des domaines de la même forêt. Vous
pouvez également l’utiliser pour créer des approbations raccourcies. Avant de créer une
relation de forêt, vous devez créer une zone secondaire de recherche inversée sur le
serveur DNS dans chaque forêt qui pointe vers le serveur DNS d’une autre forêt. La
création de zones secondaires de recherche inversée garantit que le contrôleur de
domaine de la forêt dans laquelle vous créez une approbation de forêt est à même de
localiser un contrôleur de domaine de l’autre forêt et de définir une relation
d’approbation.
Pour créer une approbation, procédez comme suit :

2. Dans l’arborescence de la console, suivez l’une de ces étapes…
j Pour créer une approbation de forêt, cliquez avec le bouton droit de la souris sur
le nœud de domaine du domaine racine de la forêt, puis cliquez sur Propriétés.
j Pour créer une approbation raccourcie, cliquez avec le bouton droit de la souris
sur le nœud de domaine du domaine avec lequel vous souhaitez établir une
approbation raccourcie, puis cliquez sur Propriétés.
690
j Pour créer une approbation externe, cliquez avec le bouton droit de la souris sur
le nœud de domaine du domaine avec lequel vous souhaitez établir une
approbation, puis cliquez sur Propriétés.
Figure 19.24 :
Propriétés de
corp.puzzmania.com

rôles dans Active
Directory
j Pour créer une approbation de domaine, cliquez avec le bouton droit de la
souris sur le nœud de domaine du domaine que vous souhaitez administrer, puis
cliquez sur Propriétés.
3. Sous l’onglet Approbation, cliquez sur Nouvelle approbation, puis sur Suivant.
Figure 19.25 :
Assistant de création de
la nouvelle approbation
691
4. Dans la page d’accueil de l’Assistant Nouvelle approbation, cliquez sur Suivant.

5. Sur la page Nom d’approbation, suivez l’une de ces étapes…
j Si vous créez une approbation de forêt, tapez le nom DNS de la deuxième forêt,
j Si vous créez une approbation raccourcie, tapez le nom DNS du domaine, tapez
et confirmez le mot de passe de l’approbation, puis cliquez sur Suivant.
j Si vous créez une approbation externe, tapez le nom DNS du domaine, puis
j Si vous créez une approbation de domaine, tapez le nom DNS du domaine cible,

rôles dans Active
Directory
6. Sur la page Type d’approbation, suivez l’une de ces étapes…

j Si vous créez une approbation de forêt, cliquez sur Approbation de forêt, puis
sur Suivant.
j Si vous créez une approbation raccourcie, passez à l’étape 7.
j Si vous créez une approbation externe, cliquez sur Approbation externe, puis sur
Suivant.
Figure 19.26 :
Type d’approbation
j Si vous créez une approbation de domaine, cliquez sur Approbation de

domaine, puis sur Suivant. Sur la page Transitivité de l’approbation, suivez
l’une de ces étapes suivantes…
− Pour créer une relation d’approbation avec le domaine et le domaine Kerberos
spécifié, cliquez sur Non transitif, puis sur Suivant.
− Pour créer une relation d’approbation avec le domaine et le domaine Kerberos
spécifié, cliquez sur Transitif, puis sur Suivant.
692
En résumé
7. Dans la page Direction de l’approbation, suivez l’une de ces étapes…

j Pour créer une approbation bidirectionnelle, cliquez sur Bidirectionnel, puis
suivez les instructions de l’assistant.
j Pour créer une approbation unidirectionnelle entrante, cliquez sur Sens
unique : en entrée, puis suivez les instructions de l’assistant.
j Pour créer une approbation unidirectionnelle sortante, cliquez sur Sens
unique : en sortie, puis suivez les instructions de l’assistant.
19.5. En résumé

rôles dans Active
Concluons ce chapitre par deux questions importantes…
Directory
Combien y a-t-il de rôles maîtres d’opérations et comment peut-on les administrer ?
Il y a cinq rôles maîtres d’opérations deux pour la forêt et trois par domaine, il est
possible de les administrer depuis la MMC ou en lignes de commandes à l’aide de
NTDSUtil.
Pour la forêt…
j Contrôleur de schéma : schema master (maître du schéma).
j Maître d’attribution de noms de domaine : domain naming master (maître nom
de domaine).
Pour le domaine…
j Maître des ID relatifs : rid master (maître identificateur relatif).
j Émulateur PDC : pdc (émulateur de PDC).
j Maître d’infrastructure : domain naming master (maître nom de domaine).
Nous avons vu également qu’il était possible d’utiliser des fonctionnalités avancées sous
Autre question : comment est-il possible d’utiliser les fonctions avancées de Windows
Server 2003 ? En élevant les niveaux fonctionnels, de la forêt et des domaines.
Voici un récapitulatif des différents niveaux.
Au niveau de la forêt :
j Windows 2000 ;
j Windows Server 2003, version préliminaire ;
j Windows Server 2003, natif.
693
Au niveau du domaine :
j Windows 2000 mixte ;
j Windows 2000 natif ;
j Windows Server 2003, version préliminaire ;
j Windows Server 2003 natif.
Nous avons également abordé le catalogue global et les relations d’approbations.
Enfin, ne perdez pas de vue deux choses :

rôles dans Active
j N’hypothéquez jamais l’avenir concernant vos machines d’infrastructure.

Directory
j Il n’y a quasiment pas ou peu de mauvaise solution tant que votre implémentation,
aussi bizarre soit-elle, répond à vos besoins. L’un des avantages d’Active Directory
réside dans sa souplesse.
694
Chapitre 20
La maintenance
20.1 Sauvegarder Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
20.2 Restaurer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
20.3 Défragmenter et déplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 704
20.4 Prendre les rôles maîtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
20.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Sauvegarder Active Directory
C e chapitre décrit les opérations de maintenance d’Active Directory les plus

couramment effectuées : la prise de rôles maîtres d’opération, la défragmentation
et le déplacement d’Active Directory. Les plus critiques sont, bien sûr, les opérations de
sauvegarde et de restauration de l’annuaire.
Il est obligatoire en entreprise de nos jours de mettre en place un plan de sauvegarde et

de restauration d’Active Directory. Il y va de la survie de l’infrastructure. Commençons
justement le chapitre par cette partie.
20.1. Sauvegarder Active Directory

La sauvegarde d’Active Directory est une pierre angulaire de votre infrastructure. C’est
une étape importante, bien que la restauration soit en fait l’opération essentielle en cas
de défaillance. Mais une restauration réussie implique une sauvegarde minutieusement
préparée, implémentée et surveillée.
20. La maintenance
Que signifie sauvegarder Active Directory ? Cela veut dire sauvegarder tous les fichiers
nécessaires au bon fonctionnement et à la récupération d’Active Directory. Sous
Windows Server 2003, tous ces fichiers sont regroupés dans ce que l’on appelle l’état du
système.
L’état du système englobe les éléments suivants…

j Le dossier partagé Sysvol : il contient les modèles Stratégie de groupe et les scripts
d’ouverture de session.
j La base de Registre : elle contient les informations sur la configuration de
l’ordinateur.
j Les fichiers de démarrage du système : Windows Server 2003 requiert ces fichiers
lors de la phase de démarrage initial. Ils incluent les fichiers système et de
démarrage sous la protection de fichier Windows et sont utilisés par Windows pour
charger, configurer et exécuter le système d’exploitation.
j La base de données des inscriptions de classe COM+ : elle contient des
informations sur les applications des services de composants.
j La base de données des services de certificats : elle contient les certificats qu’un
serveur exécutant Windows Server 2003 utilise pour authentifier les utilisateurs.
Elle est présente uniquement si le serveur fonctionne comme serveur de certificats.
j Active Directory : la base en elle-même est composée des fichiers suivants :
− Ntds.dit : il s’agit de la base de données Active Directory qui stocke tous les
objets d’Active Directory au niveau du contrôleur de domaine. L’extension .dit
fait référence à l’arborescence des informations de l’annuaire. Son
emplacement par défaut est le dossier %systemroot%\NTDS. Active Directory
enregistre chaque transaction dans un ou plusieurs fichiers journaux associés au
fichier Ntds.dit.
697
Chapitre 20 La maintenance d’Active Directory
− Edb*.log : il s’agit du fichier journal des transactions dont le nom par défaut est
Edb.log et dont la capacité est de 10 Mo environ. Lorsque le fichier Edb.log est
saturé, Active Directory crée un autre fichier dénommé Edbxxxxx.log (où xxxxx
correspond à l’ordre chronologique de création).
− Edb.chk : il s’agit d’un fichier de points de vérification que la base de données
utilise pour garder une trace des données qui ne sont pas encore écrites dans le
fichier Ntds.dit. Le fichier de points de vérification est un pointeur qui conserve
des données de statut entre la mémoire et le fichier Ntds.dit sur le disque. Il
indique le point de début à partir duquel les informations doivent être
récupérées en cas de défaillance.
− Res1.log et Res2.log : il s’agit des fichiers journaux de transactions. La quantité
d’espace disque réservée sur un disque ou dans un dossier pour les journaux de
transactions est de 20 Mo. Cet espace disque offre aux fichiers journaux de
transactions une marge suffisante de fermeture si le reste de l’espace disque est
utilisé.
20. La maintenance
Quels sont les outils qui permettent de sauvegarder Active Directory ? Tous les outils
tiers disponibles sur le marché de la sauvegarde sont capables de sauvegarder et de
restaurer Active Directory, et donc l’état du système (par exemple, Backup Exec de
Symantec Veritas ou BrightStor Arcserve Backup de Computer Associates). Windows
Server 2003 propose de sauvegarder de manière simple l’état du système avec l’utilitaire
de sauvegarde (NTBackup), en générant un fichier de sauvegarde au format .bkf. Cet
outil sera utilisé dans ce qui suit.
Utilisation de NTBackup
L’utilitaire de sauvegarde NTBackup permet de sauvegarder ou de restaurer tout type
de fichier, et pas seulement Active Directory. Pour les petites entreprises, il s’agit d’un
outil de sauvegarde et de restauration à part entière.
Quels sont les principaux conseils pour la planification de sauvegarde de l’état du

système ? Tout dépend si vous souhaitez sauvegarder l’état du système avec votre outil
tiers (si vous en possédez un) ou si vous préférez utiliser NTBackup. NTBackup est un
outil fiable et robuste lorsqu’il effectue cette tâche de sauvegarde parce qu’il a été conçu
dans cette optique par Microsoft.
Quant à la fréquence de sauvegarde, sachez qu’elle doit être adaptée au nombre de

modifications quotidiennes effectuées dans Active Directory et à la granularité de
restauration que vous désirez. Couramment, dans une entreprise de taille moyenne, une
sauvegarde par nuit, toutes les nuits, est suffisante. Pour ce qui est de la rétention, elle
ne doit pas dépasser soixante jours car, passé ce délai, la sauvegarde n’est plus valide
pour la restauration. Sauvegardez et faites des cycles d’archivage tous les 60 jours. Les
sauvegardes effectuées doivent être complètes, vu le caractère changeant des fichiers
jour après jour.
698
Sauvegarder Active Directory
Par rapport à l’étude de cas, Puzzmania, on a décidé de sauvegarder l’état du système sur
la totalité des contrôleurs de domaine. La société possédant un outil tiers de sauvegarde
centralisé, il est quand même décidé de configurer NTBackup sur tous les contrôleurs de
domaine afin de sauvegarder l’état du système. Cela permet, en cas de panne du logiciel
de sauvegarde centralisé, d’avoir au moins une sauvegarde d’Active Directory qui aura
fonctionné. NTBackup est configuré pour écrire le fichier de sauvegarde .bkf sur le
contrôleur de domaine. Ce fichier sera ensuite sauvegardé ailleurs (soit recopié par
scripts sur un point du réseau, soit sauvegardé par l’outil tiers de sauvegarde), puis
archivé. Les sauvegardes de l’état du système sont réalisées chaque nuit en mode
complet.
Pour sauvegarder l’état du système (ici du contrôleur de domaine SNCERCDC01),

procédez ainsi :
1. Dans le menu Démarrer, pointez sur Programmes/Accessoires/Outils système, puis
cliquez sur Utilitaire de sauvegarde.
20. La maintenance
2. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant.
3. Sur la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des fichiers et des
paramètres, puis sur Suivant.
4. Sur la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les
fichiers à sauvegarder, puis sur Suivant.
5. Sur la page Éléments à sauvegarder, développez la zone Poste de travail, activez la
case à cocher System State, puis cliquez sur Suivant.
Figure 20.1 : État du système à sauvegarder
6. Sur la page Type, nom et destination de la sauvegarde, cliquez sur Parcourir.

Sélectionnez ensuite un emplacement pour la sauvegarde et cliquez sur Enregistrer,
puis sur Suivant.
7. Sur la page Fin de l’Assistant Sauvegarde ou Restauration, cliquez sur Terminer.
699
Figure 20.2 : Sauvegarde en cours
8. Une fois la sauvegarde terminée, sur la page Sauvegarde en cours, cliquez sur
Fermer.
20. La maintenance
Vous pouvez utiliser les options de sauvegarde avancées de l’utilitaire de sauvegarde

pour définir ou configurer des paramètres, comme la vérification des données, la
compression matérielle et les étiquettes de support.
Sauvegarde des contrôleurs de domaine

Cette section explique comment sauvegarder Active Directory à titre indicatif. Mais,
en entreprise, vous sauvegarderez le contrôleur de domaine, à savoir l’intégralité du
disque système (lecteur C), les fichiers de données importants, s’il y en a, et l’état du
système.
20.2. Restaurer Active Directory

Active Directory vient de montrer une défaillance, suite à une panne matérielle, à une
défaillance logicielle, à une erreur humaine, etc. ? Pas de panique ! Vous allez procéder
à une restauration totale ou partielle, en fonction du cas de figure. Si vous avez bien
conçu et implémenté votre sauvegarde d’Active Directory, tout va bien se passer.
Plusieurs méthodes de restauration s’offrent à vous :

j Vous pouvez réinstaller le contrôleur de domaine, puis laisser le processus de
réplication normale alimenter le nouveau contrôleur de domaine avec les données de
ses réplicas. C’est la méthode la plus longue, à n’utiliser qu’en dernier recours.
Évidemment, si vous n’avez qu’un seul contrôleur de domaine, elle marche moins bien.
j Vous pouvez utiliser l’utilitaire de sauvegarde NTBackup pour restaurer des
données répliquées à partir d’un support de sauvegarde (un fichier .bkf par
exemple) sans réinstaller le système d’exploitation ni reconfigurer le contrôleur de
domaine. C’est cette méthode de restauration qui va être développée.
700
Restaurer Active Directory
À partir d’une sauvegarde de l’état du système correctement effectuée, vous pouvez

restaurer Active Directory en utilisant NTBackup, mais cette restauration doit
impérativement s’effectuer en mode de démarrage de Windows Server 2003, appelé
mode restauration Active Directory. Dans ce mode, il est possible de restaurer Active
Directory de deux façons différentes :
j selon une restauration autoritaire ;
j selon une restauration non autoritaire.
Choisir une restauration non autoritaire

Le principe de ce mode est de restaurer, sur un contrôleur de domaine, l’état du système
en date de la dernière sauvegarde afin de résoudre un problème de type remplacement
de contrôleur de domaine défectueux ou de dommage dans Active Directory.
Si d’autres contrôleurs de domaine sur le réseau font vivre Active Directory (création,
20. La maintenance
suppression d’objets…) pendant le temps de restauration de l’un des leurs, ils
répliqueront, lors du redémarrage en mode normal, les modifications (entre ce moment
et la dernière sauvegarde) sur le contrôleur de domaine fraîchement restauré. On les dit
autoritaires sur la réplication alors que l’on dit du contrôleur de domaine restauré qu’il
est non autoritaire.
Pour effectuer une restauration non autoritaire d’Active Directory, par exemple sur
SNCERCDC01, procédez ainsi :
1. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu
d’options avancées de Windows, sélectionnez Mode restauration Active Directory,
puis validez.
Figure 20.3 : Redémarrage en mode de restauration Active Directory
701
2. Ouvrez une session à l’aide du mot de passe de restauration indiqué au moment de

l’installation d’Active Directory et démarrez NTBackup.
3. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant.
4. Sur la page Sauvegarder ou restaurer, cliquez sur Restaurer des fichiers et des
paramètres.
5. Sur la page Que voulez-vous restaurer, sous la rubrique Éléments à restaurer,
sélectionnez la sauvegarde que vous désirez, développez la liste, activez la case à
cocher System State, puis cliquez sur Suivant.
20. La maintenance
Figure 20.4 : État du système à restaurer
6. Sur la page Fin de l’Assistant Sauvegarde ou Restauration, cliquez sur Terminer.

7. Sur la boîte de dialogue Avertissement, cliquez sur OK.
Figure 20.5 : Restauration en cours
702
Restaurer Active Directory
8. Une fois la restauration terminée, dans la boîte de dialogue Restauration en cours,

cliquez sur Fermer.
9. Dans la boîte de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
Choisir une restauration autoritaire

La restauration autoritaire s’appuie sur une restauration non autoritaire (c’est-à-dire
qu’elle utilise la même procédure) mais ensuite, avant le redémarrage du contrôleur de
domaine en mode normal, elle utilise la commande Ntdsutil pour marquer des objets
(unités d’organisation, voire Active Directory tout entier) comme étant autoritaires sur
toute autre modification effectuée depuis, dans Active Directory. Cela veut dire que,
lors du redémarrage en mode normal du contrôleur de domaine fraîchement restauré,
les objets marqués par Ntdsutil sont répliqués vers les autres contrôleurs de domaine,
même en cas de version plus récente présente sur les autres contrôleurs de domaine. Les
objets font alors autorité, ils sont poussés du contrôleur de domaine restauré vers les
20. La maintenance
autres.
Pour effectuer une restauration forcée, procédez ainsi. Dans cet exemple, nous allons
restaurer de façon autoritaire l’unité d’organisation qui s’appelle Serveurs.
1. Redémarrez le contrôleur de domaine en mode de restauration Active Directory.
2. Restaurez Active Directory dans son emplacement d’origine (procédure de
restauration non autoritaire).
3. Ouvrez une Invite de commandes, saisissez Ntdsutil.
4. À l’invite ntdsutil, saisissez authoritative restore.
5. À l’invite authoritative restore, saisissez restore subtree
ou=serveurs,dc=puzzmania,dc=com et validez.
Figure 20.6 : Restauration autoritaire d’une unité d’organisation
703
6. Saisissez quit et appuyez sur [Ä].
20.3. Défragmenter et déplacer Active Directory

Cette section est consacrée à deux opérations de maintenance qui sont, à tort, souvent
négligées : la défragmentation et le déplacement d’Active Directory.
Défragmenter Active Directory

La fragmentation de la base de données se produit au fur et à mesure que des
enregistrements sont ajoutés ou supprimés. Lorsque les enregistrements sont
fragmentés, l’ordinateur doit parcourir la base de données Active Directory pour
rechercher tous les enregistrements, à chaque fois que cette dernière est ouverte. Cette
recherche ralentit le temps de réponse.
20. La maintenance
La fragmentation diminue également les performances générales des opérations de la

base de données Active Directory. Pour régler les problèmes liés à la fragmentation,
vous devez défragmenter la base de données Active Directory. La défragmentation est
le processus de réécriture des enregistrements dans des secteurs contigus de la base de
données Active Directory : il accroît la vitesse d’accès et d’extraction. Lorsque les
enregistrements sont mis à jour, Active Directory enregistre ces mises à jour dans le plus
large espace contigu de la base de données Active Directory. Cela revient à recopier
ailleurs Active Directory, mais de façon propre. On appelle cette technique
"défragmentation hors connexion".
Pour défragmenter une base de données Active Directory hors connexion, exécutez les
étapes suivantes :
1. Sauvegardez les données d’état du système.
puis validez.
l’installation d’Active Directory.
4. Ouvrez une Invite de commandes, saisissez ntdsutil et validez.
5. Saisissez files et validez.
6. À l’invite files, saisissez compact to d:\defrag (où d:\defrag définit le
chemin d’accès) et validez. Cette étape permet de définir un emplacement avec
suffisamment d’espace disque libre pour y stocker la base de données compressée.
Une nouvelle base de données Ntds.dit est créée à l’emplacement spécifié.
704
Défragmenter et déplacer Active Directory
20. La maintenance
Figure 20.7 : Défragmentation d’Active Directory
7. Saisissez quit et validez. Pour revenir à l’Invite de commandes, saisissez de

nouveau quit.
8. Remplacez l’ancien fichier Ntds.dit par le nouveau fichier dans le chemin d’accès de
la base de données Active Directory.
9. Redémarrez le contrôleur de domaine en mode normal.
Déplacer Active Directory

Vous déplacez une base de données vers un nouvel emplacement lorsque vous
défragmentez cette dernière (l’exercice précédent vous l’a montré). Le déplacement ne
supprimera pas la base de données originale, que vous pourrez donc utiliser si la base de
données défragmentée ne fonctionne pas ou est corrompue. En outre, si votre espace
disque est limité, vous pourrez ajouter un autre disque dur pour y placer la base de
données défragmentée.
Vous pouvez aussi déplacer les fichiers de la base de données en vue d’effectuer une
opération de maintenance matérielle. Si le disque de stockage des fichiers doit être mis
à niveau ou doit subir une opération de maintenance, vous pouvez déplacer les fichiers
vers un autre emplacement de façon temporaire ou permanente.
Pour déplacer la base de données Active Directory, procédez ainsi :

1. Par précaution, sauvegardez Active Directory.
705
puis validez.
l’installation d’Active Directory.
4. À l’invite de commandes, saisissez ntdsutil et validez.
5. Saisissez files et validez.
6. À l’invite files, et après avoir défini un emplacement offrant suffisamment
d’espace pour y stocker la base de données, saisissez move DB to d:\newadpath
(où d:\newadpath correspond au chemin d’accès sur l’ordinateur local où vous
voulez placer la base de données), puis validez.
20. La maintenance
Figure 20.8 : Déplacement d’Active Directory
La base de données Ntds.dit est déplacée vers l’emplacement spécifié.

7. Saisissez quit et appuyez sur [Ä]. Pour revenir à l’Invite de commandes, saisissez de
nouveau quit.
8. Redémarrez le contrôleur de domaine en mode normal.
706
Prendre les rôles maîtres
20.4. Prendre les rôles maîtres

Certains rôles maîtres d’opération sont déterminants pour le fonctionnement d’un
réseau. D’autres peuvent être indisponibles pendant un certain temps avant que leur
absence ne pose problème.
Pour plus d’informations sur les maîtres d’opération, consultez l’Annexe Les ports et
services Active Directory.
Si un serveur maître d’opération n’est pas disponible, à la suite d’une défaillance

matérielle ou d’un problème du réseau, vous pouvez prendre le rôle maître d’opération.
Ce processus est également désigné comme un transfert forcé du rôle maître
d’opération. Mais attention, ne prenez pas le rôle maître d’opération si vous pouvez le
transférer à la place. Il faut que l’action de prise de rôle soit mûrement réfléchie et que
20. La maintenance
toutes les contraintes soient étudiées.
Avant de forcer le transfert, déterminez d’abord la cause et la durée approximative de la

panne du contrôleur de domaine ou du réseau.
Si le problème est dû à une défaillance du réseau ou du serveur qui sera réparée

rapidement, attendez que le propriétaire du rôle soit à nouveau disponible. Par contre,
si le contrôleur de domaine qui détient actuellement le rôle est indisponible, vous devez
déterminer s’il est possible de le récupérer et de le remettre ligne.
En règle générale, la prise du rôle maître d’opération est une étape lourde de
conséquences, que vous devez envisager uniquement si vous êtes sûr que le maître
d’opération actuel ne sera plus disponible. La décision dépend du rôle et du temps
pendant lequel le propriétaire du rôle sera indisponible.
Dans les manipulations qui suivent, nous allons transférer un rôle de SNCERCDC01 vers
SNCERCDC02.
Prendre le rôle maître de schéma

Une perte temporaire du contrôleur de schéma n’est pas visible pour les utilisateurs sauf
s’ils tentent de modifier le schéma ou d’installer une application qui modifie le schéma
pendant l’installation.
Si le contrôleur de schéma n’est pas disponible pendant un délai trop prolongé, vous
pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à
recevoir le rôle, uniquement lorsque la défaillance du contrôleur de schéma est
définitive.
707
Prise du rôle maître de schéma

Un contrôleur de domaine dont le rôle maître de schéma a été pris ne doit jamais être
remis en ligne.
Pour prendre le rôle maître de schéma, procédez ainsi :

1. Cliquez sur Démarrer, puis sur Exécuter, saisissez ntdsutil dans la zone Ouvrir,
puis cliquez sur OK.
2. Saisissez roles, puis appuyez sur [Ä].
3. Saisissez connections, puis appuyez sur [Ä].
4. Saisissez connect to server SNCERCDC02, puis appuyez sur [Ä].
5. À l’invite server connections, saisissez q, puis appuyez sur [Ä].
6. Saisissez seize schema master.
20. La maintenance
Figure 20.9 : Prise du rôle maître de schéma
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à
l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.
Prendre le rôle maître d’attribution de noms de domaine

Une perte temporaire du maître d’attribution de noms de domaine n’est pas visible pour
les utilisateurs. Elle ne sera pas non plus visible pour les administrateurs, sauf s’ils
tentent d’ajouter ou de supprimer un domaine de la forêt.
Si le maître d’attribution de noms de domaine n’est pas disponible pendant un délai trop
prolongé, vous pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous
jugerez apte à recevoir le rôle, uniquement lorsque la défaillance du maître d’attribution
de noms de domaine est définitive.
708
Prise du rôle maître d’attribution de noms de domaine

Un contrôleur de domaine dont le rôle maître d’attribution de noms de domaine a été
pris ne doit jamais être remis en ligne.
Pour prendre le rôle maître d’attribution de noms de domaine, procédez ainsi :

6. Saisissez seize domain naming master.
20. La maintenance
Figure 20.10 : Prise du rôle maître d’attribution de noms de domaine
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä}]pour accéder à

l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä}]pour quitter Ntdsutil.
Prendre le rôle maître des ID relatifs

Une perte temporaire du maître des ID relatifs n’est pas visible pour les utilisateurs. Elle
ne sera pas non plus visible pour les administrateurs, sauf s’ils sont en train de créer des
objets et si le domaine où ils les créent n’a pas suffisamment d’ID relatifs.
Si le maître des ID relatifs n’est pas disponible pendant un délai trop prolongé, vous
pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à
recevoir le rôle, uniquement lorsque la défaillance du maître d’ID relatifs est définitive.
709
Prise du rôle de maître des ID relatifs

Un contrôleur de domaine dont le rôle de maître des ID relatifs a été pris ne doit
jamais être remis en ligne.
Pour prendre le rôle maître d’ID relatifs, procédez ainsi :

6. Saisissez seize RID master.
20. La maintenance
Figure 20.11 : Prise du rôle maître d’ID relatifs
Prendre le rôle maître d’émulateur PDC

La perte du maître d’émulateur PDC affecte les utilisateurs. Par conséquent, s’il est
indisponible, vous pouvez prendre immédiatement le rôle.
Si le maître d’émulateur PDC est indisponible pendant un délai relativement court et

que son domaine réunit soit des clients dont le système d’exploitation est antérieur à
Windows 2000, soit des contrôleurs secondaires de domaine Windows NT, prenez son
rôle et attribuez-le au contrôleur de domaine que vous jugerez apte à recevoir le rôle.
Lorsque le maître d’émulateur PDC d’origine est à nouveau en service, vous pouvez
attribuer à nouveau le rôle au contrôleur de domaine d’origine.
710
Pour prendre le rôle maître d’émulateur PDC, procédez ainsi :

6. Saisissez seize PDC.
20. La maintenance
Figure 20.12 : Prise du rôle maître d’émulateur PDC
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à l’invite
ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.
Prendre le rôle maître d’infrastructure

La perte temporaire du maître d’infrastructure n’est pas visible pour les utilisateurs. Elle
ne sera pas non plus visible pour les administrateurs, sauf s’ils ont déplacé ou renommé
récemment un nombre important de comptes.
Si le maître d’infrastructure n’est pas disponible pendant un délai trop prolongé, vous
pouvez prendre le rôle et le transférer à un contrôleur de domaine qui n’est pas un
serveur de catalogue global, mais qui est relié correctement à ce type de serveur (à partir
de n’importe quel domaine) et situé de préférence sur le même site que lui.
711
Lorsque le maître d’infrastructure d’origine est à nouveau en service, vous pouvez

attribuer à nouveau le rôle au contrôleur de domaine d’origine.
Pour prendre le rôle maître d’infrastructure, procédez ainsi :

6. Saisissez seize infrastructure master.
20. La maintenance
Figure 20.13 : Prise du rôle maître d’infrastructure
20.5. En résumé
Ce chapitre décrit quelques opérations de maintenance d’Active Directory.
Pour conclure le sujet des sauvegardes et des restaurations d’Active Directory, notez
que ce que ne dit pas la procédure c’est : comment vous organisez-vous ? Il vous revient
de vous organiser pour conserver les sauvegardes et retrouver la bonne le moment
voulu. Effectivement, la réussite d’une restauration dépend aussi de votre capacité à
712
En résumé
copier les sauvegardes sur un support (chemin réseau, disques durs, bandes…), puis à
les archiver correctement et à ressortir le bon jeu de sauvegardes au moment opportun.
Vous devez inclure la sauvegarde et la restauration d’Active Directory dans votre plan
directeur de sauvegarde.
20. La maintenance
713
Chapitre 21
La sécurisation
21.1 L’importance de la sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 717
21.2 Identifier les types de menaces pour la sécurité Active Directory . . . . . . . . . . . 717
21.3 Établir des frontières sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
21.4 Sélectionner une structure Active Directory sécurisée . . . . . . . . . . . . . . . . . . 720
21.5 Sécuriser les comptes d’administration des services . . . . . . . . . . . . . . . . . . . 720
21.6 Limiter l’exposition des comptes d’administration des services . . . . . . . . . . . . 721
21.7 Sécuriser les méthodes d’administration des données . . . . . . . . . . . . . . . . . . 723
21.8 Protéger les serveurs DNS et les données DNS . . . . . . . . . . . . . . . . . . . . . . . 728
21.9 Sécuriser les relations interforêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
21.10 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
Identifier les types de menaces pour la sécurité Active Directory
V otre Active Directory correctement en place et sous contrôle, il vous faut le

sécuriser. Ce chapitre présente des méthodes avancées qui vous permettront de
renforcer la sécurité du service d’annuaire au sein de l’entreprise. En particulier, les
thèmes suivants vont être abordés : l’importance de la sécurité d’Active Directory,
l’identification des types de menaces pour la sécurité, l’établissement de frontières
sûres, la sélection d’une structure Active Directory, la sécurisation des comptes
d’administration des services, la limitation de l’exposition des comptes d’administration
des services, la sécurisation des méthodes d’administration des données, la protection
des serveurs DNS, la protection des données DNS.
21.1. L’importance de la sécurité Active Directory

Active Directory constitue la pièce maîtresse de la sécurisation des infrastructures
réseau basées sur Windows Server 2003. Afin de garantir la sécurité de l’environnement
informatique, Windows demande à vérifier l’identité de chaque utilisateur avant de
l’autoriser à accéder aux ressources réseau. Les deux processus principaux qui gèrent
cette vérification et l’accès aux ressources réseau sont les suivants…
j L’authentification : lors de l’ouverture de session, la procédure d’authentification
vérifie l’identité des utilisateurs.
21. La sécurisation
j L’autorisation : lorsque les utilisateurs réseau tentent de se connecter à des serveurs
ou autres périphériques réseau, la procédure d’autorisation peut leur accorder ou
leur refuser l’accès à la ressource.
Dans la mesure où la structure d’Active Directory abrite toutes les données

d’authentification et d’autorisation, ainsi que le service distribué qui gère ces données,
sa sécurité est critique. Active Directory fournit de nombreux composants clés pour
authentifier les utilisateurs et générer des données d’autorisation qui contrôlent l’accès
aux ressources du réseau. Une violation de la sécurité Active Directory peut affaiblir
cette fondation et entraîner la perte de l’accès légitime aux ressources réseau ou la
divulgation inappropriée ou même la perte d’informations sensibles.
21.2. Identifier les types de menaces pour la sécurité

Active Directory
Pour sécuriser un environnement Active Directory, vous devez d’abord évaluer les
menaces qui peuvent mettre en danger le déploiement de votre structure Active
Directory. Vous pourrez ainsi réunir les informations nécessaires à la mise en œuvre de
moyens dissuasifs contre chaque menace avant la survenue de problèmes potentiels.
L’identification des sources de menaces contre Active Directory constitue le point de

départ pour mieux comprendre et élaborer un plan de sécurité efficace. Active
Directory définit les groupes d’utilisateurs et, par défaut, implémente les stratégies qui
717
Chapitre 21 La sécurisation d’Active Directory
limitent l’accès utilisateur aux ressources et aux services réseau. Par conséquent, chaque
groupe d’utilisateurs représente une menace potentielle spécifique.
j Utilisateurs anonymes : ce groupe représente l’accès non authentifié au réseau qui
est activé lorsque les paramètres de stratégie de groupe permettent l’accès anonyme
et que les autorisations sur les ressources sont définies pour permettre l’accès à une
ouverture de session anonyme par le biais du groupe Accès compatible
Pré-Windows 2000. Autoriser l’accès à des utilisateurs anonymes peut entraîner une
baisse du niveau de sécurité d’Active Directory parce que l’accès non autorisé aux
informations stockées dans Active Directory peut entraîner la divulgation de ces
informations.
j Utilisateurs authentifiés : ce groupe s’applique à tout utilisateur qui a réussi le
processus d’authentification. Ce processus implique que l’utilisateur a une identité
sur le domaine et a fourni des informations d’identification valides. Par défaut, les
utilisateurs authentifiés peuvent accéder aux informations contenues dans
l’annuaire et sur les contrôleurs de domaine ; ils peuvent également visualiser les
journaux d’événements système sur les contrôleurs de domaine. Pour renforcer la
sécurité d’Active Directory contre la divulgation d’informations, les accès non
nécessaires doivent être supprimés.
j Administrateur de service : il représente les comptes administratifs utilisés
légitimement pour contrôler la configuration et les stratégies des services

d’annuaire et pour obtenir un accès physique aux contrôleurs de domaine afin de

gérer l’administration des serveurs. Ce groupe est également utilisé pour contrôler
l’infrastructure de la forêt en créant ou en supprimant des domaines ou des
contrôleurs de domaine, en gérant la configuration des domaines ou des contrôleurs
de domaine, et en surveillant la santé des contrôleurs de domaine. Dans la mesure
où les administrateurs de services occupent une position qui leur permet de lancer
des attaques dans la forêt, vous devez pouvoir leur accorder toute votre confiance.
La notion de confiance est primordiale. Le terme "service" dans "administrateur de
service" est à rapprocher du sens du contrôle d’accès basé sur un rôle plutôt que
service au sens Windows.
j Administrateur de données : ce groupe gère les données contenues dans Active
Directory qui ne permettent pas de contrôler le service d’annuaire ou sa
configuration. Il prend en charge les utilisateurs et les ordinateurs de la forêt en
ajoutant ou en supprimant les unités d’organisation, les ordinateurs, les utilisateurs
et les groupes, et en modifiant les paramètres des stratégies de groupe. Les
administrateurs de données disposent de droits délégués leur permettant de gérer
les objets contenus dans les Unités d’organisation, mais pas de gérer les contrôleurs
de domaine ou la configuration de la forêt.
j Utilisateurs ayant physiquement accès aux contrôleurs de domaine : ce paramètre
s’applique lorsqu’une personne parvient à accéder à un emplacement sur lequel
résident des contrôleurs de domaine ou des postes de travail d’administration, ou
lorsqu’une personne vole l’un de ces ordinateurs. Si une personne non autorisée
parvient à accéder à des ordinateurs qui contiennent des données sensibles, la
divulgation d’informations ou la modification de données est possible.
718
Établir des frontières sûres
En comprenant les différentes menaces qui peuvent peser spécifiquement sur votre
environnement réseau, vous pouvez planifier et implémenter des stratégies de sécurité
avancées et efficaces permettant de sécuriser les frontières administratives et les services,
ainsi que les pratiques d’administration des données et les mises en œuvre DNS.
21.3. Établir des frontières sûres

La forêt Active Directory constitue la frontière ultime derrière laquelle les utilisateurs,
les ordinateurs, les groupes et les autres objets sont abrités. Tout simplement, la forêt
représente la frontière de sécurité pour Active Directory. Chaque domaine Active
Directory fait autorité en matière d’identité et d’informations d’authentification pour
les utilisateurs, ordinateurs et groupes qui se trouvent dans ce domaine. Les domaines
représentent également les frontières de l’administration et de certaines stratégies de
sécurité, telles que la complexité des mots de passe et les règles de réutilisation des mots
de passe, qui ne peuvent pas être héritées entre deux domaines.
Il est cependant important de souligner que les administrateurs de service ont la

possibilité de franchir les limites des domaines au sein d’une forêt. Pour cette raison,
c’est la forêt et non le domaine qui constitue l’ultime frontière de sécurité.
La première étape pour établir des frontières sûres consiste à planifier la délégation de
l’administration. Les entreprises peuvent déléguer le contrôle de l’administration des
services et/ou des données. Les deux objectifs de la délégation sont les suivants…
j L’autonomie : elle permet aux administrateurs d’administrer de manière autonome
une partie ou la totalité du service Active Directory ou les données contenues dans
le répertoire ou sur les ordinateurs membres. Elle peut être obtenue en déléguant
l’administration des services ou des données.
j L’isolation : elle permet aux administrateurs d’empêcher d’autres administrateurs
de modifier ou d’accéder à une partie ou à la totalité du service Active Directory ou
aux données contenues dans le répertoire ou sur les ordinateurs membres. Cela
nécessite le déploiement d’une forêt distincte contenant ses administrateurs, ses
utilisateurs et ses ressources.
Avant de choisir un modèle de délégation Active Directory, prenez en compte les points
suivants concernant les rôles administratifs Active Directory :
j Les propriétaires de forêt détiennent le droit de contrôle sur les services au niveau
du domaine et le droit d’accès aux données stockées dans n’importe quel domaine
de la forêt.
j Les propriétaires de domaine détiennent le droit d’accès aux données stockées dans
le domaine ou sur les ordinateurs de ses membres.
j Les propriétaires de domaine, bien qu’opérant indépendamment des propriétaires de
forêt ou des autres propriétaires de domaines, ne peuvent empêcher un propriétaire de
domaine malveillant de contrôler leurs services ou d’accéder à leurs données.
719
21.4. Sélectionner une structure Active Directory

sécurisée
Dans Active Directory, les administrateurs peuvent déléguer aussi bien l’administration
des services que celle des données afin de parvenir à l’autonomie départementale ou à
l’isolation au sein de l’entreprise. La combinaison des différents besoins d’une
entreprise en termes de gestion des services, de gestion des données, d’autonomie et
d’isolation a un impact sur les conteneurs Active Directory utilisés pour déléguer
l’administration. Les étapes suivantes peuvent vous aider à déterminer si les besoins
spécifiques de votre entreprise justifient la délégation du contrôle d’une forêt, d’un
domaine ou d’une unité d’organisation distincte :
1. Commencez par placer toutes les organisations au sein d’une forêt contenant un
domaine unique.
2. Pour chaque unité commerciale dont les besoins d’administration sont uniques,
déterminez le niveau approprié d’autonomie et d’isolation
3. Lorsque vous justifiez chaque décision, notez :
j si la délégation est motivée par un besoin organisationnel, opérationnel,
juridique ou autre ;
j si le besoin concerne la délégation en matière de gestion des services et/ou des

données.
4. Identifiez la structure Active Directory appropriée :

j forêt à domaine unique contenant des unités d’organisation pour une
autonomie des données ;
j forêt unique à plusieurs domaines pour une autonomie des services au niveau de
chaque domaine ;
j forêts distinctes pour l’isolation des services ;
j forêts distinctes pour l’autonomie des services au niveau de chaque forêt ;
j forêts distinctes pour l’isolation des données des propriétaires de services.
21.5. Sécuriser les comptes d’administration des

services
Dans votre environnement réseau, ce sont les administrateurs de service qui ont les
pouvoirs les plus étendus. Ils sont chargés de fournir le service d’annuaire et les
paramètres de niveau annuaire, d’installer et de tenir à jour les logiciels et d’appliquer
les Service Packs et les correctifs du système d’exploitation sur les contrôleurs de
domaine. Ils sont également chargés d’administrer la configuration d’ensemble du
service d’annuaire, notamment le comportement de réplication, la gestion des schémas
720
Limiter l’exposition des comptes d’administration des services
et la création et la suppression des domaines. Pour assurer la plupart de ces fonctions,

les administrateurs de service ont besoin d’un accès physique aux contrôleurs de
domaine.
En raison des privilèges élevés des administrateurs de services, vous devez prendre les
mesures nécessaires pour préserver la sécurité de leurs comptes :
j Sécurisez les comptes d’administration des services pour contrôler comment les
comptes sont utilisés.
j Effectuez les tâches d’administration de services uniquement à partir de stations de
travail spécifiques et sécurisées.
j Évitez de déléguer les opérations sensibles sur le plan de la sécurité.
j Prenez connaissance des fonctionnalités des comptes d’administration des services
par défaut.
j Ne partagez jamais les comptes d’administration des services.
Le partage des mots de passe des comptes d’administration des services est l’un des
problèmes de sécurité auxquels de nombreuses entreprises sont confrontées
régulièrement. Cette pratique doit être fortement découragée dans la mesure où il est
impossible d’identifier l’auteur de modifications si plusieurs administrateurs utilisent le
même compte. Le partage des mots de passe peut également poser un problème sécurité
lorsque les administrateurs quittent l’équipe ou l’entreprise.
21.6. Limiter l’exposition des comptes

d’administration des services
Les comptes d’administration des services sont assortis de privilèges très élevés, ce qui
en fait des cibles très tentantes. Par conséquent, il est particulièrement important de
protéger l’intégrité de ces comptes afin de réduire leur vulnérabilité.
La limitation de l’exposition des comptes d’administration des services réduit les

possibilités d’attaque par des intrus. Suivez ces méthodes conseillées pour limiter
l’exposition des comptes d’administration des services.
j Limitez le nombre de comptes d’administration des services. Maintenez le nombre
de membres des comptes d’administration des services au minimum. Les tâches
effectuées par les administrateurs de services doivent se limiter à la modification du
service Active Directory et à la reconfiguration des contrôleurs de domaine.
N’utilisez pas les comptes d’administration des services pour les tâches
d’administration quotidiennes. Une stratégie de groupe peut être activée pour
faciliter le contrôle de l’appartenance aux comptes d’administration des services.
j Séparez les comptes administrateur et utilisateur pour les utilisateurs
administratifs. Pour les utilisateurs remplissant des rôles d’administration, créez
721
deux comptes : un compte d’utilisateur normal pour effectuer les tâches standards
quotidiennes et un compte d’administration réservé aux tâches d’administration. Le
compte d’administration ne doit pas être doté d’une messagerie ni être utilisé pour
exécuter des applications à usage quotidien, telles que Microsoft Office, ou pour
surfer sur Internet.
j Masquez le compte d’administrateur de domaine. Un compte nommé
Administrateur est créé dans chaque domaine lors de l’installation d’Active
Directory. Ce compte d’administration par défaut, qui est créé au cours de la
configuration du domaine, permet d’accéder au service d’annuaire et de
l’administrer. Il s’agit d’un compte spécial que le système protège pour faire en sorte
qu’il soit disponible en cas de besoin. Ce compte ne peut être ni désactivé ni
verrouillé. Pour cette raison, vous devez lui donner un nom autre qu’Administrateur.
Lorsque vous renommez ce compte, veillez à modifier également sa description. Par
ailleurs, créez un compte leurre nommé Administrateur qui ne dispose ni
d’autorisations spéciales ni de droits d’utilisateur, puis surveillez les ID d’événement
528, 529 et 534 relatifs à la fois au compte renommé et au compte leurre.
Attaque du compte Administrateur

Sachez qu’il existe un certain nombre d’outils permettant de trouver le nom du
compte Administrateur. Même si vous renommez ce compte, ces outils permettent de
découvrir son nom, car l’identifiant de sécurité (SID) intégré du compte

Administrateur se termine toujours par 500. Vous pouvez remédier à ce problème en
implémentant une stratégie de sécurité qui n’affiche pas les comptes et les partages du
gestionnaire de comptes de sécurité pour les connexions anonymes.
j Nommez un personnel de confiance. Les administrateurs de services contrôlent la

configuration et le fonctionnement du service d’annuaire. Par conséquent, cette
responsabilité doit incomber uniquement à des utilisateurs fiables et de confiance,
ayant fait la preuve de leur sens des responsabilités et qui maîtrisent parfaitement le
fonctionnement de l’annuaire.
j Limitez le groupe Administrateurs du schéma aux membres temporaires. Pour éviter
qu’un compte d’administrateur de schéma ne soit utilisé pour lancer une attaque
contre Active Directory, n’ajoutez pas de membre au groupe Administrateurs du
schéma. Ajoutez un utilisateur de confiance à ce groupe uniquement lorsqu’une
tâche d’administration doit être effectuée sur le schéma. Une fois la tâche
accomplie, supprimez cet utilisateur.
j Surveillez le processus d’ouverture de session d’administration. Exigez des cartes à
puce pour les ouvertures de session d’administration ou implémentez un système de
mot de passe fractionné pour les environnements hautement sécurisés. Répartissez
le mot de passe du compte d’administration entre deux utilisateurs partageant ce
compte, afin que chaque utilisateur ne connaisse que la moitié du mot de passe.
722
Sécuriser les méthodes d’administration des données
21.7. Sécuriser les méthodes d’administration des

données
Voici la liste des points à retenir lors de la délégation du contrôle à des comptes
d’administrateurs de données.
j Limitation de l’application de la stratégie de groupe à des personnes de confiance :
− La stratégie de groupe doit être créée et appliquée uniquement par des
personnes totalement fiables. Ces personnes doivent bien connaître les
stratégies de sécurité de l’organisation et avoir démontré qu’elles sont prêtes à
appliquer ces stratégies.
− Les utilisateurs dotés de comptes qui permettent de créer ou de modifier les
paramètres de stratégie de groupe peuvent augmenter les privilèges d’un autre
compte d’utilisateur grâce à ces stratégies.
j Appropriation d’un objet de données : si les administrateurs de données ont la

possibilité de créer des objets, assurez-vous que vous comprenez bien la portée de ce
pouvoir. Lorsqu’un utilisateur crée un objet, il en devient également le propriétaire
du fait qu’il en est le créateur ; il est donc appelé "Créateur propriétaire". Dans le
modèle de contrôle d’accès discrétionnaire utilisé par Windows Server 2003, le
propriétaire d’un objet détient le contrôle total sur cet objet, notamment la
possibilité de modifier les autorisations sur cet objet.
j Réservation de la propriété des objets racine de partition d’annuaire aux
administrateurs de services : assurez-vous que les groupes d’administration de
services appropriés dans chaque domaine sont propriétaires de l’objet racine pour la
partition d’annuaire du domaine. Dans la mesure où les propriétaires de ces objets
racine de partition d’annuaire ont la possibilité de modifier les paramètres de
sécurité de tous les autres objets de la partition par le biais des entrées de contrôle
d’accès pouvant être héritées, il est absolument crucial de s’assurer que l’objet
racine de partition d’annuaire appartient à un groupe d’administration hautement
fiable. La partition d’annuaire du schéma appartient au groupe Administrateurs du
schéma, la partition d’annuaire de configuration appartient au groupe Admins de
l’entreprise et la partition d’annuaire de domaine appartient au groupe
Administrateurs intégrés.
j Définition de quotas pour la propriété des objets :
− Sur les contrôleurs de domaine qui exécutent Windows Server 2003, vous
pouvez définir des quotas qui limitent le nombre d’objets qu’une entité de
sécurité (utilisateur, groupe, ordinateur ou service) peut posséder dans une
partition d’annuaire de domaine, de configuration ou d’application. Par défaut,
l’entité de sécurité qui crée un objet en est le propriétaire, bien que la propriété
puisse être transférée. Les quotas Active Directory éliminent la possibilité de
créer un nombre illimité d’objets dans une partition d’annuaire, lesquels
pourraient être utilisés pour lancer des attaques de déni de service.
723
− Par défaut, les quotas ne sont pas définis. Par conséquent, le nombre d’objets
qu’une entité de sécurité peut posséder n’est pas limité. Pour chaque partition
d’annuaire cible, vous pouvez définir différentes limites pour différentes entités
de sécurité et/ou définir des limites qui s’appliquent à toutes les entités de
sécurité.
− Vous pouvez définir des quotas pour chaque partition d’annuaire, à l’exception
de la partition d’annuaire schéma, qui ne prend pas en charge les quotas. Vous
pouvez configurer les quotas pour qu’ils s’appliquent aux entités de sécurité
d’une partition d’annuaire en utilisant les commandes en ligne. Les commandes
dsadd, dsmod et dsquery possèdent toutes un commutateur quota qui vous
permet de définir les quotas pour la partition d’annuaire, modifier les quotas
existants, modifier les paramètres de quota par défaut d’une partition et
rechercher l’affectation et l’utilisation des quotas.
DSADD QUOTA
Ajoute une spécification de quota à une partition d’annuaire. Une spécification de
quota détermine le nombre maximal d’objets d’annuaire pouvant appartenir à une
entité de sécurité donnée dans une partition d’annuaire donnée.
Syntaxe : dsadd quota −part <DN_partition> [−rdn <RDN>] −acct <nom>

−qlimit <valeur> | −1 [−desc <description>] [{−s
<serveur> | −d <domaine>}] [−u <nom_utilisateur>] [−p
{<mot_passe> | *}] [−q] [{−uc | −uco | −uci}]
−part <DN
_partition> Requis. Spécifie le nom unique de la partition d’annuaire sur
laquelle vous voulez créer un quota. Si le nom unique est omis, il sera
pris du mode d’entrée standard (stdin).
−rdn <RDN> Spécifie le nom unique relatif (RDN) de la spécification de quota en
cours de création. Si l’option −rdn est omise, elle sera définie à
<domaine>\<nom_utilisateur>.
−acct <nom> Requis. Spécifie le principal de sécurité (utilisateur, groupe,
ordinateur, InetOrgPerson) pour lequel le quota est en cours de
spécification. L’option −acct peut être fournie dans un des formats
suivants : DN du principal de sécurité ou domaine\nom de compte
SAM du principal de sécurité
−qlimit
<valeur> | −1} Requise. Spécifie le nombre d’objets dans la partition d’annuaire
pouvant appartenir au principal de sécurité. Entrez nolimit ou −1
pour spécifier un quota non limité.
724
−desc
<description> Spécifie une description pour la spécification de quota que vous
voulez ajouter.
{−s <serveur>|
−d <domaine>} Connecte l’ordinateur au domaine spécifié ou au serveur spécifié.
Par défaut, l’ordinateur est connecté au contrôleur de domaine dans
le domaine d’ouverture de session.
−u <nom
_utilisateur> Spécifie le nom d’utilisateur avec lequel l’utilisateur va se connecter
au serveur distant. Par défaut, le nom de l’utilisateur connecté est
utilisé. Vous pouvez spécifier un nom d’utilisateur en utilisant l’un
des formats suivants : nom d’utilisateur, domaine\nom d’utilisateur,
nom principal d’utilisateur (UPN).
−p {<mot_passe>
| *} Spécifie l’utilisation d’un mot de passe spécifique ou une * pour se
connecter à un serveur distant. Si vous entrez *, alors un mot de
passe vous sera demandé.
−q Supprime toutes les informations sortantes vers le mode sortant
standard (mode silencieux).
{−uc | −uco
| −uci} Spécifie que les données entrantes et sortantes sont formatées en
Unicode. La valeur −uc spécifie un format Unicode pour les
données entrantes ou sortantes vers le canal. La valeur −uco spécifie
un format Unicode pour les données sortantes du canal vers le
fichier. La valeur −uci spécifie un format Unicode pour les données
entrantes du canal ou du fichier.
DSMOD QUOTA
Modifie les attributs d’une ou de plusieurs spécifications de quotas dans le répertoire.
Une spécification de quota détermine le nombre maximal d’objets annuaires qu’une
entité de sécurité donnée peut posséder dans une partition d’annuaire spécifique.
Syntaxe : dsmod quota <DN_quota ...> [−qlimit <valeur>] [−desc

<description>] [{−s <serveur> | −d <domaine>}] [−u
<utilisateur>] [−p {<mot de passe> | *}] [−c] [−q] [{−uc |
−uco | −uci}]
<DN_quota ...> Spécifie les noms uniques d’une ou de plusieurs spécifications de
quotas à modifier. Si les valeurs sont omises, elles peuvent être
725
obtenues par une entrée standard (stdin) pour prendre en charge

la canalisation des sorties d’une autre commande à partir de cette
commande.
−qlimit
<valeur> Spécifie le nombre d’objets dans la partition de répertoire pouvant
être créée par l’entité de sécurité à laquelle est assignée la
spécification de quota. Pour spécifier un quota illimité, utilisez
nolimit ou −1.
−desc
<description> Définit la description de la spécification de quota dans
<description>.
{−s <serveur> |
−d <domaine>} Connecte à un domaine ou un serveur distant spécifié. Par défaut,
l’ordinateur est connecté à un contrôleur de domaine sur le domaine
connecté.
−u <nom
_utilisateur> Spécifie le nom d’utilisateur avec lequel l’utilisateur ouvre une
session sur un serveur distant. Par défaut, −u utilise le nom du
serveur sur lequel l’utilisateur a ouvert une session. Vous pouvez

utiliser n’importe lequel des formats suivants pour spécifier un nom
d’utilisateur : nom d’utilisateur, domaine\nom d’utilisateur, nom de
l’utilisateur principal (UPN).
−p {<mot_de_
passe> | *} Spécifie soit d’utiliser un mot de passe, soit un astérisque pour ouvrir
une session sur un serveur distant. Si vous entrez *, vous serez invité
à entrer un mot de passe.
−c Spécifie un mode d’opération continue. Les erreurs sont signalées,
mais le processus continue avec l’objet suivant dans la liste
d’arguments lorsque vous spécifiez plusieurs objets cibles. Si vous
n’utilisez pas −c, la commande s’arrête après la première survenance
de l’erreur.
−q Supprime toute sortie à une sortie standard (mode silencieux).
{−uc | −uco |
−uci} Spécifie le formatage Unicode de données d’entrées ou de sortie.
–uc spécifie un format Unicode pour une entrée ou une sortie vers
une canalisation. −uco spécifie un format Unicode pour une sortie
726
vers une canalisation ou un fichier. −uci spécifie un format Unicode

pour une entrée à partir d’une canalisation ou d’un fichier.
DSQUERY QUOTA
Spécifications de quotas dans l’annuaire correspondant au critère de recherche spécifié.
Une spécification de quota détermine le nombre maximal d’objets annuaires pouvant
appartenir à une entité de sécurité dans une partition d’annuaire spécifique.
Syntaxe : dsquery quota startnode {domain root | <DN_Objet>} [−o {dn

| rdn}] [−acct <Nom>] [−qlimit <Filtre>] [−desc
<Description>] [{−s <Serveur> | −d <Domaine>}] [−u
<Utilisateur>] [−p {<Mot de passe> | *}] [−q] [−r] [−limit
<Nombre d’objets>] [{−uc | −uco | −uci}]
startnode
{domain root |
<DN_Objet>} Requis. Spécifie où la recherche devrait commencer. Utiliser
DN_Objet pour spécifier le nom unique (ou DN), ou utiliser la
racine du domaine pour spécifier la racine du domaine actuel.
−o {dn | rdn} Spécifie le format de sortie. Le format par défaut est le nom unique
(DN).
−acct <nom> Recherche les spécifications de quota assignés à l’entité de sécurité
(utilisateur, groupe, ordinateur, InetOrgPerson) tel que
représenté par <nom>. L’option −acct peut être indiquée au
format du nom unique de l’entité de sécurité ou au format
domaine\nom_compte_SAM de l’entité de sécurité.
−qlimit
<filtre> Recherche les spécifications de quota dont la limite correspond au
filtre.
−desc
<description> Recherche les spécifications de quota dont l’attribut de description
correspond à <description>.
{−s <serveur> |
−d <domaine>} Se connecte à un domaine ou à un serveur distant spécifié. Par défaut
l’ordinateur est connecté à un contrôleur de domaine dans le
domaine de connexion.
727
−u <nom
_utilisateur> Spécifie le nom d’utilisateur avec lequel l’utilisateur se connecte à
un serveur distant. Par défaut, −u utilise le nom d’utilisateur avec
lequel l’utilisateur s’est connecté. Vous pouvez utiliser l’un des
formats suivants pour spécifier un nom d’utilisateur : nom
d’utilisateur, domaine\nom d’utilisateur, nom principal de
l’utilisateur (UPN).
−p {<mot_passe>
| *} Spécifie d’utiliser un mot de passe ou * pour se connecter à un
ordinateur distant. Si vous entrez *, un mot de passe vous sera
demandé.
−q Supprime toutes les données sortantes vers la sortie standard (mode
silencieux).
−r Spécifie que la recherche utilise la récurrence ou suit les références
pendant la recherche. Par défaut, la recherche ne suit pas les
références.
−gc Spécifie que la recherche utilise le catalogue global Active Directory.
−limit <Nb
_Objets> Spécifie le nombre d’objets qui correspondent au critère donné

devant être renvoyé. Si la valeur NbObjets est 0, tous les objets
correspondants sont renvoyés. Si ce paramètre n’est pas spécifié, les
100 premiers résultats sont affichés par défaut.
{−uc | −uco |
−uci} Spécifie que les données entrantes et sortantes sont formatés au
format Unicode, comme suit : −uc spécifie un format Unicode pour
l’entrée ou la sortie vers une canalisation. −uco spécifie un format
Unicode pour la sortie vers une canalisation ou un fichier. −uci
spécifie un format Unicode pour l’entrée d’une canalisation ou d’un
fichier.
21.8. Protéger les serveurs DNS et les données DNS

Lorsque l’intégrité des réponses d’un serveur DNS est compromise ou endommagée, ou
lorsque les données DNS sont modifiées, les clients peuvent à leur insu être envoyés par
erreur vers des emplacements non autorisés. Dès que les clients commencent à
communiquer avec ces emplacements non autorisés, ils peuvent subir des tentatives
728
Protéger les serveurs DNS et les données DNS
d’accès aux informations stockées sur leur ordinateur. L’usurpation d’identité et la

pollution de cache sont des exemples de ce type d’attaque.
Un autre type d’attaque, le déni de service, tente de neutraliser le serveur DNS afin de
rendre l’infrastructure DNS inaccessible au sein de l’entreprise. Pour protéger vos
serveurs DNS contre ces types d’attaques :
j Surveillez l’activité du réseau. Les attaques de déni de service provoquent
l’inondation d’un serveur DNS par un si grand nombre de demandes client que ce
dernier n’arrive plus à traiter les demandes légitimes et arrête de répondre aux
demandes DNS. Pour prévenir de telles attaques, surveillez les hausses inhabituelles
de trafic et recherchez les anomalies telles qu’un volume élevé provenant du même
emplacement ou un volume élevé de trafic du même type.
j Fermez tous les ports de pare-feu non utilisés. Les pare-feu sont un moyen simple
de se protéger contre les attaques qui proviennent de l’extérieur. Les pare-feu
limitent le nombre de ports disponibles permettant la communication entre
plusieurs points sur votre réseau. Les serveurs DNS utilisent le port UDP 53 pour
communiquer entre eux. Ouvrez le port 53 sur les pare-feu lorsqu’ils séparent les
entités suivantes :
− les serveurs DNS qui effectuent les transferts de zone ;
− les serveurs DNS qui délèguent les zones et le serveur de référence de chaque
zone ;
− les clients DNS et leurs serveurs DNS ;
− les redirecteurs et les serveurs DNS qui sont à un niveau supérieur dans la
hiérarchie de l’espace de noms DNS.
Si un intrus parvient à accéder au serveur lui-même, il peut tenter de modifier les

données stockées dans les fichiers de zone DNS. Pour renforcer la sécurisation de vos
données contre une attaque directe :
j Utilisez une mise à jour dynamique sécurisée. Pour que seuls les utilisateurs
authentifiés et de confiance puissent effectuer des enregistrements, utilisez la mise
à jour dynamique sécurisée. Grâce à cette procédure, les demandes
d’enregistrement ne sont traitées que si elles proviennent de clients authentifiés
appartenant à la forêt. Cette condition rend plus difficile le lancement d’attaques de
ce type par un utilisateur, car il faudrait que ce dernier appartienne au groupe
Utilisateurs authentifiés ou détienne des informations d’authentification plus
puissantes pour obtenir l’accès.
j Définissez des quotas pour limiter le nombre d’enregistrements de ressources DNS.
Par défaut, les membres du groupe Utilisateurs authentifiés peuvent créer des
enregistrements de ressources sur les serveurs DNS appartenant au même domaine
que l’ordinateur client. Ceci permet aux ordinateurs d’effectuer une mise à jour
dynamique des données de la zone DNS. Un utilisateur authentifié effectue un
maximum de 10 enregistrements dans le DNS. Pour vous assurer que des
utilisateurs ou des applications malveillantes n’effectuent pas d’enregistrements
729
inappropriés de ressources, définissez un quota par défaut sur les partitions

d’annuaire d’application ForestDnsZones et DomainDnsZones. C’est valable pour
les serveurs DNS Windows Server 2003 (et ultérieur) si les données DNS sont
répliquées sur tous les contrôleurs de domaine qui sont des serveurs DNS dans la
forêt ou le domaine. Pour les serveurs DNS Windows 2000, définissez un quota sur
les partitions d’annuaire de domaine si les données DNS sont répliquées sur tous les
contrôleurs de ce domaine. En appliquant une limite par défaut de 10 objets, les
ordinateurs peuvent légitimement mettre à jour les données DNS, mais ils ne
peuvent pas lancer d’attaque de déni de service.
j Assurez-vous que les administrateurs DNS sont fiables. Les membres du groupe
Admins du DNS contrôlent la configuration de l’environnement DNS. Cela signifie
qu’ils peuvent perturber le fonctionnement du service d’annuaire en lançant des
attaques de déni de service ou en envoyant les clients vers des serveurs cachés.
Sélectionnez uniquement des personnes qui connaissent bien vos stratégies de
fonctionnement et qui ont prouvé leur intention d’appliquer ces stratégies. Par
ailleurs, accordez à chacune uniquement l’accès à la partie de l’infrastructure DNS
dont elle est responsable.
j Déléguez l’administration des données DNS. Vous pouvez définir des autorisations
sur les conteneurs de zone pour empêcher l’accès d’utilisateurs qui pourraient
tenter de les modifier à l’aide d’outils d’administration, tels que le composant
logiciel enfichable DNS ou ADSI Edit. Par défaut, les groupes Administrateurs,
Admins du domaine, Admins de l’entreprise et Admins du DNS ont l’accès Contrôle
total à tous les composants du DNS. Les autres groupes ont l’accès en lecture.
j Utilisez un mécanisme de routage adapté à votre environnement :
− des redirecteurs conditionnels pour spécifier le serveur auquel adresser la
demande pour un suffixe donné ;
− des zones secondaires pour fournir la redondance des données de la zone DNS ;
− des indicateurs de racine pour permettre à un client DNS de trouver le serveur
DNS correspondant à un nom contenu dans l’espace de noms en utilisant les
délégations qui commencent dans la zone du domaine racine.
j Utilisez des espaces de noms DNS internes et externes distincts. Si l’entreprise a

besoin d’une présence sur Internet (indispensable de nos jours), créez des espaces
de noms distincts pour Internet et pour votre intranet. DNS a été conçu pour
distribuer des informations en réponse à des demandes émanant des clients. Il n’a
pas été conçu pour fournir un accès sécurisé aux informations qu’il distribue.
j Désactivez la récursivité sur les serveurs DNS qui ne répondent pas directement
aux clients DNS et qui ne sont pas configurés avec des redirecteurs. Par défaut, la
récursivité est activée pour le service Serveur DNS et, de manière générale, les
clients demandent que le serveur utilise la récursivité pour résoudre un nom
lorsqu’ils envoient une demande. Un serveur DNS a besoin de la récursivité
uniquement s’il doit répondre à des demandes récurrentes de clients DNS ou s’il est
configuré avec un redirecteur. Si la récursivité est désactivée, le service Serveur DNS
utilise systématiquement les références, indépendamment de la demande du client.
730
Sécuriser les relations interforêts
Retrouvez tout sur la conception et l’implémentation technique de DNS dans le

tome II de cet ouvrage.
21.9. Sécuriser les relations interforêts

Dans le cas où votre forêt Active Directory, la forêt étant le plus haut niveau d’isolation,
doit approuver une autre forêt (dans le cadre d’une relation de travail avec un
partenaire ou une acquisition par exemple), vous avez la possibilité de sécuriser cette
approbation en activant l’authentification sélective. Cela vous permettra de totalement
contrôler ce qui rentre et ce qui sort de votre forêt Active Directory.
Pour créer une approbation de forêt avec authentification sélective :

j Vous pouvez utiliser le composant Domaines et approbations Active Directory pour
configurer l’étendue de l’authentification entre deux forêts liées par une
approbation de forêt.
j Vous pouvez configurer différemment l’authentification sélective pour les
approbations de forêt sortantes et entrantes.
j Avec des approbations sélectives, les administrateurs peuvent prendre des décisions
de contrôle d’accès souples à l’échelle de la forêt pour gérer l’authentification à
travers les frontières de sécurité Active Directory.
La procédure suivante explique comment créer une approbation de forêt et activer

l’authentification sélective pour la relation d’approbation. Pour créer une approbation
de forêt et activer l’authentification sélective :
1. Démarrez Domaines et approbations Active Directory en cliquant sur Démarrer/
Tous les Programmes/Outils d’administration.
2. Créez une approbation de forêt à sens unique ou bidirectionnelle.
3. Ouvrez la boîte de dialogue Propriétés de la relation d’approbation.
4. Sous l’onglet Authentification, activez l’option Authentification sélective pour
l’approbation.
Une fois qu’une approbation de forêt avec authentification sélective a été créée et
configurée, les utilisateurs situés dans la forêt approuvée ne peuvent toujours pas
accéder aux ordinateurs de la forêt qui donne l’approbation tant que l’authentification
sélective n’a pas été configurée pour des serveurs spécifiques de la forêt approbatrice.
La forêt approbatrice est celle où se trouvent les ressources.
Voici comment permettre à un serveur de votre domaine d’authentifier des utilisateurs

et des groupes sélectionnés appartenant à une autre forêt. Pour configurer
l’authentification sélective pour un serveur spécifique :
731
1. Démarrez Domaines et approbations Active Directory en cliquant sur Démarrer/

Tous les Programmes/Outils d’administration.
2. Ouvrez la boîte de dialogue Propriétés associée au serveur que vous souhaitez
configurer.
3. Sous l’onglet Sécurité, ajoutez les utilisateurs ou les groupes de la forêt approuvée
auxquels vous voulez permettre d’accéder aux ressources du serveur, puis
affectez-leur l’autorisation Autorisation d’authentifier pour le serveur.
21.10. En résumé
La sécurisation d’Active Directory est très importante, elle découle d’un certain nombre
de bonnes pratiques exposées ici. Certaines de ces bonnes pratiques peuvent vous
paraître des évidences. Tant mieux, cela veut dire que vous avez la fibre sécuritaire, mais
n’oubliez tout de même pas de les appliquer.
732
Chapitre 22
Active Directory
Application Mode et
Active Directory
Federation Services
22.1 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . . . . 735
22.2 Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . . . . 754
22.3 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Active Directory Application Mode dit ADAM
L a version R2 de Windows Server 2003 apporte deux nouvelles fonctionnalités,

ADAM et ADFS, qui permettent d’étendre le champ d’action d’Active Directory.
Ces deux nouveautés offrent aux administrateurs et aux utilisateurs la possibilité
d’explorer des scénarios de communication inédits, que ce soit d’applications ou
d’utilisateurs, même lorsque ceux-ci sont d’organisations (forêts) différentes.
22.1. Active Directory Application Mode dit ADAM

ADAM (Active Directory Application Mode) est un mode indépendant du service
d’annuaire Active Directory, dépourvu de fonctionnalités d’infrastructure. Il fournit des
services d’annuaire pour les applications. Par exemple, lorsque vous souhaitez déployer
des applications qui modifient le schéma d’Active Directory (qui ajoutent des attributs),
mais que vous ne souhaitez pas le faire pour le schéma de l’infrastructure, vous pouvez
alors utiliser ADAM pour fournir un magasin de données et des services d’accès à
celle-ci. ADAM utilise des API standards pour accéder aux données d’applications et
fonctionne soit comme un magasin de données autonome, soit avec une réplication. Son
indépendance permet un contrôle local et une autonomie des services d’annuaire pour
des applications spécifiques. Cela facilite des schémas indépendants et flexibles, ainsi
que des contextes de nommage.
Les principes d’ADAM

ADAM est utile pour les entreprises qui nécessitent une prise en charge souple des
applications utilisant un annuaire. ADAM est un service d’annuaire LDAP que vous
22. ADAM et ADFS

pouvez utiliser sur des serveurs fonctionnant sous Windows Server 2003 R2, mais aussi
sur des clients exécutant Windows XP Professionnel en téléchargeant ADAM du site de
Microsoft.
ADAM assure le stockage et la récupération de données pour les applications utilisant

un annuaire, sans les dépendances requises par Active Directory. ADAM met en œuvre
les mêmes fonctionnalités qu’Active Directory sans imposer le déploiement de
domaines, ni de contrôleurs de domaines. Vous pouvez exécuter plusieurs instances
d’ADAM sur un ordinateur, avec un schéma géré indépendamment pour chaque
instance ADAM.
ADAM utilise la même architecture (et la même base de code) qu’Active Directory et
fournit un magasin de données hiérarchique, un composant de service d’annuaire et des
interfaces que les clients peuvent utiliser pour communiquer avec le service d’annuaire.
ADAM ne nécessite ni contrôleur de domaine ni même de serveur DNS.
Le tableau suivant répertorie les composants ADAM de base, ainsi que leurs
contreparties Active Directory :
735
Chapitre 22 ADAM et ADFS
Tableau 22.1 : Composants ADAM de base et contreparties AD

Composant ADAM Active Directory Finalité
Magasin de Adamntds.dit Ntds.dit Fournit un magasin de données
données Active hiérarchique pour les données
Directory d’annuaire
Service d’annuaire Dsamain.exe, Ntdsa.dll Traite les demandes de clients
Adamdsa.dll (s’exécute dans d’annuaire et d’autres services
Lsass.exe) d’annuaire
Interface de Protocole LDAP, LDAP, réplication, Fournit des interfaces au service
services réplication MAPI d’annuaire pour effectuer des
d’annuaire (Messaging demandes associées aux annuaires
API)
Serveur d’annuaire Windows Windows 2000 Fournit la plate-forme sur laquelle
Server 2003 R2, Server ou s’exécute le service d’annuaire
Windows XP contrôleur de
Professionnel domaine Windows
Server 2003 ou
R2
L’illustration suivante montre la relation entre les composants d’ADAM :

22. ADAM et ADFS
Figure 22.1 : Relation entre les composants ADAM
736
Le service d’annuaire
Le service d’annuaire ADAM gère le magasin de données d’annuaire. Il répond aux
demandes d’annuaire provenant de clients d’annuaire, ainsi que d’autres services
d’annuaire. Le service d’annuaire ADAM s’exécute dans le contexte de sécurité du
compte qui est spécifié comme compte de service ADAM. Le service d’annuaire ADAM
met en œuvre toutes les fonctions suivantes :
j l’authentification des utilisateurs d’annuaire ;
j la réponse aux demandes de données ;
j la synchronisation des données entre des serveurs d’annuaire (par réplication
multimaître) ;
j la gestion des données.
Le service d’annuaire ADAM autorise ou refuse l’accès aux clients selon les
informations d’identification fournies par ces derniers. ADAM prend en charge les
mêmes méthodes d’authentification ou de liaison qu’Active Directory.
Les instances ADAM

Dans ADAM, une instance de service (ou simplement une instance) se réfère à une
copie d’exécution unique du service d’annuaire ADAM. Contrairement à Active
Directory, plusieurs copies du service d’annuaire ADAM peuvent s’exécuter
simultanément sur le même ordinateur. Chaque instance du service d’annuaire ADAM
dispose d’un magasin de données d’annuaire distinct, d’un nom de service unique et
22. ADAM et ADFS

d’une description de service unique qui est affectée lors de l’installation.
L’interface de services d’annuaire

ADAM fournit les interfaces de services d’annuaire pour la communication avec des
clients d’annuaire et d’autres instances ADAM. ADAM fournit une interface LDAP
destinée aux clients pour l’authentification et pour effectuer des demandes de services
d’annuaire. ADAM fournit une interface RPC pour la réplication avec d’autres serveurs
ADAM et pour l’administration.
Les dépendances de service

ADAM ne nécessite ni le service DNS ni le service FRS (File Replication Service). Les
clients s’adressent à ADAM directement, en utilisant le nom ou l’adresse IP de
l’ordinateur sur lequel ADAM s’exécute, avec le numéro de port de communication
utilisé par l’instance ADAM. Comme ADAM n’utilise ni domaines ni contrôleurs de
domaine, la réplication ADAM ne nécessite pas FRS.
737
Les nouveautés d’ADAM dans Windows Server 2003 R2

ADAM était disponible depuis la première édition de Windows Server 2003 sous forme
de téléchargement complémentaire sur le site de Microsoft à l’adresse www.microsoft.com/
downloads, le mot-clé de recherche étant ADAM.
Les fonctions suivantes sont nouvelles dans ADAM sous Windows Server 2003 R2 :
j Des utilisateurs peuvent maintenant être créés dans la partition de configuration
afin que les utilisateurs ADAM puissent être administrateurs d’ADAM.
j Un outil, nommé Adaminstall, synchronise des objets d’Active Directory vers une
instance ADAM.
j Les utilisateurs ADAM peuvent se lier à une instance ADAM en utilisant
l’authentification Digest. Cette méthode d’authentification utilise les informations
d’identification des applications serveurs et élimine la nécessité de conserver en
mémoire une version en texte clair du mot de passe de l’application. La liaison
Digest est prise en charge dans LDP.
j Un outil d’analyse de schéma Active Directory, nommé ADSchemaAnalyzer,
simplifie la migration du schéma Active Directory vers ADAM.
j Une nouvelle version de l’outil LDP est livrée avec l’éditeur d’ACL.
ADAM peut maintenant chaîner des demandes de mot de passe d’utilisateur dans
ADAM vers l’objet utilisateur dans Active Directory afin qu’un mot de passe puisse être
changé dans les deux services d’annuaire. Lorsqu’un utilisateur dans ADAM, qui est
également un utilisateur dans Active Directory, tente de changer le mot de passe
22. ADAM et ADFS
d’utilisateur dans ADAM, ce changement est traité de la même manière qu’un

changement de mot de passe d’utilisateur dans Active Directory. L’ancien et le nouveau
mot de passe doivent être fournis (sauf pour les administrateurs Active Directory, qui
doivent uniquement fournir le nouveau mot de passe), et le nouveau mot de passe doit
être conforme aux stratégies de mot de passe définies dans Active Directory. Active
Directory effectue toute la vérification de la stratégie.
Configuration requise par ADAM

La configuration requise suivante s’applique à ADAM…
Configuration requise en matière de plateforme

ADAM nécessite l’une des plateformes suivantes :
j Windows Server 2003 (version R2 ou pas), Standard Edition ;
j Windows Server 2003 (version R2 ou pas), Enterprise Edition ;
j Windows Server 2003 (version R2 ou pas), Datacenter Edition ;
j la version 64 bits de Windows Server 2003 (version R2 ou pas), Enterprise Edition ;
738
j la version 64 bits de Windows Server 2003 (version R2 ou pas), Datacenter Edition ;

j Windows XP Professionnel Service Pack 1 (SP1) au minimum ;
j Windows XP, édition 64 bits, Service Pack 1 (SP1) au minimum.
Configuration requise en matière de groupe de travail et de domaine

ADAM ne nécessite pas de forêt, de domaine ou de contrôleur de domaine. Vous
pouvez installer ADAM sur des ordinateurs configurés en tant que contrôleurs de
domaine, membres de domaine ou ordinateurs autonomes.
Prise en charge des clients LDAP

ADAM prend en charge les clients LDAP (Lightweight Directory Access Protocol) écrits
conformément à la spécification technique LDAP v3.
Prise en charge des clients ADSI

ADAM prend en charge les interfaces ADSI (Active Directory Service Interfaces) pour les
clients qui exécutent les systèmes d’exploitation suivants :
j Windows XP Professionnel ;
j Windows XP Édition familiale ;
j la famille Windows Server 2003 et R2 ;
j Windows 2000.
22. ADAM et ADFS

Comparaison d’ADAM avec Active Directory
Voici un résumé des différences et des similitudes fonctionnelles entre ADAM et Active
Directory :
Tableau 22.2 : Comparatif technique entre ADAM et AD

Fonction du composant ADAM Active Directory
Prise en charge de plusieurs schémas par serveur Oui Non
Prise en charge de plusieurs instances d’annuaire par serveur Oui Non
Fonctionnement sous Windows XP Professionnel Oui Non
Fonctionnement sur des serveurs membres Oui Non
Prise en charge de l’affectation de noms X.500 pour les Oui Non
partitions d’annuaire de niveau supérieur
Prise en charge de l’installation, du démarrage et de l’arrêt Oui Non
sans redémarrage
Stratégie de groupe Non Oui
739
Fonction du composant ADAM Active Directory

Catalogue global Non Oui
Gestion du bureau IntelliMirror Non Oui
Distribution des logiciels automatisée Non Oui
Approbations de domaines et de forêts Non Oui
Infrastructure de clé publique (PKI) /X.509 Non Oui
Prise en charge des enregistrements de ressources de service Non Oui
DNS (SRV)
Prise en charge de l’interface de programmation d’application Oui Oui
(API) LDAP
Prise en charge de l’API ADSI Oui Oui
Prise en charge de MAPI (Messaging API) Non Oui
Administration déléguée Oui Oui
Réplication multimaître Oui Oui
InetOrgPerson Oui Oui
LDAP sur SSL (Secure Sockets Layer) Oui Oui
Sécurité de niveau attribut Oui Oui
Prise en charge de la liste de contrôle d’accès ACL LDAP Oui Oui
Schéma extensible Oui Oui
Prise en charge des partitions d’annuaire d’applications Oui Oui
22. ADAM et ADFS
Prise en charge de l’installation d’un réplica à partir d’un support Oui Oui
Prise en charge des serveurs 64 bits Oui Oui
Prise en charge de la liaison LDAP concurrente Oui Oui
Implémenter ADAM
Voici les procédures d’implémentation relatives à ADAM :
Installer ADAM
Pour installer ADAM à partir de Windows Server 2003 R2, procédez comme ceci :
1. Dans le Panneau de configuration, activez le lien Ajout/Suppression de programmes.
2. Cliquez sur Ajouter/Supprimer des composants Windows.
3. Sélectionnez Services Active Directory, sous la rubrique Composants, puis cliquez sur
Détails.
4. Activez la case à cocher Active Directory Application Mode (ADAM) sous la rubrique
Sous-composants de Services Active Directory, puis cliquez sur OK.
740
Figure 22.2 :
Choix de l’installation
d’ADAM
5. Cliquez sur Suivant dans la page Composants Windows.

6. Après avoir inséré le CD 2 de Windows Server 2003 R2 si besoin, prenez
connaissance du message qui s’affiche, puis cliquez sur Terminer dans la dernière
fenêtre qui apparaît.
7. Si une erreur se produit lors de l’exécution de l’Assistant Installation de Active
Directory en mode application avant l’affichage de la page Fin de l’Assistant
Installation de Active Directory en mode Application :
1. Consultez tout d’abord le message d’erreur qui décrit l’origine du problème.
2. Cliquez ensuite sur Démarrer/Exécuter, puis tapez %windir%\Debug\ dans la zone
de saisie.
22. ADAM et ADFS
Figure 22.3 : Fin de l’installation d’ADAM
741
Créer une instance ADAM

La suite des opérations consiste à créer une instance ADAM :
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez
sur Créer une instance ADAM.
2. Dans la page Bienvenue dans l’Assistant Installation de Active Directory en mode
Application, cliquez sur Suivant.
3. Dans la page Options d’installation, choisissez de créer soit Une instance unique,
soit Un réplica d’une instance existante, puis cliquez sur Suivant.
Figure 22.4 :
Options d’installation de
l’instance ADAM
22. ADAM et ADFS
Une instance ADAM consiste en une copie unique du service d’annuaire ADAM, avec
son magasin d’annuaires associé, les ports LDAP et SSL affectés et le journal
d’événements d’application. Vous pouvez exécuter plusieurs instances ADAM
simultanément sur un seul ordinateur. Si vous choisissez d’installer une instance ADAM
unique, l’instance ADAM que vous installez ne fera pas partie d’un jeu de
configurations existant et n’aura pas de partenaires de réplication. Si vous choisissez
d’installer un réplica d’une instance ADAM existante, l’instance ADAM que vous
installez contiendra des copies des partitions d’annuaire de configuration et de schéma
(notamment toutes les extensions du schéma) depuis l’instance à partir de laquelle vous
avez choisi de répliquer.
4. Entrez le nom de l’instance ADAM et cliquez sur Suivant (voir fig. 22.5).
5. Entrez les numéros de port LDAP et SSL associés et cliquez sur Suivant (voir
fig. 22.6).
742
Figure 22.5 :
Nom de l’instance
ADAM
Figure 22.6 :
Numéros de ports de
l’instance ADAM
22. ADAM et ADFS

6. Dans la page Partition de l’annuaire d’applications, vous pouvez créer une nouvelle
partition d’annuaire d’applications pendant l’installation d’ADAM. Une partition
d’annuaire d’applications contient des données spécifiques d’une ou de plusieurs
applications utilisant un annuaire. Vous pouvez cliquer sur Non, ne pas créer de
partition d’annuaire d’applications ou cliquer sur Oui, créer une partition
d’annuaire d’applications, puis spécifier un nom unique pour la nouvelle partition.
ADAM prend en charge les noms uniques de style X.500 et de style DNS (Domain
Name System). Cliquez sur Suivant.
743
Figure 22.7 :
Option de création de
partition de l’annuaire
d’applications de
l’instance ADAM
7. Spécifiez l’emplacement où seront stockés les fichiers de l’instance et cliquez sur

Suivant.
Figure 22.8 :
Emplacement des
fichiers de l’instance
ADAM
22. ADAM et ADFS
8. Sélectionnez un compte de services à utiliser et cliquez sur Suivant (voir fig. 22.9).
9. Sélectionnez l’utilisateur ou le groupe auquel vous voulez attribuer le rôle
d’administrateur ADAM et cliquez sur Suivant (voir fig. 22.10).
744
Figure 22.9 :
Compte de services de
l’instance ADAM
Figure 22.10 :
Choix de
l’administrateur ADAM
de l’instance ADAM
22. ADAM et ADFS

10. Dans la page Importer les fichiers LDIF, vous pouvez spécifier l’importation des
fichiers LDIF facultatifs ms-InetOrgPerson.ldf, ms-User.ldf, ms-UserProxy.ldf et
MS-AZMan.ldf. Ces fichiers contiennent plusieurs définitions de schémas de classes
des utilisateurs, ainsi que les objets à utiliser avec le Gestionnaire d’autorisations
Windows, qui peuvent être importés dans le schéma de la nouvelle instance ADAM
en cours d’installation. Cliquez sur Suivant.
745
Figure 22.11 :
Importation des fichiers
LDIF de l’instance
ADAM
11. Tout est prêt pour l’installation de la nouvelle instance. Dans la fenêtre de résumé,
cliquez sur Suivant et l’installation s’effectue.
Figure 22.12 :
Installation de l’instance
ADAM
22. ADAM et ADFS
12. Cliquez sur Terminer pour sortir de l’assistant.
Se connecter à une instance ADAM

Une fois l’instance créée, vous devez vous y connecter pour pouvoir commencer à
travailler. Pour vous connecter à une instance ADAM à l’aide de l’éditeur ADSI
ADAM :
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez
sur Éditeur ADSI ADAM.
2. Dans l’arborescence de la console, cliquez sur Éditeur ADSI ADAM.
746
Figure 22.13 : Éditeur ADSI ADAM
3. Dans le menu Action, cliquez sur Établir une connexion.

Figure 22.14 :
Établissement d’une
connexion
22. ADAM et ADFS

4. Dans la zone Nom de la connexion, tapez un nom.
5. Dans la zone Nom du serveur, tapez le nom DNS, le nom NetBIOS ou l’adresse IP de
l’ordinateur sur lequel l’instance ADAM s’exécute.
6. Dans le champ Port, tapez le port de communication LDAP utilisé par l’instance
ADAM à laquelle vous voulez vous connecter.
7. Sous la rubrique Établir une connexion au nœud suivant, cliquez sur Nom unique
(DN) ou contexte de nom, puis spécifiez le nom unique auquel vous voulez vous
connecter, ou cliquez sur Contexte d’attribution de noms connu puis sur
Configuration, RootDSE ou Schéma.
747
8. Sous la rubrique Établir une connexion en utilisant ces informations d’identification,

cliquez sur Le compte de l’utilisateur ayant ouvert la session, ou cliquez sur Ce
compte puis spécifiez le nom d’utilisateur et le mot de passe du compte auquel vous
voulez vous connecter.
Gérer l’instance ADAM

Une fois que vous êtes connecté à l’instance ADAM, vous pouvez la manipuler comme
s’il s’agissait d’Active Directory et créer votre propre contexte en fonction de
l’application qui s’y connectera. Par exemple, vous pouvez créer un utilisateur et une
unité d’organisation.
Créer un utilisateur dans ADAM

1. Ouvrez l’Éditeur ADSI ADAM.
2. Connectez-vous et effectuez la liaison avec l’instance et la partition d’annuaire
ADAM à laquelle vous voulez ajouter l’utilisateur.
3. Dans l’arborescence de la console, double-cliquez sur la partition d’annuaire à
laquelle vous voulez ajouter l’utilisateur.
4. Dans l’arborescence de la console, cliquez avec le bouton droit de la souris sur le
conteneur auquel vous voulez ajouter un utilisateur, pointez sur Nouveau, puis
cliquez sur Objet.
22. ADAM et ADFS
Figure 22.15 : Création d’un nouvel utilisateur dans une instance ADAM
748
5. Dans la zone Sélectionner une classe, cliquez sur la classe que vous voulez utiliser
(user, inetOrgPerson, person ou OrganizationalPerson), puis cliquez sur Suivant.
6. Dans le champ Valeur, tapez une valeur pour l’attribut nom commun (CN) du
nouvel utilisateur, puis cliquez sur Suivant.
Figure 22.16 :
Paramètres du nouvel
utilisateur
7. Après avoir défini tout éventuel attribut pour le nouvel utilisateur, cliquez sur
Terminer.
Le script
22. ADAM et ADFS

1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next
Set objOU = GetObject("LDAP://localhost:50000/

✂ ou=Techniciens,dc=corp,dc=puzzmania, dc=com")
Set objUser = objOU.Create("user", "cn=mmolist")
objUser.Put "displayName", "Martin Molist"
objUser.Put "userPrincipalName", "mmolist@puzzmania.com"
objUser.SetInfo
2. Enregistrez ce fichier sous le nom CreerADAMUser.vbs, par exemple, et lancez la

commande wscript CreerADAMUser.vbs dans une Invite de commandes.
749
Créer une unité d’organisation dans ADAM

1. Ouvrez l’éditeur ADSI ADAM.
2. Connectez-vous et effectuez la liaison avec l’instance et la partition d’annuaire
ADAM à laquelle vous voulez ajouter l’utilisateur.
3. Dans l’arborescence de la console, double-cliquez sur la partition d’annuaire à
laquelle vous voulez ajouter l’utilisateur.
4. Dans l’arborescence de la console, cliquez avec le bouton droit sur le conteneur
auquel vous voulez ajouter un utilisateur, pointez sur Nouveau, puis cliquez sur
Objet.
5. Dans la zone Sélectionnez une classe, cliquez sur organizationalUnit, puis sur Suivant.
6. Dans la zone Valeur, tapez un nom pour la nouvelle unité d’organisation, puis
7. Si vous voulez définir les valeurs d’autres attributs, cliquez sur Autres attributs
sinon cliquez sur Terminer.
Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next
22. ADAM et ADFS
Set objDomain =
✂ GetObject("LDAP://localhost:50000/dc=corp,dc=puzzmania,dc=com")
Set objOU = objDomain.Create("organizationalUnit", "ou=Techniciens")
objOU.SetInfo
2. Enregistrez ce fichier sous le nom CreerADAMOU.vbs par exemple et lancez la

commande wscript CreerADAMOU.vbs dans une Invite de commandes.
La maintenance d’ADAM
Comme pour Active Directory, la sauvegarde et la restauration d’ADAM sont
importantes.
Sauvegarder ADAM
Pour sauvegarder une instance ADAM dans un fichier, procédez ainsi :
750
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, sur Outils
système, puis cliquez sur Utilitaire de sauvegarde.
2. Dans l’Assistant Sauvegarde ou Restauration, cliquez sur le lien correspondant au
mode avancé.
3. Cliquez sur l’onglet Utilitaire de sauvegarde, puis, dans le menu Tâche, cliquez sur
Nouveau.
4. Pour sélectionner les dossiers d’instance ADAM à sauvegarder, cochez la case
située à gauche des dossiers.
Par défaut, les fichiers ADAM sont situés dans le répertoire

\%ProgramFiles%\Microsoft ADAM\nom_instance (où nom_instance représente le nom
de l’instance ADAM) qui contient les fichiers de base de données et fichiers journaux et
le répertoire \%windir%\ADAM qui contient les fichiers de programmes et d’outils
d’administration.
5. Dans la zone Effectuer la sauvegarde vers, sélectionnez votre chemin de sauvegarde.
6. Dans la zone Nom du fichier ou média de sauvegarde, tapez le bon emplacement et le
nom.
7. Cliquez sur Démarrer, puis apportez les modifications nécessaires dans la boîte de
dialogue Informations sur la sauvegarde.
8. Pour définir les options avancées de sauvegarde telles que la vérification des
données ou la compression matérielle, cliquez sur Avancé.
9. Cliquez sur Démarrer la sauvegarde pour démarrer l’opération de sauvegarde.
22. ADAM et ADFS

Restaurer ADAM
Pour effectuer une restauration faisant autorité des données ADAM sur une instance
ADAM appartenant à un jeu de configurations :
1. Si elle est en cours d’exécution, arrêtez l’instance ADAM pour laquelle des données
seront restaurées.
2. Ouvrez l’utilitaire de sauvegarde.
3. Cliquez sur l’onglet Restaurer et gérer le média.
4. Dans le volet d’informations, sélectionnez l’instance ADAM que vous souhaitez
restaurer en cochant la case à gauche du dossier qui représente l’instance ADAM
que vous souhaitez restaurer.
5. Dans Restaurer les fichiers vers, cliquez sur Emplacement d’origine.
6. Dans le menu Outils, cliquez sur Options, cliquez sur l’onglet Restaurer, cliquez sur
Toujours remplacer les fichiers sur mon ordinateur, puis cliquez sur OK.
7. Cliquez sur Démarrer.
751
8. Une fois la restauration terminée, fermez l’utilitaire de sauvegarde.
Pour forcer la restauration :

1. Ouvrez une Invite de commandes des outils ADAM. Pour cela, cliquez sur
Démarrer, pointez sur Tous les programmes, pointez sur ADAM, puis cliquez sur
Invite de commande des outils ADAM.
2. Dans la fenêtre d’Invite de commandes, tapez dsdbutil.
3. À l’invite dsdbutil:, tapez activate instance nominstance (où nominstance
représente le nom de service de l’instance ADAM sur laquelle vous souhaitez
restaurer les données).
4. Tapez ensuite authoritative restore.
5. À l’invite authoritative restore:, tapez l’une des commandes suivante :
j restore database pour effectuer une restauration faisant autorité de toute la
base de données d’annuaire ;
j restore object dn pour effectuer une restauration faisant autorité de l’objet
annuaire, dont le nom unique est représenté par dn ;
j restore subtree dn pour effectuer une restauration faisant autorité de la
sous-arborescence d’annuaire dont le nom unique est représenté par dn.
22. ADAM et ADFS
Figure 22.17 : Résultat de la commande dsdbutil lors d’une restauration
Synchroniser les données entre Active Directory et une

instance ADAM
L’outil de synchronisation AD vers ADAM est un outil de ligne de commande qui
synchronise les données entre une forêt Active Directory et le jeu de configurations
d’une instance ADAM.
Pour synchroniser les données entre Active Directory et une instance ADAM :
1. Ouvrez une Invite de commandes des outils ADAM.
2. Dans la fenêtre d’invite de commandes, tapez adamsync /install
nom_serveur:port nom_fichier_xml.
752
adamsync
/l ou /list Affiche toutes les configurations disponibles de l’outil de
synchronisation d’Active Directory vers ADAM.
/d ou /delete
nom_unique
_configuration Supprime la configuration spécifiée.
/i ou /install
fichier _entrée Installe la configuration contenue dans le fichier d’entrée spécifié.
/download
nom_unique
_configuration
fichier_sortie Crée un fichier de sortie au format XML contenant la configuration
spécifiée.
/export nom
_unique
_configuration
fichier_sortie Enregistre la configuration actuelle dans le fichier de sortie spécifié.
/sync nom_unique
_configuration Synchronise la configuration spécifiée.
22. ADAM et ADFS

/reset nom
_unique
_configuration Réinitialise le cookie de réplication de la configuration spécifiée.
/mai nom_unique
_configuration Définit la configuration spécifiée en tant qu’instance faisant
autorité.
/fs nom_unique
_configuration Effectue une synchronisation de réplication complète de la
configuration spécifiée.
/ageall nom
_unique
_configuration Effectue une passe de vieillissement pour la configuration spécifiée.
/so nom_unique
_configuration
nom_unique_objet Effectue une synchronisation de réplication pour l’objet spécifié
dans la configuration spécifiée. Utilisez le nom unique de l’objet.
/passPrompt Demande les informations d’identification de l’utilisateur.
753
22.2. Active Directory Federation Services (ADFS)

ADFS est un composant de Windows Server 2003 R2 qui fournit des technologies
d’ouverture de session web unique (SSO) pour authentifier un utilisateur dans plusieurs
applications web, à travers la durée de vie d’une session en ligne unique. ADFS y
parvient en partageant de manière sécurisée l’identité numérique et les droits accordés,
ou "revendications", à travers des limites de sécurité et d’entreprise.
Les principales fonctionnalités d’ADFS

Découvrez quelques-unes des principales fonctionnalités d’ADFS dans Windows
Server 2003 R2…
j SSO de fédération et Web : lorsqu’une organisation utilise le service d’annuaire
Active Directory, il bénéficie des avantages procurés par la fonctionnalité SSO, à
travers l’authentification intégrée à Windows au sein de la sécurité de l’organisation
ou des frontières de l’entreprise. ADFS étend cette fonctionnalité aux applications
confrontée à Internet, ce qui permet aux clients, aux partenaires et aux fournisseurs
de disposer d’une expérience utilisateur SSO web similaire et rationnelle lorsqu’ils
accèdent aux applications basées sur le Web de l’organisation. En outre, des
serveurs de fédération peuvent être déployés dans différentes organisations pour
faciliter les transactions fédérées interentreprises (B2B) entre des organisations
partenaires.
j Services Web WS-* interopérabilité : ADFS fournit une solution de gestion
d’identité fédérée qui interagit avec d’autres produits de sécurité qui prennent en
22. ADAM et ADFS
charge l’architecture de services Web WS-*. ADFS emploie pour cela la

spécification de fédération de WS-*, appelée WS-Federation. La spécification
WS-Federation permet à des environnements qui n’utilisent pas le modèle
d’identité Windows de créer une fédération avec les environnements Windows.
j Architecture extensible : ADFS fournit une architecture extensible qui prend en
charge le type de jeton SAML (Security Assertion Markup Language) et
l’authentification Kerberos (dans le SSO web fédéré avec le scénario d’approbation
de forêt). ADFS peut également effectuer un mappage de revendication, par
exemple, en modifiant les revendications à l’aide d’une logique d’entreprise
personnalisée en tant que variable dans une demande d’accès. Des organisations
peuvent utiliser cette extensibilité pour modifier ADFS en vue d’une coexistence
avec leurs infrastructures de sécurité et stratégies d’entreprise actuelles.
754
Active Directory Federation Services (ADFS)
L’extension d’Active Directory à Internet

Active Directory tient un rôle de service d’identité et d’authentification principal dans
de nombreuses organisations. Avec Active Directory, des approbations de forêt peuvent
être créées entre deux forêts ou plus, afin de fournir un accès à des ressources qui se
trouvent dans des services d’entreprise ou des organisations différents.
Cependant, il existe des scénarios dans lesquels des approbations de forêt ne

représentent pas une option viable. Par exemple, l’accès à travers des organisations peut
nécessiter une limitation à un sous-ensemble constitué d’un faible nombre d’individus
uniquement, et pas à chaque membre d’une forêt.
En utilisant ADFS, les organisations peuvent étendre leurs infrastructures Active

Directory existantes pour fournir un accès à des ressources proposées par des
partenaires approuvés à travers Internet. Ces partenaires approuvés peuvent inclure des
tiers externes ou d’autres services ou des filières dans la même organisation.
ADFS est étroitement intégré à Active Directory et extrait des attributs d’utilisateur à
partir d’Active Directory, puis il authentifie les utilisateurs par rapport à Active
Directory. ADFS utilise également l’authentification intégrée à Windows.
ADFS fonctionne avec Active Directory et ADAM. Plus précisément, ADFS fonctionne
avec des déploiements à l’échelle de l’entreprise d’Active Directory ou des instances
d’ADAM. Utilisé avec Active Directory, ADFS peut bénéficier des performances
d’authentification performantes contenues dans Active Directory, y compris Kerberos,
les certificats numériques X.509 et les cartes à puce. Avec ADAM, ADFS utilise la
liaison LDAP pour authentifier des utilisateurs.
22. ADAM et ADFS

ADFS prend en charge l’authentification distribuée et l’autorisation via Internet. ADFS
peut être intégré à la solution de gestion d’accès existante d’une organisation ou d’un
service, afin de traduire les termes utilisés au sein de l’organisation en revendications qui
ont été acceptées comme faisant partie d’une fédération. ADFS peut créer, sécuriser et
vérifier les revendications échangées entre des organisations. Il peut aussi auditer et
analyser l’activité entre des organisations et des services pour aider à garantir la sécurité
des transactions.
Les rôles des serveurs ADFS

Les services de fédération Active Directory ne sont opérationnels que si les serveurs
exécutant Windows Server 2003 R2 sont configurés correctement. Selon
l’environnement de votre organisation, des rôles de serveur ADFS spécifiques doivent
être déployés. Selon les scénarios d’entreprise, ils seront développés soit dans la forêt de
ressources, soit dans la forêt de clients.
Voici la description des rôles de serveurs qui peuvent être utilisés pour fournir une
solution ADFS de gestion fédérée des identités…
755
Les serveurs de fédération

Les serveurs de fédération hébergent le composant Service de fédération du service
ADFS. Ils servent à acheminer les requêtes d’authentification émises à partir de
comptes d’utilisateurs situés dans d’autres organisations ou à partir de clients pouvant se
trouver n’importe où sur Internet (dans le scénario SSO web).
Les serveurs de fédération hébergent aussi un service de jetons de sécurité qui émet des
jetons reposant sur les informations d’identification (par exemple, le nom d’utilisateur
et le mot de passe) qui lui sont indiquées. Après la vérification des informations
d’identification (effectuée lors de l’ouverture de session de l’utilisateur), les
revendications de l’utilisateur sont collectées par l’examen des attributs de cet
utilisateur, lesquels sont stockés dans Active Directory ou ADAM.
Dans des scénarios SSO de Web fédéré, les revendications peuvent ensuite être
modifiées par des mappages de revendications pour un partenaire de ressources
spécifique. Les revendications sont intégrées dans un jeton qui est envoyé à un serveur
de fédération dans le partenaire de ressources. Dès qu’un serveur de fédération du
partenaire de ressources reçoit les revendications entrantes, il les associe à celles de son
organisation. Les revendications de l’organisation sont ensuite intégrées dans un
nouveau jeton, lequel est envoyé à l’Agent Web ADFS.
Le rôle que joue un serveur de fédération dans l’un ou l’autre des scénarios SSO de Web
fédéré (SSO de Web fédéré ou SSO de Web fédéré avec approbation de forêt) peut
varier selon que votre organisation est définie comme étant le partenaire de comptes ou
le partenaire de ressources :
22. ADAM et ADFS
j Dans le partenaire de comptes, les serveurs de fédération servent à se connecter à

des comptes d’utilisateurs locaux, que ce soit dans un magasin Active Directory ou
dans un magasin ADAM. Les serveurs de fédération émettent également des jetons
de sécurité initiaux que les comptes d’utilisateurs locaux peuvent utiliser pour
accéder à des applications web hébergées dans le partenaire de ressources. De plus,
les serveurs de fédération du partenaire de comptes émettent des cookies au niveau
des utilisateurs pour gérer le statut des connexions. Ces cookies incluent des
revendications pour ces utilisateurs. Ces cookies offrent des fonctionnalités SSO.
Ainsi, les utilisateurs n’ont pas besoin d’entrer leurs informations d’identification
chaque fois qu’ils visitent des applications Web du partenaire de ressources.
j Sur le partenaire de ressources, les serveurs de fédération valident les jetons de
sécurité qui sont émis par les serveurs de fédération au niveau du partenaire de
comptes. Sur le partenaire de ressources, les serveurs de fédération émettent aussi
des jetons de sécurité à l’intention des applications web du partenaire de ressources.
De plus, les serveurs de fédération du partenaire de ressources émettent des cookies
dans les comptes d’utilisateurs, qui proviennent du partenaire de comptes. Ces
cookies offrent des fonctionnalités SSO. Ainsi, les utilisateurs n’ont pas besoin
d’ouvrir à nouveau une session sur leurs serveurs de fédération du partenaire de
comptes pour accéder à différentes applications web du partenaire de ressources.
756
Les proxies de serveur de fédération

Un proxy de serveur de fédération héberge le composant Proxy du service de fédération
du service ADFS. Les proxies peuvent être déployés dans le réseau de périmètre d’une
organisation (DMZ) pour transmettre les demandes aux serveurs de fédération qui ne
sont pas accessibles par le biais d’Internet.
Bien que vous puissiez déployer des serveurs distincts pour héberger le composant Proxy
du service de fédération, il n’est pas nécessaire de déployer un serveur différent comme
proxy de serveur de fédération dans la forêt intranet du partenaire de comptes ou du
partenaire de ressources. Le serveur de fédération remplit automatiquement ce rôle.
Le rôle que joue un proxy de serveur de fédération dans votre organisation varie selon
que celle-ci est le partenaire de comptes ou le partenaire de ressources :
j Au niveau du partenaire de comptes, les proxies de serveur de fédération font office
de proxies pour les connexions d’utilisateurs aux serveurs de fédération situés sur
l’intranet. Ils peuvent aussi faire office de proxies pour les jetons de sécurité émis
par le serveur de fédération du partenaire de comptes, aussi bien pour ses propres
jetons que ceux qui sont destinés aux partenaires de ressources.
j Au niveau du partenaire de ressources, les proxies du service de fédération font
office de proxies pour les jetons de sécurité des utilisateurs, qui sont émis à partir
des serveurs de fédération aussi bien au niveau du partenaire de comptes que du
partenaire de ressources, à l’intention des applications web du partenaire de
ressources.
22. ADAM et ADFS

Les serveurs web
Dans ADFS, les serveurs web de la forêt de ressources hébergent le composant Agent
Web ADFS en vue d’offrir un accès sécurisé aux applications web qui sont hébergées sur
ces serveurs web. L’Agent Web ADFS gère les jetons de sécurité et les cookies
d’authentification qui sont envoyés à un serveur web. Le serveur web nécessite une
relation avec un service de fédération de façon à ce que tous les jetons d’authentification
proviennent de ce service de fédération.
L’Agent Web ADFS prend en charge deux types d’applications : les applications qui
savent reconnaître les revendications et les applications Windows NT à base de jetons.
Configuration requise pour ADFS

Des prérequis matériels ainsi que logiciels sont nécessaires à la mise en place d’ADFS.
La configuration matérielle requise est la suivante…
j Vitesse du processeur : 133 MHz.
j Mémoire vive minimale recommandée : 256 Mo.
757
j Espace disque libre pour l’installation : 10 Mo.
Quant à la configuration logicielle requise, les services ADFS reposent sur la

fonctionnalité de serveur qui est intégrée au système d’exploitation Windows
Server 2003 R2. Les composants Service de fédération, Proxy du service de fédération et
Agent Web ADFS ne peuvent pas s’exécuter sur des systèmes d’exploitation plus
anciens.
Répartition des composants d’ADFS

Les composants Service de fédération et Proxy du service de fédération ne peuvent
pas se trouver sur le même ordinateur et ils ne peuvent être installés que sur des
ordinateurs exécutant Windows Server 2003 R2, Enterprise Edition.
Configuration requise pour Active Directory et le magasin de

comptes ADAM
ADFS requiert la présence de comptes d’utilisateurs dans Active Directory ou ADAM
pour le service de fédération des comptes. Les contrôleurs de domaine Active Directory
ou les ordinateurs qui hébergent les magasins de comptes peuvent tourner des versions
Windows 2000 Server SP4 jusqu’à Windows Server 2003 R2. ADFS ne nécessite pas de
modifications de schéma ou de fonctionnalités pour Active Directory.
Pour garantir le bon fonctionnement d’ADAM avec ADFS, installez la version

22. ADAM et ADFS
d’ADAM qui est fournie avec Windows Server 2003 R2.
Le service de fédération
Le serveur exécutant le service de fédération doit être configuré avec les composants
suivants :
j Windows Server 2003 R2, Enterprise Edition ;
j IIS 6.0 ;
j ASP.NET 2.0 ;
j .NET Framework 2.0 ;
j un site web par défaut configuré avec TLS/SSL (Transport Layer Security et Secure
Sockets Layer) ;
j un certificat, de signature numérique X.509, pour le service de fédération, utilisé
pour la signature des jetons.
758
Le proxy du service de fédération

Le serveur exécutant le proxy du service de fédération doit être configuré avec les
composants suivants :
j Windows Server 2003 R2, Enterprise Edition ;
j IIS 6.0 ;
j ASP.NET 2.0 ;
j .NET Framework 2.0 ;
j un site web par défaut configuré avec TLS/SSL (Transport Layer Security et Secure
Sockets Layer).
L’agent web ADFS

Le serveur exécutant l’Agent Web ADFS doit être configuré avec les composants
suivants :
j Windows Server 2003 R2, Standard Edition, ou Windows Server 2003 R2,
Enterprise Edition ;
j IIS 6.0 ;
j ASP.NET 2.0 ;
j .NET Framework 2.0.
22. ADAM et ADFS

Lorsque l’installation de l’Agent Web ADFS est terminée, il faut configurer au moins un
site web dans IIS avec TLS/SSL, de façon à ce que les utilisateurs fédérés puissent
accéder aux applications web qui sont hébergées sur le serveur web.
Les autorités de certification approuvées

Comme TLS/SSL et la signature des jetons reposent sur les certificats numériques, les
autorités de certification constituent une partie importante d’ADFS. Vous pouvez
recourir à des autorités de certification d’entreprise, comme les services de certificats
Microsoft, pour fournir la signature de jetons et d’autres services de certificats internes.
Si un client se voit proposer un certificat d’authentification d’un serveur, il s’assure que

l’autorité de certification qui l’a émise se trouve sur sa liste d’autorités de certification
approuvées et que l’autorité de certification n’a pas révoqué le certificat. Cette
vérification garantit que le client a bien atteint le serveur souhaité. Lorsqu’il utilise un
certificat pour vérifier des jetons signés, le client s’assure que le jeton a bien été émis par
le bon serveur de fédération et que ce jeton n’a pas été falsifié.
759
La connectivité de réseau TCP/IP

Pour que le service ADFS fonctionne, il doit y avoir une connectivité de réseau TCP/IP
entre le client, un contrôleur de domaine et les ordinateurs qui hébergent le service de
fédération, le proxy du service de fédération (s’il est utilisé) et l’Agent Web ADFS.
Les serveurs DNS

Pour ce qui concerne l’authentification des utilisateurs d’un intranet, les serveurs DNS
de la forêt de l’intranet doivent être configurés pour retourner le nom complet
(CNAME) du serveur interne qui exécute le service de fédération. N’utilisez pas de
fichiers Hosts avec le DNS.
Le navigateur web
Bien que n’importe quel navigateur web actuel compatible JScript puisse faire office de
client ADFS, seuls Internet Explorer 6, Internet Explorer 5 ou 5.5, Mozilla Firefox et
Safari sur Macintosh ont été testés par Microsoft. Pour des raisons de performance, il
est fortement recommandé d’activer JScript. Les cookies doivent être acceptés, ou du
moins approuvés, pour les serveurs de fédération et les applications web auxquels on
accède.
Implémenter des composants ADFS

Vous allez maintenant apprendre comment installer les composants ADFS.
22. ADAM et ADFS
Installer le composant Service de fédération

1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur le lien
Ajout/Suppression de programmes.
2. Dans Ajouter ou supprimer des programmes, cliquez sur Ajouter ou supprimer des
composants Windows.
3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis
sur Détails.
4. Dans la boîte de dialogue Services Active Directory, cliquez sur Services de fédération
Active Directory (ADFS), puis cliquez sur Détails.
5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cochez la
case Service de fédération, puis cliquez sur OK. Si ASP.NET 2.0 n’a pas été
préalablement activé, cliquez sur Oui pour l’activer, puis sur OK.
6. Dans la boîte de dialogue Services Active Directory, cliquez sur OK.
7. Dans l’Assistant Composants de Windows, cliquez sur Suivant.
760
8. Dans la page Service de fédération, cliquez sur Créer un certificat de signature de

jetons auto-signé.
9. Sous la rubrique Stratégie d’approbation, cliquez sur Créer une nouvelle stratégie
d’approbation, puis sur Suivant.
10. Si vous êtes invité à fournir l’emplacement des fichiers d’installation, accédez à
Dossier d’installation de R2\cmpnents\r2, puis cliquez sur OK.
11. Dans la page Fin de l’Assistant Composants de Windows, cliquez sur Terminer.
Installer le composant Agent web

1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur
composants Windows.
sur Détails.
5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cliquez
sur Agents Web ADFS, puis sur Détails.
6. Dans la boîte de dialogue Agents Web ADFS, cochez les cases Applications
22. ADAM et ADFS

reconnaissant les réclamations et Applications basées sur les jetons Windows NT, puis
cliquez sur OK.
7. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cliquez
sur OK.
10. Si vous êtes invité à fournir l’emplacement des fichiers d’installation, accédez à
Fichiers d’installation de R2\cmpnents\r2, puis cliquez sur OK.
11. Dans la page Fin de l’Assistant Composants de Windows, cliquez sur Terminer.
Installer le composant Proxy du service de fédération

1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur
composants Windows.
761
sur Détails.
5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cochez la
case Proxy du Service de fédération, puis cliquez sur OK. Si ASP.NET 2.0 n’a pas été
préalablement activé, cliquez sur Oui pour l’activer, puis sur OK.
Configuration des composants

Pour aller plus loin dans la configuration des composants, consultez l’adresse
http://technet2.microsoft.com/windowsserver/en/technologies/featured/adfs/default.mspx.
La terminologie ADFS
Afin de mieux comprendre les différents termes employés dans l’approche ADFS,
aidez-vous du tableau suivant :
Tableau 22.3 : Termes employés lors de la mise en place d’ADFS

22. ADAM et ADFS
Terme Description
Partenaire de comptes Partenaire de fédération approuvé par le service de fédération pour
fournir des jetons de sécurité. Le partenaire de comptes émet ces jetons
de sécurité à ses utilisateurs (les utilisateurs présents dans le domaine
du partenaire de comptes), afin qu’ils puissent accéder à des
applications basées sur le Web dans le partenaire de ressource.
ADFS (Active Composant Windows Server 2003 R2 qui fournit des technologies
Directory Federation d’ouverture de session web unique (SSO) pour authentifier un utilisateur
Services) dans plusieurs applications web, à travers la durée de vie d’une session
en ligne unique. ADFS y parvient en partageant de manière sécurisée
l’identité numérique et les droits accordés, à travers des limites de
sécurité et d’entreprise. ADFS dans Windows Server 2003 R2 prend en
charge WS-F PRP (WS-Federation Passive Requestor Profile).
Revendication Revendication effectuée par un serveur (nom, identité, clé, groupe,
privilège ou fonctionnalité, par exemple) sur un client.
Application compatible Application ASP.NET qui effectue une autorisation basée sur les
avec les revendications revendications présentes dans un jeton de sécurité ADFS.
Fédération Paire de domaines Kerberos ou de domaines ayant établi une
approbation de fédération.
762
Terme Description
Service de fédération Service de jeton de sécurité conçu dans Windows Server 2003 R2. Le
service de fédération fournit des jetons en réponse aux demandes de
jetons de sécurité.
Proxy du service de Proxy vers le service de fédération dans le réseau de périmètre
fédération (également appelé "zone démilitarisée" et "sous-réseau filtré"). Le proxy
du service de fédération utilise des produits PRP WS-F pour récupérer
des informations d’identification d’utilisateur à partir de clients de
navigateur et d’applications web, puis envoie les informations au service
de fédération de leur part.
Partenaire de ressource Partenaire de fédération qui approuve le service de fédération pour
émettre des jetons de sécurité basés sur des revendications. Le
partenaire de ressource contient des applications basées sur le Web et
publiées, auxquelles les utilisateurs du partenaire de comptes peuvent
accéder.
Jeton de sécurité Unité de donnée signée et cryptée qui exprime une ou plusieurs
revendications.
Service de jetons de Service web qui émet des jetons de sécurité. Un service de jetons de
sécurité sécurité effectue des assertions basées sur une preuve qu’il approuve et
pour quiconque l’approuve (ou pour des destinataires spécifiques). Pour
communiquer une approbation, un service nécessite une preuve, telle
qu’une signature pour attester de la connaissance d’un jeton de sécurité
ou d’un ensemble de jetons de sécurité. Un service même peut générer
des jetons ou dépendre d’un service de jetons de sécurité pour émettre
un jeton de sécurité avec sa propre déclaration d’approbation. Cela
compose la base de la répartition d’approbation. Dans les services
22. ADAM et ADFS

ADFS, le service de fédération est un service de jetons de sécurité.
Ferme de serveurs Dans les services ADFS, ensemble de serveurs de fédération avec
répartition de charge, proxies de serveur de fédération ou serveurs web
hébergeant l’Agent Web ADFS.
Ouverture de session Optimisation de la séquence d’authentification pour éliminer la charge de
unique (ou SSO) travail que représentent des ouvertures de session répétées d’un
utilisateur final.
Certificat de signature Certificat X509 dont la paire de clés publique/privée associée sert à
de jetons fournir une intégrité pour des jetons de sécurité.
Services web (ou Spécifications d’une architecture de services web fondées sur des
WS-*) normes industrielles telles que SOAP (Simple Object Access
Protocol), XML, WSDL (Web Service Description Language) et
UDDI (Universal Description, Discovery, and Integration). WS-*
fournit une base pour créer des solutions d’entreprise complètes et qui
interagissent pour l’ensemble de l’entreprise, y compris la possibilité de
gérer une identité et une sécurité fédérées.
Application basée sur Application Windows dépendant d’un jeton Windows NT pour procéder à
des jetons Windows NT l’autorisation d’utilisateurs.
763
Terme Description
WS-Federation Spécification qui définit un modèle et un ensemble de messages pour la
répartition d’approbation et la fédération d’identité, ainsi que les
informations d’authentification à travers différents modèles Kerberos
d’approbation.
La spécification WS-Federation identifie deux sources d’identité et des
demandes d’authentification à travers des domaines Kerberos
d’approbation : les requêtes actives, telles que les applications
compatibles avec SOAP, ainsi que les requêtes passives, définies en tant
que navigateurs HTTP avec une large prose en charge de HTTP, par
exemple HTTP 1.1.
22.3. En résumé
Active Directory Application Mode (ADAM) est un mode indépendant du service
d’annuaire Active Directory, dépourvu de fonctionnalités d’infrastructure. Il fournit des
services d’annuaire pour les applications et ADFS est un composant de Windows
Server 2003 R2 qui fournit des technologies d’ouverture de session Web unique (SSO)
pour authentifier un utilisateur dans plusieurs applications Web, à travers la durée de
vie d’une session en ligne unique.
22. ADAM et ADFS
764
Partie
C
Sécurités
Partie
C Sécurités
Chapitre 23 Introduction à la sécurité . . . . . . . . . . . . . 767

Chapitre 24 La conception de la sécurité des serveurs . . . . . . . 789
Chapitre 25 Évaluation de la sécurité . . . . . . . . . . . . . 805
Chapitre 26 La sécurisation des postes de travail . . . . . . . . . 823
Chapitre 23
Introduction à la
sécurité
23.1 Qu’est ce que la défense en profondeur . . . .. . . . . . . . . . . . . . . . . . . . . . . 769
23.2 La couche physique . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 770
23.3 La couche Périmètre . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 773
23.4 La couche réseau interne . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 775
23.5 La couche hôte . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 778
23.6 La couche application . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 780
23.7 La couche Données . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 782
23.8 Les notions fondamentales liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . 784
23.9 Les dix commandements de la sécurité . . . .. . . . . . . . . . . . . . . . . . . . . . . 786
23.10 En résumé . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 787
Qu’est ce que la défense en profondeur
A vant de commencer cette suite de chapitres destinés à la sécurité, il est nécessaire

de comprendre les risques, les enjeux et les impacts de la sécurité. Un tel impact
peut rapidement avoir des conséquences sur les points suivants :
j le manque à gagner ou l’augmentation des coûts ;
j la perte ou l’endommagement de données ;
j l’interruption des processus de l’entreprise ;
j la perte de confiance des clients ;
j la perte de confiance des investisseurs ;
j les conséquences juridiques associées au manquement à la sécurisation du système
dans de nombreux États et pays ;
j le non-respect des exigences légales en matière de sécurité ;
j la réputation de l’entreprise entachée.
Résultat : la sécurité de l’informatique devient un point crucial au cœur du système

d’information et, de facto, elle devient un centre de coût très élevé. Cependant,
l’entreprise tire certains avantages à investir dans la sécurité :
j la réduction des temps morts et des coûts associés aux périodes d’indisponibilité des
systèmes et des applications ;
j la réduction des coûts de main-d’œuvre associés au déploiement inefficace de mises
à jour de la sécurité ;
j la réduction des pertes de données dues aux virus destructeurs ou aux violations de
la sécurité des informations ;
j la protection renforcée de la propriété intellectuelle.
23. Introduction à la
Pour que les investissements soient rentables et que la sécurité soit efficace devant les
particularités de votre infrastructure, il est nécessaire de catégoriser ses différentes
parties comme la sécurité client/serveur, la sécurité du réseau et des données ou encore
sécurité
celle des postes utilisateurs. Une fois cette liste établie, il vous faudra définir alors pour
chaque catégorie une stratégie de conception avant la phase d’implémentation.
L’objectif de ce chapitre est de vous présenter les notions de défense en profondeur.
23.1. Qu’est ce que la défense en profondeur

La défense en profondeur consiste à modéliser cette défense par couches, Elles sont au
nombre de cinq. Chaque couche physique est modélisée en fonction de ce qu’elle couvre
et ce qui risque d’être compromis. Ensuite, un ensemble de bonnes pratiques est apporté
pour chaque couche en fonction de ces spécificités.
769
Chapitre 23 Introduction à la sécurité
j La couche Périmètre : pare-feu matériels et/ou logiciels et réseaux privés virtuels

utilisant des procédures de mise en quarantaine.
j La couche Réseau interne : segmentation réseau, sécurité IP (IPSec) et systèmes de
détection d’intrusion réseau (NIDS, Network Intrusion Detection Systems).
j La couche Hôte : renforcement de la sécurité des systèmes d’exploitation serveur et
client, outils de gestion des correctifs, méthodes d’authentification renforcées et
systèmes de détection d’intrusion hôte.
j La couche Application : renforcement de la sécurité des applications et logiciels
antivirus.
j La couche Données : listes de contrôle d’accès (ACL, Access Control Lists),
chiffrement, système de fichiers EFS (Encrypting File System) et technologie DRM
(Digital Rights Management).
sécurité
Figure 23.1 : Vision de la sécurité par couches
23.2. La couche physique

La sécurité physique est l’un des éléments clés de la sécurité des entreprises. La couche
Sécurité physique englobe les cinq autres couches du modèle de défense en profondeur :
périmètre, réseau interne, hôte, application et données. Le principe de base de la
couche Sécurité physique est que toutes les ressources de l’infrastructure informatique
d’une entreprise doivent être sécurisées physiquement. Ces ressources ne comprennent
pas seulement du matériel, mais aussi des logiciels, des données et des informations
professionnelles critiques stockées sur divers périphériques. La sécurité physique est un
élément clé de la stratégie de sécurité globale d’une entreprise.
770
La couche physique
Sécurité physique
Le principe de base de la couche Sécurité physique est que toutes les ressources de
l’infrastructure informatique d’une entreprise doivent être sécurisées physiquement.
Ces ressources ne comprennent pas seulement des équipements, mais aussi des
logiciels, des données et des informations professionnelles critiques stockées sur
divers périphériques.
Corruption possible de la couche physique

Cependant, si cette couche venait à se trouver corrompue, cela pourrait avoir un ou
plusieurs impacts :
j La mobilité est un sujet de plus en plus présent dans les entreprises. L’accès
physique aux appareils mobiles de votre organisation constitue un danger pour la
couche Sécurité physique. L’action d’un individu mal intentionné sera
considérablement facilitée s’il a accès à des listes de contacts ou à des numéros de
téléphone, s’il a la possibilité d’envoyer des messages électroniques ou de répondre
au téléphone en se faisant passer pour le propriétaire légitime.
j L’accès physique à un système permet également à un individu mal intentionné
d’installer des logiciels ou du matériel malveillants, par exemple des rootkits, des
logiciels espions ou d’autres virus. Ces logiciels passent parfois inaperçus et
s’exécutent sur un système pendant un certain temps, collectant des données
critiques sur l’entreprise. Cela peut avoir des conséquences désastreuses pour
l’entreprise.
j Dans certains cas, une attaque n’est que du vandalisme. Les dommages physiques
causés aux équipements ou leur destruction peuvent constituer un problème
majeur, mais il est néanmoins plus grave qu’un intrus parvienne à voir, à modifier ou
à supprimer des données supposées être sécurisées.
j Si un individu mal intentionné accède physiquement à des systèmes, Il est possible
sécurité
de considérer que celles-ci deviennent les propriétaires de ces systèmes.
Défense de la couche physique

Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette
couche en prenant en compte les points suivants :
j La sécurité physique concerne tous les composants de votre infrastructure
informatique. Si une personne non autorisée dispose d’un accès physique à
l’environnement, ce dernier ne peut pas être considéré comme sécurisé.
771
j L’accès doit être surveillé à l’aide d’un circuit fermé de télévision et, dans certains
cas, par des gardes. Les enregistrements vidéo peuvent être utilisés pour un audit et
la présence de caméras peut avoir un effet dissuasif contre les accès non autorisés.
j Les ordinateurs portables d’une société peuvent contenir des informations très
utiles à un intrus. Ils doivent toujours être stockés de façon sécurisée lorsqu’ils ne
sont pas utilisés.
j Séparez les serveurs des opérateurs humains et des utilisateurs. Toutes les salles
serveur doivent être fermées à clé. L’accès à ces salles doit être strictement
réglementé et les entrées enregistrées. S’il n’existe pas de salles dédiées aux
serveurs, il convient de sécuriser ces derniers à l’aide de coffrages ou, faute de
mieux, de verrouiller les baies. Comme la plupart des baies de serveur peuvent être
ouvertes à l’aide d’une clé standard, ne faites pas confiance aux verrous prévus par
le fournisseur.
j L’accès physique s’étend aux consoles d’administration à distance en plus des
serveurs. Il n’est pas très utile de sécuriser l’accès aux claviers et aux écrans si l’accès
aux serveurs est possible via des services Terminal Server à partir de tout point du
réseau interne. L’accès administratif à distance doit être sécurisé par des
contre-mesures appropriées, par exemple l’authentification multifactorielle et le
chiffrement des canaux de communication. Cette recommandation s’applique aux
solutions KVM (Keyboard Video Monitor) réseau ainsi qu’au matériel de gestion à
distance.
j Protégez physiquement les sauvegardes de vos données et des configurations de vos
périphériques réseaux. Les copies de sauvegarde peuvent divulguer des
informations sur le réseau susceptible d’être utiles à un intrus. Vous pouvez
également utiliser les sauvegardes pour restaurer rapidement des données ou
rétablir une configuration plus sécurisée d’un périphérique.
j Vérifiez que tout le matériel réseau est protégé physiquement. Les routeurs et les
commutateurs réseau doivent être sécurisés physiquement. Dans le cas contraire, un
intrus peut facilement se connecter à un ordinateur portable ou à un ordinateur de

bureau et attaquer les serveurs au sein du périmètre. La gestion des périphériques
sécurité
réseau doit être contrôlée de façon à ne jamais voir ces équipements utilisés pour
monter une attaque contre l’infrastructure réseau.
j De même, réduire les opportunités pour les individus, bien intentionnés ou autres,
d’infecter ou de mettre en danger un système est important. Supprimez les
périphériques d’entrée de données tels que les lecteurs de disquettes et les lecteurs
de CD-Rom sur les systèmes qui n’en ont pas besoin.
772
La couche Périmètre
23.3. La couche Périmètre
Figure 23.2 : Défense de la couche périmètre
Votre périmètre réseau est la pierre angulaire entre le réseau interne de votre entreprise
et les réseaux non approuvés. Beaucoup de personnes pensent que le périmètre
recouvre uniquement la connexion entre le réseau interne et Internet, mais cette
définition est trop limitative. Avec l’approche de défense en profondeur, le périmètre
réseau comprend tous les points où le réseau interne est connecté aux réseaux et hôtes
qui ne sont pas gérés par l’équipe informatique de l’entreprise. Il peut s’agir de
connexions à :
j Internet ;
j des succursales qui ne sont pas gérées par l’équipe informatique de l’entreprise ;
j des partenaires commerciaux ;
j des utilisateurs distants ;
sécurité
j des réseaux sans fil ;
j des applications Internet ;
j d’autres segments réseau internes.
Le périmètre d’un réseau est la zone de ce réseau qui est la plus vulnérable aux attaques
venant de l’extérieur.
Les équipements utilisés dans le périmètre réseau comprennent notamment :

j des routeurs ;
j des serveurs de messagerie et des serveurs web ;
j des logiciels et équipements pare-feu.
773
Corruption possible de la couche Périmètre

plusieurs impacts :
j Il peut sembler logique de concentrer les efforts sur la zone où les attaques sont plus
probables, comme Internet. Cependant, une personne mal intentionnée peut
également essayer d’attaquer votre réseau par tout autre point d’accès. Il est très
important que toutes les entrées et les sorties de votre réseau soient sécurisées.
j Certaines attaques de périmètre ne portent pas directement sur le périmètre réseau.
Par exemple, dans une attaque type hameçonnage (phishing), l’agresseur diffuse un
message électronique qui, examiné superficiellement, paraît provenir d’une
entreprise authentique. En général, de tels messages essaient de leurrer le
destinataire pour l’inciter à fournir des informations sensibles sur son compte. Par
exemple, ces messages contiennent souvent une URL permettant d’accéder à des
sites web conçus pour reproduire de façon très convaincante le site d’une entreprise
authentique. L’escroquerie par hameçonnage cause un dommage à l’individu
trompé et à l’entreprise authentique dont la réputation est ternie.
j Il est important que vous considériez la sécurité du réseau comme un tout, en tenant
compte de tous les points d’accès à votre réseau et non seulement de zones
individuelles.
j Comme il est peu probable que vous soyez chargé de mettre en œuvre la sécurité
chez vos partenaires commerciaux, vous ne pouvez pas avoir une confiance totale
dans les accès provenant de leur environnement. De même, vous n’exercez aucun
contrôle sur le matériel des utilisateurs distants et ne pouvez pas non plus faire
confiance à cet environnement. Les succursales ne possédant pas toujours des
informations aussi sensibles qu’une maison mère, les mesures de sécurité qui y sont
mises en place sont parfois moindres. Cependant, elles peuvent avoir des
connexions directes avec le siège, qu’un intrus peut utiliser.
Défense de la couche Périmètre

sécurité
j Lorsque des ordinateurs distants établissent des communications sur un VPN, les
entreprises peuvent examiner ces ordinateurs de plus près afin de s’assurer qu’ils
respectent la stratégie de sécurité prédéterminée. Les systèmes qui veulent se
connecter doivent être mis en quarantaine sur une partie séparée du réseau jusqu’à
ce que les vérifications de sécurité soient terminées. Vous pouvez également mettre
en œuvre la Protection de l’accès au réseau (NAP, Network Access Protection)
comme un moyen de filtrer les clients internes avant d’autoriser l’accès au réseau.
j Les systèmes d’exploitation Microsoft Windows récents facilitent le blocage des
ports de communication superflus afin de limiter la surface d’attaque d’un
774
La couche réseau interne
ordinateur. Vous pouvez également utiliser des Systèmes de détection d’intrusion

hôte (HIDS, Host Intrusion Detection Systems) et des pare-feu basés sur l’hôte.
j La sécurisation des périmètres est essentiellement assurée à l’aide de pare-feu. La
configuration d’un pare-feu peut présenter des difficultés techniques. C’est
pourquoi les procédures doivent détailler précisément la configuration requise.
j Le protocole de tunneling utilisé par les systèmes Microsoft est le protocole PPTP
(Point-to-Point Tunneling Protocol) avec le chiffrement MPPE (Microsoft
Point-to-Point Encryption) ou le protocole L2TP (Layer 2 Tunneling Protocol) avec le
chiffrement IPSec.
j Lorsque des données quittent l’environnement dont vous êtes responsable, il est
important qu’elles soient dans un état garantissant leur arrivée à destination. Pour
cela, vous pouvez utiliser le chiffrement et les protocoles de tunneling afin de créer
un réseau privé virtuel (VPN, Virtual Private Network). Vous pouvez utiliser
S/MIME ou PGP pour chiffrer et signer les messages électroniques quittant votre
organisation.
j Les systèmes du périmètre doivent également avoir une utilisation clairement
définie. Bloquez ou désactivez toutes les autres fonctionnalités.
j La traduction d’adresses réseau (NAT, Network Address Translation) permet à une
entreprise de masquer les configurations de port interne et d’adresse IP afin
d’empêcher les utilisateurs malveillants d’attaquer les systèmes internes avec des
informations réseau volées. Les mécanismes de sécurité de périmètre peuvent
également masquer des services internes (même ceux qui doivent être accessibles à
l’extérieur) pour que les intrus ne puissent jamais communiquer directement avec
un autre système que le pare-feu à partir d’Internet.
23.4. La couche réseau interne
sécurité
Figure 23.3 : Défense de couche réseau interne
775
La couche Réseau interne comprend l’intranet d’entreprise dont le contrôle et la gestion

sont assurés par l’équipe informatique de l’entreprise. Cet intranet peut comprendre les
éléments suivants :
j le réseau local (LAN, Local Area Network) ;
j le réseau étendu (WAN, Wide Area Network) ;
j le réseau métropolitain (MAN, Metropolitan Area Network) ;
j le réseau sans fil.
Les attaques ne proviennent pas uniquement de sources externes. Qu’il s’agisse de

véritables attaques internes ou juste d’accidents, de nombreux systèmes et services
peuvent être endommagés. Il est important de mettre en œuvre une sécurité réseau
interne pour arrêter les menaces malveillantes et accidentelles. La segmentation du
réseau interne est l’un des moyens utilisés à cet effet. En fournissant une couche
supplémentaire dans le modèle de défense en profondeur, la segmentation interne
permet de détecter l’intrus plus facilement et l’empêche d’accéder à toutes les
ressources du réseau principal de l’entreprise.
Corruption possible de la couche réseau

plusieurs impacts :
j L’accès à l’infrastructure réseau permet également à un intrus de surveiller le réseau
et d’observer le trafic qu’il transmet. Les réseaux entièrement routés facilitent la
communication, mais ils permettent aux intrus d’accéder à leurs ressources, quel
que soit l’emplacement de l’intrus sur le réseau. Par exemple, si les intrus peuvent
accéder au réseau, ils peuvent utiliser un renifleur de réseau pour capturer le trafic
réseau et, éventuellement, se procurer des informations confidentielles ou des
informations d’authentification.
j L’accès aux systèmes internes et aux ressources réseau permet à un intrus d’accéder
sécurité
plus facilement aux données d’une entreprise.

j Les systèmes d’exploitation réseau installent de nombreux services, or chaque
service réseau est un point d’attaque potentiel. Un intrus peut utiliser un service
vulnérable sur un ordinateur pour prendre le contrôle de cet ordinateur afin de
l’utiliser pour lancer d’autres attaques.
j Les réseaux sans fil se prêtent à l’écoute clandestine parce que les intrus peuvent y
accéder sans entrer physiquement dans les locaux de l’organisation. S’il parvient à
accéder au réseau sans fil, l’intrus est en mesure de capturer des informations
confidentielles, et même de contourner tout pare-feu de périmètre.
776
La couche réseau interne
Défense de la couche réseau

j Chiffrez les communications réseau. Tenez compte de la façon dont les
périphériques réseau, tels que les commutateurs, seront gérés. Par exemple, votre
équipe réseau peut utiliser Telnet pour s’attacher à un commutateur ou un routeur
en vue d’effectuer des modifications de configuration. Telnet transmet toutes les
informations d’authentification de sécurité en texte clair. Autrement dit, les noms
d’utilisateurs et les mots de passe sont accessibles à toute personne qui espionne ce
segment du réseau. Cela peut représenter une faille de sécurité majeure. Songez à
autoriser uniquement l’utilisation d’une méthode chiffrée et sécurisée comme SSH
(Secure Shell) ou un accès terminal série direct.
j Signez les paquets réseau. Mettez en œuvre des technologies de chiffrement et de
signature telles que IPSec ou la signature SMB (Server Message Block) pour
empêcher les intrus d’espionner les paquets du réseau et de les réutiliser.
j Appliquez des filtres de port IPSec pour restreindre le trafic vers les serveurs.
Bloquez tous les ports qui ne sont pas indispensables aux fonctionnalités du serveur.
j Exigez l’authentification mutuelle. Pour aider à sécuriser l’environnement du
réseau interne, demandez à chaque utilisateur de s’authentifier de façon sécurisée
auprès d’un contrôleur de domaine et des ressources auxquelles il accède. Utilisez
l’authentification mutuelle (qui permet au poste client de connaître l’identité du
serveur) pour empêcher la copie accidentelle de données vers le système d’un intrus.
j Segmentez le réseau. Les commutateurs doivent segmenter ou partitionner
physiquement un réseau pour qu’il ne soit pas disponible dans son intégralité à
partir d’un point unique. Vous pouvez réaliser le partitionnement en utilisant des
commutateurs et des routeurs réseau séparés ou en créant plusieurs réseaux locaux
virtuels (VLAN, Virtual Local Area Network) sur le même commutateur physique.
La segmentation de réseau est utile lorsqu’il est impossible d’installer des correctifs
logiciels sur certains systèmes ou de renforcer leur sécurité par des contre-mesures
sécurité
sous peine d’endommager l’application ou les données de l’application. Elle peut
également constituer une réponse à des menaces comme la connexion au réseau
d’utilisateurs dont les ordinateurs portables sont infectés par des virus. Pour ces
systèmes, une segmentation physique supplémentaire utilisant des pare-feu, la
sécurité IPSec ou d’autres mesures doit faire partie de la stratégie de sécurité de
l’organisation.
j Limitez le trafic même s’il est segmenté. Pour les réseaux locaux filaires et sans fil,
utilisez 802.1X pour fournir un accès chiffré et authentifié. Cette solution peut
utiliser des comptes et des mots de passe Active Directory ou des certificats
numériques pour l’authentification. Si vous utilisez des certificats, vous aurez besoin
d’une infrastructure à clé publique (PKI, Public Key Infrastructure) basée sur les
services de certificats Windows ; pour les mots de passe comme pour les certificats,
vous aurez également besoin d’un serveur RADIUS (Remote Authentication Dial-In
User Service) basé sur le service d’authentification Internet (IAS, Internet
777
Authentication Service). Les Services de certificat et le service IAS sont inclus dans
Windows Server 2003. Pour les organisations de petite taille, il peut s’avérer
avantageux d’utiliser WPA (Wi-Fi Protected Access), un mécanisme qui permet le
chiffrement du trafic sans fil avec changement automatique des clés de chiffrement
(fonction appelée "régénération des clés") soit au bout d’un certain temps, soit après
la transmission du nombre de paquets spécifié. WPA ne requiert pas une
infrastructure complexe comme 802.1X, mais fournit un niveau de sécurité
inférieur.
23.5. La couche hôte

Figure 23.4 : Défense de la couche hôte

sécurité
La couche Hôte contient des systèmes individuels du réseau. Ces systèmes remplissent
souvent des rôles ou des fonctions spécifiques. La prise en charge des fonctionnalités de
sécurité diffère d’un système d’exploitation à l’autre. Les systèmes d’exploitation les plus
courants comme, Windows XP et Windows Vista pour les postes clients ou encore
Windows Server 2003 ou Windows Server 2008 comprennent des fonctionnalités de
sécurité intégrées comme les noms et les mots de passe uniques pour chaque utilisateur,
les listes de contrôle d’accès et l’audit. Les systèmes d’exploitation Microsoft plus
anciens comme Windows 95/98/Me ne comprennent pas les fonctionnalités de base
requises d’un système d’exploitation sécurisé.
Une sécurisation efficace des hôtes implique de parvenir à un équilibre entre le degré de
sécurité et la facilité d’utilisation. Par exemple, si vous activez tous les services d’un
serveur réseau ou si vous autorisez les connexions réseau à partir de n’importe quel
client, le serveur sera facile à utiliser, mais non sécurisé. Inversement, si vous désactivez
778
La couche hôte
des services, vous pouvez compromettre la facilité d’utilisation du serveur. Si vous

activez un pare-feu basé sur l’hôte, vous risquez d’empêcher des clients légitimes de se
connecter au serveur. Souvent, l’augmentation de la sécurité d’un ordinateur entraîne
une diminution de sa facilité d’utilisation.
Corruption possible de la couche hôte

plusieurs impacts :
j Un intrus peut essayer d’exploiter les faiblesses d’un système d’exploitation. Vous
pouvez vous protéger de ces attaques en veillant à installer les correctifs de sécurité
et les mises à jour les plus récents.
j Une configuration de système d’exploitation non sécurisée peut exposer l’hôte aux
attaques. Un intrus peut utiliser et exploiter les services qu’il sait disponibles par
défaut sur de nombreux systèmes, par exemple les services Internet (IIS). En règle
générale, les services dont un serveur n’a pas besoin pour remplir son rôle dans le
réseau ne doivent pas être activés ; si ces services sont nécessaires, ils doivent être
configurés dans un souci de sécurité.
j Les accès non surveillés rendent la couche Hôte vulnérable. Lorsque les accès et les
tentatives d’accès ne sont pas audités et surveillés, l’efficacité potentielle d’une
attaque est accrue parce que vous risquez de découvrir l’attaque seulement après
qu’elle a causé des dommages substantiels.
j La couche Hôte peut également être compromise par la diffusion de virus, la plupart
du temps via le courrier électronique, dans le cadre d’une attaque automatisée. Par
exemple, le ver informatique Nimda crée sur l’ordinateur infecté des partages
réseau ouverts autorisant l’accès au système. Pendant ce processus, le ver crée
également un compte d’invité bénéficiant des privilèges d’administrateur. De plus,
des intrus peuvent utiliser ce virus pour installer des rootkits ou des logiciels espions
afin de compromettre la sécurité du système d’exploitation.
sécurité
Défense de la couche hôte
j Utilisez des techniques de renforcement de la sécurité sur les systèmes
d’exploitation client et serveur. Le choix de ces techniques dépend du rôle de
l’ordinateur. Dans chaque cas, vous pouvez utiliser les modèles de sécurité et les
modèles d’administration de la stratégie de groupe pour protéger ces systèmes.
j Sur les systèmes client, vous pouvez également utiliser la stratégie de groupe pour
limiter les droits des utilisateurs et pour contrôler l’installation des logiciels. Avec
une stratégie de groupe limitant les applications exécutées par un utilisateur, vous
pouvez empêcher cet utilisateur d’exécuter accidentellement un cheval de Troie.
779
j Sur les systèmes serveurs, les techniques de renforcement de la sécurité

comprennent également la désactivation ou la suppression des services inutiles,
l’installation d’un système de détection d’intrusion hôte (HIDS), l’application
d’autorisations NTFS, la définition de stratégies d’audit, le filtrage des ports et
l’exécution de tâches supplémentaires basées sur le rôle du serveur.
− Surveillez et auditez les accès et les tentatives d’accès aux ressources réseau.
− Installez et tenez à jour des programmes de détection de virus et de logiciels
espions.
− Utilisez des pare-feu. L’utilisation du pare-feu Windows disponible avec
Windows XP et les systèmes d’exploitation ultérieurs peut réduire
considérablement la surface d’attaque sur un ordinateur client.
23.6. La couche application

sécurité
Figure 23.5 : Défense de la couche application
Bien que Windows XP Service Pack 2 et Windows Vista, côté poste client, ainsi que
Windows Server 2003 Service Pack 2 et Windows Server 2008, côté serveur, augmentent
la sécurité des systèmes d’exploitation hôtes, vous devez faire en sorte que les
applications qui s’exécutent sur les serveurs soient aussi sécurisées que possible. Elle
comprend les applications réseau des clients et des serveurs. Les applications clientes
s’exécutent généralement sur les ordinateurs des utilisateurs finaux, tandis que les
applications serveurs sont hébergées sur des ordinateurs serveurs dédiés. Les
applications réseau permettent aux postes clients d’accéder aux données et de les
manipuler. Elles sont également un point d’accès au serveur sur lequel ces applications
s’exécutent. N’oubliez pas que l’application fournit un service au réseau. La solution de
780
La couche application
sécurité à utiliser ne doit pas empêcher cette application de fonctionner. Recherchez les
problèmes de sécurité pour les applications développées en interne, ainsi que pour les
applications commerciales.
Corruption possible de la couche application

plusieurs impacts :
j Un intrus peut parvenir à exploiter une faiblesse d’une application pour exécuter un
code malveillant sur le système. L’un des types d’attaques les plus répandus contre
les bases de données est l’injection SQL. Une attaque par injection SQL se produit
lorsqu’un intrus modifie des requêtes SQL soumises au serveur de base de données
de façon à pouvoir injecter des commandes dans la base de données. La restriction
des types d’informations qui peuvent être entrées dans un champ d’entrée peut
réduire considérablement ce type de vulnérabilité.
j Un intrus qui cible une application peut réussir à l’endommager pour la rendre
inopérante. Par exemple, une application peut s’arrêter à la suite d’une attaque de
dépassement de mémoire tampon.
j Un intrus peut utiliser une application existante pour qu’elle effectue
involontairement des tâches indésirables comme le routage de messages
électroniques. Si un serveur SMTP n’est pas configuré pour bloquer le relais de
messagerie, un intrus peut router des messages électroniques indésirables par
l’intermédiaire du serveur. En pareil cas, les organisations peuvent réagir en
bloquant tout le courrier électronique en provenance de votre serveur.
j Un intrus peut saturer une application pour interdire toute utilisation légitime ; ce
type d’attaque est appelé "déni de service". Si un intrus peut compromettre plusieurs
stations de travail qui ne sont pas sécurisées, il est peut-être capable d’utiliser ces
stations de travail pour lancer une attaque par déni de service distribuée contre un
serveur sur le réseau.
sécurité
Défense de la couche application
j Les installations d’applications ne doivent inclure que les services et les
fonctionnalités requises. En exécutant l’Assistant Configuration de la sécurité,
vérifiez que tous les services non requis par les applications sont désactivés.
j Lorsque de nouvelles applications personnalisées sont développées, utilisez les
méthodes conseillées les plus récentes relatives à l’ingénierie de sécurité lors du
développement des applications.
j Si la sécurité d’une application ou d’un service est compromise, l’intrus peut être en
mesure d’accéder au système avec les mêmes privilèges que ceux qui sont associés à
781
l’application. C’est pourquoi il faut exécuter les services et les applications avec le
plus faible niveau de privilège possible.
j Les applications qui s’exécutent sur le réseau doivent être installées de façon
sécurisée avec les Service Packs et les correctifs les plus récents.
j Les applications développées en interne doivent être conçues avec un souci
particulier de sécurité et leurs vulnérabilités doivent être continuellement évaluées ;
pour toute vulnérabilité identifiée, des correctifs doivent être développés et
déployés.
j Utilisez des stratégies de restriction logicielle. Les stratégies de restriction logicielle
vous permettent de protéger votre environnement informatique contre le code non
fiable en identifiant et en spécifiant les applications autorisées à s’exécuter. Les
applications peuvent être identifiées dans la stratégie au moyen d’une règle de
hachage, une règle de certificat, une règle de chemin d’accès ou une règle de zone
Internet. Les logiciels peuvent s’exécuter sur deux niveaux : non restreint et non
autorisé.
j Le logiciel antivirus doit s’exécuter afin d’empêcher l’exécution de code malveillant.
Un logiciel antivirus doit être déployé sur les ordinateurs clients, les serveurs et les
pare-feu ou les serveurs proxy par lesquels les données entrent dans le réseau.
23.7. La couche Données

sécurité
Figure 23.6 : Défense de la couche Données
NTFS prend en charge des fonctionnalités supplémentaires, comme l’audit et le système

de fichiers EFS (Encrypting File System), qui peuvent être utilisées pour mettre en œuvre
la sécurité des données. Sur un réseau, les données peuvent être stockées sous
différentes formes. Elles peuvent être stockées dans des documents, dans des fichiers de
782
La couche Données
données Active Directory ou dans des fichiers créés à l’aide de diverses applications. Le
système informatique conserve les données sur des supports de stockage de masse, en
général un disque dur. Toutes les versions récentes de Windows prennent en charge
plusieurs systèmes de fichiers pour le stockage et l’accès aux fichiers sur un disque. Le
système NTFS est pris en charge par Microsoft Windows NT, Windows 2000,
Windows XP et Microsoft Windows Server 2003. Il fournit des autorisations sur les
fichiers et sur les dossiers pour assurer la protection des données. La dernière couche du
modèle de défense en profondeur est la couche Données. Les systèmes informatiques
stockent, traitent et servent des données. Lorsque les données sont traitées sous une
forme qui a du sens, elles deviennent des informations utiles.
Corruption possible de la couche Données

plusieurs impacts :
j Les fichiers d’application sont également stockés sur disque et exposés aux attaques,
ce qui permet aux intrus d’endommager l’application ou de la manipuler à des fins
malveillantes.
j Le service d’annuaire Active Directory utilise des fichiers sur le disque pour stocker
des informations d’annuaire. Ces fichiers sont stockés sur un emplacement par
défaut lorsque le système est promu contrôleur de domaine. Lors de cette
promotion, il est conseillé de stocker ces fichiers à un emplacement autre que
l’emplacement par défaut car cela permet de les cacher aux intrus. Dans la mesure
où leur nom est connu (avec le nom de fichier NTDS.dit), le déplacement de ces
fichiers ne fait que ralentir l’action des intrus. Si les fichiers d’annuaire sont
compromis, tout l’environnement du domaine est en danger.
j Les intrus qui accèdent à un système de fichiers peuvent faire des dégâts importants
ou obtenir de grandes quantités d’informations. Ils peuvent afficher des fichiers de
données et des documents qui contiennent des informations confidentielles. Ils
peuvent également modifier ou supprimer des informations, ce qui peut poser des
sécurité
problèmes importants à une entreprise.
Défense de la couche Données

j Dans la mesure où les données sont les éléments fondamentaux d’une société, il est
important de disposer d’une procédure de récupération testée et éprouvée. Si des
sauvegardes sont effectuées régulièrement, les données modifiées ou supprimées
accidentellement ou par un acte de malveillance peuvent être récupérées assez
rapidement grâce à ces sauvegardes. Un processus de sauvegarde et de restauration
fiable est essentiel dans n’importe quel environnement de données. Les bandes de
sauvegarde et de restauration doivent également être sécurisées pendant qu’elles se
783
trouvent dans le bureau. Il convient en outre de conserver des copies de ces bandes
en lieu sûr à l’extérieur du bureau. De plus, les bandes doivent être transportées de
façon sécurisée. L’accès non autorisé aux bandes de sauvegarde est tout aussi
dangereux qu’une violation physique de votre infrastructure.
j Une protection accrue de la couche Données doit combiner chiffrement et listes de
contrôle d’accès. Le chiffrement d’un fichier empêche uniquement une lecture non
autorisée ; il n’empêche pas les actions qui n’impliquent pas la lecture du fichier,
une suppression par exemple. Pour empêcher la suppression de fichiers, utilisez les
listes de contrôle d’accès.
j EFS permet le chiffrement de fichiers lorsqu’ils résident sur le système de fichiers.
Le processus de chiffrement utilise une clé de chiffrement de fichier pour chiffrer le
fichier et une technologie de clé privée/publique pour protéger la clé de chiffrement.
Il est important de comprendre qu’EFS ne chiffre pas les fichiers lorsqu’ils
transitent sur un réseau.
j NTFS fournit également une sécurité au niveau du fichier et au niveau du dossier.
Cela permet la création de listes de contrôle d’accès pour définir qui a accès à un
fichier et avec quel type d’accès.
j Installez les applications et le système d’exploitation à un emplacement autre que
l’emplacement par défaut. Beaucoup de fichiers critiques des systèmes
d’exploitation ont des noms et des emplacements par défaut bien connus. Il est
souvent sage de déplacer ces fichiers pour que les intrus réussissant à accéder à votre
système ne les trouvent pas trop facilement.
j Les listes de contrôle d’accès ne fonctionnent que sur les documents au sein du
système de fichiers pour lesquels ils ont été activés. Une fois les documents copiés à
un autre emplacement (par exemple, le disque dur local d’un utilisateur), il n’y a
plus de contrôle d’accès. Les services RMS (Rights Management Services) fournis
avec Windows Server 2003 déplacent la fonction de contrôle d’accès vers l’objet
lui-même, de sorte que le contrôle d’accès est actif quel que soit l’emplacement de
stockage physique du document. Les services RMS offrent également aux créateurs
de contenu un contrôle supplémentaire sur les actions qu’un poste client peut
sécurité
effectuer ; par exemple, le destinataire d’un document peut être autorisé à le lire,
mais pas à l’imprimer ou à le copier-coller ; pour le courrier envoyé avec Microsoft
Office Outlook 2003, l’expéditeur peut empêcher les destinataires de transférer le
message. Vous pouvez également utiliser S.MIME et PGP pour sécuriser les
messages électroniques pendant qu’ils sont en transit d’un client à un autre.
23.8. Les notions fondamentales liées à la sécurité

Le processus de gestion des risques de sécurité est une approche mixte qui associe les
meilleurs éléments des méthodes quantitatives et qualitatives. Dans une approche
d’évaluation des risques quantitative, l’objectif est d’essayer de définir des valeurs
numériques objectives pour chaque composant. Lorsque vous utilisez une approche
qualitative de la gestion des risques, vous n’essayez pas d’assigner des valeurs financières
784
Les notions fondamentales liées à la sécurité
absolues à des ressources, des pertes attendues et des coûts de contrôles. Au lieu de cela,
vous calculez des valeurs relatives. Bien que cela soit considérablement plus rapide
qu’une approche quantitative traditionnelle, l’approche de la gestion des risques de
sécurité fournit toutefois des résultats qui sont plus détaillés et plus faciles à justifier
devant les responsables de l’entreprise. En combinant la simplicité et la clarté de
l’approche qualitative avec une partie de la rigueur de l’approche quantitative, la gestion
des risques de sécurité représente un processus à la fois efficace et facile à utiliser, pour
gérer les risques de sécurité.
La gestion des risques de sécurité se découpe en quatre étapes.

1. Évaluer les risques : cette phase combine des aspects des méthodes quantitative et
qualitative d’évaluation des risques. Une approche qualitative est utilisée pour
classer rapidement la liste complète des risques de sécurité. Ensuite, les risques les
plus sérieux sont analysés plus en détail selon une approche quantitative. Le résultat
est une liste relativement courte des risques les plus importants qui ont fait l’objet
d’une étude approfondie.
2. Définir des solutions : la liste créée pendant la phase d’évaluation des risques est
utilisée pour proposer et évaluer des solutions de contrôle possibles. Les meilleures
solutions pour atténuer les risques les plus importants sont ensuite recommandées
au service de la sécurité.
3. Mettre en place des solutions : pendant cette troisième phase, les responsables de la
minimisation des risques mettent réellement en place des solutions de contrôle.
4. Valider des solutions : la quatrième phase est utilisée pour vérifier que les contrôles
fournissent réellement le degré de protection attendu et pour surveiller les
modifications de l’environnement, par exemple l’apparition de nouvelles
applications d’entreprise ou de nouveaux outils d’attaque susceptibles de modifier le
profil de risque de l’organisation. En outre, les contrôles actuels doivent être
réévalués régulièrement et remplacés s’il y a lieu par de nouveaux contrôles compte
tenu de l’évolution de la technologie et des avancées dans la protection contre les
attaques. Comme la gestion des risques de sécurité est un processus continu, le cycle
recommence avec chaque nouvelle évaluation des risques. La fréquence selon
sécurité
laquelle le cycle se reproduit est susceptible de varier d’une organisation à l’autre.
Figure 23.7 : Processus en quatre étapes
785
23.9. Les dix commandements de la sécurité

Pour conclure cette introduction sur la sécurité, voici la liste des dix commandements à
ne pas négliger :
1. Lorsque vous choisissez d’exécuter un programme, vous lui donnez le contrôle sur
votre ordinateur. Une fois qu’un programme est en cours d’exécution, il peut tout
faire, dans les limites de ce que vous pouvez vous-même faire sur l’ordinateur.
2. Un système d’exploitation n’est qu’une série de 0 et de 1 qui, interprétée par un
processeur, commande à l’ordinateur d’effectuer certaines actions. Si vous modifiez
les uns et les zéros, l’ordinateur agira différemment. Ces uns et zéros sont stockés
dans des fichiers sur l’ordinateur. Si un intrus peut y accéder et les modifier,
l’ordinateur peut subir des dommages importants.
3. Si une personne a physiquement accès à votre ordinateur, elle dispose d’un contrôle
total sur l’ordinateur et peut tout faire, par exemple modifier des données, voler des
données, prendre le matériel ou détruire physiquement l’ordinateur.
4. Si vous gérez un site Web, vous devez limiter les opérations des visiteurs.
N’autorisez l’exécution d’un programme sur votre site que si vous l’avez développé
vous-même ou si vous faites confiance au développeur qui l’a écrit. Une telle
stratégie peut toutefois s’avérer insuffisante. Si votre site Web est hébergé avec
beaucoup d’autres sur un serveur partagé, vous devez prendre des précautions
supplémentaires. Si une personne mal intentionnée peut compromettre l’un des
autres sites hébergés sur le serveur, elle a peut-être la possibilité d’étendre son
contrôle au serveur lui-même et donc de contrôler tous les sites qu’il héberge, y
compris le vôtre.
5. Si un pirate peut compromettre votre mot de passe, il peut ouvrir une session sur
votre ordinateur et faire tout ce que vous avez le droit de faire. Définissez
systématiquement un mot de passe. Trop de comptes d’utilisateur ont encore des
mots de passe vierges. Choisissez toujours un mot de passe complexe. N’utilisez pas
le nom de votre chien ou de votre chat, votre date d’anniversaire ou le nom de
sécurité
l’équipe de football locale. N’utilisez pas non plus le terme motdepasse ou

password.
6. Un administrateur qui n’est pas digne de confiance peut neutraliser toutes les autres
mesures de sécurité que vous avez prises. L’administrateur peut changer les
autorisations sur l’ordinateur, modifier les stratégies de sécurité du système,
installer des logiciels malveillants, ajouter des utilisateurs fictifs, etc. Il peut
corrompre pratiquement toutes les mesures protectrices du système d’exploitation
car il le contrôle. Pire encore, il peut brouiller les pistes. Si votre administrateur n’est
pas digne de confiance, alors vous n’êtes absolument pas protégé.
7. De nombreux systèmes d’exploitation et logiciels de chiffrement vous permettent de
stocker des clés de chiffrement sur l’ordinateur. C’est pratique, car vous n’avez pas
à gérer la clé, mais cela compromet la sécurité. Les clés sont généralement
786
En résumé
masquées. Mais même masquée, une clé peut être trouvée si elle se trouve sur
l’ordinateur. Lorsque cela est possible, utilisez un stockage hors connexion pour les
clés.
8. Les logiciels antivirus comparent les données stockées sur votre ordinateur à une
série de signatures de virus. Chaque signature correspond à un virus spécifique ;
Lorsque l’antivirus trouve des données qui correspondent à cette signature dans un
fichier, dans un message électronique ou ailleurs, il en conclut qu’il a trouvé un
virus. Cependant, un programme antivirus ne peut détecter que les virus qu’il
connaît. Il est indispensable de tenir le logiciel antivirus à jour dans la mesure où de
nouveaux virus sont créés en permanence.
9. La meilleure façon de protéger des données confidentielles, que ce soit sur Internet
ou dans la vie courante, réside dans votre comportement. Prenez connaissance des
déclarations de confidentialité sur les sites web que vous visitez et ne traitez qu’avec
ceux dont les règles vous conviennent. Si les cookies vous inquiètent, désactivez-les.
Surtout, évitez de naviguer au hasard sur le Web.
10. Une sécurité infaillible requiert un niveau de perfection qui n’existe pas et ne pourra
sans doute jamais exister. Le développement de logiciels est une science imparfaite
et presque tous les logiciels ont des bogues. Certains bogues peuvent être exploités
pour provoquer des violations de la sécurité. Même si les logiciels étaient parfaits,
cela ne résoudrait pas complètement le problème de la sécurité. En effet, la plupart
des attaques impliquent une part plus ou moins importante d’exploitation de la
nature humaine, souvent sous la forme d’ingénierie sociale.
23.10. En résumé
Pour mettre en place la sécurité d’un système d’information, il ne suffit pas d’appliquer
quelques correctifs ou procédure. Il est primordial de mener une véritable réflexion sur
les éléments à protéger et la manière de les sécuriser. Il est également important de
réaliser une défense en profondeur de son système. Il faut garder à l’esprit que votre
système est aussi fort que le plus faible de ses maillons.
sécurité
787
Chapitre 24
La conception de
la sécurité des
serveurs
24.1 Les problématiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
24.2 Les concessions en matière de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
24.3 La sécurité de base des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
24.4 La sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
24.5 Protéger les serveurs membres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
24.6 Protéger les serveurs pour des rôles spécifiques . . . . . . . . . . . . . . . . . . . . . 800
24.7 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
Les problématiques de base
L a sécurité des serveurs dans l’entreprise est un point crucial, et c’est bien parce qu’il y
a plusieurs types de rôles et qu’il est important de prendre en compte les contraintes de
chaque serveur. Vous l’aurez compris, il n’est pas possible d’appliquer les paramètres d’un
serveur IIS à un contrôleur de domaine Active Directory. Cependant, il peut arriver parfois
qu’un serveur endosse plusieurs rôles, c’est pour cela que nous allons aborder dans ce
chapitre la conception de la sécurité en fonction des rôles simples ou mutualisés.
24.1. Les problématiques de base
Les serveurs assurant plusieurs rôles.

Les serveurs peuvent assurer plusieurs rôles dans les entreprises disposant de ressources
limitées. Vous pouvez facilement appliquer plusieurs modèles de sécurité à un serveur,
mais des conflits peuvent se présenter entre ces modèles. Un serveur qui remplit
plusieurs rôles est plus difficile à protéger. En outre, il présente une surface d’attaque
plus importante. En cas de violation de la sécurité, tous les rôles assurés par ce serveur
peuvent être compromis. Par exemple, beaucoup de petites entreprises ont déployé
Microsoft Windows Small Business Server 2003, qui fonctionne comme un contrôleur
de domaine, un serveur Exchange, un serveur de fichiers, un serveur de base de données,
un serveur d’accès à distance et, éventuellement, comme un pare-feu. Les serveurs qui
fournissent plusieurs services doivent être isolés d’Internet, et tous les services et
applications inutiles doivent être désactivés ou désinstallés.
Des ressources limitées pour la mise en œuvre de solutions de

sécurisation
Une entreprise disposant de ressources limitées peut ne pas être en mesure de se munir
des composants nécessaires à la sécurisation de ses systèmes. Par exemple, la mise en
œuvre de plusieurs pare-feu représente un investissement que certaines entreprises ne
peuvent même pas envisager.
sécurité des serveurs
La menace interne ou accidentelle
L’endommagement interne des systèmes, qu’il soit d’origine malveillante ou
accidentelle, représente un pourcentage élevé des attaques. Une attaque est plus facile
à mener si l’intrus a un accès interne au réseau (accès personnel ou à l’aide d’un
complice involontaire ou compromis).
Le manque de compétences en matière de sécurité

Les petits services informatiques peuvent manquer de personnel ayant la compétence
appropriée en matière de sécurité. Cela peut aboutir à la négligence de certains
791
Chapitre 24 La conception de la sécurité des serveurs
problèmes de sécurité. Dans ce cas, l’utilisation de modèles de sécurité standards peut

constituer un avantage.
Les possibilités d’accès physique

Elles réduisent à néant de nombreuses mesures de sécurité. L’accès physique à un
système peut permettre à un intrus d’exécuter des utilitaires, d’installer des programmes
nuisibles, de modifier des configurations, de supprimer des composants et de provoquer
des dommages physiques.
Les conséquences juridiques

Les violations de la sécurité peuvent avoir des conséquences juridiques. Selon l’état ou
le pays dont dépend l’organisation, sur un plan juridique, une entreprise peut avoir à
assumer une responsabilité légale à la suite de la violation de la sécurité de ses serveurs.
Citons notamment les lois américaines Sarbanes-Oxley.
L’utilisation de systèmes anciens

Les systèmes anciens nécessiteront peut-être une mise à niveau pour prendre en charge
certaines configurations de sécurité. Si ces systèmes ne sont pas mis à niveau, le risque
de violation de la sécurité y est plus important que sur les systèmes récents.
24.2. Les concessions en matière de sécurité

Lorsque vous planifiez votre stratégie de sécurité réseau, vous devez inévitablement
gérer des compromis. Commencez par examiner les conflits évidents énumérés ici, qui
sont à l’origine des compromis à envisager :
j L’administration de la sécurité a pour but de préserver les ressources réseau en
limitant les accès à ces ressources.
j L’administration d’un réseau vise à assurer que les utilisateurs peuvent accéder à
toutes les applications et tous les programmes du réseau dont ils ont besoin pour
remplir leurs fonctions.
Sécurité et facilité d’emploi

Voici le premier compromis fondamental que vous devez résoudre en matière de
sécurité. Lorsque vous installez une application sur un système d’exploitation, quel qu’il
soit, vous activez des fonctionnalités supplémentaires qui risquent de fragiliser la
sécurité du système parce qu’elles augmentent la surface d’attaque. Vous pouvez
augmenter le niveau de sécurité des technologies, mais en sacrifiant généralement leur
792
La sécurité de base des serveurs
facilité d’emploi. Le système le plus sécurisé est celui qui n’est pas connecté et qui est
enfermé dans un coffre-fort. Un tel système est parfaitement sécurisé, mais il est
inutilisable.
Un faible coût
Le compromis suivant concerne le coût de la sécurisation. Dans un monde idéal où les
ressources seraient illimitées, tout le monde serait d’accord pour créer des réseaux aussi
sécurisés et faciles d’emploi que possible. Dans la réalité, les considérations de coût
pèsent souvent très lourd quand il s’agit de concilier sécurité et facilité d’emploi. Vous
connaissez peut-être le principe qui consiste à choisir deux seulement des trois
avantages suivants : efficacité, rapidité et moindre coût. Les compromis relatifs à la
sécurité sont établis selon un principe similaire, à ceci près que les trois options sont ici
la sécurité, la facilité d’emploi et le moindre coût. Il est possible de cumuler un niveau de
sécurité élevé et une grande facilité d’emploi, mais moyennant un coût important en
termes d’investissements, de temps et de personnel.
24.3. La sécurité de base des serveurs

Il existe plusieurs méthodes pour assurer la sécurité de base des serveurs. La liste
suivante n’est pas exhaustive, mais elle présente quelques-unes des méthodes
fréquemment utilisées pour la sécurisation des serveurs. Vous utilisez sans doute déjà
beaucoup, sinon la plupart, de ces méthodes de sécurité sur les serveurs de votre réseau.
Sécuriser les serveurs

L’application du dernier Service Pack est nécessaire ; des mises à jour de sécurité sont
disponibles. Les Service Packs augmentent la sécurité et la stabilité du système
d’exploitation. La plupart des attaques menées contre des serveurs exploitent des
vulnérabilités qui ont été précédemment signalées et corrigées dans un Service Pack ou
dans une mise à jour de sécurité du système d’exploitation. Les ordinateurs sur lesquels
les derniers Service Packs et les mises à jour de sécurité n’ont pas été installés sont
vulnérables.
Une stratégie de groupe est également nécessaire pour renforcer la protection des
serveurs. Vous pouvez utiliser une stratégie de groupe dans les cas suivants :
j Vous voulez désactiver les services qui ne sont pas indispensables. Chaque service
ou application est un point d’attaque potentiel. Par conséquent, désactivez ou
supprimez tous les services inutiles afin de réduire la surface d’attaque.
j Vous voulez mettre en œuvre des stratégies de mots de passe sécurisés. Vous
pouvez renforcer les paramètres de stratégie de mot de passe et de verrouillage des
comptes pour un contrôleur de domaine, un serveur membre ou un serveur
autonome en appliquant les paramètres d’un modèle de sécurité adéquats.
793
j Vous voulez désactiver l’authentification LAN Manager et NTLMv1 et le stockage

des valeurs de hachage de LAN Manager. La mise en œuvre de cette méthode peut
empêcher l’accès de clients hérités ; aussi est-il nécessaire de vérifier que vous
pouvez configurer ces paramètres sans désactiver les fonctionnalités dont vous avez
besoin.
j Vous avez besoin d’utiliser MBSA (Microsoft Baseline Security Analyzer) pour
analyser la configuration de la sécurité des serveurs. MSBA peut effectuer
localement ou à distance des analyses de systèmes Windows pour identifier les mises
à jour de sécurité manquantes et les problèmes de configuration potentiels. MBSA
affiche les résultats de l’analyse sous la forme d’un rapport web.
j Vous voulez limiter l’accès physique et réseau aux serveurs. Stockez les serveurs
dans une salle fermée à clé. Exigez des dispositifs à carte magnétique ou à code à
l’entrée de la salle fermée à clé. Empêchez les contrôleurs de domaine de démarrer
sur un autre système d’exploitation. Vous ne devez autoriser uniquement des
personnes dignes de confiance à accéder aux serveurs. Vous devez également
élaborer des méthodes de sécurité pour les administrateurs de services et de
données afin que seul le personnel ayant besoin d’un accès aux serveurs y ait
effectivement accès. Il est nécessaire d’attribuer à chaque utilisateur de votre
entreprise uniquement les autorisations et droits d’utilisateur dont il a besoin.
En plus de ces méthodes de sécurité de base des serveurs, vous pouvez utiliser diverses
méthodes avancées. Ces méthodes avancées de sécurisation des serveurs comprennent
notamment l’application de modèles de sécurité personnalisés et la configuration de
filtres de port IPSec en fonction des rôles remplis par les serveurs.
Quelques recommandations
Voici quelques recommandations à prendre en compte dans le cadre de la sécurité de
vos serveurs.
L’un des premiers points et de renforcer les comptes prédéfinis sur les serveurs. Pour
cela, appliquez les règles suivantes :
j Renommez les comptes prédéfinis Administrateur et Invité et modifiez leur

description. Le fait d’attribuer à ces comptes des noms uniques peut faciliter
l’identification des tentatives d’attaque à leur encontre. Dans presque tous les cas, le
compte Invité doit être désactivé.
j Affectez des mots de passe longs et complexes à ces comptes prédéfinis, ou utilisez
des expressions comme mots de passe.
j Utilisez des scripts ou des utilitaires tiers pour vérifier périodiquement les mots de
passe locaux sur toutes les stations de travail et tous les serveurs de l’entreprise.
j Utilisez pour ces comptes des mots de passe différents sur chaque serveur. Ainsi, si
un intrus réussit à compromettre l’un de ces comptes sur un serveur, il ne sera pas
immédiatement à même de compromettre d’autres serveurs.
794
La sécurité Active Directory
Il est important de limiter le nombre des utilisateurs qui peuvent ouvrir une session
localement sur les serveurs. Pour cela, utilisez la stratégie de groupe pour configurer les
droits de l’utilisateur afin que seuls les administrateurs autorisés puissent ouvrir une
session localement sur les serveurs.
Il est nécessaire d’utiliser des groupes restreints pour limiter le nombre de membres des
groupes d’administration. L’option Groupes restreints du service d’annuaire Active
Directory vous permet de faire en sorte que les groupes d’administration contiennent
uniquement des utilisateurs autorisés.
Vous devez également limiter l’accès au système des comptes prédéfinis et des comptes
de service non liés au système d’exploitation. Configurez manuellement l’attribution des
droits utilisateurs de la manière suivante :
j Refusez l’accès à cet ordinateur à partir du réseau pour les comptes prédéfinis
Administrateur, Support (compte utilisé pour l’assistance à distance) et Invité, ainsi
que pour tous les comptes de service non liés au système d’exploitation.
j Interdisez l’ouverture de session en tant que tâche pour les comptes Support et
Invité.
j Interdisez l’ouverture de session via les services Terminal Server pour les comptes
prédéfinis Administrateur, Support et Invité, ainsi que pour tous les comptes de
service non liés au système d’exploitation.
Il faut éviter autant que possible de configurer un service de sorte qu’il ouvre une session
à l’aide d’un compte de domaine. Chaque fois que c’est possible, utilisez un compte local
pour chaque service. Par ailleurs, n’utilisez pas le même nom de compte d’utilisateur et
le même mot de passe pour un service exécuté sur plusieurs serveurs.
Vous devez utiliser des autorisations NTFS pour sécuriser les fichiers et les dossiers.
Convertissez les volumes FAT ou FAT32 au système NTFS, puis appliquez les
autorisations appropriées aux fichiers et aux dossiers de ces volumes.
24.4. La sécurité Active Directory
Nous allons voir à présent les principaux composants intervenants dans le processus de
sécurisation du service d’annuaire Active Directory. Nous aborderons les étapes
suivantes :
j la planification de la sécurité ;
j l’établissement de frontières de sécurité ;
j le renforcement de la stratégie de domaine ;
j l’établissement d’une stratégie en fonction des rôles.
795
Active Directory se compose de nombreux types d’objets remplissant chacun une

fonction différente. Les composants Active Directory s’assemblent à d’autres
composants pour faciliter la mise en œuvre de la sécurité dans un environnement
réseau.
Dans Active Directory, la stratégie de groupe permet de centraliser les modifications et

la gestion de la configuration des paramètres de l’utilisateur et de l’ordinateur,
notamment en matière de sécurité et de données utilisateurs. Cependant, vous pouvez
utiliser des stratégies de groupe pour définir la configuration de groupes d’utilisateurs et
d’ordinateurs. Avec une stratégie de groupe, vous pouvez spécifier des paramètres pour
des stratégies basées sur le Registre, pour mettre en œuvre la sécurité, pour l’installation
de logiciels, pour des scripts, pour la redirection des dossiers, pour des services
d’installation à distance et pour la maintenance d’Internet Explorer. Vous pouvez
également contrôler automatiquement la composition des groupes avec la fonction
Groupes restreints. Les paramètres de stratégie de groupe que vous créez sont contenus
dans un objet de stratégie de groupe. De ce fait, en associant un objet de stratégie de
groupe à des conteneurs système Active Directory sélectionnés (sites, domaines et
unités d’organisation), vous pouvez appliquer les paramètres de stratégie de cet objet
aux utilisateurs et ordinateurs compris dans ces conteneurs Active Directory. Pour gérer
les objets de stratégie de groupe au sein d’une entreprise, vous pouvez utiliser la console
de gestion des stratégies de groupe (GPMC). Les stratégies de groupe sont l’un des
outils fondamentaux dont vous disposez pour mettre en œuvre la sécurité de votre
réseau. Le reste de cette présentation est essentiellement consacré à la manière
d’utiliser les stratégies de groupe pour sécuriser un environnement réseau.
Planifier la sécurité
Lorsqu’on parle de la sécurité d’Active Directory, certaines tâches sont primordiales…
Ainsi, vous devez dans un premier temps analyser l’environnement dans lequel vous
prévoyez de déployer Active Directory. L’étendue de l’environnement détermine les
mesures qui devront être prises pour le sécuriser. Trois environnements d’exploitation
sont rencontrés le plus souvent.
j Le centre de données interne : c’est le type d’environnement dans lequel il est le plus
facile de mettre en œuvre la sécurité Active Directory car les membres de l’équipe
informatique se trouvent généralement sur place. L’accès au centre de données et
les tâches administratives peuvent donc être aisément limités à ces personnes. Par
ailleurs, les contrôleurs de domaine sont situés dans des locaux centralisés et
sécurisés. En raison de la présence de composants système centralisés et du
personnel informatique, la surveillance et la résolution des problèmes liés aux
contrôleurs de domaine sont simplifiées et les attaques peuvent être rapidement
détectées et traitées.
j La succursale : c’est dans ce type d’environnement qu’il est le plus difficile de mettre
en œuvre la sécurité Active Directory. En effet, le personnel informatique est
généralement hors site, de sorte qu’il n’est pas facile de restreindre toutes les tâches
796
La sécurité Active Directory
administratives à ses seuls membres. De plus, il n’y a pas de locaux dédiés et

sécurisés pour le stockage et la gestion des contrôleurs de domaine et il peut être
difficile de restreindre l’accès physique aux contrôleurs de domaine. Enfin, la
détection et le traitement des attaques peuvent exiger un processus lent et coûteux.
j Le centre de données extranet : ce type d’environnement est similaire à un centre de
données intranet. Il est légèrement plus difficile d’y mettre en œuvre la sécurité
Active Directory car le personnel informatique travaille généralement pour un
partenaire commercial de l’entreprise ou pour un tiers.
Vous devez également effectuer une analyse des menaces. L’analyse des menaces
comprend les étapes suivantes :
j Identifiez les menaces pour Active Directory. Déterminez d’abord leur type, par
exemple l’usurpation d’identité, la falsification de données, la répudiation, la
divulgation d’informations, le déni de service, l’élévation de privilèges et l’ingénierie
sociale, puis les sources (les utilisateurs anonymes, les utilisateurs authentifiés,
l’administrateur de service, l’administrateur de données et les utilisateurs ayant
physiquement accès aux contrôleurs de domaine).
j Déterminez des mesures de sécurité pour réduire la vulnérabilité exploitée par
chaque type de menace et pour résoudre les problèmes potentiels avant qu’ils ne se
manifestent.
j Établissez des plans de secours contenant des instructions détaillées que le
personnel informatique devra suivre en cas de violation de la sécurité.
Établir des frontières de sécurité

L’établissement de frontières de sécurité constitue une part essentielle de la sécurisation
d’Active Directory. Pour les réseaux Windows 200x, les domaines sont des frontières
pour l’administration et pour certaines stratégies de sécurité. Ce qui veut dire que
chaque domaine Active Directory fait autorité en matière d’informations
d’identification et d’authentification des utilisateurs, des groupes et des ordinateurs qui
se trouvent dans ce domaine. Cependant, dans la mesure où les administrateurs de
service ont la possibilité de traverser les frontières d’un domaine, c’est la forêt, et non le
domaine, qui constitue l’ultime frontière de sécurité. Pour établir des frontières de
sécurité Active Directory, pensez à appliquer les recommandations suivantes :
j Spécifiez des frontières de sécurité et d’administration basées sur les besoins de
l’organisation en matière de délégation de l’administration.
j Déterminez si la délégation est motivée par des impératifs d’organisation,
d’exploitation ou d’ordre juridique.
j Déterminez si ces impératifs indiquent un besoin d’autonomie, d’isolement ou les
deux.
j Évaluez le niveau de confiance que vous accordez aux administrateurs de service
(propriétaires de forêts et propriétaires de domaines).
797
j Concevez une structure Active Directory basée sur les besoins en matière de
délégation.
j Placez les contrôleurs de domaine déployés dans un extranet et orientés vers
l’extérieur dans une forêt distincte.
Renforcer la stratégie de domaine

Active Directory contient des paramètres de stratégie de sécurité pour le domaine dans
l’objet de stratégie de groupe Domaine par défaut. Dans de nombreux cas, les
paramètres par défaut protègent efficacement le domaine contre divers types de
menaces. Toutefois, certains paramètres par défaut peuvent être renforcés afin
d’améliorer le niveau de protection.
Pour renforcer les paramètres de stratégie de domaine :

j Renforcez les paramètres de stratégie pour le domaine en créant et en liant au
niveau du domaine un nouvel objet de stratégie de groupe contenant des
paramètres de sécurité plus forts. Vous pouvez configurer ces paramètres
manuellement, en suivant les recommandations fournies par le guide Windows
Server 2003 Security Guide, ou utiliser l’un des modèles de sécurité prédéfinis
compris dans ce guide.
j Vérifiez que les stratégies de mot de passe et de compte répondent aux besoins de
votre organisation en matière de sécurité. Si nécessaire, renforcez les paramètres de
stratégie de mot de passe et de verrouillage des comptes du domaine et passez en
revue les paramètres de stratégie de l’authentification Kerberos du domaine.
j Analysez les menaces et mettez à jour la stratégie de sécurité pour tenir compte de
ces menaces et les contrer. Il ne sert à rien d’essayer de configurer des paramètres de
sécurité sans avoir une vision claire des menaces auxquelles le réseau est exposé.
Vous pourriez théoriquement modifier des centaines de paramètres de sécurité,
mais beaucoup d’entre eux sont désactivés parce qu’ils entraîneraient une perte de
fonctionnalité. Ces paramètres ne dégraderaient peut-être rien dans votre
environnement, mais pourquoi courir le risque de les activer s’ils ne vous permettent
pas de combattre une menace que votre stratégie de sécurité juge importante ?
Établir une hiérarchie basée sur les rôles

La mise en place d’une hiérarchie d’unités d’organisation appropriée est un élément
important dans la sécurisation d’une infrastructure Active Directory et de serveurs. Une
hiérarchie d’unités d’organisation basée sur les rôles de serveurs dans votre entreprise
peut simplifier les aspects de la gestion de la sécurité, car l’administration d’une unité
d’organisation peut être déléguée à un groupe d’administration spécifique. Cette
hiérarchie basée sur les rôles de serveurs applique également les paramètres de stratégie
de sécurité appropriés aux serveurs et aux autres objets de chaque unité d’organisation.
Elle est une approche en couches de l’application de paramètres de stratégie de sécurité.
798
Protéger les serveurs membres
Les unités d’organisation des niveaux inférieurs héritent des paramètres appliqués aux
unités d’organisation des niveaux supérieurs. Ces paramètres de stratégie de sécurité
sont appliqués par l’intermédiaire des objets de stratégie de groupe. Les modèles de
sécurité contiennent des paramètres de configuration de la sécurité qui peuvent être
appliqués aux systèmes. Ils peuvent être importés dans un objet de stratégie de groupe.
24.5. Protéger les serveurs membres

À présent, nous allons aborder la mise en œuvre de la sécurité sur les nombreux types de
serveurs existant dans les environnements Windows Server.
Le modèle de sécurité Member Server Baseline

Vous pouvez appliquer des paramètres de sécurité de base à tous les serveurs membres,
sauf les contrôleurs de domaine, en utilisant le modèle de sécurité Member Server
Baseline. Après avoir modifié le modèle pour l’adapter aux besoins de votre
organisation et après avoir testé les configurations de sécurité du modèle avec les
applications de l’entreprise, importez les paramètres de ce modèle dans un objet de
stratégie de groupe et liez cet objet à l’unité d’organisation Serveurs membres.
N’appliquez pas le modèle de serveur membre aux contrôleurs de domaine, mais le
modèle de contrôleur de domaine à l’unité d’organisation Contrôleurs de domaine.
Le modèle de sécurité Member Server Baseline contient de nombreux paramètres de

sécurité, notamment…
j Les paramètres de stratégie d’audit : ces paramètres spécifient les événements liés
à la sécurité qui sont enregistrés dans le journal des événements. Vous pouvez
surveiller les activités liées à la sécurité pour savoir, par exemple, qui tente d’accéder
à un objet, quand un utilisateur ouvre ou ferme une session sur un ordinateur ou
encore quand une modification est apportée à un paramètre de stratégie d’audit.
j Les paramètres d’attribution des droits utilisateurs : ils spécifient les utilisateurs ou
les groupes ayant des droits ou des privilèges d’ouverture de session sur les serveurs
membres du domaine.
j Les paramètres d’options de sécurité : ils servent à activer ou à désactiver des
paramètres de sécurité pour des serveurs, comme la signature numérique de
données, les noms des comptes Administrateur et Invité, l’accès aux lecteurs de
disquette et de CD-Rom, le comportement d’installation des pilotes et les invites
d’ouverture de session.
j Les paramètres du journal des événements : ils spécifient la taille de chaque journal
des événements et les actions à entreprendre lorsqu’il arrive à saturation. Les
événements de sécurité enregistrés sont stockés dans plusieurs journaux dont le
journal des applications, le journal de sécurité et le journal système.
799
j Les paramètres des services système : ils spécifient le comportement de démarrage

et les autorisations pour chaque service présent sur le serveur.
24.6. Protéger les serveurs pour des rôles spécifiques

Voyons maintenant la mise en œuvre de la sécurité des serveurs pour des rôles
spécifiques. Elle concerne en particulier le renforcement de la protection des serveurs
suivants :
j les serveurs d’infrastructure ;
j les serveurs de fichiers ;
j les serveurs d’impression ;
j les serveurs IIS.
Renforcer la protection des serveurs d’infrastructure

Les serveurs d’infrastructure fournissent des services réseau tels que le protocole DHCP
et WINS. Le renforcement de la protection des serveurs d’infrastructure passe par
l’application à ces serveurs des paramètres de sécurité appropriés. La plupart des
paramètres de sécurité recommandés sont appliqués aux serveurs d’infrastructure au
moyen du modèle de sécurité Member Server Baseline et, de façon incrémentielle, du
modèle de sécurité Infrastructure Server. Vous pouvez aussi appliquer les paramètres
de sécurité suivants pour renforcer la protection des serveurs d’infrastructure. Ces
paramètres doivent être configurés manuellement sur chaque serveur d’infrastructure.
j Configurez l’enregistrement DHCP. Pour cela, utilisez l’outil d’administration
DHCP.
j Protégez-vous contre les attaques par déni de service DHCP. Pour cela, configurez
la tolérance de pannes de vos serveurs DHCP de telle sorte qu’une attaque par déni
de service sur un serveur DHCP ne perturbe pas tous les services DHCP de votre
réseau.
j Utilisez les zones DNS intégrées à Active Directory. L’intégration Active Directory
fournit une sécurité renforcée : vous pouvez limiter le nombre de personnes
pouvant effectuer des enregistrements DNS, et les données DNS sont stockées et
transmises de façon plus sûre. Les zones DNS exposées à Internet ne doivent jamais
être stockées dans Active Directory.
j À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables aux
applications serveurs.
800
Protéger les serveurs pour des rôles spécifiques
Renforcer la protection des serveurs de fichiers

Le renforcement de la protection des serveurs de fichiers passe par l’application à ces
serveurs des paramètres de sécurité appropriés. La plupart des paramètres de sécurité
recommandés sont appliqués aux serveurs de fichiers au moyen du modèle de sécurité
Member Server Baseline et, de façon incrémentielle, du modèle de sécurité File Server.
Vous pouvez aussi appliquer les paramètres de sécurité suivants pour renforcer la
protection des serveurs de fichiers. Ces paramètres doivent être configurés
manuellement sur chaque serveur de fichiers :
j Désactivez le système de fichiers distribués (DFS) et le service de réplication de
fichiers (FRS) s’ils ne sont pas nécessaires sur un serveur de fichiers.
j Sécurisez tous les fichiers et dossiers partagés du serveur de fichiers en utilisant
NTFS et des autorisations de partage.
j Activez l’audit des fichiers critiques. Auditez toutes les modifications, celles qui ont
échoué comme celles qui ont abouti, apportées à des données hautement
confidentielles.
j À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au
partage de fichiers.
Renforcer la protection des serveurs d’impression

Le renforcement de la protection des serveurs d’impression passe par l’application à ces
serveurs des paramètres de sécurité appropriés. La plupart des paramètres de sécurité
recommandés sont appliqués aux serveurs d’impression au moyen du modèle de sécurité
Member Server Baseline et, de façon incrémentielle, du modèle de sécurité Print Server.
Vous pouvez aussi appliquer les paramètres de sécurité suivants pour renforcer la
protection des serveurs d’impression. Ces paramètres doivent être configurés
manuellement sur chaque serveur d’impression.
j Assurez-vous que la signature SMB n’est pas requise par le serveur d’impression.
Désactivez le paramètre Serveur réseau Microsoft : communications signées
numériquement (toujours). Désactiver ce paramètre permet de s’assurer que la
signature SMB ne sera pas demandée par le serveur d’impression. Si ce paramètre

est activé, les utilisateurs ne pourront pas afficher la file d’attente d’impression.
j À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables au
partage d’imprimantes.
Renforcer la protection des serveurs IIS

Le renforcement de la protection des serveurs IIS passe par l’application à ces serveurs
des paramètres de sécurité appropriés. La plupart des paramètres de sécurité
recommandés sont appliqués aux serveurs IIS au moyen du modèle de sécurité Member
Server Baseline et, de façon incrémentielle, du modèle de sécurité IIS Server.
801
j Si possible, mettez à niveau tous vos serveurs web vers Windows Server 2003 et
IIS 6.0. Il n’est pas nécessaire d’exécuter l’outil IIS Lockdown sur les systèmes
IIS 6.0 puisque cette version des services Internet est verrouillée par défaut à
l’installation.
j L’Assistant IIS Lockdown fonctionne en désactivant des fonctionnalités inutiles, ce
qui réduit la surface d’attaque offerte aux intrus. Il vous donne la possibilité de
supprimer ou de désactiver des services IIS comme HTTP, FTP, SMTP et NNTP.
j L’outil IIS Lockdown fournit une fonctionnalité d’annulation qui permet d’inverser
les effets du verrouillage le plus récent.
j Pour assurer la défense en profondeur, URLScan est intégré à l’Assistant IIS
Lockdown avec des modèles personnalisés pour chaque rôle de serveur pris en
charge. Cette intégration permet à l’assistant de fournir la sécurité supplémentaire
appliquée par URLScan sans obliger l’administrateur à concevoir un filtre
URLScan personnalisé pour la configuration et l’application serveur considérées.
j URLScan est un filtre ISAPI (Internet Server Application Programming Interface) qui
analyse les requêtes HTTP (Hypertext Transfer Protocol) à mesure qu’elles sont
reçues par les services Internet. Vous pouvez aussi appliquer les paramètres de
sécurité suivants pour renforcer la protection des serveurs IIS. Ces paramètres
doivent être configurés manuellement sur chaque serveur IIS.
j N’activez que les composants IIS essentiels. Assurez-vous en particulier que seules
les extensions d’applications voulues sont activées. Par sécurité, les services Internet
(IIS) ne sont pas installés par défaut sur Windows Server 2003. Lorsqu’ils sont
installés, de nombreuses fonctionnalités restent désactivées tant qu’elles n’ont pas
été spécifiquement activées. Vous devez activer manuellement chaque service
requis par votre installation IIS.
j Installez IIS et stockez le contenu web sur un volume de disque dédié, distinct du
volume système. Cela réduit la probabilité qu’un intrus réussisse à ouvrir et à
modifier des fichiers de système d’exploitation sur le serveur.
j Configurez des autorisations NTFS pour tous les dossiers renfermant du contenu
web. Appliquez les autorisations minimales requises pour activer la fonctionnalité
de site web nécessaire.
j N’activez pas à la fois les autorisations d’exécution et d’écriture sur le même site
web. Cette combinaison d’autorisations pourrait permettre à un intrus de placer du

contenu nuisible sur le serveur, puis de l’exécuter.
j Sur les serveurs IIS 5.0, exécutez les applications en utilisant la protection
d’application moyenne ou élevée pour éviter qu’elles ne s’exécutent dans le contexte
système du processus Inetinfo.
j Utilisez des filtres IPSec pour bloquer toutes les communications entrantes, à
l’exception du trafic entrant sur les ports TCP 80 et 443.
802
En résumé
Les méthodes conseillées pour renforcer la protection des

serveurs pour des rôles spécifiques
Le renforcement de la protection des serveurs pour des rôles spécifiques passe par
l’application des modèles de sécurité appropriés et par la configuration manuelle des
paramètres de serveur appropriés pour ces rôles. La plupart des paramètres de sécurité
recommandés sont appliqués à un serveur membre au moyen du modèle de sécurité
Member Server Baseline et, de façon incrémentielle, d’un modèle de sécurité basé sur le
rôle spécifique de ce serveur.
Tenez compte des méthodes conseillées suivantes lorsque vous renforcez la protection
de serveurs pour des rôles spécifiques :
j Modifiez les modèles selon les besoins pour les serveurs qui assurent plusieurs rôles.
Les serveurs qui assurent plusieurs rôles ont besoin d’un modèle personnalisé qui
configure les paramètres de sécurité du serveur pour lui permettre de remplir ces
rôles. Vous devrez peut-être commencer avec le modèle prédéfini pour l’un des
rôles assurés par le serveur, puis modifier le modèle en question de telle sorte que
les services et les autres paramètres de sécurité requis par les autres rôles soient
correctement configurés.
j Activez uniquement les services requis par le rôle. Tous les services dont le serveur
n’a pas besoin pour remplir le rôle qui lui a été attribué doivent être désactivés.
j Activez l’enregistrement des événements liés aux services pour capturer les
informations pertinentes. Pensez à activer l’enregistrement pour les services
critiques requis par le rôle du serveur. Par exemple, activez l’enregistrement DHCP
pour un serveur DHCP.
j Utilisez des filtres IPSec pour bloquer tous les ports qui ne sont pas requis par le rôle
du serveur. Pour plus d’informations sur les ports spécifiques à autoriser sur un
serveur pour un rôle spécifique, consultez le chapitre correspondant du Windows
Server 2003 Security Guide.
j Sécurisez les comptes de service et les comptes d’utilisateur connus. Sauf nécessité
absolue, ne configurez pas un service de sorte qu’il ouvre une session à l’aide d’un
compte de domaine. Renommez les comptes prédéfinis Administrateur et Invité et
modifiez leur description. Affectez des mots de passe longs et complexes à ces
comptes prédéfinis. Utilisez pour ces comptes des mots de passe différents sur
chaque serveur. Si un intrus réussit ainsi à compromettre l’un de ces comptes sur un
serveur, il ne sera pas immédiatement à même de compromettre d’autres serveurs.
24.7. En résumé
La sécurité des serveurs joue un rôle important dans l’entreprise à condition que celle-ci
soit adaptée au rôle présent sur le serveur. Cela passe forcément par des compromis
entre la sécurité et les fonctionnalités.
803
Chapitre 25
Évaluation de la
sécurité
25.1 Pourquoi réaliser des évaluations de la sécurité ? . . . . . . . . . . . . . . . . . . . . 807
25.2 Planification de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 808
25.3 Le concept de défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
25.4 Définition du cadre de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . 811
25.5 Les objectifs de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 812
25.6 Les types d’évaluations de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
25.7 L’audit de sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
25.8 Publier les résultats de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . 818
25.9 Utiliser l’outil MSAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
25.10 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
Pourquoi réaliser des évaluations de la sécurité ?
U ne évaluation de sécurité peut jouer de nombreux rôles dans la sécurité du réseau.

Vous pouvez effectuer des évaluations de sécurité pour détecter des erreurs de
25. Évaluation de la
configuration courantes ou pour identifier les ordinateurs qui ne disposent pas des
derniers correctifs de sécurité. Vous pouvez effectuer des évaluations de sécurité pour
sécurité
connaître le niveau d’efficacité des mesures de sécurité défensives d’une application
depuis la précédente mise à jour de sécurité. Une évaluation de la sécurité peut
également révéler des faiblesses inattendues de la sécurité de votre organisation.
Une fois les faiblesses découvertes, vous devez rapidement signaler tous les problèmes
identifiés au cours de l’évaluation et y remédier.
25.1. Pourquoi réaliser des évaluations de la

sécurité ?
La sécurité des informations est généralement envisagée d’un point de vue défensif, en
tentant de protéger les ressources de l’organisation contre les attaques connues et bien
cernées. Bien que cette stratégie soit efficace, elle ne peut garantir le respect
systématique de toutes les stratégies de sécurité. Par exemple, nous l’avons déjà cité,
mais la mise en œuvre d’une stratégie de mot de passe complexe ne garantit pas que les
utilisateurs recourent réellement à une protection par mot de passe efficace.
Les évaluations de sécurité tentent de fournir aux entreprises les processus et

procédures nécessaires pour appliquer une approche offensive de la sécurité du réseau
et évaluent les mesures mises en œuvre pour combattre les attaques réseau. La mise en
place de mesures de sécurité défensives et l’exécution proactive d’évaluations de
sécurité permettent de garantir la robustesse de la sécurité du réseau.
Les évaluations de sécurité permettent :

j de répondre à quelques questions (du type "Le réseau est-il sécurisé ?" ou
"Comment savoir si le réseau est sécurisé ?") ;
j d’offrir une base de référence pour faciliter, à la longue, l’amélioration de la sécurité
et d’estimer le niveau d’efficacité des mesures de sécurité défensives précédentes,
depuis la dernière mise à jour de sécurité ;
j de découvrir les erreurs de configuration ou les mises à jour de sécurité
manquantes ;
j de révéler les faiblesses cachées de la sécurité de l’entreprise ;
j de veiller au respect de la législation la plus récente en termes de sécurité.
807
Chapitre 25 Évaluation de la sécurité
25.2. Planification de l’évaluation de sécurité

La planification de l’évaluation de sécurité vous permet de définir les objectifs et le

sécurité
cadre de votre projet. Elle vous offre également l’opportunité de choisir les technologies
et les tâches d’évaluation appropriées, afin de vérifier que vos mesures de sécurité
actuelles sont aussi efficaces que possible.
Lorsque vous évaluez la sécurité de votre organisation, n’oubliez pas que les défaillances
peuvent survenir dans de nombreux domaines. Les défaillances de la sécurité du réseau
ont des origines diverses, y compris les suivantes…
j Le facteur humain : l’homme ; il s’agit d’une source majeure de défaillance de la
sécurité du réseau, si ce n’est la source majeure de défaillance. Voici quelques
exemples de facteurs humains…
− Mots de passe faibles : le moyen le plus couramment utilisé pour introduire des
vulnérabilités dans la sécurité du réseau consiste à créer et à utiliser des mots de
passe faibles.
− Sécurité physique : elle fait référence aux utilisateurs qui ne ferment pas les
portes ou laissent leur ordinateur dans des lieux non protégés.
− Ingénierie sociale : elle fait référence aux utilisateurs amenés par la ruse à révéler
leurs mots de passe ou à autoriser l’accès à des ressources sécurisées.
j Les facteurs liés à la stratégie : la qualité et l’exhaustivité de la stratégie de sécurité

d’une organisation reposent fortement sur l’efficacité globale de sa sécurité réseau.
Une mauvaise stratégie peut engendrer des défaillances de la sécurité du réseau de
différentes façons…
− Stratégies vagues : une stratégie de sécurité vague peut conduire les
administrateurs à choisir le chemin de la facilité pour la respecter.
− Stratégies sans instructions de conformité : de nombreuses stratégies de sécurité
stipulent des critères de conformité mais aucune instruction quant aux moyens
de respecter ces critères.
− Stratégies obsolètes : les besoins d’une organisation concernant le réseau et la
sécurité évoluant en permanence, les stratégies de sécurité peuvent devenir
obsolètes.
− Stratégies mal appliquées ou non appliquées : la non-application des stratégies de
sécurité engendre souvent le mépris de celles-ci et, par extension, l’absence de
bonnes pratiques de sécurité.
− Stratégies inapplicables : une stratégie de sécurité trop stricte peut ne pas être
applicable, si elle entrave le travail quotidien des utilisateurs (par exemple,
l’utilisateur qui a obligation d’avoir un mot de passe trop complexe sera tenté de
l’écrire sur un papier accolé à son écran). Tout est question de compromis.
808
Planification de l’évaluation de sécurité
j Les erreurs de configuration : la mise en œuvre des configurations matérielles ou

logicielles par défaut peut offrir aux intrus un terrain propice aux attaques. Un
administrateur peut également mal configurer un système en ne suivant pas les
bonnes pratiques de sécurité, introduisant ainsi d’autres vulnérabilités exploitables
sécurité
par un intrus.
j Les erreurs de jugement : les administrateurs peuvent avoir une fausse idée du
comportement des utilisateurs, du fonctionnement d’une technologie ou de la
réalisation de certaines tâches. Une simple petite négligence résultant d’un
jugement infondé peut aider un intrus à compromettre un réseau. On appelle cela
"faire la chasse aux faux positifs".
j L’ignorance : souvent, les administrateurs ne sont tout simplement pas conscients
des conséquences de leurs actions ou des menaces que les intrus font peser sur leurs
réseaux.
j L’incapacité à maintenir les systèmes à jour : en effet, il y a une course entre les
administrateurs et les intrus, dès lors qu’une mise à jour de sécurité est publiée. La
sécurité de votre réseau n’est pas meilleure que la dernière mise à jour de sécurité
installée.
La planification d’une évaluation de sécurité est importante pour structurer

correctement le projet. Les phases suivantes peuvent être utilisées pour orienter votre
planification…
j La pré-évaluation : la phase de pré-évaluation consiste à déterminer le cadre et les
objectifs du projet global d’évaluation de sécurité. Une fois ces derniers déterminés,
un calendrier prévisionnel approprié peut être établi pour la durée du projet. Vous
devez également définir les règles à suivre pendant l’évaluation.
j L’évaluation : la phase d’évaluation vise à choisir les technologies et à effectuer
l’évaluation proprement dite. Il est important de noter que les outils que vous
choisissez doivent être en adéquation avec les objectifs déterminés durant la phase
de pré-évaluation. Vous ne devez pas associer votre évaluation directement à un
type spécifique d’outils ou de technologies. La dernière tâche de la phase
d’évaluation consiste à organiser vos résultats.
j La préparation des résultats : la phase de préparation des résultats consiste à
estimer les risques liés à chaque faiblesse découverte. Une part importante de vos
résultats vise à inclure également une parade pour chaque vulnérabilité découverte.
Si vous projetez de réaliser un suivi des évaluations, vous devez identifier les
vulnérabilités qui n’ont pas été résolues depuis la dernière évaluation et en
déterminer les raisons. Ces résultats permettront de déterminer les améliorations à
apporter à votre sécurité réseau.
j La présentation des conclusions : la phase finale vise à créer votre rapport de
synthèse et à présenter vos conclusions. Il est également important de fixer la date
de la prochaine évaluation.
809
25.3. Le concept de défense en profondeur

L’évaluation de sécurité réseau consiste à analyser et à mettre en place des mesures de

sécurité
sécurité à différents niveaux au sein de votre réseau, sous forme de différentes couches.
Il est important de comprendre ces couches et comment chacune d’elles peut renforcer
la sécurité globale de votre environnement.
Figure 25.1 : Les couches du modèle de sécurité Défense en profondeur
La liste suivante définit les couches du modèle de sécurité de défense en profondeur…

j Les données : les risques inhérents à la couche Données sont liés aux vulnérabilités
qu’un intrus pourrait exploiter pour accéder aux données d’une entreprise ou d’un
particulier. Ces données peuvent être protégées par l’utilisation de mots de passe
forts, les ACL sur les fichiers et les dossiers, ou encore par l’utilisation d’une
stratégie de sauvegarde et de restauration efficace.
j L’application : les risques inhérents à la couche Application sont liés aux
vulnérabilités qu’un intrus pourrait exploiter pour accéder à des applications en
cours d’exécution. Il peut tout aussi bien s’agir d’applications réseau clientes ou
serveur. Les applications serveur sont susceptibles d’être compromises via
différentes méthodes, notamment les attaques par dépassement de la mémoire
tampon, les attaques par détection de mot de passe ou les attaques par traversée de
répertoires, de même que par des applications réseau mal configurées qui exposent
les données à des utilisateurs non autorisés. La couche Application peut être
défendue en appliquant les bonnes pratiques de renforcement de la sécurité des
applications, tout particulièrement pour les applications relatives aux services web,
aux services de messagerie électronique ou aux services de base de données.
j L’hôte : les risques inhérents à la couche Hôte sont liés aux intrus qui exploiteraient
les vulnérabilités des services offerts par l’hôte ou le périphérique. Les défenses de
810
Définition du cadre de l’évaluation de sécurité
l’hôte peuvent passer par le renforcement de la sécurité du système d’exploitation,

l’utilisation de méthodes d’authentification fortes, la gestion des mises à jour de
sécurité, les mises à jour d’antivirus et la réalisation d’audits efficaces.
sécurité
j Le réseau interne : les risques au niveau des réseaux internes d’une organisation
concernent dans une large mesure les données critiques transmises via les réseaux.
La connectivité requise pour les stations de travail clientes sur ces réseaux internes
présente elle aussi des risques. La sécurité peut être renforcée via la mise en œuvre
de segments réseau et de systèmes de détection d’intrusion réseau (comme NIDS,
Network based Intrusion Detection System, pour les puristes).
j Le périmètre : le réseau de périmètre englobe chaque point où le réseau interne est
connecté à un réseau ou à un hôte qui n’est pas géré par l’équipe informatique de
l’organisation. Cela comprend les connexions à Internet, aux partenaires
commerciaux et aux réseaux privés virtuels ainsi que les connexions d’accès à
distance. Les principaux risques inhérents à cette couche concernent les intrus qui
réussiraient à accéder aux ressources du réseau de périmètre, voire potentiellement
aux couches réseau qui sont connectées. Les défenses du réseau de périmètre
passent par des pare-feu et des routeurs correctement configurés, ainsi que par des
réseaux VPN utilisant des procédures de quarantaine.
j La sécurité physique : les risques inhérents à la couche physique concernent les
intrus qui parviendraient à accéder physiquement à une ressource physique. Cette
couche englobe toutes les couches précédentes, dans la mesure où l’accès physique
à une ressource peut à son tour permettre l’accès à toutes les autres couches du
modèle Défense en profondeur. Les défenses de la sécurité physique passent par le
verrouillage du matériel dans les centres de données accessibles à l’aide d’un badge,
par des gardiens et par des dispositifs de suivi.
j Les stratégies, les procédures et la sensibilisation : les fondations de l’ensemble du
modèle incluent les stratégies et les procédures que votre organisation doit mettre
en place pour répondre aux besoins de chaque couche et l’épauler. Les composants
de ce niveau comprennent des stratégies et des procédures de sécurité, ainsi que des
programmes de sensibilisation à la sécurité.
25.4. Définition du cadre de l’évaluation de sécurité

Plusieurs composants clés permettent de définir le cadre d’un projet d’évaluation de
sécurité.
j Définir la cible : cibler votre analyse des vulnérabilités inclut la connaissance des
ressources installées sur votre réseau. Vous pourrez ainsi déterminer le type de
vulnérabilités à rechercher, les types de logiciels d’analyse des vulnérabilités que
vous utiliserez et les compétences que le projet nécessitera. Pour définir votre cible,
vous devez décomposer votre réseau en éléments spécifiques tels que les segments
réseau, les périphériques réseau, les systèmes d’exploitation et les applications.
811
j Définir la zone cible : la zone cible peut inclure les types d’analyses suivants,
comprenant des composants tels que le calendrier prévisionnel de l’évaluation…
− L’analyse verticale : ce type d’analyse recherche plusieurs vulnérabilités sur un

sécurité
hôte ou plusieurs hôtes de même type. Par exemple, vous pouvez analyser tous
les ordinateurs exécutant Windows XP pour rechercher le niveau de mise à jour
de sécurité, les vulnérabilités Windows courantes et les mots de passe faibles.
− L’analyse horizontale : ce type d’analyse recherche une vulnérabilité sur des
types d’hôtes ou d’applications. Par exemple, vous pouvez analyser tous les
périphériques et ordinateurs de votre réseau pour rechercher les vulnérabilités
aux attaques par déni de service.
− L’analyse verticale et horizontale : ce type d’analyse associe les avantages des
analyses verticale et horizontale en recherchant diverses vulnérabilités sur
plusieurs plateformes.
j Déterminer un calendrier prévisionnel pour l’évaluation : il est important de

déterminer et de communiquer le calendrier prévisionnel exact de l’évaluation.
j Définir les types de vulnérabilités à analyser : après avoir déterminé la cible de
votre projet, y compris les périphériques, les systèmes d’exploitation et les
applications qui seront analysés ainsi que la taille et le type de l’analyse, vous devez
définir les types de vulnérabilités à analyser. Par exemple, si vous décidez d’analyser
tous les serveurs Windows 2000 et Windows Server 2003 de trois sous-réseaux
spécifiques (comme pour Puzzmania), vous pouvez décider de rechercher
uniquement les risques d’exploitation des vulnérabilités connues des produits.
À la fin de cette phase de planification, vous disposez d’une série d’éléments qui
définissent clairement les limites du projet, constituent les fondements de ses objectifs et
guident vos choix technologiques.
25.5. Les objectifs de l’évaluation de sécurité

L’objectif de tout projet d’évaluation de sécurité est de localiser les faiblesses des hôtes
ou du réseau et d’y remédier. Après avoir défini le cadre du projet, déterminez ses
objectifs. Le succès global du projet peut être déterminé par la façon dont il atteint ses
objectifs.
Lors de la phase de planification, vous devez définir des objectifs clairs et accessibles
afin que tous les membres de l’équipe comprennent le projet (ses objectifs, son
calendrier prévisionnel, etc.) et que celui-ci ne déraille pas.
En définissant précisément le cadre du projet, vous aurez des bases solides pour en
définir les objectifs. La définition du cadre constitue la première partie de l’objectif, et
la mise en œuvre de parades la deuxième partie. En voici un exemple sous forme de
tableau :
812
Les types d’évaluations de sécurité
Tableau 25.1 : Un exemple de formalisation des objectifs d’une évaluation de sécurité

Objectif du projet
Tous les serveurs Windows Server 2003 sur le sous-réseau R&D de Nice seront analysés pour
sécurité
détecter et résoudre les vulnérabilités suivantes :
Vulnérabilité Parade
Vulnérabilité RPC sur DCOM (MS 03−026) Installer les mises à jour de sécurité Microsoft
03−026 et 03−039
Énumération SAM anonyme Configurer le paramètre
RestrictAnonymous sur 1
Activation du compte Invité Désactivation du compte Invité
Plus de 10 comptes dans le groupe local des Réduire le nombre de compte dans le groupe
administrateurs local des administrateurs de chaque serveur
25.6. Les types d’évaluations de sécurité

Plusieurs types d’évaluations permettent de vérifier le niveau de sécurité des ressources
réseau. Lorsque vous planifiez votre évaluation de sécurité, choisissez la méthode qui
convient le mieux aux besoins de votre entreprise.
Chaque type d’évaluation de sécurité requiert des compétences spécifiques de la part

des personnes qui réalisent l’évaluation. Vous devez être sûr que les personnes qui
effectuent l’évaluation possèdent l’expérience et les compétences requises pour
effectuer le type d’évaluation choisi.
Les types d’évaluation de sécurité les plus courants sont les suivants…
j L’analyse des vulnérabilités : c’est l’évaluation de sécurité la plus fondamentale,
elle requiert généralement le moins de compétences. Elle analyse un réseau pour y
rechercher des faiblesses potentielles de sécurité, connues et cernées. Elle est
généralement effectuée par un logiciel, mais elle peut également être automatisée
via des scripts personnalisés. La qualité des résultats de l’analyse des vulnérabilités
dépend de celle du logiciel utilisé.
j Le test d’intrusion : le test de pénétration est un type d’évaluation de sécurité plus
sophistiqué, qui requiert des testeurs très qualifiés et dignes de confiance. Il se
concentre sur les faiblesses de sécurité connues et inconnues du réseau et décrit la
façon dont les vulnérabilités sont exploitées ainsi que les faiblesses du personnel et
des processus. Le test de pénétration permet de sensibiliser les administrateurs
réseau, les responsables informatiques et les dirigeants sur les conséquences
possibles d’une intrusion réseau. Parce que seule l’intention distingue un testeur
d’intrusion d’un intrus, vous devez faire preuve de prudence lorsque vous autorisez
des employés ou des experts externes à effectuer des tests d’intrusion. Un test de
813
pénétration qui n’est pas professionnellement réalisé peut conduire à une

interruption de services et perturber l’activité de l’entreprise.
j L’audit de sécurité informatique : il se concentre généralement sur les personnes et

sécurité
les processus utilisés pour concevoir, mettre en œuvre et gérer la sécurité d’un
réseau. Dans un audit de sécurité informatique, la personne en charge de l’audit,
ainsi que les stratégies et les procédures de sécurité de votre organisation utilisent
une référence de base. Un audit adéquat permettra de déterminer si votre
organisation possède les composants nécessaires pour créer et exploiter un
environnement informatique sécurisé. Les audits de sécurité informatiques sont
également des éléments essentiels pour prouver que la réglementation est
respectée.
L’analyse des vulnérabilités

L’exécution ponctuelle d’un outil d’analyse des vulnérabilités donnera certainement des
résultats susceptibles d’améliorer la sécurité du réseau de votre organisation. Toutefois,
pour que l’outil soit vraiment efficace, vous devez mettre au point un processus
d’analyse des vulnérabilités…
j Détecter les vulnérabilités : après avoir effectué une analyse, vous devez valider les
résultats en vous assurant qu’ils sont complets et exacts. Comparez le nombre
d’hôtes analysés avec le nombre d’hôtes défini par le cadre de l’évaluation et
déterminez s’il existe des divergences. Même les meilleurs outils peuvent ne pas
produire un rapport complet, et l’outil d’analyse lui-même peut avoir des défauts.
j Assigner des niveaux de risque aux vulnérabilités découvertes : vous devez assigner
des niveaux de risque à chacune des vulnérabilités que vous découvrez. Le niveau de
risque aide les administrateurs et les responsables informatiques à déterminer le
domaine de la sécurité du réseau à traiter en premier et où affecter le plus de
ressources pour traiter les vulnérabilités.
j Identifier les vulnérabilités qui n’ont pas été résolues : en analysant
périodiquement le réseau, vous saurez si des vulnérabilités précédemment
identifiées n’ont pas été résolues. Ces informations vous permettront de faire
remonter les efforts d’amélioration de la sécurité au sein de la hiérarchie de votre
organisation. Vous ne pourrez probablement pas résoudre toutes les vulnérabilités
signalées par le logiciel d’analyse. Ainsi, il se peut que la parade endommage les
applications qui s’exécutent sur l’hôte ou qui communiquent avec lui. Il se peut
également qu’il n’existe pas de parade efficace au moment de l’analyse ou que les
administrateurs ne puissent pas faire les modifications nécessaires.
j Déterminer les améliorations de la sécurité du réseau au fil du temps : avec le
temps, vous pouvez mesurer les améliorations de la sécurité du réseau en examinant
les résultats des analyses. La liste des éléments que vous pouvez mesurer en
permanence inclut…
− le nombre de nouvelles vulnérabilités découvertes sur les hôtes ;
− le nombre d’hôtes sensibles à une nouvelle vulnérabilité ;
814
Les types d’évaluations de sécurité
− le nombre de vulnérabilités non résolues et le nombre d’hôtes qui restent

vulnérables ;
− la période de temps pendant laquelle un hôte est resté vulnérable ;
sécurité
− le nombre total de vulnérabilités détectées et résolues.
Le test de pénétration
Les testeurs d’intrusion efficaces tentent rarement de compromettre un réseau en
l’attaquant de façon aléatoire. Une telle action serait inefficace, longue et augmenterait
leurs chances d’être attrapé. En suivant une méthodologie de base, vous améliorez vos
chances de localiser et d’exploiter les faiblesses dans les délais impartis. En outre, vous
disposez d’une infrastructure naturelle pour enregistrer vos résultats, ce qui simplifie la
phase de création de rapports.
Les étapes suivantes constituent une méthodologie de base que vous pouvez utiliser…
j Déterminer la méthode que l’intrus est le plus susceptible d’utiliser pour attaquer un
réseau ou une application : cette étape a très probablement été prise en compte
lorsque vous avez défini le cadre et les objectifs de l’évaluation de sécurité. Le cadre
et les objectifs ont dû déterminer le choix des méthodes et des outils à utiliser pour
mettre en place votre test de pénétration.
j Localiser les zones de faiblesse du réseau ou des défenses applicatives : l’étape suivante
consiste à obtenir des informations sur la cible. Lorsque vous commencez votre test
de pénétration, n’ignorez pas les évidences. Par exemple, après avoir identifié la
plateforme système à exploiter, l’un des premiers endroits où rechercher la liste des
vulnérabilités du produit est le site web du fournisseur.
j Déterminer comment un intrus pourrait exploiter les faiblesses : après avoir
suffisamment inspecté votre cible, catalogué les informations rassemblées et
déterminé comment un intrus pourrait les utiliser pour exploiter le réseau, vous
pouvez procéder au test de pénétration. L’un des principaux objectifs de tout test de
pénétration est d’obtenir un accès administrateur ou système. Une fois ce niveau de
privilège obtenu sur un système, il y a de fortes chances pour que celui-ci concède
d’autres comptes administrateur ou d’autres comptes bénéficiant de privilèges.
j Localiser les ressources qui pourraient être atteintes, modifiées ou détruites : après avoir
obtenu un certain niveau d’accès à votre cible, prenez le temps de noter les
ressources qui pourraient être atteintes, modifiées ou détruites. Plus tard, lors de la
publication de vos conclusions, il sera primordial d’identifier ces ressources et les
parades potentielles à mettre en place.
j Déterminer si l’attaque a été détectée : une fois votre test actif terminé, il est judicieux
d’étudier si tous les éléments du test de pénétration ont été détectés pendant
l’attaque et de comprendre pourquoi ils l’ont été. Ces informations vous
permettront d’approfondir vos compétences et aideront considérablement les
administrateurs réseau à optimiser leurs outils de détection d’intrusion.
815
j Établir un inventaire des attaques : lors d’un test de pénétration, réalisez

soigneusement un inventaire des attaques réseau qui aboutiraient dans des
conditions normales. À l’aide de ces informations, les administrateurs pourront être

en mesure d’améliorer leurs processus, leurs technologies et leurs opérations afin de
sécurité
mieux empêcher et de mieux détecter les attaques que vous avez découvertes.
j Faire des recommandations : plus vous communiquerez clairement sur la façon dont
vous avez attaqué un réseau avec succès, mieux les administrateurs réseau pourront
ajuster les paramètres de sécurité. Vous pouvez passer en revue la documentation
détaillée de la méthodologie utilisée lors du test, qu’elle ait permis de compromettre
le réseau ou non, afin d’identifier les domaines que votre organisation doit modifier
pour sécuriser le réseau.
Prévenir avant de lancer le test de pénétration

Avant d’effectuer un test de pénétration sur le réseau d’une organisation, il est vital de
définir et de communiquer les objectifs, le cadre et les règles du test de pénétration. Un
manque de planification et de communication peut engendrer une interruption du
service réseau et bien d’autres problèmes.
25.7. L’audit de sécurité informatique

Un audit de sécurité informatique évalue la capacité de votre organisation à sécuriser
ses informations au niveau de la stratégie, des processus, des procédures et des
opérations.
Figure 25.2 : Schématisation du contenu de l’audit de sécurité
816
L’audit de sécurité informatique
À des fins d’évaluation, la sécurité informatique globale peut être décomposée de la

façon suivante…
j La stratégie : la stratégie de sécurité peut être définie comme étant les règles de
sécurité
sécurité des informations de l’organisation. La stratégie de sécurité définit
également la position d’une organisation en matière de sécurité, à savoir la façon
dont elle conçoit et considère les stratégies ainsi que le niveau d’implication de
l’équipe informatique. Il existe trois types de stratégies de sécurité. Chacune d’entre
elles est basée sur sa méthode d’application principale.
− Les stratégies administratives : elles sont appliquées par la direction ou par
l’utilisateur.
− Les stratégies techniques : elles sont appliquées par le système d’exploitation, les
applications ou d’autres contrôles techniques. Les stratégies techniques doivent
avoir des stratégies administratives correspondantes.
− Les stratégies physiques : appliquez les stratégies physiques en implémentant des
contrôles physiques pour empêcher la falsification ou le vol.
j Les processus et les procédures : ils décrivent et prescrivent la façon dont les
administrateurs et les utilisateurs doivent se conformer à la stratégie de sécurité.
j La technologie : elle décrit la méthodologie et les outils utilisés pour appliquer les
processus et procédures d’une stratégie.
j La mise en œuvre : elle décrit le fonctionnement d’une stratégie spécifique sur le
réseau, ce qui comprend l’énumération des paramètres activés ou désactivés.
j La documentation : elle consiste à noter ce qui a été mis en œuvre, y compris la
configuration et les paramètres de sécurité.
j Les opérations : elles fournissent des informations sur l’utilisation et la gestion
précise de la stratégie sur le réseau.
Un bon audit de sécurité informatique évalue la capacité de l’organisation à sécuriser

ses informations au niveau de la stratégie, des processus et des procédures, ainsi que des
opérations. Ces trois composants, décrits précédemment, sont au cœur de la sécurité de
l’entreprise. Par conséquent, construisez votre infrastructure d’audit autour d’eux.
Une infrastructure d’audit de sécurité très simple mais efficace consiste à comparer ces
trois composants. En utilisant ce modèle, vous pouvez vous assurer que la direction (les
propriétaires habituels de la stratégie), les responsables informatiques (les propriétaires
habituels des processus et des procédures) et l’équipe informatique (chargée du
fonctionnement du réseau) ont une position identique en matière de sécurité.
Idéalement, la stratégie de sécurité possède des processus et des procédures

correspondants, qui sont documentés et suivis quotidiennement par les administrateurs
et les utilisateurs.
817
25.8. Publier les résultats de l’évaluation de sécurité

Une fois votre évaluation de sécurité terminée, vous aurez vraisemblablement beaucoup
sécurité
de données à publier. Pour toutes les vulnérabilités découvertes lors de votre évaluation
de sécurité, vous pouvez organiser les informations comme suit…
j Définir la vulnérabilité : la définition de la vulnérabilité permet de répondre à des
questions telles que "Quels sont l’origine et l’impact potentiel de la vulnérabilité ?"
et "Quelle est la probabilité d’exploitation de la vulnérabilité ?".
j Documenter les plans visant à réduire la vulnérabilité : il est important de présenter
des solutions et des réductions potentielles, ou d’autres suggestions visant à réduire
ou à supprimer la vulnérabilité.
j Identifier les modifications à apporter : documentez tout ce qui doit être modifié.
j Attribuer les responsabilités pour mettre en œuvre les recommandations approuvées :
votre rapport doit mentionner les personnes chargées d’appliquer les
recommandations.
j Prescrire la prochaine date d’évaluation de sécurité : vous devez également prescrire
une date pour la prochaine évaluation de sécurité.
25.9. Utiliser l’outil MSAT

Face aux bonnes pratiques de l’évaluation de la sécurité, Microsoft propose
gratuitement l’outil MSAT. MSAT (Microsoft Security Assessment Tool) permet de
mesurer le niveau de sécurité dans un environnement informatique. Cet outil vous
donnera des conseils et des méthodes pour analyser les risques et mieux sécuriser votre
domaine à la fois au niveau de l’organisation, du processus et de la technologie.
Cette application est destinée à aider les entreprises de moins de 1000 salariés à évaluer
les faiblesses de leur environnement en matière de sécurité informatique. Elle permet,
effectivement, d’identifier les processus, ressources et technologies destinés à favoriser
des pratiques efficaces de planification de la sécurité et d’atténuation des risques au sein
de l’entreprise.
Téléchargement gratuit de MSAT, dernière version 3.0 en anglais

www.microsoft.com/france/technet/security/tools/msat/default.mspx
Le principe de MSAT est simple : proposer une évaluation de la sécurité de l’entreprise

au travers une série de questions très ciblées. Dans le détail :
1. Téléchargez puis installez MSAT sur votre ordinateur. Il n’y a pas de difficulté lors
de l’installation, vous n’avez qu’à suivre les instructions.
818
Utiliser l’outil MSAT
2. Lancez l’application en cliquant sur Démarrer/Tous les programmes/Microsoft

Security Assessment Tool/MSAT.
3. Passez le message de bienvenue en cliquant sur Start. Vous devez créer un nouveau
sécurité
profil de risque, tapez le nom de votre entreprise.
Figure 25.3 : Création du profil dans MSAT
4. Commencez à répondre aux questions qui vous sont posées. Une fois que vous avez
répondu à une page de questions, cliquez sur Next pour passer à la page suivante.
Ces questions vont servir à qualifier le profil de risque de la société.
Figure 25.4 : Premières questions basiques posées par MSAT
819
Continuez à répondre aux questions, il y en a plus d’une trentaine.

En voici un autre exemple :

sécurité
Figure 25.5 : Autre exemple de questions posées par MSAT
5. À la fin de toutes les questions, nommez l’évaluation qui en résulte (choisissez un

nom en adéquation avec votre profil de risque) et cliquez sur OK.
Figure 25.6 : Donnez un nom à l’évaluation
820
En résumé
6. C’est parti pour les questions techniques de l’évaluation à proprement parler. Ces
questions sont classées en différentes sections : tout d’abord des questions
d’informations de base sur l’entreprise (nom, nombre d’ordinateurs, de serveurs,
pays), puis une série de questions sur la sécurité, à savoir la sécurité de
sécurité
l’infrastructure, des applications, des opérations et du personnel (si vous utilisez une
connexion Internet, si vous utilisez un serveur Exchange, un serveur VPN, etc.). Et
enfin des questions sur l’environnement (activité, nombre d’employés, nombre de
sites, etc.). Une fois que vous avez répondu à une page de questions, cliquez sur
Next pour passer à la page suivante.
Figure 25.7 : Des questions de l’évaluation
Continuez à répondre aux questions, il y en a plus d’une centaine.
À la fin, vous pourrez visualiser et conserver le résultat de l’évaluation selon trois

rapports : un rapport récapitulatif, un rapport complet et un rapport comparatif.
25.10. En résumé
L’évaluation de la sécurité est très importante pour analyser la manière dont vous êtes
protégé. Cela peut toucher le cœur du système d’exploitation et, par méconnaissance
sur la sécurité, être parfois fatal à l’entreprise si celle-ci se fait attaquer et dépouiller de
ce qui fait son unicité sur le marché. Les bonnes pratiques décrites ici vont vous aider à
monter une évaluation dans les plus brefs délais. De plus, MSAT peut vous donner un
cadre, voire une évaluation toute faite et pertinente du niveau de sécurité de vôtre
entreprise. C’est gratuit, profitez-en et même si les questions sont plus adaptées à une
société de moins de 1000 employés, vous pourrez toujours vous inspirer de ces questions
si vous travaillez dans une entreprise beaucoup plus grande.
821
Chapitre 26
La sécurisation des
postes de travail
26.1 Gérer les mises à jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
26.2 La sécurité sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
26.3 L’antivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
26.4 Implémenter la sécurité des postes de travail à l’aide d’Active Directory . . . . . . 849
26.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
Gérer les mises à jour des logiciels
L a sécurisation des postes de travail s’articule autour d’un ensemble de rubriques de

base…
j Les mises à jour de logiciels : faites en sorte que les systèmes d’exploitation et les
applications des ordinateurs clients soient équipés des dernières mises à jour de
sécurité et des derniers correctifs et Service Packs.
26. La sécurisation des

j Les logiciels antivirus : installez un logiciel antivirus et tenez à jour les fichiers de
postes de travail
signatures pour empêcher l’introduction de code malveillant et l’exploitation des
logiciels installés.
j Le pare-feu : installez et configurez un équipement et/ou un logiciel pare-feu.
j L’informatique mobile : implémentez des stratégies et des technologies permettant
de protéger les périphériques mobiles comme les ordinateurs portables et les
ordinateurs de poche (PDA) et de limiter les vulnérabilités possibles lors de la
connexion de ces périphériques aux équipements de l’entreprise.
j La protection des données : protégez les documents et les informations sensibles en
implémentant une stratégie de sauvegarde, en utilisant des technologies de cryptage
et en limitant l’accès au moyen des méthodes d’authentification appropriées.
j La sécurité des applications : réduisez les sources de vulnérabilité des applications
en utilisant des technologies de gestion de configuration telles que la stratégie de
restriction logicielle, la stratégie de groupe et les outils de déploiement.
j Les outils de gestion des clients : utilisez des technologies de gestion de la sécurité
comme Active Directory, les modèles de sécurité, le contrôle de quarantaine pour
l’accès réseau et la stratégie de groupe pour rationaliser le déploiement et
l’application des stratégies de sécurité.
j Les méthodes conseillées pour les mots de passe : sécurisez l’accès aux ordinateurs
clients en utilisant des mots de passe forts et en appliquant les méthodes conseillées
en ce qui concerne l’utilisation des mots de passe en général.
Ces rubriques, aussi évidentes qu’elles puissent paraître, sont plus complexes à mettre
en œuvre en entreprise car l’étendue des ordinateurs à contrôler est beaucoup plus
grande qu’un simple PC à la maison.
26.1. Gérer les mises à jour des logiciels

Il est capital d’établir une solution de gestion des mises à jour de logiciels pour maintenir
la sécurité des ordinateurs clients. Vous devez implémenter une solution de gestion des
mises à jour pour éviter toute vulnérabilité connue corrigée. Microsoft propose un
certain nombre d’outils et de technologies d’aide à la gestion des mises à jour de
logiciels. La solution retenue dépend des besoins de l’entreprise.
Pour les petites entreprises, WSUS (Windows Software Update Services) est la solution
logique. Si vous disposez d’au moins un serveur Windows et un administrateur
825
Chapitre 26 La sécurisation des postes de travail
informatique qualifié, vous avez probablement intérêt à opter pour le service WSUS.
Dans le cas contraire, utilisez Windows Update.
Pour les moyennes ou grandes entreprises, WSUS et SMS (Systems Management Server)
sont les solutions logiques. Si vous avez besoin d’une solution de gestion des mises à jour
simple, choisissez WSUS. Si vous voulez une distribution complète des logiciels
comprenant des fonctionnalités de gestion des mises à jour, choisissez SMS.

postes de travail
La gestion des correctifs est abordée en détail dans le tome II.
26.2. La sécurité sous Windows Vista

L’actualité étant l’intégration de Windows Vista dans les systèmes d’information, voici
un point complet sur le niveau de sécurité et les outils associés, du niveau système
d’exploitation de Microsoft.
Les menaces pour la sécurité sont en constante évolution. Or, chacun le sait, la sécurité
est une préoccupation majeure pour les entreprises. S’il doit rester protégé contre les
menaces sur Internet et sur les réseaux sans fil, le système d’exploitation client doit
également évoluer. Par le biais de plusieurs scénarios, vous allez voir comment Windows
Vista améliore la sécurité de manière significative en atténuant les menaces et la
vulnérabilité.
Windows Defender
Windows Defender est un antispyware intégré à Windows Vista et destiné à un usage
domestique. Il faut entendre par "usage domestique" l’absence de fonctionnalités
d’administration.
Windows Defender est le logiciel de Microsoft pour lutter contre les malwares, il est
intégré à Windows Vista. Il rassemble des fonctions de détection, de nettoyage et
blocage en temps réel des spywares. Parmi ces actions, Windows Defender est ainsi
capable de surveiller Internet Explorer et les composants logiciels chargés dans le
navigateur, de vérifier les téléchargements. Windows Defender surveille aussi un certain
nombre de points d’entrée fréquemment utilisés sur la machine par les spywares. Il peut
s’agir par exemple de la clé de registre HKLM\… \RUN qui permet à des logiciels de se
maintenir à chaque redémarrage. La technologie de Windows Defender repose sur neuf
agents de surveillance. Il offre la possibilité de réaliser une analyse du système rapide ou
complète.
Pour découvrir l’interface de Windows Defender, sélectionnez le menu Démarrer (le

logo de Windows Vista), puis cliquez sur Tous les programmes et Windows Defender.
826
La sécurité sous Windows Vista

postes de travail
Figure 26.1 : La page d’accueil de Windows Defender
Dans la partie supérieure de la fenêtre Windows Defender, vous voyez les menus
proposés :
j Le menu Accueil affiche l’état général de Windows Defender. Vous y retrouvez la
date de la dernière recherche, l’état de la protection en temps réel et la version des
signatures utilisées par Windows Defender.
j Le menu Analyser analyse l’ordinateur à la recherche de spywares. Différentes
analyses sont proposées (Quick Scan, Full Scan, Custom Scan…).
j Le menu Historique affiche l’historique de toutes les activités de Windows
Defender.
j Le menu Outils regroupe plusieurs paramètres et outils et se décompose en quatre
sections :
− La section Options affiche les paramètres généraux de Windows Defender.
− La section Microsoft SpyNet permet d’échanger de conseils avec la communauté
Spynet.
− La section Eléments en quarantaine contient les éléments qui ont été mis en
quarantaine.
827
− La section Explorateur de logiciels affiche les logiciels qui s’exécutent sur la

machine, qui écoutent le réseau et le niveau de classification associé.
postes de travail
Figure 26.2 : Affichage des options de Windows Defender
Utilisation de Windows Defender

Les utilisateurs visés par Windows Defender se limitent aux particuliers. Windows
Defender ne rentre pas dans le cadre de la gestion d’entreprise, c’est-à-dire qu’il
n’exploite pas les stratégies de groupe ou la console d’administration centralisée. Il
sera possible d’utiliser une version d’entreprise pour la gestion des malwares, mais
cela sera proposé dans une version payante du produit qui s’appelle Microsoft Client
Protection. Cette version ne se limitera pas à la simple gestion de spywares, elle
intégrera également l’antivirus de Microsoft et pourra être administrée sous la forme
d’une solution.
Utiliser Windows Defender

Même si Windows Defender n’est pas un logiciel d’entreprise car il ne possède pas de
fonctions d’administration centralisées, il possède plusieurs fonctions, il est possible de
paramétrer des analyses automatiques et il est nécessaire de le mettre à jour.
Pour mettre Windows Defender à jour, procédez ainsi :
828
1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender.

2. Cliquez sur Vérifier maintenant. Dans la fenêtre Contrôle de compte utilisateur,
sélectionnez Continuer. Une fois la mise à jour terminée, le bouclier devient vert et
il est possible de voir la date de la dernière définition de signatures.

postes de travail
Figure 26.3 : Mise à jour de Windows Defender
Pour planifier les analyses automatiques, suivez ces étapes :

Dans la partie supérieure de la fenêtre Windows Defender, vous retrouvez les sections
de l’outil.
2. Sélectionnez Outils, dans la fenêtre Outils et options, cliquez sur Options sous la
rubrique Paramètres.
3. Vérifiez que la case Analyser automatiquement mon ordinateur (recommandé) est
cochée. C’est impératif pour pouvoir paramétrer les différentes options.
4. Dans Fréquence d’analyse, sélectionnez Mercredi.
5. Dans Heure, choisissez 13:00.
829
6. Dans le type d’analyse, laissez (Analyse rapide).

7. Cochez la case Rechercher les définitions mises à jour avant l’analyse.
8. Cochez la case Appliquer les actions par défaut aux éléments détectés lors d’une
analyse.
9. Cliquez sur Enregistrer.
postes de travail
Figure 26.4 : Configuration de l’analyse automatique de Windows Defender
Pour lancer une analyse manuelle, procédez ainsi :

1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender. Dans la
partie supérieure de la fenêtre Windows Defender, vous retrouvez les sections de
l’outil.
2. Sélectionnez la flèche du menu Analyser.
La fenêtre de sélection vous propose trois options d’analyse :

j Analyse rapide ;
830
j Analyse complète ;
j Analyser les fichiers et les dossiers sélectionnés.
3. Choisissez une des options d’analyse proposée, puis cliquez sur Analyser
maintenant.

Pour désactiver ou activer la protection en temps réel de Windows Defender, procédez
postes de travail
comme suit :
1. Cliquez sur le menu Démarrer, puis sur Panneau de configuration.
2. Sélectionnez l’icône Sécurité.
3. Cliquez sur l’icône Windows Defender.
4. Cliquez sur Outils, puis sur Options.
5. Sous la rubrique Options de protection en temps réel, activez la case à cocher Utiliser
la protection en temps réel (recommandé).
6. Sélectionnez les options voulues. Pour préserver vos données personnelles et
protéger votre ordinateur, il est recommandé de sélectionner toutes les options de
protection en temps réel.
7. Choisissez enfin si Windows Defender doit vous avertir lors de certains événements.
Sélectionnez les options requises, puis cliquez sur Enregistrer.
Consulter l’historique
Vous pouvez si vous le souhaitez connaître l’activité de Windows Defender car il garde
une trace d’un grand nombre d’actions. Pour afficher l’historique de Windows
Defender, procédez de la façon suivante :
2. Cliquez sur Historique.
3. Pour supprimer tous les éléments de la liste, cliquez sur Effacer l’historique. Si vous
êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez
le mot de passe ou la confirmation.
Informations complémentaires
Vous en saurez plus sur la sécurité de Windows Vista en visitant les sites suivants :
j www.microsoft.com/athome/security/spyware/software/default.mspx ;
j http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID
=1032293588&EventCategory=5&culture=en-US&CountryCode=US ;
j www.microsoft.com/athome/security/spyware/software/support/reportspyware
.mspx ;
831
j www.microsoft.com/athome/security/spyware/software/newsgroups/default
.mspx ;
j www.microsoft.com/athome/security/spyware/spywaresigns.mspx ;
j www.microsoft.com/technet/windowsvista/security/default.mspx ;
j www.microsoft.com/france/technet/content/produits/windowsvista/wv
postes de travail
_windowsdefender.asx.
Le Centre de sécurité
Bien qu’il soit important de rester informé des dernières mises à jour logicielles, la
gestion des mises à jour peut devenir coûteuse et longue, et perturber les entreprises et
les utilisateurs. Windows Vista répond à ces problèmes en imposant un redémarrage
moins fréquent des ordinateurs, ce qui simplifie le processus de déploiement des mises
à jour, l’utilisation plus efficace de la bande passante, la possibilité pour les
administrateurs de suivre les mises à jour ayant réussi ou échoué, ainsi que des
améliorations de l’agent WUA (Windows Update Agent).
Avec l’arrivée de Redémarrer Managers, les utilisateurs n’ont pas besoin de redémarrer
Windows Vista lors de l’installation ou de la mise à jour d’une application. Certaines
mises à jour peuvent installer une nouvelle version d’un fichier mis à jour même si
l’ancien fichier est en cours d’utilisation par une autre application. Windows Vista
remplace le fichier lors du prochain redémarrage de l’application. L’objectif avec
Redémarrer Manager est de pouvoir diviser le nombre de redémarrages par deux
concernant l’application de correctifs de sécurité.
Freeze Dry est l’un des composants de Redémarrer Managers, il permet à Windows
Vista de déterminer quelle application utilise un fichier devant être mis à jour. Ainsi, si
l’application tire parti des API de notifications d’arrêt et de redémarrage, les données de
l’application seront enregistrées, l’application fermée, les fichiers mis à jour, puis
l’application sera redémarrée. Par conséquent, la plupart des mises à jour ne perturbent
pas le travail des utilisateurs, ce qui permet de ne plus gêner la productivité et ainsi de
réduire les coûts de gestion des mises à jour. Office 12 est l’exemple d’un logiciel qui tire
parti des API de notifications d’arrêt et de redémarrage.
WSUS (Windows Server Update Services) est une nouvelle version de SUS (Software
Update Services). Il permet d’améliorer la gestion des mises à jour. Les administrateurs
peuvent utiliser WSUS pour prendre connaissance plus facilement des nouvelles mises
à jour disponibles et déterminer si ces mises à jour sont nécessaires dans leurs
environnements. Pour les environnements qui utilisent les mises à jour automatiques,
les administrateurs peuvent utiliser WSUS afin de déployer toutes les mises à jour. Dans
les versions antérieures de Windows, seules les mises à jour critiques pouvaient être
déployées à l’aide de la fonctionnalité Mises à jour automatiques.
832
L’agent WUA (Windows Update Agent) est désormais une application autonome
pouvant télécharger des mises à jour directement à partir du site de Microsoft ou d’un
serveur WSUS interne. Dans la mesure où WUA offre une interface unique vers les
mises à jour téléchargées à partir du site de Microsoft ou d’un serveur d’entreprise
interne, les utilisateurs n’ont pas à apprendre comment utiliser deux outils distincts.

Pour découvrir le Centre de sécurité Windows, procédez comme suit :
postes de travail
1. Ouvrez le menu Démarrer et cliquez sur Panneau de configuration.
2. Dans le Panneau de configuration, cliquez sur les liens Sécurité, puis sur Centre de
Sécurité Windows.
Dans la fenêtre Centre de Sécurité Windows, deux nouvelles catégories ont fait leur
apparition :
j La rubrique Protection contre les programmes malveillants comprend les logiciels
antispywares ainsi que l’antivirus.
j La rubrique Autres paramètres de sécurité affiche l’état des paramètres d’Internet
Explorer Paramètres de sécurité Internet et Contrôle du compte utilisateur.
Figure 26.5 : Le Centre de sécurité
833
Pour découvrir les nouvelles options des mises à jour automatiques (Windows Update) :
1. Dans la partie gauche de la fenêtre, cliquez sur Windows Update. La fenêtre
Windows Update s’ouvre.
postes de travail
Figure 26.6 : La fenêtre d’option de Windows Update
Plusieurs options apparaissent dans la partie gauche de la fenêtre :

j Rechercher les mises à jour lance une vérification des mises à jour sans passer par le
site web Windows Update. Avant, cette fonctionnalité n’était disponible qu’en ligne
de commande avec wuauclt.exe /detectnow.
j Modifier les paramètres change les paramètres de Windows Update.
j Afficher l’historique des mises à jour affiche l’historique des mises à jour. L’historique
comprend le nom, la date, le statut de l’installation et l’importance de la mise à jour
pour la sécurité.
j Restaurer les mises à jour maquées restaure les mises à jour cachées. Les mises à jour
comprennent aussi les signatures pour l’antispyware intégré à Windows Vista
(Windows Defender).
2. Fermez la fenêtre Windows Update, le Centre de sécurité et le Panneau de
configuration.
834
Le pare-feu personnel
Un grand nombre d’applications potentiellement dangereuses, telles que les
applications clientes de partage poste à poste susceptibles de transmettre des
informations personnelles sur Internet, sont conçues pour ignorer les pare-feu qui
bloquent les connexions entrantes. Le pare-feu de Windows Vista permet aux

administrateurs d’entreprise de configurer les paramètres des Stratégies de groupe pour
postes de travail
les applications devant être autorisées ou bloquées, en leur donnant le contrôle sur les
applications pouvant communiquer sur le réseau.
L’un des moyens les plus importants pour les services informatiques pour atténuer les
risques de sécurité consiste à limiter les applications pouvant accéder au réseau. Le
pare-feu personnel intégré à Windows Vista constitue une part importante de cette
stratégie. Avec le pare-feu personnel, les administrateurs peuvent autoriser l’exécution
locale d’une application sur des ordinateurs, mais l’empêcher de communiquer sur le
réseau. Cela donne aux administrateurs la finesse de contrôle dont ils ont besoin pour
atténuer les risques de sécurité sans compromettre la productivité des utilisateurs.
Utiliser le pare-feu standard de Windows Vista

Pour lancer le pare-feu Windows, procédez de la façon suivante :
1. Cliquez sur le menu Démarrer/Panneau de configuration.
Figure 26.7 : Le Panneau de configuration de Windows Vista
835
2. Cliquez sur Sécurité.

postes de travail
Figure 26.8 : La section sécurité du Panneau de configuration
3. Sélectionnez Pare-feu Windows.
L’onglet Général du pare-feu Windows comporte trois paramètres. Voici ce que vous
pouvez faire avec ces paramètres et quand les utiliser…
L’option Activé
Ce paramètre est sélectionné par défaut. Lorsque le pare-feu Windows est activé, la
communication est bloquée pour la plupart des programmes. Si vous souhaitez
débloquer un programme, vous pouvez l’ajouter à la liste des exceptions (sous l’onglet
Exceptions). Par exemple, vous ne pourrez peut-être pas envoyer des photos à l’aide
d’un programme de messagerie instantanée avant d’avoir ajouté ce programme sur la
liste des exceptions.
Pour activer le pare-feu Windows, procédez de la façon suivante :

1. Cliquez sur le menu Démarrer/Panneau de configuration.
2. Sélectionnez Centre de sécurité.
836
3. Dans le volet gauche de la fenêtre Centre de sécurité Windows, sélectionnez

Pare-feu Windows.
4. Cliquez sur Activer ou Désactiver le pare-feu Windows.
5. Cliquez sur Activé (recommandé), puis sur OK.

Figure 26.9 :
postes de travail
Activer le pare-feu
L’option Désactivé
Évitez d’utiliser ce paramètre à moins qu’un autre pare-feu ne soit exécuté sur votre
ordinateur. La désactivation du pare-feu Windows peut rendre votre ordinateur (et
votre réseau si vous en utilisez un) plus vulnérable à des attaques de pirates
informatiques ou de logiciels malveillants tels que des vers.
Pour désactiver le pare-feu Windows, procédez de la façon suivante :

1. Cliquez sur Démarrer/Panneau de configuration.
Pare-feu Windows.
5. Cliquez sur Désactivé (non recommandé), puis sur OK.
837
Figure 26.10 :
Désactiver le pare-feu
postes de travail
L’option Bloquer toutes les connexions

Ce paramètre bloque toutes les tentatives non sollicitées de connexion à votre
ordinateur. Utilisez ce paramètre lorsque vous avez besoin d’une protection maximale
pour votre ordinateur, par exemple lorsque vous vous connectez à un réseau public dans
un hôtel ou un aéroport ou lorsqu’un ver dangereux se répand sur Internet. Si ce
paramètre est activé, vous n’êtes pas averti lorsque le pare-feu Windows bloque tous les
programmes, et les programmes de la liste des exceptions sont ignorés.
Lorsque vous sélectionnez Bloquer toutes les connexions, vous pouvez quand même
afficher la plupart des pages web, recevoir et envoyer du courrier électronique ainsi que
des messages instantanés.
1. Cliquez sur Démarrer/Panneau de configuration.
Pare-feu Windows.
5. Cliquez sur Activé (recommandé), puis sur Bloquer toutes les connexions entrantes et
terminez en cliquant sur OK.
838
Figure 26.11 :
Blocage de toutes les
connexions entrantes

postes de travail
Utiliser le pare-feu avancé
Pour lancer le pare-feu avancé de Windows par la MMC (Microsoft Management
Console), procédez ainsi :
1. Dans le menu Démarrer, sélectionnez la commande Exécuter, puis tapez mmc dans
le champ de saisie et validez par [Ä].
2. Dans la fenêtre Contrôle du compte utilisateur, cliquez sur Continuer.
3. Dans la fenêtre de la console, cliquez sur Fichier, puis sur Ajouter/Supprimer un
composant logiciel enfichable ([Ctrl]+[M]).
4. Sur la liste Composants logiciels enfichables disponibles, sélectionnez Pare-feu
Windows avec sécurité avancée, puis cliquer sur Ajouter (voir fig. 26.12).
5. Une fenêtre s’ouvre vous invitant à sélectionner un ordinateur. Cliquez sur
L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) et cliquez sur
Terminer.
6. Dans la MMC, cliquez sur OK.
7. Dans la partie droite de la console, cliquez sur le lien Pare-feu Windows avec sécurité
avancée Ordinateur Local. La partie centrale présente les paramètres généraux du
pare-feu. Prenez le temps d’examiner les paramètres par défaut affectés aux
différents profils du pare-feu.
839
postes de travail
Figure 26.12 : Configuration de la MMC pour utiliser les options avancées du pare-feu
de Windows Vista
Figure 26.13 : Présentation du pare-feu Windows avec la sécurité avancée sur

l’ordinateur local
840
À présent, vous allez tester le pare-feu et créer pour cela une règle de restriction
sortante pour le Lecteur Windows Media.
Dans un premier temps, le test consiste à lancer une station de radio sur Internet à partir
du Lecteur Windows Media. Pour ouvrir une radio en ligne à l’aide de Windows Media
Player, procédez comme suit :

1. Dans le menu Démarrer, cliquez sur Tous les programmes, puis sur Lecteur
postes de travail
Windows Media.
2. Dans le Lecteur Windows Media, appuyez sur les touches [Ctrl]+[U] pour ouvrir la
fenêtre Ouvrir une URL.
3. Dans la fenêtre Ouvrir une URL, taper l’URL de la radio en ligne : http://www
.ouirock.com/player/metafile/windows.asx. Cliquez sur OK. Le Lecteur
Windows Media accède à l’URL indiquée. Par défaut, toutes les applications sont
autorisées à traverser le pare-feu.
Figure 26.14 : Saisie de l’URL de la radio dans le Lecteur Windows Media
URL
Il s’agit ici d’une URL prise à titre d’exemple. Il existe un grand nombre d’autres liens
sur Internet pouvant être utilisés pour cet exercice.
4. Fermez le Lecteur Windows Media.
841
Puisque l’accès à la radio fonctionne, il est possible d’en restreindre l’accès en créant une
règle dont les caractéristiques seront les suivantes…
j Nom : Lecteur Windows Media.
j Appliquer à : %ProgramFiles%\Windows Media Player\wmplayer.exe.
j Action : Block.
postes de travail
Pour créer la règle qui pourra bloquer le Lecteur Windows Media, procédez comme
suit :
1. Dans la MMC, au centre, cliquez sur Règles du trafic sortant situé dans la catégorie
Démarrer. Vous retrouvez dans la partie centrale de la fenêtre toutes les règles
utilisées par le pare-feu pour filtrer le trafic entrant.
Figure 26.15 : Sélection des règles en sortie du pare-feu
2. Dans la partie droite de la fenêtre, cliquez sur Nouvelle règle… pour créer une
nouvelle règle.
3. Dans la fenêtre Assistant Nouvelle règle sortante, dans la section Quel type de règle
voulez-vous créer?, sélectionnez Programme, puis cliquez sur Suivant.
842

postes de travail
Figure 26.16 : Sélection du type de règles
Dans la section Quels programmes sont concernés par cette règle?, deux choix vous sont
proposés.
j Tous les programmes : la règle s’appliquera à tout le trafic de l’ordinateur.
j Ce programme : cette règle permet de restreindre l’accès à un programme
uniquement en spécifiant son chemin.
4. Sélectionnez Ce Programme et saisissez %ProgramFiles%\Windows Media
Player\wmplayer.exe, puis cliquez sur Suivant.
Figure 26.17 : Spécification du chemin d’accès du programme pour lequel la règle va

s’appliquer
843
5. Dans la section Action, sélectionnez Refuser, puis cliquez sur Suivant.
Dans la fenêtre Profil, sous la rubrique Quels profils sont concernés par cette règle?, vous
pouvez définir trois possibilités.
j Domaine : s’applique lors de la connexion d’un ordinateur à son domaine
d’entreprise.
postes de travail
j Privées : s’applique lors de la connexion d’un ordinateur à un groupe de réseau privé.

j Publiques : s’applique lors de la connexion d’un ordinateur au groupe de réseau
public.
6. Laissez les trois profils sélectionnés et cliquez sur Suivant.
7. Tapez Lecteur Windows Media dans le champ Nom, puis cliquez sur Terminer.
Figure 26.18 : Règles de trafic sortant
Modification d’une règle

Si vous souhaitez modifier une règle après sa création, double-cliquez dessus. Les
étapes sont représentées par des onglets.
844

postes de travail
Figure 26.19 : Modification d’une règle
Pour terminer, il ne reste plus qu’à tester le bon fonctionnement de la règle Lecteur
Windows Media en ouvrant une radio en ligne à l’aide du Lecteur Windows Media.
Pour tester la règle, procédez comme suit :

1. Dans le menu Démarrer, cliquez sur Tous les programmes, puis sur Lecteur
Windows Media.
2. Une fois que le lecteur Windows Media est ouvert, appuyez sur les touches [Ctrl]+[U].
La fenêtre Ouvrir une URL s’affiche.
3. Dans la fenêtre Ouvrir une URL, tapez l’URL de la radio en ligne http://www
.ouirock.com/player/metafile/windows.asx, puis cliquez sur OK.
Après quelques secondes, un message apparaît indiquant que le fichier n’a pas été
trouvé (le Lecteur Windows Media ne trouve pas). Le Lecteur Windows Media n’est
plus en mesure de contacter la radio en ligne, il ne peut plus traverser le pare-feu.
4. Cliquez sur Fermer.
5. Fermez le Lecteur Windows Media.
6. Fermez la Console Microsoft Management et cliquez sur Non.
845
Vous en saurez plus sur le pare-feu de Windows Vista en visitant les sites suivants :
j www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx
j www.microsoft.com.
postes de travail
Le contrôle des comptes utilisateurs (UAC)

L’un des grands problèmes pour la sécurité se pose lorsque les utilisateurs s’exécutent
avec un compte Administrateur sur le Poste de travail ou, pire encore, lorsque les
administrateurs du domaine utilisent leur compte pour effectuer des tâches
quotidiennes n’ayant pas besoin de droits administratifs (lecture des courriels,
navigation sur Internet, etc.). Peut-être que l’une des bonnes raisons à cela est que, sous
Windows XP, il reste très difficile d’être productif sans avoir besoin de droits
administrateurs. Prenons comme exemple les utilisateurs de portable… Pour corriger ce
problème, Windows Vista a introduit l’UAC (User Account Control).
L’objectif d’UAC reste multiple : faciliter la vie des utilisateurs qui ne possèdent pas de
droits d’administrateurs ; protéger le système de l’utilisation d’anciens programmes tout
en gardant une compatibilité (bien souvent, les anciens programmes demandent des
droits d’administrateurs et cette demande est trop souvent liée à un mauvais
développement du programme plutôt qu’à une réelle nécessité). Pour protéger le
système, Windows Vista virtualise le répertoire Program files de façon à ce que
l’utilisateur écrive dans une partie de son profil plutôt que dans le répertoire Program
files lui-même. Cela apporte une certaine isolation qui permet de ne pas polluer les
autres utilisateurs en cas de problème. L’un des autres points sur lequel nous allons nous
attarder un peu plus longuement est l’Admin Approval Mode. Ce principe consiste à
restreindre les droits d’une personne ayant des droits administratifs. Pour cela, sous
Windows Vista, les membres du groupe local administrateurs possèdent deux jetons de
sécurité (token), un jeton complet ainsi qu’un jeton restreint (filtré). Le jeton filtré est le
jeton complet auquel on a retiré tous les privilèges.
Les utilisateurs membres du groupe local administrateur utilisent par défaut le jeton
restreint. Lorsqu’une tâche nécessite un privilège élevé, l’UAC demande la permission
d’utiliser le jeton complet (élévation de privilèges). En fonction du paramétrage de
l’UAC, cela peut être fait de manière transparente, c’est-à-dire sans prompt, par
consentement ou saisie de mot de passe. Le mode par défaut pour les membres du
groupe administrateur est celui du consentement Admin Approval Mode.
Le compte intégré administrateur utilise, quant à lui, son jeton complet, il n’a donc pas
besoin de donner son consentement pour utiliser un autre jeton. L’élévation des
privilèges s’opère donc pour les comptes possédant deux jetons. Un utilisateur standard
n’ayant qu’un jeton restreint, l’UAC ne leur proposera pas d’utiliser un autre jeton et
846
L’antivirus en entreprise
l’utilisateur recevra un Access Denied ou son équivalent en tentant d’exécuter une tache
nécessitant des privilèges plus élevés. Par contre, s’il exécute une application en tant
qu’administrateur ou par un runas, il ne passe pas par le mécanisme UAC. En effet,
cela crée tout d’abord un nouveau jeton d’administration complet qui est alors utilisé
pour lancer l’application CreateProcessAsUser auquel on passe le jeton d’administrateur
en paramètre. C’est pourquoi l’exécution d’une Invite de commandes en tant

qu’administrateur ou runas /user:admin cmd ouvre une fenêtre dans laquelle vous
postes de travail
avez les privilèges complets.
Différences entre le compte intégré administrateur et les membres du groupe

Administrateurs
Par défaut, le compte intégré administrateur est désactivé et n’apparaît pas dans la
fenêtre de lancement. Par défaut, les membres du groupe local Administrateurs
exécutent les applications avec leur jeton restreint et doivent approuver toute
demande d’exécution avec des privilèges plus élevés : Mode Admin Approval. Le
compte intégré administrateur exécute les applications directement avec son jeton
complet, l’UAC n’a donc bas besoin de rentrer en jeu.
Toutefois, le fonctionnement de l’UAC peut être désactivé à plusieurs niveaux, mais il

n’est pas recommandé de le faire encore une fois pour des raisons de sécurité.
Vous en saurez plus sur la sécurité de Windows Vista en visitant les sites suivants :
j www.microsoft.com/france/technet/produits/windowsvista/deploy/appcompat
/acshims.mspx ;
j www.microsoft.com/france/events/event.aspx?EventID=118769731 ;
j www.microsoft.com/france/technet/produits.
26.3. L’antivirus en entreprise

Aujourd’hui plus personne ne peut nier, passer à côté ou ignorer la problématique des
virus. On en deviendrait même blasés, routiniers du fait qu’un antivirus est indissociable
d’un PC (cela ne veut pas dire pour autant qu’il y en ait un qui soit intégré à Windows ;
concurrence oblige, chacun en tirera les conclusions qu’il veut…). En entreprise, la
gestion et la mise à jour de l’antivirus relèvent de procédures à respecter, de vigilance et
de rigueur : il ne faut jamais baisser la garde.
847
Si l’on en croit plusieurs rapports internationaux, les virus informatiques ont un impact
économique mondial qui dépasse les 10 milliards de dollars par an. Pour quelque chose
de familier et de routinier, on s’aperçoit quand même que les virus frappent encore de
nos jours. Il s’agit de coûts aussi bien directs qu’indirects.
Le coût direct d’une attaque de virus correspond aux dépenses nécessaires pour réparer
les dommages causés. Cette réparation peut demander un effort important à l’équipe
postes de travail
informatique locale ou aux fournisseurs de services externes. Il s’agit notamment

d’effacer les dommages créés par le virus, de récupérer les données à partir de
sauvegardes, de réinstaller des systèmes d’exploitation et des applications.
Les coûts indirects d’une attaque virale sont plus difficiles à déterminer. Certaines
organisations ont connu une baisse de productivité et de chiffre d’affaires après avoir été
privées de leur messagerie électronique ou d’un autre système vital pour leur activité
pendant plusieurs semaines à cause d’un virus. Une attaque virale peut provoquer une
perte de données ou compromettre des informations confidentielles. Une attaque virale
réussie peut également nuire à la réputation de l’entreprise en dégradant la confiance
des clients, des investisseurs et des créanciers. Bien que le montant des coûts indirects
soit plus difficile à estimer, il est évident que ces coûts existent et qu’ils sont
considérables. Imaginez les dommages que cela peut causer à une petite entreprise qui
n’a pas forcément les moyens d’investir dans son système d’information.
Déploiement des logiciels antivirus

La solution adéquate de déploiement de logiciel antivirus dépend de la taille et des
besoins spécifiques de l’organisation.
Les particuliers et les très petites entreprises peuvent acheter des produits antivirus
autonomes et les installer sur chaque ordinateur client.
Les petites et moyennes entreprises peuvent utiliser une stratégie de groupe pour
déployer un logiciel antivirus vers les ordinateurs clients de manière centralisée.
Pour les grandes entreprises, la plupart des fournisseurs de logiciels antivirus proposent
des produits pour l’entreprise qui permettent de déployer ces logiciels de manière
centralisée vers les ordinateurs clients de l’ensemble de l’infrastructure. Vous pouvez
généralement déployer le logiciel antivirus via le service d’annuaire Active Directory ou
par le biais d’une console d’administration proposée par le fournisseur. Les fournisseurs
utilisent des méthodes de distribution propriétaires pour prendre en charge les versions
antérieures de Windows et les systèmes d’exploitation tiers. Ces produits pour
entreprise peuvent répondre aux besoins des organisations de taille moyenne, mais ils
risquent d’être trop complexes ou trop coûteux pour les petites entreprises.
848
Implémenter la sécurité des postes de travail à l’aide d’Active Directory
Mise à jour des logiciels antivirus

Le délai entre la détection initiale d’un virus et sa propagation à grande échelle est
parfois très court, parfois le jour même, principalement à cause des capacités de
diffusion rapide des messageries électroniques et de la réplication spontanée. Il est donc
essentiel de diffuser la mise à jour d’une définition de virus aux clients dès que le

fournisseur est en mesure de la communiquer.
postes de travail
Pour les ordinateurs de bureau qui sont en permanence connectés au réseau de
l’entreprise, la solution idéale consiste à télécharger les mises à jour des définitions de
virus vers les serveurs du réseau local, puis à les distribuer aux clients à partir de ces
serveurs. La solution de distribution idéale repose sur un modèle d’émission où les
définitions sont immédiatement copiées vers les clients. Malheureusement, bon nombre
de solutions antivirus actuelles doivent prendre en charge des clients hérités et
s’appuient donc sur un modèle de collecte où les clients vérifient les mises à jour à
intervalles réguliers (quelques heures). En règle générale, il n’est pas conseillé de laisser
les utilisateurs télécharger eux-mêmes les mises à jour de leur logiciel antivirus. Il est
préférable que les administrateurs puissent contrôler l’application en masse de ces
paramètres.
Pour les ordinateurs portables, il est également important de prévoir de quelle manière
ils seront mis à jour une fois qu’ils seront déconnectés du réseau d’entreprise. Dans la
mesure où un nouveau virus peut facilement s’introduire dans un ordinateur portable,
via les supports amovibles ou une connexion fugace à Internet, il peut être utile de
télécharger les mises à jour de logiciels antivirus sur les portables à partir du site d’un
fournisseur.
26.4. Implémenter la sécurité des postes de travail à

l’aide d’Active Directory
Tenez compte des bonnes pratiques suivantes lorsque vous utilisez Active Directory et la
stratégie de groupe pour appliquer des paramètres de sécurité à des ordinateurs clients :
j Concevez une structure d’unités d’organisation qui favorise la mise en œuvre de la
sécurité des ordinateurs clients. La structure d’unités d’organisation doit prendre en
charge l’utilisation d’une stratégie de groupe permettant de gérer efficacement
l’application de paramètres de sécurité à tous les objets utilisateur et ordinateur
client d’Active Directory. Veillez à ce que cette implémentation respecte les normes
de sécurité de votre organisation.
j Concevez une structure d’unités d’organisation qui sépare les objets utilisateur et
ordinateur en fonction de leur rôle.
− Vous devez concevoir la structure d’unités d’organisation de manière à pouvoir
définir des paramètres de sécurité appropriés pour les différents types
d’utilisateurs de votre organisation. Par exemple, les développeurs peuvent être
849
autorisés à effectuer sur leurs stations de travail des tâches interdites à

l’utilisateur moyen. De même, les utilisateurs d’ordinateurs portables peuvent
présenter des besoins (en matière de sécurité) légèrement différents de ceux des
utilisateurs d’ordinateurs de bureau.
− Concevez la structure d’unités d’organisation de manière à pouvoir définir des
paramètres de sécurité appropriés aux différents types d’ordinateurs clients de
votre organisation. Envisagez de créer des unités d’organisation distinctes pour

postes de travail
les différents systèmes d’exploitation utilisés par les ordinateurs clients. Vous
avez également la possibilité de créer des unités d’organisations distinctes pour
différents types d’ordinateurs clients, par exemple les ordinateurs de bureau et
les ordinateurs portables.
j Créez pour chaque unité d’organisation un objet de stratégie de groupe contenant

les paramètres de sécurité appropriés aux utilisateurs ou aux ordinateurs clients de
cette unité d’organisation. Par exemple, vous pouvez vouloir appliquer des
paramètres différents aux ordinateurs portables et aux ordinateurs de bureau dans
la mesure où les portables sont souvent utilisés hors des locaux de l’entreprise et
risquent de se connecter au réseau d’entreprise via des liaisons non sécurisées.
L’implémentation des stratégies de groupe est traitée dans le tome II.
Utiliser des modèles de sécurité pour sécuriser les postes de

travail
Les modèles de sécurité sont des jeux de paramètres de sécurité prédéfinis qui peuvent
être appliqués à des utilisateurs et à des ordinateurs. Les modèles de sécurité
contiennent des paramètres de configuration qui peuvent être importés dans un objet de
stratégie de groupe.
Télécharger des modèles de sécurité

Vous pouvez récupérer gratuitement sur Internet le Windows Vista Security Guide (ou
le Windows XP Security Guide) en recherchant leur nom sur www.microsoft.com/
downloads. Ces guides contiennent des modèles tout fait.
Les guides de sécurité de Windows Vista et Windows XP fournissent trois types de

modèles…
j Les modèles pour domaines (Domain) : ces modèles contiennent des paramètres de
sécurité qui sont appliqués à tous les utilisateurs et ordinateurs du domaine.
j Les modèles pour ordinateurs de bureau (Desktop) : ces modèles contiennent des
paramètres qui peuvent être appliqués aux ordinateurs de bureau directement
connectés à un réseau.
850
j Les modèles pour ordinateurs portables (Laptop) : ces modèles contiennent des
paramètres conçus pour résoudre les problèmes de sécurité liés à la portabilité de
ces ordinateurs.
Chacun de ces modèles de sécurité est disponible en deux versions : environnement

client d’entreprise (Enterprise Client) et environnement haute sécurité (High Security).

postes de travail
Les ordinateurs clients d’entreprise sont généralement situés dans un domaine Active
Directory. Ces clients sont administrés via l’application d’une stratégie de groupe à des
conteneurs, des sites, des domaines et des unités d’organisation.
Les ordinateurs clients des environnements à haute sécurité sont ceux qui nécessitent
une sécurité extrêmement forte. Dans ce cas, la fonctionnalité utilisateur est limitée aux
seules fonctions nécessaires à l’exécution de tâches spécifiques. L’accès est limité aux
applications, services et environnements d’infrastructure approuvés.
Vous pouvez utiliser ces modèles tels quels si les paramètres qu’ils contiennent
conviennent à votre environnement réseau. Pour adapter un modèle aux besoins de
votre organisation, utilisez le composant logiciel enfichable Modèles de sécurité. Après
l’avoir correctement configuré, vous pouvez importer un modèle dans un objet de
stratégie de groupe qui s’applique au domaine ou à une unité d’organisation spécifique
de ce domaine. La console de gestion des stratégies de groupe (GPMC, Group Policy
Management Console) permet de modifier des objets de stratégie de groupe et d’y
importer des modèles de sécurité.
Utiliser des modèles d’administration

En plus des modèles de sécurité, vous pouvez utiliser des modèles d’administration pour
appliquer des paramètres de sécurité à des utilisateurs et à des ordinateurs clients. Les
modèles administratifs contiennent des configurations pour les paramètres figurant
dans Configuration ordinateur\Modèles d’administration, dans Configuration
utilisateur\Modèles d’administration ou dans les ruches HKEY_Local_Machine et
HKEY_Current_User du Registre.
Windows Server 2003 est fourni avec un jeu de modèles d’administration qui prend en
charge les ordinateurs exécutant Windows Server 2003, Windows XP Professionnel et
Windows 2000. Ils prennent partiellement en charge Windows Vista. Il faudra créer la
stratégie de groupe à partir de Windows Vista.
Les guides de sécurité Windows Vista et Windows XP comprennent des modèles

d’administration qui vous permettent de personnaliser l’environnement d’exploitation
de l’utilisateur et de configurer des paramètres de sécurité pour diverses applications.
Adaptation des modèles d’administration provenant des guides de sécurité

Les paramètres d’un modèle d’administration ne sont pas forcément préconfigurés.
Après avoir importé un modèle d’administration dans un objet de stratégie de groupe,
851
il se peut que vous deviez configurer manuellement les paramètres de ce modèle que
vous souhaitez utiliser avant de les appliquer aux ordinateurs et utilisateurs de votre
entreprise. Il vous faut bien sûr passer par une phase de retouches pour l’adapter à vos
besoins. Sachez également que les fournisseurs d’applications tiers peuvent inclure
d’autres modèles dans leurs logiciels.
postes de travail
Vue d’ensemble des paramètres de sécurité des stratégies de

groupe
Chaque objet de stratégie de groupe contient un grand nombre de paramètres de
sécurité. Certains paramètres ne peuvent être définis qu’au niveau d’un domaine,
notamment la stratégie de mot de passe. D’autres peuvent être définis au niveau du
domaine, du site ou de l’unité d’organisation.
Voici une liste non exhaustive des paramètres de sécurité…

j Stratégie de mot de passe des comptes : ce paramètre définit la stratégie des mots de
passe et du verrouillage des comptes pour le domaine. Les mots de passe complexes
et régulièrement modifiés réduisent les chances de succès d’une attaque de mot de
passe.
j Stratégie de verrouillage de compte : ce paramètre spécifie le nombre de tentatives
d’ouverture de session infructueuses au bout duquel un compte d’utilisateur est
verrouillé.
j Stratégie d’audit : ce paramètre spécifie les événements de sécurité qui sont
enregistrés dans le journal de la sécurité.
j Journal des événements : les paramètres du journal des événements sont utilisés pour
enregistrer les événements système. Le journal de la sécurité contient des
événements d’audit. Ce paramètre indique la taille maximale des journaux, les
droits d’accès à chaque journal, la période et les méthodes de rétention.
j Système de fichiers : ce paramètre spécifie des autorisations et des paramètres
d’audit pour les objets du système de fichiers. Il peut être utilisé pour définir des
listes de contrôle d’accès sur des fichiers et des dossiers.
j Stratégies de sécurité IP : ce paramètre permet de spécifier des filtres IPSec, les
actions associées à ces filtres et des règles de filtrage pour l’ensemble du trafic
TCP/IP rencontré par l’ordinateur.
j Paramètres du Registre : ce paramètre permet de configurer des paramètres de
Registre spécifiques sur tous les ordinateurs concernés par la stratégie et
d’empêcher toute modification de ces paramètres. Il permet de spécifier les
autorisations d’accès et les paramètres d’audit associés à des clés du Registre.
j Groupes restreints : ce paramètre permet d’empêcher l’ajout d’utilisateurs à des
groupes de sécurité spécifiés dans Windows 2000, Windows XP Professionnel,
852
Windows Vista et Windows Server 2003. Il spécifie les comptes qui sont membres
d’un groupe et les groupes dont ce groupe est membre.
j Options de sécurité : ce paramètre permet d’activer ou de désactiver un grand
nombre de paramètres de sécurité divers relatifs aux utilisateurs et aux ordinateurs,
notamment la signature numérique des données, les noms des comptes
d’administrateur et d’invité, les méthodes d’authentification pour le contrôle

d’accès, le comportement de l’installation des pilotes et les invites d’ouverture de
postes de travail
session.
j Stratégies de restriction logicielle : les stratégies de restriction logicielle permettent de
spécifier quel logiciel peut ou ne peut pas s’exécuter sur un ordinateur client. Elles
utilisent des règles de hachage, de chemin d’accès, de zone et de certificat.
j Services système : ce paramètre définit le mode de démarrage par défaut et la
configuration de sécurité des services, y compris les autorisations d’accès.
Sécurité des services

N’oubliez pas que tout service, toute application représente un point d’attaque
potentiel. Par conséquent, désactivez ou supprimez de votre environnement les
services et les fichiers exécutables inutiles.
j Attribution des droits utilisateur : ce paramètre indique les opérations système que les
utilisateurs et les groupes sont autorisés à effectuer.
Configuration recommandée des options de sécurité pour les

postes de travail
Le nœud Options de sécurité du composant Stratégie de groupe comprend un grand
nombre de paramètres de sécurité que vous pouvez configurer pour les ordinateurs
clients Windows 2000, Windows XP et Windows Vista. On le rappelle, Windows
Server 2003 est antérieur à Windows Vista, donc les paramètres applicables par
stratégie de groupe sur Windows Vista ne se retrouvent pas tous quand vous créez une
stratégie de groupe à partir de Windows Server 2003. Préférez alors créer votre stratégie
de groupe directement à partir d’un ordinateur Windows Vista.
Ces paramètres se trouvent à l’emplacement suivant : Configuration ordinateur

\Paramètres Windows\Paramètres de Sécurité\Stratégies locales\Options de sécurité.
Pour renforcer la sécurité de votre environnement d’ordinateurs de bureau, vous pouvez

utiliser les options de sécurité recommandées…
Sécurité réseau : Niveau d’authentification LAN Manager

Ce paramètre détermine le protocole d’authentification par stimulation/réponse à
utiliser pour les ouvertures de session réseau. C’est un choix qui affecte le niveau du
853
protocole d’authentification utilisé par les ordinateurs clients ainsi que le niveau négocié
de sécurité de la session. Plusieurs options sont disponibles pour ce paramètre. Nous
vous recommandons de définir le plus fort niveau d’authentification possible pour votre
infrastructure. Dans un environnement d’ordinateurs de type entreprise, il est conseillé
de sélectionner Envoyer uniquement les réponses NTLMv2. Voici les options
disponibles…
postes de travail
j Envoyer les réponses LM et NTLM : les clients utilisent l’authentification LM et

NTLM, mais jamais la sécurité NTLMv2 de niveau session. Les contrôleurs de
domaines acceptent l’authentification LM, NTLM et NTLMv2.
j Envoyer LM et NTLM : utiliser la sécurité de session NTLM version 2 si négociée : les
clients utilisent l’authentification LM et NTLM, plus la sécurité de session NTLMv2
si le serveur la prend en charge.
j Envoyer uniquement les réponses NTLM : les clients utilisent l’authentification
NTLM uniquement, plus la sécurité de session NTLMv2 si le serveur la prend en
charge.
j Envoyer uniquement les réponses NTLMv2 : les clients utilisent l’authentification
NTLMv2 uniquement, plus la sécurité de session NTLMv2 si le serveur la prend en
charge.
j Envoyer uniquement les réponses NTLMv2 \ refuser LM : les clients utilisent
l’authentification NTLMv2 uniquement, plus la sécurité de session NTLMv2 si le
serveur la prend en charge.
j Envoyer uniquement les réponses NTLMv2 \ refuser LM et NTLM : les clients utilisent
l’authentification NTLMv2 uniquement, plus la sécurité de session NTLMv2 si le
serveur la prend en charge.
Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau

LAN Manager sur la prochaine modification de mot de passe
Lorsque vous définissez ou modifiez le mot de passe d’un compte d’utilisateur pour
imposer un mot de passe de moins de 15 caractères, Windows génère un hachage LAN
Manager (LM) et le hachage Windows NT (NTLM) de ce mot de passe. Ces hachages
sont stockés dans la base de données du Gestionnaire de comptes de sécurité (SAM) ou
dans Active Directory.
j Les protocoles d’authentification NTLM, NTLMv2 et Kerberos utilisent tous le
hachage NTLM. Le protocole d’authentification LM utilise le hachage LM.
j Le hachage LM est relativement faible par rapport au hachage NTLM ; il est donc
plus susceptible de succomber à un forçage rapide et brutal. C’est pourquoi vous
avez la possibilité d’empêcher Windows de stocker les hachages LM des mots de
passe.
j Pour empêcher les ordinateurs clients de générer un hachage LM, affectez à ce
paramètre la valeur Activé.
854
j Les hachages LM existants sont supprimés lorsque les utilisateurs modifient leurs
mots de passe.
Options de signature SMB pour les ordinateurs clients

Le protocole d’authentification SMB de Windows 2000 Server, Windows 2000

Professionnel et Windows XP Professionnel prend en charge l’authentification
postes de travail
mutuelle qui permet de mettre fin à une attaque de l’intercepteur et l’authentification
des messages qui empêche les attaques par messages actifs. La signature SMB assure
cette authentification en plaçant dans chaque bloc SMB une signature numérique qui
est ensuite vérifiée à la fois par le client et par le serveur.
j Pour utiliser la signature SMB, vous devez l’activer ou la rendre obligatoire sur le
client et le serveur SMB. Si la signature SMB est activée sur un serveur, les clients
qui sont aussi activés pour la signature SMB utilisent le protocole de signature des
paquets pendant toutes les sessions qui suivent. Si la signature SMB est obligatoire
sur un serveur, un client ne peut établir une session que s’il est au moins activé pour
la signature SMB.
j Lorsque cette stratégie est activée, elle exige du client SMB de signer les paquets.
Lorsque cette stratégie est désactivée, le client SMB n’est pas obligé de signer les
paquets.
j Voici les options de signature SMB pour les ordinateurs Windows 2000 et plus
récents, ainsi que leur configuration recommandée dans un environnement de
sécurité de type client d’entreprise : Client réseau Microsoft : Communications
signées numériquement (toujours) prend la valeur Désactivé et Client réseau
Microsoft : Communications signées numériquement (lorsque le serveur l’accepte)
prend la valeur Activé.
Appliquer les modèles de sécurité et les modèles

d’administration
Pour appliquer des modèles de sécurité et des modèles d’administration à des
ordinateurs clients, procédez de la façon suivante :
1. Ouvrez le composant Gestion des stratégies de groupe, puis ouvrez l’objet de
stratégie de groupe associé à l’unité d’organisation à laquelle vous souhaitez
appliquer le modèle de sécurité ou d’administration.
2. Pour importer un modèle de sécurité, accédez à Configuration ordinateur\Paramètres
Windows, cliquez avec le bouton droit de la souris sur le nœud Paramètres de sécurité
et sélectionnez Importer une stratégie. Naviguez jusqu’à l’emplacement du modèle
de sécurité approprié et sélectionnez le modèle à importer.
3. Pour importer un modèle d’administration, sélectionnez le nœud Configuration
ordinateur\ Modèles d’administration ou Configuration Utilisateurs\Modèles
d’administration, cliquez avec le bouton droit de la souris sur Modèles
855
d’administration, cliquez sur Ajout/Suppression de modèles, recherchez

l’emplacement du modèle d’administration à importer, puis sélectionnez le modèle
de votre choix.
postes de travail
Figure 26.20 : Ajout/Suppression de modèles
4. Configurez des paramètres de sécurité et d’administration supplémentaires en

fonction des besoins de votre organisation, puis fermez l’éditeur d’objets de
stratégie de groupe.
Les méthodes conseillées pour sécuriser les postes de travail à

l’aide d’une stratégie de groupe
Tenez compte des bonnes pratiques suivantes lorsque vous utilisez une stratégie de
groupe pour appliquer des modèles de sécurité et d’administration aux ordinateurs
clients du réseau de votre entreprise :
j Utilisez comme ligne de base, dans la mesure du possible, les modèles pour client
d’entreprise fournis par les guides de sécurité Windows Vista Security Guide et
Windows XP Security Guide et modifiez-les en fonction des besoins de votre
organisation. Lorsque vous réfléchissez sur les paramètres de sécurité de votre
entreprise, vous devez absolument établir un compromis entre la sécurité et la
productivité des utilisateurs. Votre objectif consiste à protéger les utilisateurs contre
les programmes malveillants et les virus tout en leur permettant de profiter de tous
les avantages de l’informatique. Vous devez faire en sorte que les efforts des
utilisateurs ne soient jamais découragés par des paramètres de sécurité trop
restrictifs. Tout est affaire de compromis, en sécurité informatique bien plus
qu’ailleurs, et c’est bien ce qui en fait une activité difficile.
j Implémentez des stratégies de compte et d’audit strictes au niveau des domaines.
Utilisez le modèle de niveau domaine pour clients d’entreprise comme ligne de
base, en le modifiant si nécessaire.
856
En résumé
j Testez soigneusement les modèles avant leur déploiement. Testez

systématiquement et rigoureusement les paramètres des modèles de sécurité et
d’administration avant de les appliquer à un grand nombre d’utilisateurs et
d’ordinateurs dans votre organisation. Certains paramètres qui vous semblent
appropriés peuvent néanmoins donner de mauvais résultats dans votre
environnement.

j Utilisez des modèles d’administration supplémentaires. Consultez le site web
postes de travail
Microsoft et contactez vos autres fournisseurs de logiciels pour obtenir des modèles
d’administration supplémentaires. Microsoft fournit des modèles d’administration
pour beaucoup de ses produits, y compris Office et Internet Explorer.
26.5. En résumé
Certes, la sécurité des postes de travail de l’entreprise tient à la bonne configuration des
outils de sécurité tels l’antivirus, le pare-feu, l’antispyware, etc., mais pas seulement. La
sécurité des postes de travail tient pour beaucoup des paramètres qui sont poussés par
les mécanismes de l’infrastructure (les stratégies de groupe dans Active Directory). Tout
est lié. Tout doit être bien harmonieux. Si vous sécurisez l’infrastructure sans vous
soucier de l’antivirus local alors vous êtes vulnérable et inversement.
Dans le cadre d’une démarche de sécurisation normalisée basée sur le principe de la

roue de Deming : Plan, Do, Check, Act (que l’on pourrait traduire en français pas
"planifier, produire, contrôler, améliorer") les stratégies de groupe sont essentielles car
elles permettent d’appliquer les paramètres de sécurité de façon centralisée, de les
pousser en masse sur tous les utilisateurs et ordinateurs, de les contrôler, de les modifier
et de les forcer si nécessaire.
857
Partie
D
Annexes
Partie
D Annexes
Chapitre 27 Annexe I - Liste alphabétique des commandes . . . . . 861

Chapitre 28 Annexe II - Les services et les ports réseau sous Windows
Server 2003 . . . . . . . . . . . . . . . . . . 927
Chapitre 29 Annexe III - Glossaire . . . . . . . . . . . . . . 967
Chapitre 27
Annexe I - Liste
alphabétique des
commandes
27.1 A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
27.2 B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
27.3 C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
27.4 D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
27.5 E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
27.6 F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
27.7 G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
27.8 L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
27.9 M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
27.10 N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
27.11 P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906
27.12 R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913
27.13 S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916
27.14 T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 922
A
L’ administration en lignes de commandes constitue un bon exemple des

améliorations qui font la puissance d’administration de Windows Server 2003.
Même si ce mode d’administration reste beaucoup moins intuitif et assisté que le mode
graphique, l’administration depuis la ligne de commandes a été largement étendue sous
Windows Server 2003. Des dizaines de nouvelles commandes et de nouveaux scripts ont
été ajoutés pour l’administration d’Active Directory, des imprimantes, Internet
Information Server, les journaux d’événements ou des stratégies de groupes.
Toutes ces nouvelles commandes et scripts font qu’aujourd’hui, 98 % de Windows

Server 2003 peut s’administrer par script ou ligne de commandes. Et bien que nous
tenions à vous présenter au travers de cette annexe un certain nombre de commandes,
Liste alphabétique des

cette liste n’est en rien exhaustive.
27. Annexe I -
commandes
Ce chapitre a pour objectif de présenter un ensemble de commandes qui n’ont pas été
illustrées au long de cet ouvrage.
27.1. A
ADPREP
(Nouvelle commande sous Windows Server 2003).
Syntaxe : adprep <cmd> [option]

<cmd>
/forestPrep La mise à jour des informations au niveau de la forêt doit être
exécutée sur le contrôleur de rôle de schéma.
/domainPrep La mise à jour des informations au niveau du domaine doit être
exécutée sur le contrôleur de rôle d’infrastructure. Doit être
exécutée lorsque /forestPrep est terminé.
[option]
/noFileCopy adprep ne copie aucun fichier de la source sur l’ordinateur local.
/noSPWarning adprep supprimera l’avertissement demandant Windows 2000
Service Pack 2 lors de l’opération /forestprep.
j Cet outil en ligne de commandes se trouve dans le dossier \I386 sur le CD-Rom de
Windows Server 2003. adprep dépend de plusieurs fichiers se trouvant dans cd
dossier ; vous ne pouvez donc pas le retirer du CD-Rom et l’exécuter de façon
indépendante.
863
Chapitre 27 Annexe I - Liste alphabétique des commandes
j Consultez les journaux de adprep de \System32\Debug\Adprep\Logs chaque fois que

vous exécutez cette commande.
j La réplication des modifications du schéma au sein d’un site ne prend que
15 minutes, mais si votre entreprise possède plusieurs sites, cela peut se révéler plus
long. Il peut être préférable d’attendre environ une journée après chaque utilisation
d’adprep, afin d’être certain que les effets ont correctement répliqué. Si vous
essayez d’exécuter adprep /domainprep sans attendre suffisamment longtemps
après l’exécution de adprep /forestprep, un message d’avertissement indique
que le processus de réplication n’est pas terminé. Si vous essayez de mettre à niveau
vers Windows Server 2003 un contrôleur de domaine Windows 2000 après avoir
exécuté adprep /domainprep dans le domaine, un message d’avertissement
similaire est affiché.

27. Annexe I -
commandes
j Lorsque vos forêts et domaines ont été préparés par l’exécution de adprep, les
contrôleurs de domaine restants peuvent continuer à fonctionner sous
Windows 2000, jusqu’à ce que vous décidiez de les mettre à niveau.
j Envisagez d’installer les Service Pack 3 sur vos contrôleurs de domaines
Windows 2000 avant d’utiliser adprep. Si des contrôleurs de domaine
Windows 2000 fonctionnent avec le Service Pack 3, il est plus facile de les
administrer à distance depuis Windows XP Professionnel ou depuis des machines
Windows Server 2003 utilisant le jeu des outils d’administration Windows
Server 2003.
AT
La commande AT planifie l’exécution des commandes et programmes sur l’ordinateur à
une date et à une heure spécifiées. Le service Planification doit fonctionner pour utiliser
la commande AT.
Syntaxe : AT [\\ordinateur] [ [id] [/DELETE] | /DELETE [/YES]]

AT [\\ordinateur] heure [/INTERACTIVE] [
/EVERY:date[,...] | /NEXT:date[,...]] "commande"
\\ordinateur Spécifie un ordinateur distant. Les commandes sont planifiées sur
l’ordinateur local si ce paramètre est omis.
id Identificateur (nombre) affecté à une commande planifiée.
/DELETE Supprime une commande planifiée. Si id est omis, toutes les
commandes sur l’ordinateur sont supprimées.
/YES Utilisée pour supprimer toutes les tâches sans demande de
confirmation.
heure Heure de l’exécution de la commande.
864
A
/INTERACTIVE Permet au travail d’interagir avec le bureau de l’utilisateur qui est

connecté au moment où le travail est effectué.
/EVERY:date[,...]Exécute la commande tous les jours spécifiés de la semaine ou du
mois. Si la date est omise, le jour en cours du mois est utilisé par
défaut.
/NEXT:date[,...] Exécute la commande lors de la prochaine occurrence du jour (par
exemple, jeudi prochain). Si la date est omise, le jour en cours du
mois est utilisé par défaut.
"commande" Commande Windows NT ou programme de commandes à exécuter.

j Les tâches planifiées avec at sont affichées dans le dossier tâches planifiées, mais si
27. Annexe I -
commandes
vous modifiez ensuite les paramètres de la tâche en utilisant tâches planifiées, vous
ne pouvez plus y accéder depuis la ligne de commandes at.
j Vous devez être membre du groupe local Administrateurs pour utiliser cette
commande.
j Le service Planificateur de tâches doit être en cours d’exécution pour utiliser cette
commande. Si nécessaire, employez la console Services pour le démarrer. (Par
défaut, ce service est configuré de manière à se lancer automatiquement au
démarrage du système.)
j Les tâches planifiées sont stockées dans le Registre et ne sont pas perdues si vous
redémarrez le service Planificateur de tâches.
j Le répertoire courant pour l’exécution d’une tâche planifiée est %Systemroot%.
j Les tâches planifiées s’exécutent comme des processus en arrière-plan et aucune
sortie n’est affichée sur l’écran. Vous pouvez rediriger la sortie écran vers un fichier
en utilisant le symbole de redirection (>).
j Si vous modifiez l’heure système d’un ordinateur après avoir planifié l’exécution
d’une tâche sur celui-ci, n’oubliez pas de synchroniser le planificateur de
commandes avec la nouvelle heure lançant at sans options.
j Si une tâche planifiée utilise une lettre de lecteur afin de se connecter à un partage
réseau, n’oubliez pas de planifier une seconde tâche afin de déconnecter le lecteur
lorsque vous ne l’utilisez plus. Sinon, la lettre de lecteur ne sera pas disponible
depuis l’Invite de commandes.
ATTRIB
Affiche ou modifie des attributs de fichier.
865
Syntaxe : ATTRIB [+R | −R] [+A | −A ] [+S | −S] [+H | −H] [[lect:]
[chemin] fichier] [/S [/D]]
+ Définit un attribut.
− Efface un attribut.
R Attribut de fichier en lecture seule.
A Attribut de fichier archive.
S Attribut de fichier système.
H Attribut de fichier caché.

27. Annexe I -
commandes
[Lecteur:]
[Chemin]
[NomFichier] Spécifie le ou les fichiers que ATTRIB doit traiter.
/S Traite les fichiers dans le dossier courant et dans tous les
sous-dossiers.
/D Traite aussi les dossiers.
j Si les attributs System ou Cached sont définis sur un fichier, ils doivent être
supprimés avant de pouvoir modifier tout autre attribut de ce fichier.
j Attrib est également disponible depuis la console de récupération.
27.2. B
BOOTCFG
Cet outil de ligne de commandes peut être utilisé pour configurer, interroger, modifier
ou supprimer les paramètres de l’entrée de démarrage dans le fichier boot.ini.
Syntaxe : BOOTCFG /paramètre [arguments]

/Copy Effectue une copie d’une entrée de démarrage existante pour la
section [operating systems] à laquelle vous pouvez ajouter des
options du système d’exploitation.
/Delete Supprime une entrée de démarrage existante dans la section
[operating systems] section du fichier BOOT.INI. Vous
devez spécifier l’entrée à supprimer.
866
C
/Query Affiche les paramètres actuels d’entrée de démarrage.

/Raw Autorise l’utilisateur à spécifier des options de commutateur pour
une entrée de démarrage spécifiée.
/Timeout Permet de modifier la valeur du délai d’attente.
/Default Permet de modifier le système d’exploitation par défaut.
/EMS Permet à l’utilisateur de paramétrer l’option /redirect pour la
prise en charge headless d’une entrée de démarrage.
/Debug Autorise l’utilisateur à spécifier le port et le taux en bauds du

débogage à distance d’une entrée de démarrage spécifiée.
27. Annexe I -
commandes
/Addsw Autorise l’utilisateur à ajouter des commutateurs prédéfinis pour
/Rmsw Autorise l’utilisateur à supprimer des commutateurs prédéfinis pour
/Dbg1394 Autorise l’utilisateur à configurer le débogage du port 1394 pour une
entrée de démarrage spécifiée.
/? Affiche cet écran d’aide.
j Bootcgf est également disponible dans la console de récupération.

j Vous pouvez aussi configurer certaines options du menu Démarrer (système
d’exploitation par défaut, délai de sélection) depuis l’interface graphique ou en
modifiant Boot.ini.
Pour cela :
1. Dans le Panneau de configuration, choisissez Système/Avancé/Démarrage et
récupération.
2. Sélectionnez Paramètres et choisissez le système d’exploitation par défaut.
Modifiez le délai de sélection.
3. Cliquez sur Modifier pour éditer Boot.ini.
27.3. C
CACLS
Affiche ou modifie les listes de contrôle d’accès (ACL) des fichiers.
867
Syntaxe : CACLS nom_fichier [/T] [/M] [/S[:SDDL]] [/E] [/C] [/G

util:perm] [/R util [...]] [/P util:perm [...]] [/D util
[...]]
nom_fichier Affiche les listes ACL.
/T Modifie les listes ACL des fichiers spécifiés dans le répertoire en
cours et tous les sous-répertoires.
/M Modifie les listes ACL des volumes montés sur un répertoire.
/S Affiche la chaîne SDDL de la liste DACL.
/S:SDDL Remplace les listes ACL par celles spécifiées dans SDDL (non valide
27. Annexe I -
commandes
avec /E, /G, /R, /P ou /D).

/E Modifie la liste ACL au lieu de la remplacer.
/C Continue en ignorant les erreurs d’accès refusé.
/G util:perm Accorde à l’utilisateur les droits d’accès. Perm peut être : - R
Lecture - W Écriture - C Modification (en
écriture) - F Contrôle total.
/R util Retire les droits d’accès de l’utilisateur (avec /E).
/P util:perm Remplace les droits de l’utilisateur. Perm peut être : - N Aucun - R
Lecture - W Écriture C Modification (en écriture) - F Contrôle total.
/D util Refuse l’accès à l’utilisateur spécifié. Des caractères génériques
peuvent être utilisés pour préciser plusieurs fichiers dans une
commande. Vous pouvez spécifier plus d’un utilisateur dans une
commande.
Abréviations :
CI Héritage de conteneur (Container Inherit). Les répertoires héritent
de l’entrée de contrôle d’accès.
OI Héritage d’objet (Object Inherit). Les fichiers héritent de l’entrée de
contrôle d’accès.
IO Héritage uniquement (Inherit Only). L’entrée de contrôle d’accès ne
s’applique pas au fichier ou répertoire en cours.
j cacls ne peut être utilisée pour créer des autorisations spéciales, uniquement des
autorisations standards. De ce point de vue, elle est moins fine que l’interface
graphique.
j Vous pouvez spécifier plusieurs fichiers ou utilisateurs dans une commande.
868
C
j cacls ne peut être utilisée pour définir des autorisations sur la racine d’un volume
NTFS monté sur un dossier d’un volume NTFS différent.
j Pour employer cacls dans un fichier de commande, vous devez fournir un moyen
de répondre automatiquement aux invites qu’elle peut générer. Puisque cacls n’a
pas d’option /y, utilisez la commande Echo afin d’envoyer y comme réponse au
message "Êtes-vous sûr ?" que calcs pourrait générer : Echo y | cacls
NomFichier /g NomUtilisateur:autorisation.
j cacls est utile pour ajouter automatiquement le groupe Administrateurs aux ACL
des répertoires d’accueil des utilisateurs. Consultez l’article Q180464 de la Base de
connaissance sur Microsoft TechNet pour voir plusieurs scripts réalisant cette

action.
27. Annexe I -
commandes
CHKDSK
Vérifie un disque et affiche un rapport d’état.
Syntaxe : CHKDSK [volume[[chemin]nom_de_fichier]] [/F] [/V] [/R]

[/B] [/L[:taille]]
volume Spécifie la lettre de lecteur (suivie de deux-points), le point de
montage ou le nom de volume.
nom_de
_fichier FAT/FAT32 seulement : Spécifie les fichiers dont la fragmentation
est à vérifier.
/F Corrige les erreurs sur le disque.
/V FAT/FAT32 : affiche les chemins d’accès et nom complets de tous les
fichiers du disque. Sur NTFS : affiche également les éventuels
messages de nettoyage.
/R Localise les secteurs défectueux et récupère les informations lisibles
(implique /F).
/L:taille NTFS seulement : change la taille du fichier journal en la valeur
spécifiée en kilo-octets. Si aucune taille n’est donnée, affiche la taille
actuelle.
/X Force le démontage préalable du volume si nécessaire. Les handles
ouverts vers le volume ne seront plus valides (implique /F).
/I NTFS seulement : Vérifie sommairement les entrées d’index.
869
/C NTFS seulement : Ignore la vérification des cycles à l’intérieur de

l’arborescence de dossiers.
j Les options /I ou /C réduisent le temps d’exécution de CHKDSK en ignorant

certaines vérifications sur le volume.
j Vous devez être membre du groupe Administrateur pour utiliser la commande
chkdsk.
j L’exécution de chkdsk peut prendre plusieurs heures ou jours sur de très gros
volumes. Pour accélérer chkdsk, utilisez les options /i et /c qui n’effectuent pas
certaines vérifications sur le volume.
j Si vous choisissez de corriger avec CHKDSK /f, il existe une possibilité de perte de
27. Annexe I -
données (en particulier FAT). C’est pourquoi il vous est demandé de confirmer si
commandes
chkdsk doit effectuer ou non les modifications nécessaires à la table d’allocation

des fichiers. Effectuez également toujours une sauvegarde complète des volumes
contenant des données importantes avant d’exécuter chkdsk /f sur eux.
j Le fichier %systemRoot%\System32\ autochk.exe est requis par chkdsk pour son
exécution.
j Autochk écrit un message dans le journal de l’application pour chaque lecteur
vérifié.
j Vous pouvez également visiter les erreurs présentes sur un disque depuis l’interface
graphique en utilisant le bouton Vérifier maintenant sous l’onglet Outils de la
feuille de propriété d’un disque.
j chkdsk ne peut corriger les erreurs dans la table de fichiers maîtres (MFT, Master
File Table) d’un volume NTFS. Si vous avez un fichier ou un répertoire que vous ne
pouvez ouvrir, renommer, copier ou supprimer sur un volume NTFS, sauvegardez le
volume sur une bande en omettant le fichier à problème puis restaurez le volume.
CHKNTFS
Affiche ou modifie la vérification du disque au démarrage.
Syntaxe : CHKNTFS volume [...]

CHKNTFS /D
CHKNTFS /T[:durée]
CHKNTFS /X volume [...]
CHKNTFS /C volume [...]

870
C
/D Restaure le comportement par défaut de l’ordinateur ; tous les

lecteurs sont vérifiés au démarrage et CHKDSK est exécuté pour ceux
dont l’intégrité est incertaine.
/T:durée Indique la durée du compte à rebours du démarrage d’AUTOCHK
avec le temps spécifié en secondes. Si la durée n’est pas spécifiée,
affiche le paramètre en cours.
/X Exclut un lecteur de la vérification par défaut au démarrage. Les
lecteurs exclus ne sont pas accumulés entre les appels de commande.
/C Vérifie le lecteur spécifié au démarrage ; CHKDSK s’exécutera si

l’intégrité du lecteur est incertaine.
27. Annexe I -
commandes
j Vous devez être membre du groupe Administrateur pour utiliser la commande
chkntfs.
j chkntfs vérifie tous les volumes au démarrage.
j Ne fixez pas la durée du compte à rebours à zéro car la vérification du système de
fichiers peut être très longue et l’utilisateur ne sera pas en mesure d’annuler cette
opération. (chkntsf ne peut être stoppé lorsque son exécution est lancée.)
CIPHER
Affiche ou modifie le cryptage de répertoires (fichiers) sur partitions NTFS.
Syntaxe : CIPHER [/E | /D] [/S:répert] [/A] [/I] [/F] [/Q] [/H]
[chemin [...]]
CIPHER /K
CIPHER /R:nom_fich
CIPHER /U [/N]
CIPHER /W:répert
CIPHER /X[:fich_EFS] [nom_fich]
/A Traite les fichiers et les répertoires. Un fichier crypté peut être
décrypté s’il est modifié et que le répertoire parent n’est pas crypté. Il
est recommandé de crypter le fichier et le répertoire parent.
/D Décrypte les répertoires spécifiés. Les répertoires sont marqués afin
que les fichiers ajoutés ultérieurement ne soient pas cryptés.
871
/E Crypte les répertoires spécifiés. Les répertoires sont marqués afin

que les fichiers ajoutés ultérieurement soient cryptés.
/F Force l’opération de cryptage sur tous les objets spécifiés, y compris
ceux qui sont déjà cryptés. Les objets déjà cryptés sont ignorés par
défaut.
/H Affiche les fichiers avec l’attribut caché ou système. Ces fichiers sont
exclus par défaut.
/I Poursuit l’opération spécifiée même en cas d’erreur. Par défaut,
CIPHER s’arrête lorsqu’une erreur se produit.
/K Crée une nouvelle clé de cryptage de fichier pour l’utilisateur

27. Annexe I -
commandes
exécutant CIPHER. Si cette option est choisie, les autres options sont
ignorées.
/N Cette option ne fonctionne qu’avec /U. Elle empêche les clés d’être
mises à jour. Elle permet de trouver tous les fichiers cryptés sur les
lecteurs locaux.
/Q Signale uniquement les informations les plus importantes.
/R Génère une clé et un certificat d’agent de récupération EFS, et les
enregistre dans un fichier .PFX (contenant la clé privée et le
certificat) et dans un fichier .CER (ne contenant que le certificat). Un
administrateur peut ajouter le contenu du fichier .CER à la stratégie
de récupération EFS afin de créer un agent de récupération pour les
utilisateurs, et importer le fichier .PFX pour récupérer des fichiers
spécifiques.
/S Effectue l’opération spécifiée sur le répertoire donné et tous ses
sous-répertoires.
/U Tente d’atteindre tous les fichiers cryptés sur les lecteurs locaux.
Cette option permet de mettre à jour la clé de cryptage de fichier de
l’utilisateur ou la clé de l’agent de récupération avec les clés en cours
si elles ont été modifiées. Cette option ne fonctionne pas avec les
autres options à l’exception de /N.
/W Supprime les données de l’espace disque inutilisé sur tout le volume.
Si cette option est sélectionnée, les autres options sont ignorées. Le
répertoire spécifié peut se trouver n’importe où dans un volume
local. S’il s’agit d’un ou de plusieurs points de montage vers un
répertoire sur un autre volume, les données sur ce volume seront
supprimées.
872
C
/X Sauvegarde le certificat et les clés EFS dans nom_fichier. Si

fichier_EFS est fourni, les certificats utilisateur actuels employés
pour crypter le fichier seront sauvegardés. Sinon, le certificat et les
clés EFS actuels de l’utilisateur seront sauvegardés.
répert Le chemin d’accès d’un répertoire.
nom_fich Un nom de fichier sans son extension.
chemin Spécifie un motif, un fichier ou un répertoire.
fich_EFS Le chemin d’accès d’un fichier crypté.

j Les caractères génériques sont utilisables avec les fichiers, mais pas avec les
27. Annexe I -
commandes
répertoires.
j Vous ne pouvez pas chiffrer les fichiers système ou compressés.
CLIP
Redirige la sortie des outils de ligne de commandes vers le Presse-papiers. Ce texte peut
ensuite être collé dans d’autres programmes.
Exemples :
DIR | CLIP Copie le contenu du répertoire en cours dans le Presse-papiers
Windows.
CLIP < README
.TXT Copie le contenu du fichier readme.txt dans le Presse-papiers
Windows.
CMD
Démarre une nouvelle instance de l’interpréteur de commandes de Windows.
Syntaxe : CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF]
[/V:ON | /V:OFF] [[/S] [/C | /K] chaîne]
/C Exécute la commande donnée par la chaîne de caractères puis se
termine.
873
/K Exécute la commande donnée par la chaîne de caractères puis reste

actif.
/S Modifie le traitement de la chaîne après /C ou /K (voir ci-après).
/Q Exécute (sans interactions) la commande donnée puis reste actif.
/D Désactive l’exécution d’AutoRun à partir du Registre (voir ci-après).
/A Redirige la sortie de commandes internes vers un canal ou un fichier
ANSI.
/U Redirige la sortie de commandes internes vers un canal ou un fichier
Unicode.
27. Annexe I -
commandes
/T:fg Change la couleur du premier ou de l’arrière-plan (voir aussi COLOR

/?).
/E:ON Active les extensions de commande (voir ci-après).
/E:OFF Désactive les extensions de commande (voir ci-après).
/F:ON Active les caractères de fin des noms de fichiers et de répertoires
(voir ci-après).
/F:OFF Désactive les caractères de fin des noms de fichiers et de répertoires
(voir ci-après).
/V:ON Active l’expansion retardée des variables d’environnement en
utilisant ! comme délimitation. Par exemple, /V:ON permet
à !var! de développer la variable var à l’exécution. La syntaxe
var développe les variables lorsqu’elles sont entrées, ce qui est
différent lorsqu’il est utilisé à l’intérieur d’une boucle FOR.
/V:OFF Désactive l’expansion retardée des variables d’environnement.
j Utilisez les guillemets pour entourer les commandes contenant des espaces.
j Utilisez $$ pour séparer de multiples commandes entourées de guillemets au sein
d’une ligne de commandes.
j /x est identique à /e :on et /y est identique /e :off, pour des raisons de
compatibilité avec l’interpréteur de commandes de Windows NT.
874
C
j L’installation de nouveaux composants du système d’exploitation ou de nouvelles

applications peut créer des variables d’environnement supplémentaires ou modifier
celles existantes, comme PATH.
CMDKEY
Crée, affiche et supprime les noms et mots de passe utilisateur enregistrés.

27. Annexe I -
Syntaxe : CMDKEY [{/add | /generic}:nom_cible {/smartcard |
commandes
/user:nom_utilisateur {/pass{:mot_passe}}} |
/delete{:nom_cible | /ras} | /list{:nom_cible}]
Quelques exemples
j Pour répertorier les informations d’identification disponibles :
cmdkey /list
cmdkey /list:nom_cible
j Pour créer des informations d’identification de domaine :
cmdkey /add:nom_cible /user:nom_utilisateur /pass:mot_passe
cmdkey /add:nom_cible /user:nom_utilisateur /pass
cmdkey /add:nom_cible /user:nom_utilisateur
cmdkey /add:nom_cible /smartcard
j Pour créer des informations d’identification génériques, le commutateur /add peut

être remplacé par /generic.
j Pour supprimer des informations d’identification existantes :
cmdkey /delete:nom_cible
j Pour supprimer les informations d’identification RAS :
cmdkey /delete /ras
Vous pouvez également gérer les informations d’identification enregistrées depuis
l’interface graphique à l’aide de l’utilitaire Noms et Mots de passe utilisateurs enregistré
du Panneau de configuration.
875
CSVDE
Échange d’annuaires CSV.
−i Active l’importation (l’exportation est activée par défaut).
−f NomFichier Nom de fichier d’entrée ou de sortie.
−s NomServeur Serveur avec lequel effectuer la liaison (par défaut, le contrôleur de
domaine du domaine de l’ordinateur).
−v Affiche les commentaires.

27. Annexe I -
commandes
−c NDsrc NDcib Remplace les occurrences de NDsrc par NDcib.

−j Chemin Emplacement du fichier journal.
−t Port Numéro de port (par défaut = 389).
−u Utilise le format Unicode.
−d NDracine Racine de la recherche LDAP (utilise le contexte de nommage par
défaut).
−r Filtre Filtre de recherche LDAP (par défaut, "(objectClass=*)").
−p ÉtendueRech Étendue de recherche (Base/Un niveau/Sous-arborescence).
−l liste Liste d’attributs (séparée par des virgules) à rechercher lors d’une
recherche LDAP.
−o liste Liste d’attributs (séparée par des virgules) à omettre de l’entrée.
−g Désactive la recherche paginée.
−m Active la logique SAM pour l’exportation.
−n N’exporte pas les valeurs binaires.
−k Ignore les erreurs ’Non-respect de contrainte’ et ’Objet existant’ lors de
l’importation. Si aucune information d’identification n’est spécifiée,
csvde établira la liaison en tant qu’utilisateur actuellement
connecté, en employant SSPI.
−a NDUtilisateur
[Mot_passe | *] Authentification simple.
876
D
−b NomUtilisateur
Domaine [Mot
_passe | *] Méthode de liaison SSPI.
j csvde est utilisé pour créer de multiples comptes utilisateurs. Pour cela :
− Le fichier csv que vous importez doit contenir une première ligne, appelée "ligne
d’attribut" qui spécifie le nom de chaque attribut défini dans le fichier.
− Il doit contenir une ligne supplémentaire pour chaque compte d’utilisateur que
vous souhaitez créer. Les attributs de cette ligne correspondront à ceux de la
ligne d’attributs (la première ligne). Utilisez les guillemets pour inclure des

valeurs présentant des virgules.
27. Annexe I -
− Il doit contenir le chemin du compte utilisateur dans Active Directory, le type
commandes
d’objet et le nom d’ouverture de session utilisateur (antérieur à Windows 2000/
2003) pour chaque utilisateur.
− Il doit contenir le nom d’utilisateur principal (UPN) pour chaque utilisateur.
− Il doit spécifier si le compte est activé ou désactivé (par défaut activé).
− Il peut inclure toute information personnelle qui est un attribut d’un compte
d’utilisateur, comme une adresse ou un numéro de téléphone.
j Les mots de passe ne sont pas inclus dans les fichiers de csvde car ce sont des
fichiers texte (fichiers .csv) et ils ne sont donc pas sécurisés. csvde crée de nouveaux
comptes d’utilisateurs et leur attribue un mot de passe vide. C’est pourquoi il est
préférable que ces comptes soient désactivés à leur création car n’importe qui peut
ouvrir une session en utilisant des comptes dont le mot de passe est vide.
j csvde ne peut être utilisé que pour ajouter des objets à Active Directory ; elle ne
peut modifier ou supprimer des objets existants.
j Microsoft Excel est un bon outil pour la création de fichiers csvde car il peut
exporter ces derniers au format de données csv.
27.4. D
DATE
Affiche ou modifie la date.
Syntaxe : DATE [date]
Entrez DATE sans paramètres pour afficher la date système et être invité à la modifier.
Appuyez sur [Ä] pour conserver la même date.
877
Si les extensions de commandes sont activées, la commande DATE prend en charge le

commutateur /T ; la commande n’indique que la date, sans demander d’en entrer une
nouvelle.
j Les années valides vont de 80 à 99 ou de 1980 à 2099.
DCGPOFIX
Recrée les objets de stratégie de groupe par défaut d’un domaine.
Syntaxe : DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

27. Annexe I -
commandes
/target:
{Domain | DC |
BOTH} Facultatif. Spécifie l’objet de stratégie de groupe à restaurer : l’objet
de stratégie de groupe de la stratégie de domaine par défaut et/ou
l’objet de stratégie de groupe de la stratégie par défaut des
contrôleurs de domaine.
/ignoreschema Facultatif. Utilisez ce commutateur pour que cet outil ignore la
version de schéma Active Directory. Sinon, cet outil fonctionnera
uniquement sur la même version de schéma que la version Windows
dans laquelle il a été fourni.
j Lorsque vous exécutez dcgpofix, vous perdez toutes les modifications effectuées
aux objets de stratégies de groupes.
j L’option /ignore schéma permet à dcgpofix de fonctionner avec des versions
différentes d’Active Directory, mais assurez-vous d’utiliser la version de dcgpofix
incluse avec votre version courante d’Active Directory.
DEFRAG
(Nouvelle commande sous Windows Server2003)
Défragmente le volume.
Syntaxe : defrag <volume> [−a] [−f] [−v] [−?]

volume Lettre de lecteur ou point de montage (d: ou
d:\vol\mountpoint).
−a Analyse uniquement.
878
D
−f Force la défragmentation même si l’espace libre est bas.

−v Sortie détaillée.
j Il n’est pas possible d’exécuter en même temps la commande defrag et l’utilitaire

Défragmenteur de disques dans la Gestion de l’ordinateur.
j Un minimum de 15 % d’espace libre sur les volumes est requis pour les
défragmenter totalement. Si vous forcez la défragmentation alors que l’espace libre
n’est pas suffisant, la défragmentation est souvent partielle.
j Pour arrêter le processus de défragmentation, appuyez sur [Ctrl]+[C].

27. Annexe I -
commandes
DFSCMD
DFSCMD configure une arborescence DFS.
Syntaxe : DFSCMD [options]

/map \\nom_dfs
\partage_dfs
\chemin \
\srv\partage\
chemin
[commentaire]
[/restore] Créer un volume DFS. Mapper un chemin d’accès DFS à un chemin
d’accès de serveur. Avec l’option /restore, ne vérifie pas le
serveur de destination.
/unmap \\nom_dfs
\partage_dfs
\chemin Supprimer un volume DFS. Supprimer tous ses réplicas.
/add \\nom_dfs
\partage_dfs
\chemin \\serveur
\partage\chemin
[/restore] Ajouter un réplica à un volume DFS. Avec /restore, ne vérifie pas
le serveur de destination.
/remove \\nom
_dfs\partage
_dfs\chemin \\
serveur\partage
\chemin Supprimer un réplica d’un volume DFS.
879
/view \\nom_dfs
\partage_dfs
[/partial |
/full | /batch ||
/batchrestore] Afficher tous les volumes du système DFS. Sans arguments, affiche
seulement les noms de volumes. Avec l’option /partial, affiche
également les commentaires. Avec l’option /full, affiche la liste
des serveurs d’un volume. Avec /batch, crée un fichier batch
permettant de recréer le DFS. Avec /batchrestore, crée un
fichier batch permettant de recréer le DFS à l’aide de l’option
/restore.
/move \\nom_dfs\
27. Annexe I -
commandes
partage_dfs
\chemin1 \\nom
_dfs\partage
_dfs\chemin2
[/force] Déplacer un dossier situé dans le DFS vers un autre chemin d’accès
logique. Si l’option /force est utilisée, les liens existants sont
remplacés si nécessaire.
Les chemins d’accès et les commentaires contenant des espaces doivent être placés
entre guillemets.
j La commande dfscmd peut gérer des arborescences DFS existantes (de domaine ou
autonomes) mais elle ne peut être utilisée pour en créer de nouvelles. Vous devez
utiliser la console Système de fichiers distribués pour créer une nouvelle arborescence
dfs en définissant une nouvelle racine dfs.
j Les chemins qui contiennent des espaces doivent être placés entre guillemets.
DISKPART
Permet de manipuler un espace disque.
Syntaxe : diskpart [/s <script>] [options]

/s <script> Utilise un script.
ADD Ajoute un miroir à un volume simple.
ACTIVE Indique la partition de base actuelle comme étant active.
880
D
ASSIGN Assigne une lettre de lecteur ou un point de montage au volume

sélectionné.
AUTOMOUNT Active et désactive le montage automatique des volumes de base.
BREAK Détruit un jeu de miroir.
CLEAN Efface les informations de configuration ou toutes les informations
du disque.
CONVERT Convertit à différents formats de disque.
CREATE Crée un volume ou une partition.

27. Annexe I -
DELETE Supprime un objet.
commandes
DETAIL Fournit des détails concernant un objet.
ATTRIBUTES Manipule les attributs de volume.
EXIT Quitte DiskPart.
EXTEND Étend un volume.
GPT Assigne des attributs à la partition GPT sélectionnée.
HELP Imprime une liste de commandes.
IMPORT Importe un groupe de disques.
INACTIVE Marque la partition de base actuelle comme inactive.
LIST Imprime une liste des objets.
ONLINE Indique en ligne un disque actuellement indiqué hors ligne.
REM Ne fait rien. Utilisé pour commenter des scripts.
REMOVE Supprime une lettre de lecteur ou l’assignation à un point de
montage.
REPAIR Répare un volume RAID-5 avec un membre défectueux.
RESCAN Analyse à nouveau l’ordinateur à la recherche de disques et de
volumes.
RETAIN Place une partition nominale sous un volume simple.
SELECT Déplace le focus vers un objet.
j Lorsque des commandes diskpart sont exécutées depuis un script, il est possible de
rediriger la sortie vers un fichier texte afin de consulter ce dernier ultérieurement :
881
Diskpart /s script > fichier.txt
j Si vous utilisez plusieurs scripts avec diskpart dans un fichier de commandes,

ajoutez TimeOut /t 15 avant chaque commande diskpart /s script afin d’être
certain que les premières tâches sont terminées avant que les suivantes ne
commencent.
j Si une erreur se produit pendant l’exécution d’une commande diskpart, la tâche
s’arrête et un code d’erreur est affiché. Si vous ajoutez l’option noerr à la
commande, celle-ci est traitée comme si aucune erreur ne s’était produite. En voici
les codes :
− 0 : pas d’erreur, le script s’est exécuté avec succès.

27. Annexe I -
− 1 : exception fatale.
commandes
− 2 : paramètres incorrects pour la commande diskpart.

− 3 : impossible d’ouvrir les scripts ou le fichier de sortie spécifiés.
− 4 : un service a renvoyé une erreur.
− 5 : syntaxe de la commande invalide.
DSGET
Les commandes de cet outil affichent les propriétés sélectionnées d’un objet spécifique
de l’annuaire.
Syntaxe : dsget <option>

dsget computer Affiche les propriétés des ordinateurs dans l’annuaire.
dsget contact Affiche les propriétés des contacts dans l’annuaire.
dsget subnet Affiche les propriétés des sous-réseaux dans l’annuaire.
dsget group Affiche les propriétés des groupes dans l’annuaire.
dsget ou Affiche les propriétés des unités d’organisation dans l’annuaire.
dsget server Affiche les propriétés des serveurs dans l’annuaire.
dsget site Affiche les propriétés des sites dans l’annuaire.
dsget user Affiche les propriétés des utilisateurs dans l’annuaire.
dsget quota Affiche les propriétés des quotas dans l’annuaire.
882
D
dsget partition Affiche les propriétés des partitions dans l’annuaire.
DSMOVE
Cette commande déplace ou renomme un objet au sein de l’annuaire.
Syntaxe : dsmove <DN_Objet> [−newparent <DN_Parent>] [−newname

<Nouveau_Nom>] [{−s <Serveur> | −d <Domaine>}] [−u
27. Annexe I -
<Nom_Utilisateur>] [−p {<Mot_de_passe> | *}] [−q] [{−uc |
commandes
−uco | −uci}]
<DN_Objet> Requis/stdin. Nom unique (DN) de l’objet à déplacer ou
renommer. Si ce paramètre est omis, il est lu à partir de l’entrée
standard (stdin).
−newparent
<DN_Parent> DN de l’emplacement du nouveau parent vers lequel l’objet doit être
déplacé.
−newname
<Nouveau_Nom> Nouvelle valeur de nom unique relatif (RDN) sous laquelle l’objet
doit être renommé.
{−s <Serveur>
| −d <Domaine>} −s <Serveur> se connecte au contrôleur de domaine (DC) sous le
nom <Serveur>. −d <Domaine> se connecte à un contrôleur de
domaine dans le domaine <Domaine>. Par défaut, un contrôleur de
domaine du domaine de connexion.
−u <Nom
_Utilisateur> Se connecte en tant que <Nom_Utilisateur>. Par défaut :
l’utilisateur connecté. Un nom d’utilisateur peut être : un nom
d’utilisateur, domaine\nom_utilisateur, ou un nom
d’utilisateur principal (UPN).
−p <Mot_de
_passe> Mot de passe de l’utilisateur <Nom_Utilisateur>. Si * est utilisé,
un mot de passe est demandé.
883
{−uc | −uco |
−uci} −uc indique que l’entrée à partir du pipe ou la sortie vers le pipe est
au format Unicode. −uco indique que la sortie vers le pipe ou le
fichier est au format Unicode. −uci indique que l’entrée à partir du
pipe ou du fichier est au format Unicode.
j Vous pouvez déplacer et renommer un objet en une seule étape en utilisant les
options –newparent et –newname.
j dsmove peut déplacer des objets uniquement au sein d’un domaine. Pour déplacer
des objets entre des domaines, employez l’utilitaire MoveTreee qui se trouve sur le
CD-Rom du produit.
27. Annexe I -
commandes
DSQUERY
L’ensemble de commandes de cet outil vous permet d’effectuer des requêtes sur
l’annuaire selon des critères spécifiés. Chacune des commandes dsquery suivantes
permet de rechercher des objets d’un type spécifique, à l’exception de la commande
dsquery *, qui permet d’effectuer des requêtes pour n’importe quel type d’objet.
dsquery computer recherche des ordinateurs dans l’annuaire.

dsquery contact recherche des contacts dans l’annuaire.
dsquery subnet recherche des sous-réseaux dans l’annuaire.
dsquery group recherche des groupes dans l’annuaire.
dsquery ou recherche des unités d’organisation dans l’annuaire.
dsquery site recherche des sites dans l’annuaire.
dsquery server recherche des contrôleurs de domaine dans l’annuaire.
dsquery user recherche des utilisateurs dans l’annuaire.
dsquery quota recherche les spécifications de quotas dans l’annuaire.
dsquery partition recherche les partitions dans l’annuaire.
dsquery * recherche n’importe quel objet dans l’annuaire à l’aide d’une requête
LDAP générique.
884
E
27.5. E
EVENTQUERY
Répertorie les événements et les propriétés d’événements dans un ou plusieurs journaux

Syntaxe : eventquery[.vbs] [/s Ordinateur [/u Domaine\Utilisateur
[/p MotDePasse]]] [/fi NomFiltre] [/fo {TABLE | LIST |
27. Annexe I -
commandes
CSV}] [/r PlageÉvénement [/nh] [/v] [/l [APPLICATION]
[SYSTEM] [SECURITY] ["DNS server"] [JournalDéfini
ParUtilisateur] [NomJournalRépertoire] [*] ]
/s Ordinateur Spécifie le nom ou l’adresse IP d’un ordinateur distant (n’utilisez pas
de barres obliques inversées). Il s’agit par défaut de l’ordinateur
local.
/u Domaine\
Utilisateur Exécute le script avec les autorisations de compte de l’utilisateur
spécifié par Utilisateur ou Domaine \Utilisateur. Il s’agit par
défaut des autorisations de l’utilisateur actuellement connecté sur
l’ordinateur où est émise la commande.
/p MotDePasse Spécifie le mot de passe du compte d’utilisateur spécifié par le
paramètre /u.
/fi NomFiltre Spécifie les types d’événements à inclure ou à exclure de la requête
/fo {TABLE |
LIST | CSV} Spécifie le format à utiliser pour la sortie. Les valeurs valides sont
table, list et csv.
/r Plage
Événement Spécifie la plage d’événements à répertorier.
/nh Supprime les en-têtes de colonnes dans la sortie. Valide uniquement
pour les formats table et csv.
/v Spécifie l’affichage des commentaires sur les événements dans la
sortie.
885
/l [APPLICATION]
[SYSTEM]
[SECURITY]
["DNS server"]
[JournalDéfini
ParUtilisateur]
[NomJournal
Répertoire] [*] Spécifie le ou les journaux à surveiller. Les valeurs valides sont
Application, System, Security, "DNS server", un journal
défini par l’utilisateur et un journal de répertoire. "DNS server"
peut être utilisé uniquement si le service DNS est exécuté sur
l’ordinateur spécifié par le paramètre /s. Pour spécifier plusieurs

27. Annexe I -
commandes
journaux à surveiller, utilisez à nouveau le paramètre /l. Le

caractère générique (*) peut être utilisé et est la valeur par défaut.
j Cette commande est un script .vbs et a besoin de CScript pour s’exécuter. Voici
comment faire de Cscript votre environnement de script par défaut : cscript \\h:
cscript \\.
27.6. F
FINGER
Affiche des informations sur un ou plusieurs utilisateurs sur un ordinateur distant
spécifié (généralement un ordinateur sous Unix) qui exécute le service Finger ou
démon. L’ordinateur distant spécifie le format et la sortie de l’affichage des
informations de l’utilisateur. Utilisé sans paramètres, finger affiche des informations
d’aide.
Syntaxe : finger [−l] [Utilisateur] [@Hôte]

−l Affiche les informations utilisateur sous forme de liste longue.
Utilisateur Spécifie l’utilisateur sur lequel vous voulez des informations. Si vous
omettez le paramètre Utilisateur, finger affiche des
informations sur tous les utilisateurs de l’ordinateur spécifié.
@Hôte Spécifie l’ordinateur distant exécutant le service Finger dans lequel
vous recherchez des informations utilisateur. Vous pouvez spécifier
un nom ou une adresse IP d’ordinateur.
886
F
La machine distante doit exécuter le démon ou le service Finger. Si ce n’est pas le cas,
vous recevez un message "Connexion refusé" en réponse à la commande finger.
Windows Server 2003 n’inclut pas de service Finger ; uniquement un client en ligne
finger.
FORMAT
Formate un disque utilisable avec Windows.

Syntaxe : FORMAT volume [/FS:sys_fich] [/V:nom_volume] [/Q]
27. Annexe I -
commandes
[/A:taille] [/C] [/X]
FORMAT volume [/V:nom_volume] [/Q] [/F:taille]
FORMAT volume [/V:nom_volume][/Q][/T:pistes /N:secteurs]
FORMAT volume [/V:nom_volume][/Q]
FORMAT volume [/Q]

/FS:sys_fich Spécifie le type de système de fichiers (FAT, FAT32 ou NTFS).
/V:nom_de_volume Spécifie le nom de volume.
/Q Effectue un formatage rapide.
/C NTFS uniquement. Les fichiers créés sur le nouveau volume seront
compressés par défaut.
/X Force le volume à être démonté d’abord si nécessaire. Tous les
descripteurs ouverts sur le volume ne seront plus valides.
/A:taille Remplace la taille d’unité d’allocation par défaut. Les paramètres
par défaut sont très fortement recommandés dans le cas général.
NTFS gère 512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko. FAT gère
512, 1024, 2048, 4096, 8192, 16 ko, 32 ko, 64 ko (128 ko, 256 ko pour
taille de secteur > 512 octets). FAT32 gère 512, 1024, 2048, 4096,
8192, 16 ko, 32 ko, 64 ko. (128 ko, 256 ko pour taille de secteur >
512 octets). Les systèmes de fichiers FAT et FAT32 imposent les
restrictions suivantes sur le nombre de clusters par volume : FAT :
nombre de clusters <= 65 526 FAT32 : 65 526 < nombre de clusters <
4 177 918. Le formatage cessera immédiatement s’il est jugé que ces
conditions ne peuvent pas être remplies en utilisant la taille de
887
clusters spécifiée. La compression NTFS n’est pas prise en charge

pour les tailles d’unités d’allocation supérieures à 4096.
/F:taille Spécifie la taille de la disquette à formater (1,44).
/T:pistes Spécifie le nombre de pistes par face de disque.
/N:secteurs Spécifie le nombre de secteurs par piste.
Lorsque format est utilisé avec la console de récupération, seules les options /fs et /q
sont disponibles.
27. Annexe I -
commandes
FREEDISK
Cet outil vérifie si la quantité spécifiée d’espace libre est disponible sur le lecteur
spécifié. Renvoie 0 si l’espace est disponible et 1 si l’espace n’est pas disponible.
Lorsqu’une valeur n’est pas spécifiée, l’espace libre disponible est affiché. La valeur par
défaut est le lecteur ou le volume en cours.
Syntaxe : FREEDISK [/S système [/U utilisateur [/P [mot_de_passe]]]]

[/D lecteur/volume] [valeur]
/S système Spécifie le système distant auquel se connecter.
/U [domaine\]
utilisateur Spécifie le contexte utilisateur sous lequel la commande doit
s’exécuter.
/P [mot_de
_passe] Spécifie le mot de passe du contexte utilisateur donné. Il est
demandé s’il est omis.
/D lecteur/
volume Spécifie le lecteur ou le volume pour lequel la disponibilité d’espace
libre doit être connue. Cette option doit être spécifiée pour un
système distant.
<valeur> Spécifie la quantité d’espace libre en octets. Elle peut être spécifiée
en kilo-octets, en mégaoctets, en gigaoctets, en téraoctets, Po, Eo, Zo
et Yo.
Lors de l’installation sans assistance, utilisez freedisk dans un fichier de commandes

pour vérifier si l’espace libre est suffisant pour la suite de l’installation.
888
F
FTP
Transfère des fichiers vers et depuis un ordinateur exécutant un service de serveur FTP
(File Transfer Protocol) tel que les services Internet (IIS). Ftp peut être utilisée de
manière interactive ou en mode Batch, en traitant des fichiers texte ASCII.
Syntaxe : ftp [−v] [−d] [−i] [−n] [−g] [−s:Nom_Fichier] [−a]

[−w:Taille_Tampon] [−A] [Hôte]
−v Supprime l’affichage des réponses du serveur FTP.

−d Active le débogage, en affichant toutes les commandes transmises
27. Annexe I -
commandes
entre le client FTP et le serveur FTP.
−i Désactive les messages interactifs lors des transferts de fichiers
multiples.
−n Supprime la possibilité d’ouvrir automatiquement une session une
fois la connexion initiale établie.
−g Désactive la globalisation des noms de fichiers. Glob permet
l’utilisation de l’astérisque (*) et du point d’interrogation (?) comme
caractères génériques dans les noms de fichiers et les chemins
d’accès. Pour plus d’informations, consultez Rubriques connexes.
−s:Nom_Fichier Spécifie un fichier texte contenant des commandes FTP. Ces
commandes s’exécutent automatiquement après le démarrage de
FTP. Ce paramètre n’admet aucun espace. Utilisez ce paramètre au
lieu du symbole de redirection (<).
−a Spécifie que n’importe quelle interface locale peut être utilisée lors
de la liaison de la connexion de données FTP.
−w:Taille_Tampon Spécifie la taille du tampon de transfert. La taille de tampon par
défaut est de 4096 octets.
−A Ouvre une session sur le serveur FTP en tant que session anonyme.
Hôte Spécifie le nom d’ordinateur, l’adresse IP ou l’adresse IPv6 du
serveur FTP auquel vous souhaitez vous connecter. S’il est spécifié,
le nom ou l’adresse de l’hôte doit être le dernier paramètre de la
ligne.
j La commande ftp est un client par opposition au service ou au démon FTP qui
réside sur le serveur.
889
j Windows Server 2003 propose Service de publication FTP avec IIS (Internet
Information Service). Par défaut, le répertoire d’accueil ou racine de ce service
correspond au répertoire C:\Inetpub\ftproot sur le serveur.
j FTP est non sécurisé car il transmet les mots de passe en clair.
Pour utiliser FTP dans un fichier de commandes :

1. Effectuez une session FTP interactive et copiez-la dans l’éditeur de texte comme le
Bloc-notes.
2. Enlevez les réponses ; pour ne laisser que la commande.
3. Utilisez l’option −S pour exécuter le fichier de commandes avec FTP.

27. Annexe I -
commandes
27.7. G
GETMAC
Cet outil permet à un administrateur d’afficher l’adresse MAC des cartes réseau d’un
ordinateur.
Syntaxe : GETMAC [/S système [/U nom_utilisateur [/P

[mot_de_passe]]]] [/FO format] [/NH] [/V]
/U [domaine\]
s’exécuter.
GPRESULT
Cet outil de ligne de commandes affiche le jeu de stratégies résultantes (RSoP).

Information pour ordinateurs et utilisateurs cibles.
Syntaxe : GPRESULT [/S système [/U utilisateur [/P mot_de_passe]]]]

[/SCOPE étendue] [/USER utilisateur_cible] [/V | /Z]
890
G
/U [domaine\]
utilisateur Spécifie le contexte utilisateur sous lequel cette commande doit
s’exécuter.
/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est
/SCOPE étendue Précise si les paramètres de l’ordinateur doivent être affichés.
Valeurs autorisées : USER, COMPUTER.
/USER [domaine\]
utilisateur Spécifie le nom d’utilisateur pour lequel les données RSOP sont

affichées.
27. Annexe I -
commandes
/V Indique que les informations détaillées doivent être affichées. Ces
informations présentent d’autres paramètres détaillés qui ont été
appliqués avec une priorité de 1.
/Z Spécifie que les informations extrêmement détaillées doivent être
affichées. Ces informations présentent d’autres paramètres détaillés
qui ont été appliqués avec une priorité de 1 et plus. Ceci vous permet
de savoir si un paramètre a été appliqué en plusieurs endroits.
Consultez l’aide en ligne des stratégies de groupe pour plus de
détails.
Si vous exécutez GPRESULT sans paramètres, il renvoie les données RSoP de l’utilisateur
en session sur l’ordinateur exécutant le programme.
GPUPDATE
Actualise les paramètres des stratégies de groupe.
Syntaxe : GPUpdate [/Target:{Ordinateur | Utilisateur}] [/Force]

[/Wait:<valeur>] [/Logoff] [/Boot] [/Sync]
/Target :
{Ordinateur |
Utilisateur} Spécifie que les paramètres de stratégie utilisateur uniquement ou
les paramètres de stratégie ordinateur uniquement sont actualisés.
Par défaut, les paramètres des stratégies utilisateur et ordinateur
sont actualisés tous les deux.
891
/Force Applique à nouveau tous les paramètres de stratégie. Par défaut,

seuls les paramètres de stratégie ayant été modifiés sont appliqués.
/Wait : {valeur} Définit le nombre de secondes d’attente afin que le processus de
stratégie soit terminé. Par défaut : 600 secondes. La valeur "0"
signifie "Aucune attente". La valeur "−1" signifie "Indéterminé".
Lorsque l’une de ces limites de temps est dépassée, l’Invite de
commandes revient mais le traitement de la stratégie continue.
/Logoff Provoque la fermeture de session suite à l’actualisation du
paramétrage de la stratégie de groupe. Ceci est nécessaire pour les
extensions côté client de la stratégie de groupe qui ne traitent pas la

stratégie par un cycle d’actualisation à l’arrière-plan, mais au
27. Annexe I -
commandes
moment où l’utilisateur ouvre une session. Les exemples incluent

l’installation du logiciel ciblé sur l’utilisateur et la redirection de
dossier. Cette option n’a pas d’effet s’il n’y a pas d’extensions
appelées nécessitant une fermeture de session.
/Boot Provoque un redémarrage après l’actualisation des paramètres de la
stratégie de groupe. Cela n’est pas demandé pour les extensions côté
client de la stratégie de groupe qui traitent la stratégie dans un cycle
d’actualisation en arrière-plan mais pour celles qui traitent la
stratégie au démarrage de l’ordinateur. Les exemples contiennent
l’installation du logiciel. Cette option n’a pas de conséquence s’il n’y
a pas d’extension appelée à redémarrer.
/Sync Provoque la synchronisation de l’application suivante de la stratégie
en arrière-plan. Les applications de stratégie à l’arrière-plan
surviennent au démarrage de l’ordinateur et à l’ouverture de session
de l’utilisateur. Vous pouvez l’indiquer pour l’utilisateur,
l’ordinateur ou les deux en employant le paramètre /Target. Les
paramètres /Force et /Wait seront ignorés si spécifié.
j Cette commande peut actualiser les paramètres de la stratégie de groupe sur des
ordinateurs autonomes ou dans Active Directory.
j La commande gpudate remplace la commande secedit /refreshpolicy.
892
L
27.8. L
LDIFDE
Échange de répertoires LDIF.
Syntaxe : ldifde [options]

−i Active l’importation (l’exportation est activée par défaut).
27. Annexe I -
−f NomFichier Nom de fichier d’entrée ou de sortie.
commandes
−s NomServeur Serveur avec lequel effectuer la liaison (par défaut, le contrôleur de
domaine du domaine de l’ordinateur).
−c NDsrc NDcib Remplace les occurrences de NDsrc par NDcib.
−v Affiche les commentaires.
−j Chemin Emplacement du fichier journal.
−t Port Numéro de port (par défaut = 389).
−u Utilise le format Unicode.
−w timeout Termine l’exécution si le serveur prend plus de temps que le nombre
de secondes spécifiées pour répondre à l’opération (par défaut =
aucun délai d’expiration spécifié).
−h Active le cryptage de la couche SASL.
−d NDracine Racine de la recherche LDAP (utilise le contexte d’attribution de
nom par défaut).
−r Filtre Filtre de recherche LDAP (par défaut(objectClass=*)).
−p Étendue
Rech Étendue de recherche (Base/Un niveau/Sous−
arborescence).
−l liste Liste d’attributs (séparée par virgules) à rechercher lors d’une
recherche LDAP.
−o liste Liste d’attributs (séparée par virgules) à omettre de l’entrée.
−g Désactive la recherche paginée.
−m Active la logique SAM pour l’exportation.
893
−n N’exporte pas les valeurs binaires.

−k Ignore les erreurs "Non-respect de contrainte" et "Objet existant" lors
de l’importation.
−y L’importation utilisera l’écriture différée pour des performances
accrues (activé par défaut).
−e L’importation n’utilise pas l’écriture différée.
−q threads L’importation utilise le nombre de threads spécifié (1 par défaut). Si
aucune information d’identification n’est spécifiée, LDIFDS
établira la liaison en tant qu’utilisateur actuellement connecté en

employant SSPI.
27. Annexe I -
commandes
−a DN_utilisateur
[Mot_de_passe
| *] Authentification simple.
−b Nom_
utilisateur
Domaine [Mot_de
_passe | *] Méthode de liaison SSPI.
j Contrairement à csvde, qui peut uniquement ajouter de nouveaux objets à Active

Directory, ldifde permet d’en ajouter, sans en supprimer, ou de les modifier.
j Si un attribut n’est pas spécifié dans le fichier LDFIF, utilisez FILL SEP comme
valeur pour l’attribut.
LPQ
Affiche l’état d’une file d’attente lpd distante.
Syntaxe : lpq −S Serveur −P Imprimante [−I]

−S Serveur Nom ou adresse IP de l’hôte fournissant le service lpd.
−P Imprimante Nom de la file d’attente d’impression.
−I Commentaires.
j Lpq peut également interroger des serveurs non LPD (par exemple des serveurs
d’impression Microsoft Windows). Cependant, elle ne vous permet pas d’envoyer
des travaux à ces serveurs d’impression.
j Voici comment interroger la file d’attente d’impression TPC/IP de la machine
locale : Lpq –S localhost –P NomImprimante.
894
M
LPR
Envoie un travail d’impression vers une imprimante du réseau.
Syntaxe : lpr −S Serveur −P Imprimante [−C Classe] [−J Travail] [−o

Option] [−x] [−d] nom du fichier
−S Serveur Nom ou adresse IP de l’hôte fournissant le service lpd.
−P Imprimante Nom de la file d’attente d’impression.

−C Classe Classification du travail pour utilisation sur la page de salve.
27. Annexe I -
commandes
−J Travail Nom du travail à imprimer sur la page de salve.
−o Option Indique le type de fichier (suppose par défaut que c’est un fichier
texte). Utilisez −o l pour les fichiers binaires (par exemple
Postscript).
−x Compatibilité avec SunOS 4.1.x et versions antérieures.
−d Envoyer d’abord le fichier de données.
27.9. M
MOUNTVOL
Crée, supprime ou liste un point de montage du volume.
Syntaxe : MOUNTVOL [lecteur:]chemin d’accès de Nom_volume

MOUNTVOL [lecteur:]chemin d’accès /D
MOUNTVOL [lecteur:]chemin d’accès /L
MOUNTVOL [lecteur:]chemin d’accès /P
MOUNTVOL /R
MOUNTVOL /N
MOUNTVOL /E
Chemin Spécifie le répertoire NTFS existant dans lequel le point de montage
résidera.
Nom_volume Spécifie le nom du volume cible du point de montage.
/D Supprime le point de montage du volume du répertoire spécifié.
895
/L Liste le nom de volume monté pour le répertoire spécifié.

/P Supprime le point de montage du volume du répertoire spécifié,
démonte le volume et le rend non montable. Vous pouvez rendre
montable le volume en créant un nouveau point de montage de
volume.
/R Supprime les paramètres du Registre pour les volumes non listés
ci-après.
/N Désactive le montage automatique de nouveaux volumes.
/E Active le montage automatique de nouveaux volumes.

27. Annexe I -
commandes
j Vous pouvez également créer des points de montage à l’aide de la Gestion de

disques.
j Les points de montages peuvent être utilisés lorsque vous ne disposez plus d’aucune
lettre de lecteur pour les volumes locaux et pour augmenter l’espace sur un volume
sans avoir à le reformater ou à remplacer le disque dur (ajoutez simplement un
chemin de montage vers un autre volume). Vous pouvez également utiliser un
volume avec plusieurs chemins de montage afin d’obtenir un accès à tous vos
volumes locaux par le biais d’une seule lettre de lecteur.
j Ne supprimez pas un point de montage avec l’Exploreur Windows ou del /s car
cela supprime le répertoire cible et tous ces sous-répertoires. À la place, utilisez
mountvol /d.
27.10. N
NET
ACCOUNTS, COMPUTER, CONFIG, CONTINUE, FILE, GROUP, HELPMSG, LOCALGROUP, NAME,
PAUSE, PRINT, SEND, SESSION, SHARE, START, STATISTICS, STOP, TIME, USE, USER,
VIEW.
j Pour voir la syntaxe d’une commande net depuis la ligne de commandes, entrez net
help suivi de l’option qui définit la commande. Par exemple, pour connaître la
syntaxe de net account, entrez net help account.
j Toutes les commandes net acceptent également les options suivantes :
− /y répond automatiquement par oui à toutes les invites générées par la
commande (utile dans les fichiers de traitement par lots).
− /n répond automatiquement par non à toutes les invites.
896
N
NET CONFIG
Configure les services Serveur et Station de travail.
Syntaxe : NET CONFIG [SERVER | WORKSTATION]
Pour configurer les services Serveur et Station de travail, consultez net config
serveur et netconfig workstation.

NET CONFIG SERVER
27. Annexe I -
commandes
Cette commande permet de configurer le service Serveur.
Syntaxe : NET CONFIG SERVER [/AUTODISCONNECT:minutes]

[/SRVCOMMENT:"texte"] [/HIDDEN:{YES | NO}]
j Les modifications apportées par cette commande prennent effet immédiatement et

sont permanentes.
j Il est préférable de modifier les paramètres du service Serveur en modifiant
directement le Registre au lieu d’utiliser cette commande avec m’importe laquelle
de ces trois options. Cette commande enregistre en effet de façon permanente les
paramètres courants du service Serveur dans le Registre et désactive l’ajustement
automatique de ce service. L’ajustement automatique est un mécanisme grâce
auquel Windows Server 2003 essaie de maintenir des performances optimales pour
le service Serveur. Par exemple, si vous ajoutez de la mémoire à votre serveur après
avoir exécuté net config server /autosiconnect :5, Windows Server 2003 ne
sera pas en mesure de se configurer automatiquement afin d’effectuer la meilleure
utilisation de la mémoire supplémentaire. Cependant, l’utilisation de net config
server sans autre paramètre n’a pas cet effet négatif. Pour savoir comment annuler
ce problème s’il devait arriver, consultez l’article 128167 de la Base de
connaissances.
j Pour configurer le service Station de travail, utilisez net config workstation.
NET CONFIG WORKSTATION

Cette commande permet de configurer le service Station de travail.
897
Syntaxe : net config workstation
j Les modifications apportées prennent effet immédiatement et sont permanentes.

j Pour configurer le service Serveur, utilisez net config server.
NET GROUP
Cette commande permet de configurer des groupes
Syntaxe : NET GROUP nom de groupe [/COMMENT:"texte"] [/DOMAIN]

27. Annexe I -
commandes
NET GROUP nom de groupe {/ADD [/COMMENT:"texte"] |

/DELETE} [/DOMAIN]
NET GROUP nom de groupe nom d’utilisateur [...] {/ADD |

/DELETE} [/DOMAIN]
j net group peut également être entré sous la forme net groups.
j Utilisez des guillemets autour des noms de groupes comprenant des espaces :
" Utilisateur du domaine ".
j Dans la sortie de net group, l’astérisque qui se trouve avant le nom du groupe
indique que parmi ses membres se trouvent des utilisateurs et des groupes.
NET HELPMSG
Cette commande aide à interpréter un numéro de message d’erreur Windows.
Syntaxe : NET HELPMSG numéro de message
NET LOCALGROUP
Cette commande permet de configurer des groupes locaux.
898
N
Syntaxe : NET LOCALGROUP [nom de groupe [/COMMENT:"texte"]]

[/DOMAIN]
NET LOCALGROUP nom de groupe {/ADD [/COMMENT:"texte"] |

/DELETE} [/DOMAIN]
NET LOCALGROUP nom de groupe nom [...] {/ADD | /DELETE}

[/DOMAIN]
j net localgroup peut également être entré sous la forme net localgroups.
j Utilisez des guillemets autour des noms de groupes comprenant des espaces :

« Utilisateur du domaine ».
27. Annexe I -
commandes
j Dans la sortie de net localgroup, l’astérisque qui se trouve avant le nom du
groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
C:\>net localgroup
Alias de \\SNCECPDC01
*Accès compatible pré-Windows 2000
*Administrateurs
*Administrateurs DHCP
*Duplicateurs
*Éditeurs de certificats
*Groupe d’accès d’autorisation Windows
*HelpServicesGroup
*Invités
*Opérateurs de compte
*Opérateurs de configuration réseau
*Opérateurs de sauvegarde
*Opérateurs de serveur
*Opérateurs d’impression
*Serveurs de licences des services Terminal Server
*Serveurs RAS et IAS
*TelnetClients
*Utilisateurs
*Utilisateurs de l’Analyseur de performances
*Utilisateurs DHCP
*Utilisateurs du Bureau à distance
*Utilisateurs du journal de performances
*Utilisateurs du modèle COM distribué
NET PRINT
Affiche des informations sur une file d’attente d’impression ou une tâche d’impression
spécifique, ou contrôle une tâche d’impression donnée.
899
Syntaxe : NET PRINT \\nom d’ordinateur\nom de partage

NET PRINT [\\nom d’ordinateur] numéro de travail [/HOLD |
/RELEASE | /DELETE]
j Pour déterminer le nom de partage de votre imprimante partagée, entrez net

share sur la ligne de commandes.
j Si un serveur d’impression possède plusieurs imprimantes partagées, chacune a sa
propre file d’attente. Cependant, des travaux de différentes files d’impression sur le
même serveur peuvent avoir un même numéro d’identification.
27. Annexe I -
commandes
NET SEND
Envoie des messages à d’autres utilisateurs, ordinateurs ou noms de messagerie sur le
réseau
Syntaxe : NET SEND {alias | * | /DOMAIN[:nom] | /USERS} message
j Pour qu’un utilisateur reçoive des messages, le service Affichage des messages doit
être en exécution.
j Utilisez des guillemets pour les noms d’ordinateur et les noms d’utilisateur
contenant des espaces.
j Les messages peuvent présenter jusqu’à 128 caractères.
j La file d’attente de messages qui conserve temporairement les messages pour le
compte du service Affichage des messages peut stocker un maximum de six
messages ; les autres messages sont ignorés si les précédents n’ont pas été validés.
j Net send* est identique à netsend/domain.
j Les messages diffusés (options * et /domain) sont envoyés sur tous les protocoles
réseau. Par exemple, si TCP/IP et NWLink sont installés, les messages apparaîtront
deux fois sur la machine réceptrice. Les messages envoyés à des destinataires
spécifiques ne sont reçus qu’une fois.
j Les messages sont reçus uniquement sur le sous-réseau local, sauf si des routeurs
sont configurés spécifiquement pour retransmettre les paquets name query de
NetBIOS.
j Les messages envoyés avec l’option /user sont expédiés à chaque session établie
avec le serveur. Si un utilisateur a trois sessions ouvertes avec le serveur, le message
sera reçu trois fois.
900
N
NET SESSION
Gère les connexions à un serveur. Utilisée sans paramètre, la commande net session
affiche des informations sur toutes les sessions actuellement ouvertes sur l’ordinateur
local.
Syntaxe : NET SESSION [\\nom d’ordinateur] [/DELETE]
j net sessions est équivalent à net session.

j Une session est initiée lorsqu’une machine cliente parvient à contacter un serveur,

par exemple pour accéder à un dossier ou une imprimante partagée.
27. Annexe I -
commandes
j Un client ne peut établir qu’une session avec un serveur, mais peut avoir plusieurs
connexions à des ressources sur ce serveur.
j Utilisez net send pour demander aux clients d’enregistrer leur travail avant de
terminer leurs connexions avec le serveur.
NET SHARE
Gère les ressources partagées. Utilisée sans paramètre, la commande net share affiche
des informations sur toutes les ressources actuellement partagées sur l’ordinateur local.
Syntaxe : NET SHARE nom de partage

nom de partage=lecteur:chemin [/USERS:nombre |
/UNLIMITED] [/REMARK:"texte"] [/CACHE:Manual | Documents|
Programs | e ]
nom de partage [/USERS:nombre | /UNLIMITED]
[/REMARK:"texte"] [CACHE:Manual | Documents | Programs |
None] {nom de partage | nom de périphérique |
lecteur:chemin} /DELETE
j Entourez le chemin absolu par des guillemets s’il contient des espaces.
j Si vous supprimez un partage avec net share /delete, il restera visible dans le
Poste de travail et dans l’Explorateur Windows, même si vous redémarrez. L’astuce
consiste à appuyer sur [F5] afin de vider les informations contenues dans le cache.
j L’option /cache permet de configurer le mode de mise en service du partage
lorsque les dossiers hors connexion sont implantés. Pour une description complète
de cette option, consultez l’article 214738 de la Base de connaissances sur Microsoft
TechNet.
901
NET START
Démarre un service. Utilisée sans paramètre, la commande net start affiche la liste
des services en cours d’exécution.
Syntaxe : NET START [service]
j Utilisez des guillemets pour les noms d’ordinateurs et les noms d’utilisateurs
j Le démarrage de services peut avoir des effets inattendus du fait des dépendances
entre les services.

27. Annexe I -
commandes
j L’outil graphique de gestion des services est la console Services.
NET STOP
Arrête un service en cours d’exécution.
Syntaxe : NET STOP [service]
j Utilisez des guillemets pour les noms d’ordinateur et les noms d’utilisateur
j L’arrêt d’un service retire de la mémoire les ressources associées.
j Avant d’arrêter un service, il est préférable de commencer par le suspendre et
d’envoyer un message aux utilisateurs connectés afin de les avertir que le service va
être arrêté. Cela leur donne du temps pour enregistrer leur travail et se déconnecter.
j Vous ne pouvez pas arrêter le service Fax car il fonctionne à la demande et s’arrête
automatiquement lorsqu’il n’y a plus de télécopies à envoyer ou recevoir.
NET TIME
Synchronise l’horloge de l’ordinateur avec celle d’un autre ordinateur ou d’un domaine.
Utilisée sans paramètre, la commande net time affiche l’heure d’un autre ordinateur
ou domaine.
902
N
Syntaxe : NET TIME [\\nom d’ordinateur | /DOMAIN[:nom de domaine] |

/RTSDOMAIN[:nom de domaine]] [/SET]
NET TIME [\\nom d’ordinateur] /QUERYSNTP

NET TIME [\\nom d’ordinateur] /SETSNTP[:liste de serveurs
NTP]
j La synchronisation des horloges est importante pour que des activités telles que la
réplication de l’annuaire fonctionnent correctement. (Les mises à jour sont
estampillées afin de résoudre les collisions.)
j Utilisez net time \\serveurTemps /set /yes dans un script d’ouverture de

session pour synchroniser les horloges de toutes les machines avec le serveur Temps
27. Annexe I -
commandes
qui doit avoir lui-même une horloge fiable.
j /s ne fonctionne plus en équivalent de /set, comme c’était le cas sous
Windows NT.
NET USE
Connecte ou déconnecte un ordinateur d’une ressource partagée, ou affiche des
informations relatives aux connexions de l’ordinateur. Cette commande contrôle aussi
les connexions réseau persistantes. Utilisée sans paramètre, la commande net use
extrait une liste des connexions réseau.
Syntaxe : NET USE [nom de périph.|*] [\\Ordinateur\Partage[volume]

[mot de passe | *]] [/USER:[nom de domaine\]nom
d’utilisateur] [/USER:[nom de domaine avec points\]nom
d’utilisateur] [/USER:[nom d’utilisateur@nom de domaine
avec points] [/SMARTCARD] [/SAVECRED] [[/DELETE] |
[/PERSISTENT:{YES | NO}]]
NET USE [nom de périphérique | *] [mot de passe | *]

[/HOME]
NET USE [/PERSISTENT:{YES | NO}]
j Utilisez les guillemets autour de NomsOrdinateur si ce dernier comporte des

espaces.
j Vous ne pouvez pas vous déconnecter d’un partage s’il est votre lecteur courant ou
s’il est verrouillé par un processus actif.
903
NET USER
Ajoute ou modifie des comptes d’utilisateurs ou affiche des informations relatives aux
comptes d’utilisateurs.
Syntaxe : NET USER [nom d’utilisateur [mot de passe | *] [options]]

[/DOMAIN]
NET USER nom d’utilisateur {mot de passe | *} /ADD

[options] [/DOMAIN]
NET USER nom d’utilisateur [/DELETE] [/DOMAIN]

27. Annexe I -
commandes
j Net users a le même effet que net user.
NETSH
Utilitaire de script de ligne de commande qui vous permet, localement ou à distance,
d’afficher ou de modifier la configuration réseau d’un ordinateur en cours d’exécution.
Il fournit également une fonctionnalité de script qui vous permet d’exécuter un groupe
de commandes en mode Batch sur un ordinateur spécifique. De plus, Netsh peut
enregistrer un script de configuration dans un fichier texte pour des besoins d’archivage
ou pour vous aider à configurer d’autres serveurs.
Syntaxe : netsh [−a Fichier_alias] [−c Contexte] [−r

Ordinateur_distant] [−u [Nom_domaine\]Nom_utilisateur]
[−p Mot_passe | *] [Commande | −f Fichier_script]
aaaa Modifications pour le contexte ’netsh aaaa’.
add Ajoute une entrée de configuration à une liste d’entrées.
bridge Modifications pour le contexte ’netsh bridge’.
delete Supprime une entrée de configuration d’une liste d’entrées.
dhcp Modifications pour le contexte ’netsh dhcp’.
diag Modifications pour le contexte ’netsh diag’.
dump Affiche un script de configuration.
exec Exécute un fichier script.
firewall Modifications pour le contexte ’netsh firewall’.
interface Modifications pour le contexte ’netsh interface’.
904
N
ipsec Modifications pour le contexte ’netsh ipsec’.

ras Modifications pour le contexte ’netsh ras’.
routing Modifications pour le contexte ’netsh routing’.
rpc Modifications pour le contexte ’netsh rpc’.
set Met à jour les paramètres de configuration.
show Affiche les informations.
wins Modifications pour le contexte ’netsh wins’.

winsock Modifications pour le contexte ’netsh winsock’.
27. Annexe I -
commandes
j Les sous-contextes suivants sont disponibles : aaaa, bridge, dhcp, diag, firewall,
interface, ipsec, ras, routing, rpc, wins, winsock.
NETSH (contexte global)

Syntaxe : netsh [−a Fichier_alias] [−c Contexte] [−r
Ordinateur_distant] [−u [Nom_domaine\]Nom_utilisateur]
[−p Mot_passe | *] [Commande | −f Fichier_script]
add Ajoute une entrée de configuration à une liste d’entrées.
delete Supprime une entrée de configuration d’une liste d’entrées.
dump Affiche un script de configuration.
exec Exécute un fichier script.
set Met à jour les paramètres de configuration.
show Affiche les informations.
j Il existe normalement une commande Flush permettant de supprimer les

commandes enregistrées en mode hors connexion, mais cela ne semble pas
fonctionner dans la version actuelle.
j La commande dump affiche la configuration courante des services configurables de
NetShell sur la machine sous forme d’une suite de commandes NetShell. Le fichier
obtenu peut être exécuté sur une machine différente à l’aide de la commande exec
pour configurer cette machine de manière identique à la première. Le seul
problème est qu’un certain nombre de paramètres de configuration ne sont pas
sortis de façon correcte. Consultez l’article 254252 de la Base de connaissances
Microsoft TechNet pour savoir comment modifier manuellement le fichier obtenu
afin de le corriger.
905
j Le contexte DHCP de NetShell est particulièrement utile pour la gestion des

serveurs DHCP distants au travers de liaisons WAN lentes, avec lesquelles
l’utilisation du mode administration distante de Terminal Serveur pour exécuter
l’outil graphique de gestion de DHCP conduirait à de piètres performances.
j Utilisez la commande set user dans un fichier ou un script de traitement par lots
afin de configurer automatiquement les paramètres des appels entrants RAS d’un
ensemble d’utilisateurs.
NSLOOKUP
27. Annexe I -
commandes
Affiche des informations qui vous permettent d’établir un diagnostic de l’infrastructure

DNS (Domain Name System).
nslookup [−opt] mode interactif utilisant le serveur par défaut
nslookup [−opt]
− serveur mode interactif utilisant ’serveur’
nslookup [−opt]
hôte recherche ’hôte’ en utilisant le serveur par défaut
nslookup [−opt]
hôte serveur recherche ’hôte’ en utilisant ’serveur’
j Les commandes nslookup contiennent au maximum 255 caractères.

j Pour rechercher un ordinateur qui ne se trouve pas dans le domaine DNS courant,
ajoutez un point au nom. Par exemple, entrez pierre.puzzmania.com à l’invite
interactive de nslookup.
j Utilisez exit ou appuyez sur [Ctrl]+[C] pour sortir d’une session nslookup.
j Une commande non reconnue est interprétée comme un nom d’ordinateur.
27.11. P
PRNCNFG
Configure ou affiche des informations de configuration relatives à une imprimante. La

syntaxe ci-après est utilisée pour afficher des informations de configuration relatives à
une imprimante.
906
P
Syntaxe : cscript prncnfg.vbs −g [−s Ordinateur_Distant] −p

Nom_Imprimante [−u Nom_Utilisateur −w Mot_De_Passe]
−g Obligatoire. Spécifie que vous voulez afficher des informations de
configuration relatives à une imprimante.
−s Ordinateur
_Distant Spécifie, par son nom, l’ordinateur distant qui gère l’imprimante à
propos de laquelle vous voulez afficher des informations. Si vous
n’indiquez pas de nom d’ordinateur, l’opération est effectuée sur

−p Nom
27. Annexe I -
_Imprimante Obligatoire. Spécifie, par son nom, l’imprimante à propos de
commandes
laquelle vous voulez obtenir des informations.
−u Nom
_Utilisateur
−w Mot_De_Passe Spécifie un compte disposant d’autorisations qui permettent, au
moyen des services Infrastructure de gestion Windows (WMI,
Windows Management Instrumentation), de se connecter à
l’ordinateur qui héberge l’imprimante à propos de laquelle vous
voulez afficher des informations. Tous les membres du groupe
Administrateurs pour cet ordinateur disposent de ces autorisations,
mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si
vous n’indiquez pas de compte, vous devez vous connecter sous un
compte autorisé à lancer cette commande.
j Cette commande est un script .v
bs qui s’exécute avec CScritpt. Pour Cscript, votre environnement d’exécution de
script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s.
j Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes
connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur
–W MotDePasse pour indiquer les informations d’identification adéquates.
PRNDRVR
Ajoute, supprime et répertorie des pilotes d’imprimante. La syntaxe ci-après est utilisée
pour installer un pilote d’imprimante.
907
Syntaxe : cscript prndrvr.vbs −a [−m Nom_Pilote] [−v {0 | 1 | 2 | 3}]

[−e Environnement] [−s Ordinateur_Distant] [−h Chemin] [−i
Nom_Fichier.inf] [−u Nom_Utilisateur −w Mot_De_Passe]
−a Obligatoire. Spécifie que vous voulez installer un pilote.
−m Nom_Pilote Spécifie, par son nom, le pilote que vous voulez installer. Les pilotes
portent souvent le nom du modèle d’imprimante qu’ils prennent en
charge. Pour plus d’informations, consultez la documentation
fournie avec l’imprimante.
−v {0 | 1 |
2 | 3} Spécifie la version du pilote que vous voulez installer. Pour savoir

27. Annexe I -
commandes
quelles versions sont disponibles en fonction de chaque

environnement, consultez la description du paramètre −e
Environnement. Si vous ne spécifiez aucune version, la version de
pilote appropriée pour la version de Windows en cours d’exécution
sur l’ordinateur sur lequel vous installez le pilote est installée.
La version 0 prend en charge Windows 95, Windows 98 et
Windows Millennium Edition. La version 1 prend en charge
Windows NT 3.51. La version 2 prend en charge Windows NT 4.0.
La version 3 prend en charge Windows XP, Windows 2000 et les
systèmes d’exploitation de la famille Windows Server 2003.
−e Environnement Spécifie l’environnement approprié pour le pilote que vous voulez
installer. Si vous ne spécifiez aucun environnement, l’environnement
de l’ordinateur sur lequel vous installez le pilote est utilisé.
Environnement "Windows NT x86", versions disponibles 1, 2 et 3.
Environnement "Windows NT Alpha_AXP", versions disponibles 1
et 2. Environnement "Windows IA64", version disponible 3.
Environnement "Windows NT R4000", version disponible 1.
Environnement "Windows NT PowerPC", version disponible 1.
Environnement "Windows 4.0", version disponible 0.
−s Ordinateur
_Distant Spécifie l’ordinateur distant sur lequel vous voulez installer le pilote.
Si vous ne spécifiez pas d’ordinateur, le pilote est installé sur
−h Chemin Spécifie le chemin d’accès du fichier de pilote. Si vous ne spécifiez
aucun chemin, le chemin d’accès à l’emplacement à partir duquel
Windows a été installé est utilisé.
908
P
−i Nom_Fichier
.inf Spécifie le nom de fichier du pilote que vous voulez installer. Si vous
ne spécifiez aucun nom de fichier, ntprint.inf est utilisé.
−u Nom
_Utilisateur
l’ordinateur sur lequel vous voulez installer le pilote. Tous les
membres du groupe Administrateurs pour cet ordinateur disposent

de ces autorisations, mais celles-ci peuvent aussi être accordées à
d’autres utilisateurs. Si vous n’indiquez pas de compte, vous devez
27. Annexe I -
commandes
vous connecter sous un compte autorisé à lancer cette commande.
j Cette commande est un script .vbs qui s’exécute avec CScript. Pour Cscript, votre
environnement d’exécution de script par défaut, entrez la commande suivante :
Cscript \\h: cscript \\s.
PRNJOBS
Suspend, reprend, annule et répertorie les travaux d’impression. La syntaxe ci-après est
utilisée pour répertorier les travaux d’impression dans une file d’attente d’impression.
Syntaxe : cscript prnjobs −l [−s Ordinateur_Distant] [−p

Nom_Imprimante] [−u Nom_Utilisateur −w Mot_De_Passe]
−l Obligatoire. Spécifie que vous voulez répertorier tous les travaux
d’impression dans une file d’attente d’impression.
−s Ordinateur
_Distant Spécifie le nom de l’ordinateur distant qui héberge la file d’attente
d’impression dont vous souhaitez afficher la liste des travaux. Si vous
n’indiquez pas de nom d’ordinateur, l’opération est effectuée sur
909
−p Nom
_Imprimante Spécifie, par son nom, l’imprimante dont la file d’attente
d’impression contient les travaux que vous voulez répertorier. Si
vous ne spécifiez aucune imprimante, tous les travaux de toutes les
files d’attente sont répertoriés.
−u Nom
_Utilisateur
l’ordinateur qui héberge la file d’attente d’impression dont vous

voulez répertorier les travaux. Tous les membres du groupe
27. Annexe I -
commandes
Administrateurs pour cet ordinateur disposent de ces autorisations,

mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si
vous n’indiquez pas de compte, vous devez vous connecter sous un
compte autorisé à lancer cette commande.
j Malheureusement, il n’est possible de suspendre, de reprendre ou d’annuler qu’un

travail à la fois avec cette commande. Consultez la commande prnqctl qui permet
de suspendre ou de reprendre une imprimante ou d’annuler tous les travaux
présents dans la file d’attente.
j Cette commande est un script .vbs qui s’exécute avec CScript. Pour Cscript, votre
PRNMNGR
Ajoute, supprime et répertorie les imprimantes ou connexions d’imprimante, en plus de

définir et d’afficher l’imprimante par défaut. La syntaxe ci-après est utilisée pour ajouter
une imprimante locale.
910
P
Syntaxe : cscript prnmngr.vbs −a −p Nom_Imprimante [−s

Ordinateur_Distant] −m Nom_Pilote −r Nom_Port [−u
Nom_Utilisateur −w Mot_De_Passe]
−a Obligatoire. Spécifie que vous voulez ajouter une imprimante locale.
−s Ordinateur
_Distant Spécifie, par son nom, l’ordinateur distant auquel vous voulez
ajouter une imprimante locale. Si vous ne spécifiez pas d’ordinateur,
l’imprimante est ajoutée à l’ordinateur local.
−p Nom

_Imprimante Obligatoire. Spécifie, par son nom, l’imprimante locale que vous
27. Annexe I -
commandes
voulez ajouter.
−m Nom_Pilote Obligatoire. Spécifie, par son nom, le pilote de l’imprimante locale
que vous voulez ajouter. Les pilotes portent souvent le nom du
modèle d’imprimante qu’ils prennent en charge. Pour plus
d’informations, consultez la documentation fournie avec
l’imprimante.
−r Nom_Port Obligatoire. Spécifie le port auquel l’imprimante est connectée. S’il
s’agit d’un port parallèle ou d’un port série, utilisez l’ID du port (par
exemple, LPT1 ou COM1). S’il s’agit d’un port TCP/IP, utilisez le
nom de port qui a été spécifié lors de l’ajout du port. Pour plus
d’informations, consultez Rubriques connexes.
−u Nom
_Utilisateur
l’ordinateur auquel vous voulez ajouter une imprimante locale. Tous
les membres du groupe Administrateurs pour cet ordinateur
disposent de ces autorisations, mais celles-ci peuvent aussi être
accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte,
vous devez vous connecter sous un compte autorisé à lancer cette
commande.
j Cette commande est un script vbs qui s’exécute avec CScript. Pour Cscript, votre
911
PRNQCTL
Permet d’imprimer une page de test, d’interrompre ou de reprendre une impression et

de supprimer une impression d’une file d’attente. La syntaxe ci-après est utilisée pour
27. Annexe I -
commandes
annuler tous les travaux d’impression mis en attente sur une imprimante.
Syntaxe : cscript prnqctl.vbs −x [−s OrdinateurDistant]−p

NomImprimante [−u NomUtilisateur −w MotDePasse]
−x Obligatoire. Spécifie que vous voulez annuler tous les travaux
d’impression mis en attente sur une imprimante.
−s Ordinateur
Distant Indique le nom de l’ordinateur distant auquel est reliée l’imprimante
sur laquelle vous souhaitez annuler tous les travaux d’impression. Si
vous n’indiquez pas de nom d’ordinateur, l’opération est effectuée
sur l’ordinateur local.
−p NomImprimante Obligatoire. Spécifie le nom de l’imprimante sur laquelle vous voulez
annuler tous les travaux d’impression.
−u Nom
Utilisateur
−w MotDePasse Spécifie un compte et les autorisations qui lui permettent, au moyen
des services WMI (Windows Management Instrumentation), de se
connecter à l’ordinateur auquel est reliée l’imprimante sur laquelle
vous voulez annuler tous les travaux d’impression. Tous les membres
du groupe Administrateurs pour cet ordinateur disposent de ces
autorisations, mais celles-ci peuvent aussi être accordées à d’autres
utilisateurs. Si vous n’indiquez pas de compte, vous devez vous
connecter sous un compte autorisé à lancer cette commande.
j Cette commande est un script vbs qui s’exécute avec CScript. Pour Cscript, votre
912
R
connecté sous d’autres informations d’identification, utilisez –u
NomUtilisateur –W MotDePasse pour indiquer les informations
d’identification adéquates.
j Quelques secondes peuvent être nécessaires pour annuler le dernier travail à l’aide
de l’option –x. Ne relancez pas la commande prnqctl –x avant que la file ne soit
vidée ; vous pourriez obtenir une erreur d’impression et le dernier travail pourrait
rester dans la file.
27.12. R

27. Annexe I -
commandes
RCP
Copie les fichiers depuis et vers l’ordinateur exécutant le service RCP.
Syntaxe : RCP [−a | −b] [−h] [−r] [host][.user:]source

[host][.user:] path\destination
−a Spécifie le mode de transfert ASCII. Ce mode convertit les
caractères EOL en retours chariot sous Unix et en retours chariot
(line feed) sur PC. C’est le mode de transfert par défaut.
−b Spécifie le mode de transfert d’images binaire.
−h Transfère les fichiers cachés.
−r Copie le contenu de tous les sous-répertoires ; la destination doit
être un répertoire.
host Spécifie l’hôte local ou distant. Si l’hôte spécifié est une adresse IP,
vous devez spécifier l’utilisateur.
.user: Spécifie le nom d’utilisateur à utiliser à la place du nom d’utilisateur
en cours.
source Spécifie les fichiers à copier.
path
\destination Spécifie le chemin relatif au répertoire de session sur l’hôte distant.
Utilisez les caractères d’échappement (\, " ou ’) dans les chemins
distants pour employer les caractères jokers sur l’hôte distant.
913
j Windows Server 2003 ne fournit pas de démon rshd. rcp s’utilise donc
principalement pour copier des fichiers entre des machines Windows et Unix.
j rcp ne demande pas de mot de passe avant la copie. Pour contourner cela, utilisez
le fichier .rhost du répertoire d’accueil de l’utilisateur sur le serveur rshd afin de
préciser les noms d’hôtes et les noms d’utilisateurs autorisés à employer rcp afin de
copier des fichiers vers ou depuis le serveur rshd.
RECOVER
Récupère les informations lisibles d’un disque endommagé ou défectueux.

27. Annexe I -
commandes
Syntaxe : RECOVER [lecteur:][chemin]nom_de_fichier
j Recover lit le fichier indiqué secteur par secteur et récupère les données sur les
secteurs non défectueux (les données se trouvant sur des secteurs défectueux sont
perdues).
j Les caractères génériques ne sont pas utilisables.
REXEC
Exécute des commandes sur des hôtes distants exécutant le service Rexec. Rexec
authentifie l’utilisateur sur l’hôte distant avant d’exécuter la commande spécifiée.
Syntaxe : REXEC hôte [−l utilisateur] [−n] commande

hôte Hôte distant sur lequel la commande sera exécutée.
−l utilisateur Nom de l’utilisateur sur l’hôte distant.
−n Redirige l’entrée de Rexec sur NULL.
commande Commande à exécuter.
j Rexec copie l’entrée standard vers la commande distante.

j Rexec se termine lorsque la commande distante a été exécutée.
j Rexec ne peut servir à l’exécution de certaines commandes Unix interactives
courantes telles que emacs (utilisez Telnet à la place).
914
R
RUNAS
Lance un programme dans un contexte utilisateur différent.
Syntaxe : RUNAS [ [/noprofile | /profile] [/env] [/savecred |

/netonly] ] /user:<Nom_utilisateur> programme
RUNAS [ [/noprofile | /profile] [/env] [/savecred] ]
/smartcard [/user:<Nom_utilisateur>] programme
/noprofile Spécifie que le profil de l’utilisateur ne devrait pas être chargé. Cela

permet le chargement plus rapide de l’application, mais peut
provoquer le dysfonctionnement de certaines applications.
27. Annexe I -
commandes
/profile Spécifie que le profil de l’utilisateur devrait être chargé. Il s’agit de
l’option par défaut.
/env pour utiliser l’environnement en cours à la place de celui de
l’utilisateur.
/netonly À utiliser si les informations d’identification spécifiées sont pour
l’accès à distance uniquement.
/savecred Pour utiliser les informations d’identification précédemment
sauvegardées par l’utilisateur. Cette option n’est pas disponible sur
Windows XP Édition familiale et sera ignorée.
/smartcard À utiliser si les informations d’identification sont fournies à partir
d’une carte à puce.
/user <Nom
Utilisateur> Sous la forme UTILISATEUR@DOMAINE ou DOMAINE \UTILISATEUR.
program Ligne de commandes pour EXE.
j Il est préférable que les administrateurs possèdent deux comptes : un compte

d’utilisateur ordinaire pour les tâches quotidiennes (vérifier son courrier
électronique ou écrire des rapports, par exemple) et un compte administrateur pour
les tâches d’administration. La commande runas permet à un administrateur
d’effectuer des tâches nécessitant des autorisations d’administrateur tout en étant
connecté comme un utilisateur ordinaire, rendant ainsi inutile une fermeture et une
ouverture de session.
j La commande runas est également désignée sous le terme "Ouverture de session
secondaire".
915
j runas fonctionne avec des programmes (*.exe), des consoles MMC enregistrées
(*.msc) et les éléments du Panneau de configuration.
j runas ne peut être employée avec des éléments comme l’Explorateur Windows, le
dossier Imprimantes et Télécopieurs et les éléments du Bureau. Cependant, il est
possible de contourner ce problème en utilisant l’onglet Processus dans le
Gestionnaire des tâches afin de tuer l’interpréteur de commandes courant (Explorer
.exe). Utilisez ensuite le bouton Nouvelle tâche sous l’onglet Application afin
d’exécuter la commande Runas /user:Domaine\Administrateur
explorer.exe.
j Il est possible de créer un raccourci vers un élément tel qu’une console MMC
enregistrée et de configurer cette dernière afin que l’exécution se fasse toujours avec
des informations d’identification spécifiques.
27. Annexe I -
commandes
j Runas ne permet pas d’exécuter des programmes stockés sur un partage réseau car
les informations d’identification servant au lancement du programme peuvent être
différentes de celles utilisées pour se connecter au partage réseau. C’est pourquoi,
runas peut ne pas être en mesure d’accéder aux partages.
− Le service Ouverture de session secondaire doit être en cours d’exécution pour
pouvoir utiliser la commande runas.
− Si runas est utilisée depuis la ligne de commandes sans l’option /profil, le
profil d’utilisateur par défaut remplace celui de l’utilisateur incarné. Par
exemple, si la commande invoquée par runas enregistre un fichier dans Mes
documents, il est enregistré dans le dossier Mes documents de l’utilisateur par
défaut et non dans celui de l’utilisateur spécifié par runas. Si vous passez par
Exécuter en tant que depuis le menu contextuel de l’Explorateur Windows,
l’option /profil est spécifiée par défaut.
27.13. S
SCHTASKS
Permet à un administrateur de créer, supprimer, effectuer des requêtes, modifier,

exécuter et mettre fin à des tâches planifiées sur un système local ou distant. Remplace
AT.exe.
Syntaxe : SCHTASKS /paramètre [arguments]

/Create Crée une nouvelle tâche planifiée.
/Delete Supprime les tâches planifiées.
916
S
/Query Affiche toutes les tâches planifiées.

/Change Modifie les propriétés d’une tâche planifiée.
/Run Exécute la tâche planifiée immédiatement.
/End Arrête la tâche planifiée actuellement en cours d’exécution.
j Le compte d’utilisateur indiqué par l’option /u doit appartenir au groupe

Administrateur sur l’ordinateur distant spécifié par l’option /s. De plus, l’ordinateur
local doit appartenir au même domaine que l’ordinateur distant ou se trouver dans
un domaine approuvé par le domaine de l’ordinateur distant. Autrement dit, seuls

les administrateurs sont autorisés à planifier des tâches. Cependant, il est possible
de spécifier avec l’option /ru que le programme démarré par la tâche planifiée
27. Annexe I -
commandes
s’exécute avec des informations d’identification différentes.
j Si vous utilisez /ru SYSTEM, vous n’avez pas besoin d’employer l’option /rp pour
indiquer un mot de passe.
j Si vous exécutez une tâche à l’aide des informations d’identification SYSTEM, les
utilisateurs ne seront pas en mesure d’interagir avec le programme démarré par la
tâche. En effet, SYSTEM ne dispose pas des droits d’ouverture de session interactive.
j schtasks ne vérifie pas la validité du nom du programme ou du mot de passe du
compte utilisateur spécifié par l’option /u. S’ils ne sont pas corrects, la tâche ne
s’exécutera pas, tout simplement.
j Pour vérifier si l’exécution des tâches planifiées a généré des erreurs, consultez le
fichier de journalisation SchedLgU.txt qui se trouve dans le répertoire \Windows.
j schtasks fonctionne de la même manière que les Tâches planifiées du Panneau de
configuration.
SET
Affiche, fixe ou supprime des variables d’environnement de cmd.exe.
Syntaxe : SET [variable=[chaîne]]
SET /A expression
SET /P variable=[ChaîneInvite]
j SET sans paramètres affiche les variables d’environnement définies. Si les extensions
de commande sont activées, SET est modifié comme suit.
j La commande SET appelée avec un nom de variable seulement, sans signe égal ou
valeur, affiche la valeur de toutes les variables dont le préfixe correspond au nom
donné à la commande SET. Par exemple, SET P affiche toutes les variables qui
commencent par la lettre ’P’.
917
j La commande SET fixe la valeur ERRORLEVEL à 1 si le nom de variable n’est pas

trouvé dans l’environnement en cours.
j La commande SET n’autorise pas qu’un signe égal (=) fasse partie du nom d’une
variable.
j /A spécifie que la chaîne à droite du signe égal est une expression numérique
évaluée. L’évaluation de l’expression est assez simple et prend en charge les
opérations suivantes dans l’ordre décroissant de préséance :
− () : groupement.
− ! ~ : opérateurs unaires.
− * / % : opérateurs arithmétiques.
27. Annexe I -
commandes
− + − : opérateurs arithmétiques.
− << >> : décalage logique.
− & : ET au niveau du bit.
− ^ : OU exclusif au niveau du bit.
− | : OU au niveau du bit.
− = *= /= %= += −= : attribution.
− &= ^= |= <<= >>= , : séparateur d’expression. Si vous utilisez des opérateurs
logiques ou des nombres, vous devez mettre l’expression entre guillemets. Toute
chaîne non numérique dans l’expression est traitée comme une variable
d’environnement dont les valeurs sont converties en nombres avant d’être
utilisées. Si un nom de variable d’environnement est spécifié mais n’est pas
défini dans l’environnement en cours, la valeur zéro est utilisée. Cela vous
permet de réaliser des opérations avec les valeurs d’une variable
d’environnement sans entrer des signes % pour obtenir ces valeurs. Si SET /A est
exécuté à partir de la ligne de commandes en dehors d’un script de commande,
la valeur finale de l’expression est affichée. L’opérateur d’assignation requiert
un nom de variable d’environnement à gauche de cet opérateur. Les valeurs
numériques sont des nombres décimaux, à moins qu’ils ne soient préfixés par 0x
pour les valeurs hexadécimales et 0 pour la notation octale. Donc, 0x12 est
identique à 18 et à 022. La notation octale peut être confuse : 08 et 09 ne sont
pas valides car 8 et 9 ne sont pas des nombres valides en notation octale.
− /P vous permet de fixer la valeur d’une variable avec une ligne entrée par
l’utilisateur. Elle affiche la chaîne ChaîneInvite spécifiée avant de lire la
ligne entrée. ChaîneInvite peut être vide.
j La commande set est disponible dans la console de récupération.

j Les variables d’environnement définies à l’aide de set sont disponibles uniquement
pour la session de console courante. Pour définir des variables persistantes, utilisez
la commande setx.
918
S
SHUTDOWN
Agit sur les options d’arrêt d’un ordinateur.
Syntaxe : shutdown [/i | /l | /s | /r | /a | /p | /h | /e] [/f] [/m

\\ordinateur][/t xxx][/d [p:]xx:yy [/c "commentaire"]]
/i Affiche l’interface utilisateur graphique (GUI). Ce doit être la
première option.
/l Ferme la session. Ne peut pas être utilisée avec l’option /m ou /d.

/s Arrête l’ordinateur.
27. Annexe I -
commandes
/r Arrête et redémarre l’ordinateur.
/a Annule un arrêt du système. Cet argument peut uniquement être
utilisé pendant la période d’expiration du délai.
/p Arrête l’ordinateur local sans délai d’expiration ou avertissement.
Cet argument peut uniquement être utilisé avec l’option /d.
/h Mettre l’ordinateur local en veille prolongée. Cet argument peut
uniquement être utilisé avec l’option /f.
/e Explique la raison d’un arrêt imprévu d’un ordinateur.
/m \\ordinateur Indique l’ordinateur cible.
/t xxx Définit le délai d’expiration avant l’arrêt à xxx secondes. La plage
valide est comprise entre 0 et 600, 30 étant la valeur par défaut.
/c "commentaire" Commentaire sur la raison du redémarrage ou de l’arrêt. Un nombre
maximal de 127 caractères est autorisé.
/f Force la fermeture des applications en cours d’exécution sans avertir
les utilisateurs.
/d [p:]xx:yy Fournit la raison du redémarrage ou de l’arrêt. p indique que le
redémarrage ou l’arrêt est planifié, xx est le code de raison majeur
(entier positif inférieur à 256), yy est le code de raison mineur (entier
positif inférieur à 65 536).
919
START
Ouvre une fenêtre et exécute le programme ou la commande spécifiée.
Syntaxe : START ["titre"] [/D chemin] [/I] [/MIN] [/MAX] [/SEPARATE

| /SHARED] [/LOW | /NORMAL | /HIGH | /REALTIME |
/ABOVENORMAL | /BELOWNORMAL] [/AFFINITY <affinité_hexa>]
[/WAIT] [/B] [commande/programme] [paramètres]
"titre" Titre de la fenêtre.
chemin Répertoire de départ.

27. Annexe I -
commandes
B Lancer l’application sans créer de fenêtre. L’arrêt par ^C n’est pas

pris en charge dans l’application. Si l’application n’autorise pas la
détection de ^C, ^Pause est la seule façon d’arrêter l’application.
I Le nouvel environnement sera l’environnement original passé à
cmd.exe, et non l’environnement actuel.
MIN Démarrer avec la fenêtre réduite.
MAX Démarrer avec la fenêtre agrandie.
SEPARATE Démarrer les programmes Windows 16 bits dans un espace mémoire
distinct.
SHARED Démarrer les programmes Windows 16 bits dans un espace mémoire
partagé.
LOW Démarrer l’application dans la classe de priorité IDLE.
NORMAL Démarrer l’application dans la classe de priorité NORMAL.
HIGH Démarrer l’application dans la classe de priorité HIGH.
REALTIME Démarrer l’application dans la classe de priorité REALTIME.
ABOVENORMAL Démarrer l’application dans la classe de priorité ABOVENORMAL.
BELOWNORMAL Démarrer l’application dans la classe de priorité BELOWNORMAL.
AFFINITY La nouvelle application aura le masque d’affinité de processeur
spécifié, exprimé en tant que valeur hexadécimale.
WAIT Lancer l’application et attendre qu’elle mette fin à la commande ou
au programme. S’il s’agit d’une commande interne ou d’un fichier
batch, le processeur de commandes est exécuté avec le commutateur
920
S
/K pour cmd.exe. Cela signifie que la fenêtre reste ouverte après

exécution de la commande. S’il ne s’agit pas d’une commande
interne, ni d’un fichier batch, c’est un programme qui s’exécutera
sous la forme d’une application fenêtrée ou d’une application
console.
Paramètres Spécifie les paramètres à passer à la commande ou au programme.
j Si vous utilisez start pour exécuter une commande Windows (dir, chhdsk, etc.),
une nouvelle fenêtre de l’interpréteur de commandes (cmd) s’ouvre afin d’exécuter
cette commande. Cette fenêtre s’exécutant implicitement avec l’option /k, elle reste
ouverte après la fin de la commande (voir la section cmd).

j Lorsque vous exécutez une application graphique 32 bits avec start, le contrôle
27. Annexe I -
commandes
revient immédiatement à l’Invite de commandes. Cependant, lorsqu’une commande
Windows ou un script sont exécutés, ils doivent d’abord se terminer avant que le
contrôle ne revienne à l’interpréteur de commande.
j Si les extensions de commande sont activées (c’est cas par défaut), utilisez start
pour ouvrir un document ou un fichier à l’aide de l’application associée. Par
exemple, voici comment ouvrir le fichier lisezmoi.doc avec Word : start
lisezmoi.doc.
SYSTEMINFO
Cet outil affiche les informations de configuration du système d’exploitation pour un

ordinateur local ou distant, y compris les niveaux de Service Pack.
Syntaxe : SYSTEMINFO [/S système [/U utilisateur [/P mot_de_passe]]]

[/FO format] [/NH]
/U [domaine\]
s’exécuter.
/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Est
/FO format Spécifie le format dans lequel la sortie doit être affichée. Valeurs
autorisées: TABLE, LIST, CSV.
921
/NH Spécifie que les en-têtes de colonne ne doivent pas apparaître dans la
sortie. Valide uniquement pour les formats TABLE et CSV.
27.14. T
TAKEOWN

27. Annexe I -
commandes
Cet outil permet à un administrateur de récupérer l’accès à un fichier qui avait été refusé
en réassignant l’appartenance de fichier.
Syntaxe : TAKEOWN [/S système] [/U utilisateur [/P mot_de_passe]]]

/F nom_fichier [/A] [/R [/D invite_de_commandes]]
/U [domaine\]
s’exécuter.
/P [mot_de_passe] Spécifie le mot de passe du contexte utilisateur donné. Il est demandé
s’il est omis.
/F nom_fichier Spécifie le nom de fichier ou le modèle de nom du répertoire. Un
caractère générique "*" peut être utilisé pour spécifier le modèle.
Autorise nompartage\nomfichier.
/A Donne l’appartenance au groupe d’administrateurs et non à
l’utilisateur actuel.
/R Récursif : force l’outil à traiter tous les fichiers du répertoire spécifié
et tous ses sous-répertoires.
/D invite_de
_commandes Réponse par défaut utilisée lorsque l’utilisateur actuel ne possède
pas l’autorisation "lister le dossier" sur un répertoire. Cela se produit
lors du traitement récursif (/R) sur les sous-répertoires. Utilisez les
valeurs O pour prendre possession ou N pour ignorer.
922
T
TASKKILL
(Nouvelle commande sous Windows Server 2003)
Cet outil est utilisé pour arrêter des tâches par id de processus (PID) ou nom d’image.
Syntaxe : TASKKILL [/S système] [/U utilisateur [/P mot_de_passe]]]

{ [/FI filtre] [/PID ID_processus | /IM image] } [/T] [/F]

/U [domaine\]
27. Annexe I -
commandes
s’exécuter.
/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est
/FI filtre Applique un filtre pour sélectionner un ensemble de tâches. Permet à
"*" d’être utilisé. Par exemple, imagename eq test*.
/PID ID_processus Spécifie le PID du processus à arrêter. Utilisez TaskList afin
d’obtenir le PID.
/IM nom_image Spécifie le nom d’image du processus à terminer. Le caractère
générique "*" peut être utilisé pour spécifier toutes les tâches ou les
noms d’image.
/T Met fin au processus spécifié et à tous les processus enfants qu’il a
démarrés.
/F Force les processus à se terminer.
j Utilisez la commande tasklist pour obtenir l’identifiant des processus en cours
d’exécution que vous voulez tuer.
TASKLIST
Cet outil affiche une liste des processus actuellement en cours sur un ordinateur local ou
un ordinateur distant.
923
Syntaxe : TASKLIST [/S système [/U utilisateur [/P mot_de_passe]]]]

[/M [module] | /SVC | /V] [/FI filtre] [/FO format] [/NH]
/U [domaine\]
s’exécuter.
/P [mot_de
_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est
Liste toutes les tâches utilisant le nom de fichier .exe ou .dll donné. Si
27. Annexe I -
/M [module]
commandes
le nom de module n’est pas spécifié, tous les modules chargés sont
affichés.
/SVC Affiche les services hébergés dans chaque processus.
/V Affiche les informations de tâches détaillées.
/FI filtre Affiche un ensemble de tâches qui correspond au critère spécifié par
le filtre.
/FO format Spécifie le format de sortie. Valeurs valides : TABLE, LIST, CSV.
/NH Spécifie que les en-têtes de colonnes ne doivent pas être affichés sur
la sortie. Valide uniquement pour les formats TABLE et CSV.
j Tasklist remplace l’outil de support tlist.
TELNET
Permet d’accéder à un système distant.
Syntaxe : telnet [−a][−e car_échap][−f journal][−l utilisateur][−t

terminal][hôte [port]]
−a Tente l’ouverture de session automatique. Identique à −l, mais
utilise le nom de l’utilisateur en session.
−e Caractère d’échappement pour entrer dans l’invite du client Telnet.
−f Nom du fichier journal côté client.
924
T
−l Nom d’utilisateur pour l’ouverture de session à distance. Le système

distant doit prendre en charge l’option TELNET ENVIRON.
−t Type de terminal. Les terminaux pris en charge sont vt100, vt52,
ansi et vtnt uniquement.
hôte Spécifie le nom de l’hôte ou l’adresse IP de l’ordinateur distant
auquel la connexion est demandée.
port Numéro de port ou nom de service.
j Contrairement à NT avant lui, Windows Server 2003 inclut un service Telnet qui lui

permet de fonctionner en serveur Telnet. Nous disposons donc d’un nouveau moyen
pour effectuer l’administration à distance des serveurs Windows Server 2003. Avant
27. Annexe I -
commandes
qu’un client Telnet puisse se connecter au service Telnet, ce dernier doit être
démarré manuellement sur le serveur ou son paramètre de démarrage doit être mis
à Automatique.
j Alors que le client Telnet sous NT était un utilitaire graphique (Telnet.exe), la
version sous Windows Server 2003 s’exécute en mode Console. Ce client supporte
également l’authentification NTLM afin d’améliorer la sécurité de
l’authentification entre les clients et les serveurs Telnet. Cependant le client
graphique telnet.exe de Windows NT proposait dans la session, une fonctionnalité
qui n’est plus supportée dans la version en ligne de commandes de Windows
Server 2003.
TFTP
Transfère les fichiers depuis et vers un ordinateur distant exécutant le service TFTP.
Syntaxe : TFTP [−i] host [GET | PUT] source [destination]

−i Spécifie le mode de transfert d’images binaire (aussi appelé "octets").
En mode Images binaire, le fichier est transféré octet par octet.
Utilisez ce mode pour transférer des fichiers binaires.
host Spécifie l’hôte local ou distant.
GET Transfère la destination du fichier sur l’hôte distant vers la source du
fichier sur l’hôte local.
PUT Transfère la source du fichier sur l’hôte local vers la destination du
fichier sur l’hôte distant.
source Indique le fichier à transférer.
destination Indique où transférer le fichier.
925
TIME
Affiche ou modifie l’heure système.
Syntaxe : TIME [/T | heure]

TIME Sans paramètres, affiche l’heure en cours et demande une nouvelle
heure. Appuyez sur [Ä] pour conserver la même heure.
/T La commande n’indique que l’heure, sans demander d’en entrer une
nouvelle.
27. Annexe I -
commandes
926
Chapitre 28
Annexe II - Les services

et les ports réseau sous
Windows Server 2003
28.1 Les ports des services système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
28.2 Les ports et les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957
28.3 Les exigences relatives aux ports et aux protocoles Active Directory . . . . . . . . . 965
Les ports des services système
D urant les épreuves difficiles que sont les temps de crise, les arrêts de production, les
problèmes bloquants ou aléatoires, vous serez parfois amené à récupérer les
trames TCP/IP, à analyser le trafic entrant et sortant au niveau de votre serveur afin d’en
déterminer les échanges de communication et, donc, de résoudre le problème. Souvent,
lors de l’analyse des trames TCP/IP, il peut s’avérer difficile de faire la corrélation entre
le numéro de port et le nom du service délivré par Windows Server 2003 qui
communique sur ce port.
Le but de cette annexe est de vous apporter une référence précise et concise qui vous
aidera à faire le lien entre les services Windows Server 2003 et les ports TCP/IP associés.
Orientée sur la résolution de problèmes ou l’audit de sécurité, cette annexe est
découpée en deux parties : une partie qui décrit brièvement chaque service, indique son
nom logique, ainsi que les ports et les protocoles requis pour le fonctionnement de ces
services. Et une autre partie qui présente, sous forme de tableau, un classement par
numéro de port, et non selon le nom des services, et qui vous permet de déterminer
rapidement quels sont les services à l’écoute sur un port particulier. Et pour être le plus
exhaustif possible, cette annexe inclut aussi les noms de services et les numéros de ports
et les ports réseau
28. Annexe II -
TCP/IP de quelques-uns des produits serveurs Microsoft les plus utilisés.
Les services
Enfin, cette annexe est destinée à s’appliquer à un système d’exploitation serveur, c’est
la raison pour laquelle elle présente les ports sur lesquels un service est à l’écoute et non
les ports utilisés par les programmes clients pour se connecter à un système distant.
28.1. Les ports des services système

Cette partie donne une description de chaque service système, indique son nom logique
correspondant, ainsi que les ports et les protocoles requis par chaque service.
Active Directory (autorité de sécurité locale)

Active Directory s’exécute sous le processus LSASS et inclut les moteurs
d’authentification et de réplication pour les contrôleurs de domaine Windows 2000 et
Windows Server 2003. Les contrôleurs de domaine, les ordinateurs clients et les serveurs
d’applications requièrent une connectivité réseau à Active Directory sur des ports
spécifiques codés de manière irréversible en plus d’une plage de ports TCP éphémères
entre 1024 et 65536, à moins qu’un protocole de tunneling ne soit utilisé pour encapsuler
ce trafic. Une solution encapsulée pourrait être constituée d’une passerelle VPN située
derrière un routeur de filtrage utilisant le protocole L2TP (Layer 2 Tunneling Protocol)
avec IPSec. Dans ce scénario encapsulé, vous devez autoriser les protocoles ESP
(Encapsulating Security Protocol) IPSec (protocole IP 50), NAT-T (Network Address
Translator Traversal) IPSec (UDP port 4500) et ISAKMP (Internet Security Association
and Key Management Protocol) IPSec (port UDP 500) à travers le routeur au lieu
d’ouvrir tous les ports et protocoles répertoriés ci-dessous. Pour finir, le port utilisé pour
la réplication Active Directory peut être codé de manière irréversible comme décrit
929
Chapitre 28 Annexe II - Les services et les ports réseau
dans l’article 224196 de la base de connaissance de Microsoft (restriction du trafic de

réplication Active Directory sur un port spécifique).
L2TP
Les filtres de paquets pour le trafic L2TP ne sont pas requis car L2TP est protégé
par IPSec ESP.
Tableau 28.1 : Nom du service système : LSASS

Protocole d’application Protocole Port
Serveur de catalogue global TCP 3269
Serveur de catalogue global TCP 3268
Serveur LDAP TCP 389
Serveur LDAP UDP 389

28. Annexe II -
Les services
LDAP SSL TCP 636

LDAP SSL UDP 636
ISAKMP IPSec UDP 500
NAT-T UDP 4500
RPC TCP 135
Ports TCP aléatoires élevés TCP 1024-65536
Le service de la passerelle de la couche Application

Ce sous-composant du service Partage de connexion Internet/Pare-feu de connexion
Internet (ICS/ICF, Internet Connection Sharing/Internet Connection Firewall) prend en
charge les plugins qui permettent aux protocoles réseau de traverser le pare-feu et de
fonctionner derrière le Partage de connexion Internet. Les plugins de la passerelle de la
couche Application (ALG, Application Layer Gateway) peuvent ouvrir des ports et
modifier des données (telles que les ports et les adresses IP) incorporées dans des
paquets. FTP (File Transfer Protocol) est le seul protocole réseau pour lequel un plugin
est fourni avec Windows Server 2003 Standard Edition et Windows Server 2003
Enterprise Edition. Le plugin FTP de la passerelle de la couche Application est conçu
pour prendre en charge les sessions FTP actives par l’intermédiaire du moteur de
traduction d’adresses réseau (NAT, Network Address Translation) utilisé par ces
composants. Pour prendre en charge ces sessions, le plugin redirige tout le trafic qui
passe par le moteur NAT et destiné au port 21 vers un port d’écoute privé dans la plage
comprise entre 3000 et 5000 sur la carte de bouclage. Ensuite, il surveille et met à jour le
trafic du canal de contrôle FTP de sorte que le plugin FTP puisse transférer les
930
mappages de ports par l’intermédiaire du moteur NAT pour les canaux de données FTP.
Ce plugin met également à jour les ports dans le flux du canal de contrôle FTP.
Tableau 28.2 : Nom du service système : ALG

Contrôle FTP TCP 21
Le service d’état ASP.NET

Le service d’état ASP.NET assure la prise en charge des états de session out-of-process
pour ASP.NET. Il stocke des données de session out-of-process. Le service utilise des
sockets pour communiquer avec ASP.NET exécuté sur un serveur web.
28. Annexe II -
Les services
Tableau 28.3 : Nom du service système : aspnet_state
État de session ASP.NET TCP 42424
Les services de certificats

Les services de certificats font partie du système d’exploitation de base. Ils permettent à
une entreprise d’agir comme sa propre autorité de certification (CA). Ainsi, l’entreprise
peut émettre et gérer des certificats numériques pour des programmes et des protocoles
tels que S/MIME (Secure/Multipurpose Internet Mail Extensions), SSL (Secure Sockets
Layer), EFS (Encrypting File System), IPSec et carte à puce. Les services de certificats
utilisent les protocoles RPC et DCOM pour communiquer avec les clients en utilisant
des ports TCP aléatoires supérieurs au port 1024.
Tableau 28.4 : Nom du service système : CertSvc

RPC TCP 135
Le service de cluster
Le service de cluster contrôle les opérations de cluster du serveur et gère la base de
données du cluster. Un cluster est un ensemble d’ordinateurs indépendants qui agissent
931
en tant qu’ordinateur unique. Les gestionnaires, les programmeurs et les utilisateurs

voient le cluster comme un système unique. Le logiciel distribue les données dans les
nœuds du cluster. En cas de défaillance d’un nœud, d’autres nœuds fournissent les
services et les données correspondants à sa place. Lorsqu’un nœud est ajouté ou réparé,
le logiciel de cluster migre certaines données vers ce nœud.
Tableau 28.5 : Nom du service système : ClusSvc

Services de clusters UDP 3343
RPC TCP 135
L’Explorateur d’ordinateurs
28. Annexe II -
Les services
Le service Explorateur d’ordinateurs maintient à jour la liste des ordinateurs sur votre
réseau et la communique aux programmes qui la demandent. Les ordinateurs Windows
utilisent ce service pour afficher les domaines et les ressources réseau. Les ordinateurs
désignés comme explorateurs gèrent des listes de parcours contenant toutes les
ressources partagées utilisées sur le réseau. Les versions antérieures des programmes
Windows (par exemple, les Favoris réseau), la commande net view et l’Explorateur
Windows, tous nécessitent des capacités de navigation. Par exemple, lorsque vous
ouvrez les Favoris réseau sur un ordinateur Microsoft Windows 95, une liste des
domaines et des ordinateurs s’affiche. Pour pouvoir afficher cette liste, l’ordinateur
demande une copie de la liste de parcours à l’ordinateur désigné comme explorateur.
Tableau 28.6 : Nom du service système : Browser

Service de datagramme NetBIOS UDP 138
Résolution de noms NetBIOS UDP 137
Service de session NetBIOS TCP 139
Le Serveur DHCP
Le service Serveur DHCP utilise le protocole DHCP (Dynamic Host Configuration
Protocol) pour attribuer automatiquement des adresses IP. Grâce à ce service, vous
pouvez régler les paramètres réseau avancés des clients DHCP. Par exemple, vous
pouvez configurer des paramètres réseau tels que les serveurs DNS (Domain Name
System) ou WINS (Windows Internet Name Service). Vous pouvez désigner un ou
plusieurs serveurs DHCP pour gérer les informations de configuration TCP/IP et les
transmettre aux ordinateurs clients.
932
Tableau 28.7 : Nom du service système : DHCPServer

Serveur DHCP UDP 67
MADCAP UDP 2535
Le Système de fichiers distribués (DFS)

Le Système de fichiers distribués (DFS, Distributed File System) intègre des partages de
fichiers disparates qui sont situés sur un réseau local (LAN) ou un réseau étendu
(WAN) dans un espace de noms logique unique. Le service DFS est nécessaire aux
contrôleurs de domaine Active Directory pour la publication du dossier partagé
SYSVOL.
28. Annexe II -
Tableau 28.8 : Nom du service système : DFS
Les services
Serveur LDAP TCP 389
Serveur LDAP UDP 389
SMB TCP 445
RPC TCP 135
Le Serveur de suivi de lien distribué

Le service Serveur de suivi de lien distribué stocke des informations qui permettent de
suivre, sur chaque volume du domaine, les fichiers ayant été déplacés d’un volume à un
autre. Il s’exécute sur chaque contrôleur de domaine. Il active le service Client de suivi
de lien distribué afin de suivre les documents liés ayant été déplacés vers un
emplacement situé sur un autre volume NTFS du même domaine.
Tableau 28.9 : Nom du service système : TrkSvr

RPC TCP 135
933
Le Coordinateur de transactions distribuées

Le service Coordinateur de transactions distribuées (DTC, Distributed Transaction
Coordinator) assure la coordination des transactions distribuées sur plusieurs systèmes
et gestionnaires de ressources, par exemple les bases de données, les files d’attente des
messages, les systèmes de fichiers ou d’autres gestionnaires de ressources dont les
transactions sont protégées. Le service système DTC est requis si les composants
transactionnels sont configurés à l’aide de COM+. Il est également requis pour les files
d’attente transactionnelles dans Message Queuing (MSMQ) et les opérations SQL
Server qui s’étendent sur différents systèmes.
Tableau 28.10 : Nom du service système : MSDTC

RPC TCP 135
28. Annexe II -
Les services
Le Serveur DNS
Le service Serveur DNS active la résolution de noms DNS en répondant aux requêtes et
il met à jour les requêtes de noms DNS. Les serveurs DNS sont requis pour rechercher
les périphériques et les services identifiés à l’aide des noms DNS, ainsi que les
contrôleurs de domaine dans Active Directory.
Tableau 28.11 : Nom du service système : DNS

DNS UDP 53
DNS TCP 53
Le Journal des événements

Le service Journal des événements consigne les messages d’événements générés par les
applications et par Windows Server 2003. Les rapports du Journal des événements
contiennent des informations utiles pour diagnostiquer les problèmes. Ils sont affichés
dans l’Observateur d’événements. Le service Journal des événements consigne dans des
fichiers journaux les événements envoyés par les programmes, les services et le système
d’exploitation. Outre les erreurs spécifiques au programme source, au service ou au
composant, les événements comprennent des informations de diagnostic. Les journaux
peuvent être affichés par programmation par le biais des interfaces API des journaux
d’événements ou de l’Observateur d’événements dans un composant logiciel enfichable.
934
Tableau 28.12 : Nom du service système : EventLog

RPC TCP 135
Les clients Microsoft Exchange Server et Outlook

Les versions des clients Microsoft Exchange Server ont différentes exigences de ports et
de protocoles. Ces exigences dépendent de la version du client Exchange Server utilisée.
Pour que les clients Outlook puissent se connecter aux versions d’Exchange antérieures
à Exchange 2003, la connectivité RPC directe au serveur Exchange est requise. Les
connexions RPC établies à partir d’Outlook vers le serveur Exchange contacteront
d’abord le mappeur de point de terminaison RPC (port TCP 135) pour demander des

informations sur les mappages de ports des différents points de terminaison requis. Le
28. Annexe II -
Les services
client Outlook essaie ensuite d’établir des connexions au serveur Exchange en utilisant
directement ces ports de point de terminaison.
Exchange 5.5 utilise deux ports pour la communication avec les clients. L’un des ports
est pour la banque d’informations, l’autre pour l’annuaire. Exchange 2000 et 2003
utilisent trois ports pour la communication avec les clients. L’un des ports est pour la
banque d’informations, un autre pour la référence d’annuaire (RFR) et un autre pour
DSProxy/NSPI.
Dans la plupart des cas, ces deux ou trois ports seront mappés de manière aléatoire dans
la plage TCP 1024-65534. Si besoin est, ils peuvent être configurés pour toujours lier à
un mappage de port statique plutôt que pour utiliser les ports éphémères.
Les clients Outlook 2003 prennent en charge la connectivité directe aux serveurs
Exchange à l’aide de RPC. Toutefois, ces clients peuvent communiquer également avec
les serveurs Exchange 2003 hébergés sur des ordinateurs Windows Server 2003 sur
Internet. L’utilisation de la communication RPC sur HTTP entre Outlook et un serveur
Exchange élimine le besoin d’exposer le trafic RPC non authentifié sur Internet. Au lieu
de cela, le trafic entre le client Outlook 2003 et le serveur Exchange Server 2003 est
transmis dans un tunnel dans des paquets HTTPS sur le port TCP 443 (HTTPS).
RPC sur HTTP requiert que le port TCP 443 (HTTPS) soit disponible entre le client
Outlook 2003 et le serveur qui joue le rôle de périphérique "RPCProxy". Les paquets
HTTPS sont terminés au serveur RPCProxy et les paquets RPC désenveloppés sont
ensuite passés au serveur Exchange sur trois ports, de manière semblable au trafic RPC
direct décrit plus haut. Ces ports RPC sur HTTP sur le serveur Exchange sont mappés
de manière statique aux ports TCP 6001 (la banque d’informations), TCP 6002
(référence d’annuaire) et TCP 6004 (DSProxy/NSPI). Aucun mappeur de point de
terminaison ne doit être exposé lors de l’utilisation des communications RPC sur HTTP
entre Outlook 2003 et Exchange 2003, puisqu’Outlook 2003 sait utiliser ces ports de
935
point de terminaison mappés de manière statique. De plus, aucun catalogue global ne

doit être exposé au client Outlook 2003 car l’interface DSProxy/NSPI sur le serveur
Exchange 2003 fournira cette fonctionnalité.
Plus d’informations sur Microsoft Exchange 2003

Vous trouverez plus d’informations au sujet de la planification et de l’implémentation
d’Exchange 2003 à l’adresse www.microsoft.com/technet/prodtechnol/exchange
/2003/library/default.mspx.
Exchange Server assure également la prise en charge d’autres protocoles, par exemple
SMTP, POP3 (Post Office Protocol 3) et IMAP.
Tableau 28.13 : Clients Microsoft Exchange Server et Outlook

IMAP TCP 143

28. Annexe II -
Les services
IMAP sur SSL TCP 993

POP3 TCP 110
POP3 sur SSL TCP 995
RPC TCP 135
RPC sur http TCP 443
SMTP TCP 25
SMTP UDP 25
Banque d’informations TCP 6001
Référence d’annuaire TCP 6002
DSProxy/NSPI TCP 6004
Le service de télécopie
Le service de télécopie, qui est conforme à l’API de téléphonie (TAPI), fournit des
fonctions de télécopie. Grâce à ce service, les utilisateurs peuvent envoyer et recevoir
des télécopies à partir du bureau de Windows en utilisant un télécopieur local ou un
télécopieur réseau partagé.
Tableau 28.14 : Nom du service système : Fax

RPC TCP 135
936

SMB TCP 445
La réplication de fichiers
Le service de réplication de fichiers (FRS, File Replication Service) est un moteur de
réplication basé sur des fichiers qui copie automatiquement des mises à jour de fichiers
et de dossiers entre des ordinateurs qui participent à un jeu de réplicas FRS commun. Il
s’agit du moteur de réplication par défaut utilisé pour répliquer le contenu du dossier
SYSVOL entre des contrôleurs de domaine (qu’ils soient sous Windows 2000 Server ou
Windows Server 2003) situés dans un domaine commun. Le service FRS peut être
configuré de façon à répliquer des fichiers et des dossiers entre des cibles d’une racine

ou liaison DFS à l’aide de l’outil d’administration DFS.
28. Annexe II -
Les services
Tableau 28.15 : Nom du service système : NtFrs
RPC TCP 135
Le Serveur de fichiers pour Macintosh

Grâce au service Serveur de fichiers pour Macintosh, les utilisateurs Macintosh peuvent
stocker des fichiers sur un ordinateur Windows Server 2003 et accéder à ces fichiers. Si
ce service est désactivé ou bloqué, les clients Macintosh ne peuvent pas stocker de
fichiers sur cet ordinateur, ni y accéder.
Tableau 28.16 : Nom du service système : MacFile

Serveur de fichiers pour Macintosh TCP 548
Le service de publication FTP

Le service de publication FTP permet d’établir une connexion FTP. Par défaut, le port
de contrôle FTP est 21. Toutefois, vous pouvez configurer ce service système à l’aide du
composant logiciel enfichable Gestionnaire des services Internet (IIS). Le port des
937
données (utilisées pour le FTP en mode actif) par défaut est automatiquement celui qui
est placé juste en dessous du port de contrôle. Par conséquent, si le port de contrôle est
configuré sur 4131, le port des données par défaut est 4130. La plupart des clients FTP
utilisent le FTP en mode passif. Cela signifie que le client se connecte initialement au
serveur FTP par le biais du port de contrôle, le serveur FTP attribue un port TCP élevé
compris entre les ports 1025 et 5000, puis le client ouvre une seconde connexion sur le
serveur FTP pour transférer les données. Vous pouvez configurer la gamme des ports
élevés à l’aide de la métabase IIS.
Tableau 28.17 : Nom du service système : MSFTPSVC

Contrôle FTP TCP 21
Données FTP par défaut TCP 20
28. Annexe II -
Les services
HTTP SSL
Le service HTTP SSL permet à IIS d’utiliser les fonctions SSL. SSL est une norme
ouverte pour établir un canal de communications sécurisées afin d’empêcher
l’interception d’informations telles que des numéros de cartes de crédit. Bien qu’il soit
conçu pour fonctionner avec d’autres services Internet, SSL est utilisé principalement
pour effectuer des transactions financières sur Internet. Vous pouvez configurer les
ports pour ce service à l’aide du composant logiciel enfichable Gestionnaire des services
Internet (IIS).
Tableau 28.18 : Nom du service système : HTTPFilter

HTTPS TCP 443
Le service d’authentification Internet

Le service d’authentification Internet (IAS, Internet Authentication Service) procède à
l’authentification, l’autorisation, l’audit et la gestion centralisés des utilisateurs connectés à
un réseau. Ces utilisateurs peuvent être sur une connexion réseau local ou une connexion à
distance. IAS met en œuvre le protocole RADIUS (Remote Authentication Dial-In User
Service) standard de l’IETF (Internet Engineering Task Force).
Tableau 28.19 : Nom du service système : IAS

RADIUS hérité UDP 1645
938

RADIUS hérité UDP 1646
Gestion RADIUS UDP 1813
Authentification RADIUS UDP 1812
Le service Pare-feu de connexion Internet/Partage de

connexion Internet (ICF/ICS)
Ce service fournit des services de traduction d’adresses réseau (NAT), d’adressage et de
résolution de noms pour tous les ordinateurs de votre réseau. Lorsque la fonction ICS
est activée, votre ordinateur devient une "passerelle Internet" sur le réseau et les autres
ordinateurs clients peuvent partager une connexion à Internet, par exemple une
connexion à distance ou large bande. Ce service fournit les services DHCP et DNS de

base, mais il va fonctionner avec l’ensemble des services DHCP ou DNS de Windows.
28. Annexe II -
Les services
Lorsque les fonctions ICF et ICS agissent en tant que passerelles pour les autres
ordinateurs de votre réseau, elles fournissent les services DHCP et DNS au réseau privé
sur l’interface réseau interne, mais pas sur l’interface externe.
Tableau 28.20 : Nom du service système : SharedAccess

Serveur DHCP UDP 67
DNS UDP 53
DNS TCP 53
Le Centre de distribution de clés Kerberos

Lorsque vous utilisez le service Centre de distribution de clés Kerberos (KDC, Key
Distribution Center), les utilisateurs peuvent se connecter au réseau par le biais du
protocole d’authentification Kerberos, version 5. Comme pour toutes les autres
implémentations du protocole Kerberos, le KDC est un processus unique qui fournit
deux services : le service Authentification et le service d’accord de tickets. Le premier
émet des tickets d’accord et le second émet des tickets pour la connexion vers des
ordinateurs de son propre domaine.
Tableau 28.21 : Nom du service système : kdc

Kerberos TCP 88
Kerberos UDP 88
939
L’enregistrement de licences
Le service d’enregistrement de licences est un outil qui avait été conçu à l’origine pour
aider les clients à gérer les licences des produits serveurs Microsoft utilisant le modèle
Licence d’Accès Client (CAL) au serveur. L’enregistrement de licences a été introduit
avec Windows NT Server 3.51. Par défaut, le service d’enregistrement de licences est
désactivé dans Windows Server 2003. En raison des contraintes héritées liées à la
conception et de l’évolution des termes des licences, l’enregistrement de licences peut
ne pas indiquer de façon précise le nombre total de CAL achetées par rapport au
nombre total de CAL utilisées sur un serveur particulier ou dans toute l’entreprise. Les
CAL mentionnées par l’enregistrement de licences peuvent entrer en conflit avec
l’interprétation du contrat de licence utilisateur final (CLUF) et avec les droits
d’utilisation des produits (PUR, Product Use Rights). D’ailleurs, il semblerait que
l’enregistrement de licences ne soit pas fourni avec les versions futures du système
d’exploitation Windows. Microsoft recommande par contre aux utilisateurs des
systèmes d’exploitation de la gamme Small Business Server uniquement, d’activer ce
service sur leurs serveurs.
28. Annexe II -
Les services
Tableau 28.22 : Nom du service système : LicenseService

SMB TCP 445
Le service Message Queuing (MSMQ)

Le service Message Queuing (MSMQ) est un outil de développement et d’infrastructure
de messagerie pour créer des applications de messagerie distribuées pour des
programmes exécutant Windows. Ces programmes peuvent communiquer entre des
réseaux hétérogènes et envoyer des messages entre des ordinateurs qui peuvent ne pas
parvenir temporairement à se connecter les uns aux autres. Message Queuing fournit
une sécurité, un routage efficace, une prise en charge d’envoi de messages à l’intérieur
des transactions, une messagerie basée sur la priorité et une livraison de message
garantie.
Tableau 28.23 : Nom du service système : MSMQ

MSMQ TCP 1801
MSMQ UDP 1801
MSMQ- Contrôleurs de domaine TCP 2101
940

MSMQ-Mgmt TCP 2107
MSMQ-Ping UDP 3527
MSMQ-RPC TCP 2105
MSMQ-RPC TCP 2103
RPC TCP 135
L’Affichage des messages

Le service Affichage des messages envoie des messages à des utilisateurs et ordinateurs,
à des administrateurs et au service Alertes, ou reçoit des messages d’eux. Si vous le
désactivez, les ordinateurs ou utilisateurs actuellement connectés sur le réseau ne

reçoivent plus de notifications. En outre, les commandes net send et net name ne
28. Annexe II -
Les services
fonctionnent plus.
Tableau 28.24 : Nom du service système : Messenger

Les piles MTA Microsoft Exchange

Dans Microsoft Exchange 2000 Server et Microsoft Exchange Server 2003, l’Agent de
transfert des messages (MTA, Message Transfer Agent) est souvent utilisé pour fournir
des services de transfert de messages à compatibilité descendante entre des serveurs
Exchange 2000 Server et Exchange Server 5.5 dans un environnement en mode mixte.
Tableau 28.25 : Nom du service système : MSExchangeMTA

X.400 TCP 102
Le Gestionnaire des opérations Microsoft 2000

Le Gestionnaire des opérations Microsoft (MOM, Microsoft Operations Manager) 2000
offre aux entreprises une gestion des opérations avec les fonctionnalités suivantes :
gestion complète des événements, alertes et surveillance proactives, génération de
941
rapports et analyse des tendances. Dès que vous avez installé le Service Pack 1 (SP1)
MOM 2000, MOM 2000 n’utilise plus un canal de communications en texte clair et tout
le trafic entre l’agent MOM et le serveur MOM est crypté sur le port TCP 1270. La
console Administrateur MOM se connecte au serveur par l’intermédiaire de DCOM.
Cela signifie que les administrateurs qui gèrent le serveur MOM sur le réseau doivent
avoir accès aux ports TCP aléatoires élevés.
Tableau 28.26 : Nom du service système : one point

MOM-Clair TCP 51515
MOM-Crypté TCP 1270
Le service POP3 Microsoft

28. Annexe II -
Les services
Le service POP3 Microsoft fournit des services de récupération et de transfert de

messages électroniques. Les administrateurs peuvent l’utiliser pour stocker et gérer des
comptes de messagerie électronique sur le serveur de messagerie. Lorsque vous installez
ce service sur le serveur de messagerie, les utilisateurs peuvent se connecter à ce serveur
et récupérer le courrier électronique par le biais du client de messagerie qui prend en
charge le protocole POP3, par exemple Outlook.
Tableau 28.27 : Nom du service système : POP3SVC

POP3 TCP 110
Le service MSSQLSERVER
MSSQLSERVER est un service système de Microsoft SQL Server 2000. SQL Server
constitue une plateforme complète pour la gestion de données. Grâce à l’utilitaire
Réseau Serveur, vous pouvez configurer les ports utilisés par chaque instance de SQL
Server.
Tableau 28.28 : Nom du service système : MSSQLSERVER

SQL sur TCP TCP 1433
SQL Probe UDP 1434
942
Le service MSSQL$UDDI
Le service MSSQL$UDDI est installé en même temps que la fonctionnalité UDDI
(Universal Description, Discovery, and Integration) de Windows Server 2003.
MSSQL$UDDI fournit à l’entreprise des services UDDI. Le moteur de base de données
SQL Server est le composant principal de MSSQL$UDDI.
Tableau 28.29 : Nom du service système : MSSQLSERVER

SQL sur TCP TCP 1433
SQL Probe UDP 1434
L’Ouverture de session réseau
28. Annexe II -
Le service Ouverture de session réseau maintient un canal de sécurité entre votre
Les services
ordinateur et le contrôleur de domaine pour authentifier les utilisateurs et les services.
Il transmet les informations d’identification de l’utilisateur à un contrôleur de domaine,
puis renvoie à l’utilisateur les identificateurs de sécurité du domaine et les droits
utilisateur. Cette procédure est généralement appelée "authentification directe". Net
Logon est configuré pour démarrer automatiquement uniquement lorsqu’un ordinateur
membre ou un contrôleur de domaine est joint à un domaine. Dans la gamme
Windows 2000 Server et Windows Server 2003, l’Ouverture de session réseau publie des
enregistrements de localisation de ressource de service dans le DNS. Lorsqu’il est
exécuté, ce service repose sur les services Serveur et Autorité de sécurité locale pour
surveiller les requêtes entrantes. Sur les ordinateurs membres du domaine, l’Ouverture
de session réseau utilise RPC sur des canaux nommés. Sur les contrôleurs de domaine,
elle utilise RPC sur des canaux nommés, RPC sur TCP/IP, des mailslots et le protocole
LDAP (Lightweight Directory Access Protocol).
Tableau 28.30 : Nom du service système : Netlogon

SMB TCP 445
Le Partage de Bureau à distance NetMeeting

Le service Partage de Bureau à distance NetMeeting permet aux utilisateurs autorisés
d’accéder à distance à votre Bureau Windows à partir d’un autre ordinateur personnel
943
sur un intranet d’entreprise par le biais de Windows NetMeeting. Vous devez activer
explicitement ce service dans NetMeeting. Pour désactiver ou arrêter cette fonction,
utilisez l’icône située dans la zone de notification Windows.
Tableau 28.31 : Nom du service système : mnmsrvc

Services Terminal Server TCP 3389
Network News Transfer Protocol (NNTP)

Le service NNTP permet aux ordinateurs Windows Server 2003 d’agir en tant que
serveurs de news. Les clients peuvent utiliser un client de news, tel que Microsoft
Outlook Express, pour récupérer des groupes de discussion à partir du serveur et lire les
en-têtes ou le contenu des articles dans chaque groupe de discussion.
28. Annexe II -
Les services
Tableau 28.32 : Nom du service système : NNTPSVC

NNTP TCP 119
NNTP sur SSL TCP 563
Le service Journaux et alertes de performance

Le service Journaux et alertes de performance collecte, en fonction des paramètres de
planification préconfigurés, les données de performance provenant des ordinateurs
locaux ou distants, puis les consigne dans un journal ou déclenche l’envoi d’un message.
Selon les informations contenues dans le paramètre de collecte du journal, le service
Journaux et alertes de performance démarre et arrête chaque collecte de données de
performance nommée. Ce service s’exécute uniquement si au moins une collecte de
données de performance est planifiée.
Tableau 28.33 : Nom du service système : SysmonLog

Le Spouleur d’impression
Le service Spouleur d’impression gère toutes les files d’attente d’impression locale et
réseau et contrôle tous les travaux d’impression. Le Spouleur d’impression est le centre
944
du sous-système d’impression Windows. Il gère les files d’attente d’impression sur le

système et communique avec les pilotes d’imprimantes et les composants d’entrée/sortie
(E/S), tels que le port USB et la suite de protocoles TCP/IP.
Tableau 28.34 : Nom du service système : Spooler

SMB TCP 445
L’Installation à distance
Vous pouvez utiliser le service d’installation à distance pour installer Windows 2000,
Windows XP et Windows Server 2003 sur des ordinateurs clients compatibles avec le
démarrage à distance dans un environnement d’exécution de prédémarrage (PXE,
28. Annexe II -
Pre-Boot EXecution Environment). Le service BINL (Boot Information Negotiation
Les services
Layer), composant principal du serveur d’installation à distance RIS (Remote Installation
Server), répond aux demandes des clients PXE, vérifie Active Directory pour la
validation client et transmet les informations client vers et depuis le serveur. Ce service
est installé soit lorsque vous ajoutez le composant RIS en utilisant la fonctionnalité
Ajout/Suppression de composants Windows, soit lorsque vous le sélectionnez lors de la
première installation du système d’exploitation.
Tableau 28.35 : Nom du service système : BINLSVC

BINL UDP 4011
L’Appel de procédure distante (RPC)

Le service Appel de procédure distante est un mécanisme IPC (InterProcess
Communication) qui active l’échange de données et l’invocation de fonctionnalités qui
résident dans un processus différent. Ce processus peut être sur le même ordinateur, sur
le réseau local ou sur un emplacement distant. Il est accessible par le biais d’une
connexion WAN ou VPN. Le service RPC sert de mappeur de point final RPC et de
Gestionnaire de contrôle des services COM (Component Object Model). De nombreux
services dépendent du service RPC pour démarrer correctement.
Tableau 28.36 : Nom du service système : RpcSs

RPC TCP 135
RPC sur http TCP 593
945
Le Localisateur d’appels de procédure distante (RPC)

Le service Localisateur d’appels de procédure distante gère la base de données du
service de nom RPC. Lorsqu’il est désactivé, les clients RPC peuvent rechercher des
serveurs RPC. Ce service est désactivé par défaut.
Tableau 28.37 : Nom du service système : RpcLocator

SMB TCP 445
La Notification de stockage étendu

Le service Notification de stockage étendu avertit les utilisateurs lorsqu’ils lisent des
fichiers ou écrivent dans des fichiers qui ne sont disponibles qu’à partir d’un support de
28. Annexe II -
Les services
stockage secondaire. Si vous arrêtez ce service, vous ne recevez plus cette notification.
Tableau 28.38 : Nom du service système : Remote_Storage_User_Link

RPC TCP 135
Le Serveur de stockage étendu

Le service Serveur de stockage étendu stocke des fichiers rarement utilisés sur un
support de stockage secondaire. Si vous arrêtez ce service, les utilisateurs ne peuvent
plus déplacer, ni récupérer des fichiers à partir de ce support.
Tableau 28.39 : Nom du service système : Remote_Storage_Server

RPC TCP 135
Le Routage et accès distant

Le service Routage et accès distant fournit des services de routage multiprotocoles, de
réseau local à réseau local, de réseau local à réseau étendu, ou utilisant les réseaux
privés virtuels (VPN) ou la traduction d’adresses réseau (NAT). En outre, ce service
946
fournit également des services d’accès à distance (connexion à distance ou VPN). Même
s’il est possible que le service Routage et accès distant utilise tous les protocoles
suivants, il n’utilise généralement qu’un sous-ensemble de ces protocoles. Par exemple,
si vous configurez une passerelle VPN qui se situe derrière un routeur de filtrage, vous
utiliserez probablement un seul de ces protocoles. Si vous utilisez simultanément L2TP
et IPSec, vous devez autoriser ESP IPSec (protocole IP 50), NAT-T (TCP sur le
port 4500) et ISAKMP IPSec (TCP sur le port 500) par l’intermédiaire du routeur.
Routage et accès distant

Même si NAT-T et ISAKMP IPSec sont requis pour le protocole L2TP, ces ports sont
en fait surveillés par l’Autorité de sécurité locale.
Tableau 28.40 : Nom du service système : RemoteAccess

28. Annexe II -
Les services
GRE (protocole IP 47) GRE n/a
AH IPSec (protocole IP 51) AH n/a
ESP IPSec (protocole IP 50) ESP n/a
L2TP UDP 1701
PPTP TCP 1723
Le Serveur
Le service Serveur assure la prise en charge de RPC et le partage de fichiers,
d’impression et des canaux nommés sur le réseau. Il permet le partage des ressources
locales, telles que les disques et les imprimantes, pour que les autres utilisateurs sur le
réseau puissent y accéder. Il permet également la communication des canaux nommés
entre les programmes exécutés sur l’ordinateur local et sur les autres ordinateurs. La
communication des canaux nommés correspond à la mémoire réservée à la sortie d’un
processus qui doit être utilisé comme entrée pour un autre processus. Le processus
d’acceptation d’entrée ne doit pas obligatoirement avoir lieu sur l’ordinateur local.
Tableau 28.41 : Nom du service système : lanmanserver

SMB TCP 445
947
Le service SharePoint Portal Server

Avec le service SharePoint Portal Server, vous pouvez développer un portail intelligent
qui connecte de façon transparente les utilisateurs, les équipes et les connaissances. Il
est ainsi possible de tirer parti des informations pertinentes dans tous les processus
d’entreprise. Microsoft SharePoint Portal Server 2003 fournit aux entreprises une seule
solution commerciale qui intègre toutes les informations provenant de divers systèmes
grâce aux capacités d’intégration des applications d’entreprise et d’authentification
unique.
Tableau 28.42 : SharePoint Portal Server

HTTP TCP 80
HTTPS TCP 443
28. Annexe II -
Les services
Le service Simple Mail Transfer Protocol (SMTP)

Le service SMTP est un agent de relais et de dépôt de messages électroniques. Il accepte
et met dans des files d’attente les messages pour des destinations distantes et il réessaie
à des intervalles définis. Les contrôleurs de domaine utilisent le service SMTP pour la
réplication du courrier électronique intersite. Les objets CDO (Collaboration Data
Objects) pour le composant COM Windows Server 2003 peuvent utiliser ce service pour
envoyer et placer en file d’attente le courrier sortant.
Tableau 28.43 : Nom du service système : SMTPSVC

SMTP TCP 25
SMTP UDP 25
Les services TCP/IP simples

Les services TCP/IP simples implémentent la prise en charge des protocoles suivants :
j le port Echo 7, RFC 862 ;
j le port Discard 9, RFC 863 ;
j le port Character Generator 19, RFC 864 ;
j le port Daytime 13, RFC 867 ;
j le port Quote of the Day 17, RFC 865.
948
Tableau 28.44 : Nom du service système : SimpTcp

Chargen TCP 19
Chargen UDP 19
Daytime TCP 13
Daytime UDP 13
Discard TCP 9
Discard UDP 9
Echo TCP 7
Echo UDP 7
Quotd TCP 17
Quotd UDP 17
28. Annexe II -
Les services
L’Agent de contrôle à distance SMS
L’Agent de contrôle à distance est un service de Microsoft Systems Management Server
(SMS) 2003. Il fournit une solution complète de modification et de gestion de la
configuration pour les systèmes d’exploitation Microsoft. Grâce à cette solution, les
organisations peuvent fournir aux utilisateurs des logiciels et des mises à jour
appropriés.
Tableau 28.45 : Nom du service système : Wuser32

Conversation à distance SMS TCP 2703
Conversation à distance SMS UDP 2703
Contrôle à distance SMS (contrôle) TCP 2701
Contrôle à distance SMS (contrôle) UDP 2701
Contrôle à distance SMS (données) TCP 2702
Contrôle à distance SMS (données) UDP 2702
Transfert de fichiers à distance SMS TCP 2704
Transfert de fichiers à distance SMS UDP 2704
Le service SNMP
Le service SNMP permet à l’ordinateur local de traiter les requêtes SNMP (Simple
Network Management Protocol) entrantes. Il comprend des agents qui surveillent
949
l’activité des périphériques réseau et en rendent compte à la station de travail de la

console réseau. Ce service fournit une méthode pour gérer les hôtes réseau (tels que les
stations de travail ou les serveurs, les routeurs, les ponts et les concentrateurs) à partir
d’un ordinateur central qui exécute le logiciel de gestion réseau. SNMP utilise une
architecture distribuée de systèmes et agents de gestion pour fournir ces services.
Tableau 28.46 : Nom du service système : SNMP

SNMP UDP 161
Le service d’interruption SNMP

Le Service d’interruption SNMP reçoit les messages d’interception générés par les
agents SNMP locaux ou distants et les transmet aux programmes de gestion SNMP qui
28. Annexe II -
Les services
s’exécutent sur votre ordinateur. Ce service, lorsqu’il est configuré pour un agent,
génère des messages d’interception dès qu’un événement spécifique se produit. Ces
messages sont envoyés vers une destination des interruptions. Par exemple, un agent
peut être configuré pour lancer une interruption d’authentification lorsqu’un système de
gestion non reconnu envoie une demande d’informations. Les destinations des
interruptions comprennent le nom et l’adresse IP de l’ordinateur ou l’adresse IPX
(Internetwork Packet Exchange) du système de gestion. Chaque destination des
interruptions doit être un hôte réseau sur lequel est exécuté le logiciel de gestion SNMP.
Tableau 28.47 : Nom du service système : SNMPTRAP

Interruptions SNMP sortantes UDP 162
Le service SQL Analysis Server

Le service SQL Analysis Server est un composant de SQL Server 2000 qui vous permet
de créer et gérer des cubes et des modèles de Mining OLAP. Le serveur d’analyse peut
accéder aux sources de données locales ou distantes pour créer et stocker des cubes ou
des modèles de Mining.
Tableau 28.48 : SQL Analysis Services

SQL Analysis Services TCP 2725
950
Le service SQL Server : prise en charge des clients OLAP de

niveau inférieur
Ce service est utilisé par SQL Server 2000 lorsque le service SQL Analysis Server doit
prendre en charge les connexions des clients de niveau inférieur (services OLAP 7.0). Il
s’agit des ports par défaut pour les services OLAP utilisés par SQL 7.0.
Tableau 28.49 : prise en charge des clients OLAP de niveau inférieur

Services OLAP 7.0 TCP 2393
Services OLAP 7.0 TCP 2394

Le service de découvertes SSDP
28. Annexe II -
Les services
Le service de découvertes SSDP implémente le protocole SSDP (Simple Service
Discovery Protocol) en tant que service Windows. Ce service gère la réception des
annonces de présence des périphériques, met à jour son cache et transmet ces
notifications aux clients dont les demandes de recherche sont en attente. Il accepte
également l’enregistrement des rappels d’événements provenant de clients, les
transforme en demandes d’abonnement et surveille les notifications d’événements.
Ensuite, il transmet ces demandes ainsi que les rappels d’événements enregistrés. Ce
service fournit également des périphériques hôtes avec des annonces périodiques. Le
service de notification d’événements SSDP utilise le port TCP 2869.
Tableau 28.50 : Nom du service système : SSDPRSR

SSDP UDP 1900
Notification d’événements SSDP TCP 2869
Notification d’événements hérités SSDP TCP 5000
Microsoft Systems Management Server 2.0

Microsoft Systems Management Server (SMS) 2003 fournit une solution complète de
modification et de gestion de la configuration pour les systèmes d’exploitation
Microsoft. Grâce à cette solution, les organisations peuvent fournir aux utilisateurs des
logiciels et des mises à jour appropriés, rapidement et de manière rentable.
951
Tableau 28.51 : Systems Management Server 2.0

RPC TCP 135
Le Serveur d’impression TCP/IP

Le service Serveur d’impression TCP/IP active l’impression TCP/IP par le biais du
protocole LPD (Line Printer Daemon). Le service LPD sur le serveur reçoit des
documents des utilitaires LPR (Line Printer Remote) fonctionnant sur des ordinateurs
Unix.
28. Annexe II -
Les services
Tableau 28.52 : Nom du service système : LPDSVC

LPD TCP 515
Le service Telnet
Le service Telnet pour Windows permet aux clients Telnet d’ouvrir des sessions sur des
terminaux ASCII. Le serveur Telnet prend en charge deux types d’authentification et les
quatre types de terminaux suivants :
j ANSI (American National Standard Institute) ;
j VT-100 ;
j VT-52 ;
j VTNT.
Tableau 28.53 : Nom du service système : TlntSvr

Telnet TCP 23
Les services Terminal Server

Les services Terminal Server fournissent un environnement de sessions multiples
permettant aux périphériques clients d’accéder à une session virtuelle du Bureau
952
Windows et à des programmes Windows exécutés sur le serveur. Ces services autorisent
la connexion interactive de plusieurs utilisateurs à un ordinateur.
Tableau 28.54 : Nom du service système : TermService

Services Terminal Server TCP 3389
La Gestion de licences Terminal Server

Le service Gestion de licences Terminal Server installe un serveur de licences et donne
les licences aux clients enregistrés lorsqu’ils se connectent à un serveur Terminal Server
(c’est-à-dire un serveur sur lequel Terminal Server est activé). Ce service à faible impact
stocke les licences client octroyées à un serveur Terminal Server, puis effectue ensuite le

suivi des licences délivrées aux ordinateurs ou terminaux clients.
28. Annexe II -
Les services
Tableau 28.55 : Nom du service système : TermServLicensing
RPC TCP 135
L’Annuaire de session des services Terminal Server

Avec le service Annuaire de session des services Terminal Server, les clusters des
serveurs Terminal Server avec répartition de charge peuvent router correctement toute
demande de connexion au serveur, sur lequel l’utilisateur a déjà ouvert une session. Les
utilisateurs sont dirigés vers le premier serveur Terminal Server disponible, même s’ils
ont une autre session en cours d’exécution dans le cluster de serveurs. La fonction de
répartition de charge regroupe les ressources de traitement de plusieurs serveurs en
utilisant le protocole réseau TCP/IP. Vous pouvez utiliser ce service avec un cluster de
serveurs Terminal Server pour accroître les performances d’un seul serveur en
répartissant les sessions sur plusieurs serveurs. L’Annuaire de session des services
Terminal Server effectue le suivi des sessions déconnectées sur le cluster et vérifie que
les utilisateurs sont reconnectés à ces sessions.
Tableau 28.56 : Nom du service système : Tssdis

RPC TCP 135
953

Le service Trivial FTP

Le service Trivial FTP ne nécessite pas de nom d’utilisateur, ni de mot de passe. Il fait
partie intégrante des services d’installation à distance RIS (Remote Installation Services).
Il assure la prise en charge du protocole TFTP (Trivial FTP Protocol) défini dans les
spécifications RFC suivantes :
j RFC 1350 – TFTP ;
j RFC 2347 – extension d’options ;
j RFC 2348 – option de taille de bloc ;
28. Annexe II -
Les services
j RFC 2349 – intervalle du délai d’expiration et options de taille de transfert.
TFTP (Trivial File Transfer Protocol) est un protocole de transfert de fichiers conçu pour
prendre en charge les environnements de démarrage sans disque. Le service TFTP est à
l’écoute sur le port UDP 69, mais il répond à partir d’un port aléatoire élevé. Par
conséquent, l’activation de ce port permet au service TFTP de recevoir des demandes
TFTP entrantes, mais cela ne permet pas au serveur sélectionné de répondre à ces
demandes. Le service est libre de répondre à toute demande de ce type provenant du
port source souhaité et le client distant utilisera ensuite ce port pour la durée du
transfert. La communication est bidirectionnelle. Si vous devez activer ce protocole à
travers un pare-feu, il peut être utile d’ouvrir le port UDP 69 entrant. Vous pouvez vous
reposer ensuite sur d’autres fonctionnalités de pare-feu, qui permettent de manière
dynamique au service de répondre par le biais de trous temporaires sur tout autre port.
Tableau 28.57 : Nom du service système : tftpd

TFTP UDP 69
L’Hôte périphérique Plug-and-Play universel

Le service Hôte périphérique Plug-and-Play universel implémente tous les composants
requis pour enregistrer et contrôler les périphériques et répondre aux événements des
périphériques hôtes. Les informations enregistrées et se rapportant à un périphérique
(description, durées de vie et conteneurs) sont, si vous le souhaitez, stockées sur disque
et diffusées sur le réseau après enregistrement, ou lorsque le système d’exploitation
954
redémarre. Ce service comprend également le serveur web utilisé par le périphérique,

outre les descriptions de services et la page de présentation.
Tableau 28.58 : Nom du service système : UPNPHost

UPNP TCP 2869
Windows Internet Name Service (WINS)

WINS active la résolution de noms NetBIOS. Il vous aide à localiser des ressources
réseau à l’aide des noms NetBIOS. Les serveurs WINS sont requis sauf si tous les
domaines ont été mis à jour vers le service d’annuaire Active Directory et si tous les
ordinateurs du réseau exécutent Windows 2000 ou version ultérieure. Ces serveurs

communiquent avec les clients réseau en utilisant la résolution de noms NetBIOS. La
28. Annexe II -
Les services
réplication WINS est requise uniquement entre les serveurs WINS.
Tableau 28.59 : Nom du service système : WINS

Réplication WINS TCP 42
Réplication WINS UDP 42
Les services Windows Media

Les services Windows Media de Windows Server 2003 remplacent les quatre services
suivants fournis avec les versions 4.0 et 4.1 des services Windows Media :
j le service Moniteur Windows Media ;
j le service Programme Windows Media ;
j le service Station Windows Media ;
j le service Monodiffusion Windows Media.
Les services Windows Media sont à présent regroupés en un seul service qui s’exécute
sur Windows Server 2003. Ses principaux composants ont été développés par le biais du
composant COM ; ce service a une architecture souple que vous pouvez personnaliser
en fonction de programmes particuliers. Il prend en charge un plus grand nombre de
protocoles de contrôle, notamment les protocoles RTSP (Real Time Streaming Protocol),
MMS (Microsoft Media Server) et HTTP.
955
Tableau 28.60 : Nom du service système : WMServer

HTTP TCP 80
MMS TCP 1755
MMS UDP 1755
MS Theater UDP 2460
RTCP UDP 5005
RTP UDP 5004
RTSP TCP 554
Le service de temps Windows

28. Annexe II -
Les services
Le service de temps Windows assure la synchronisation de la date et l’heure sur tous les
ordinateurs Windows XP et Windows Server 2003 d’un réseau. Il utilise le protocole
NTP (Network Time Protocol) pour synchroniser les horloges des ordinateurs. Ainsi,
l’heure et la date indiquées pour la validation réseau et sur les demandes d’accès aux
ressources sont toujours précises. L’implémentation de NTP et l’intégration de
fournisseurs de temps contribuent à faire du service de temps Windows un outil fiable et
modulable pour votre entreprise. Pour les ordinateurs n’appartenant pas à un domaine,
vous pouvez configurer le service de temps Windows pour qu’il synchronise l’heure avec
une source externe. Si ce service est désactivé, le réglage de l’heure sur les ordinateurs
locaux n’est pas synchronisé avec un service de temps dans le domaine Windows ni avec
un service externe. Windows Server 2003 utilise NTP, qui s’exécute sur le port UDP 123.
La version Windows 2000 de ce service utilise le protocole SNTP (Simple Network Time
Protocol), qui s’exécute également sur le port UDP 123.
Tableau 28.61 : Nom du service système : W32Time

NTP UDP 123
SNTP UDP 123
Le service de publication World Wide Web

Le service de publication World Wide Web fournit l’infrastructure nécessaire pour
enregistrer, gérer, surveiller et utiliser les sites et programmes web enregistrés avec IIS.
Ce service comprend un gestionnaire de processus et un gestionnaire de configuration.
Le premier contrôle les processus où résident des applications personnalisées et des
sites web. Le second lit la configuration système enregistrée pour le service de
956
Les ports et les protocoles
publication World Wide Web et vérifie que le fichier Http.sys est configuré pour router
les demandes HTTP vers les processus de pools d’application ou de systèmes
d’exploitation appropriés. Vous pouvez configurer les ports utilisés par ce service à
l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Si le
site web administratif est activé, un site web virtuel est créé qui utilise le trafic HTTP sur
le port TCP 8098.
Tableau 28.62 : Nom du service système : W3SVC

HTTP TCP 80
HTTPS TCP 443

28.2. Les ports et les protocoles
28. Annexe II -
Les services
Cette partie présente un tableau classé par numéro de port et non par nom des services.
Tableau 28.63 : Ports et protocoles

Port Protocole Protocole Nom du service Nom du service
d’application logique système
n/a GRE GRE (protocole IP 47) Routage et accès RemoteAccess
distant
n/a ESP ESP IPSec Routage et Accès RemoteAccess
(protocole IP 50) distant
n/a AH AH IPSec (protocole IP Routage et accès RemoteAccess
51) distant
7 TCP Echo Simple TCP/IP SimpTcp
Services
7 UDP Echo Simple TCP/IP SimpTcp
Services
9 TCP Discard Simple TCP/IP SimpTcp
Services
9 UDP Discard Simple TCP/IP SimpTcp
Services
13 TCP Daytime Simple TCP/IP SimpTcp
Services
13 UDP Daytime Simple TCP/IP SimpTcp
Services
957

17 TCP Quotd Simple TCP/IP SimpTcp
Services
17 UDP Quotd Simple TCP/IP SimpTcp
Services
19 TCP Chargen Simple TCP/IP SimpTcp
Services
19 UDP Chargen Simple TCP/IP SimpTcp
Services
20 TCP FTP default data FTP Publishing Service MSFtpsvc
21 TCP FTP control FTP Publishing Service MSFtpsvc
21 TCP FTP control Application Layer ALG
Gateway Service
23 TCP Telnet Telnet TlntSvr

28. Annexe II -
Les services
25 TCP SMTP Simple Mail Transport SMTPSVC

Protocol
25 UDP SMTP Simple Mail Transport SMTPSVC
Protocol
25 TCP SMTP Exchange Server
25 UDP SMTP Exchange Server
42 TCP WINS Replication Windows Internet WINS
Name Service
42 UDP WINS Replication Windows Internet WINS
Name Service
53 TCP DNS DNS Server DNS
53 UDP DNS DNS Server DNS
53 TCP DNS Internet Connection SharedAccess
Firewall/Internet
Connection Sharing
53 UDP DNS Internet Connection SharedAccess
Firewall/Internet
Connection Sharing
67 UDP DHCP Server DHCP Server DHCPServer
67 UDP DHCP Server Internet Connection SharedAccess
Firewall/Internet
Connection Sharing
69 UDP TFTP Trivial FTP Daemon tftpd
Service
958

80 TCP HTTP Windows Media WMServer
Services
80 TCP HTTP World Wide Web W3SVC
Publishing Service
80 TCP HTTP SharePoint Portal
Server
88 TCP Kerberos Kerberos Key Kdc
Distribution Center
88 UDP Kerberos Kerberos Key Kdc
Distribution Center
102 TCP X.400 Microsoft Exchange
MTA Stacks

110 TCP POP3 Microsoft POP3 POP3SVC
28. Annexe II -
Service
Les services
110 TCP POP3 Exchange Server
119 TCP NNTP Network News NntpSvc
Transfer Protocol
123 UDP NTP Windows Time W32Time
123 UDP SNTP Windows Time W32Time
135 TCP RPC Message Queuing msmq
135 TCP RPC Remote Procedure RpcSs
Call
135 TCP RPC Exchange Server
135 TCP RPC Certificate Services CertSvc
135 TCP RPC Cluster Service ClusSvc
135 TCP RPC Distributed File DFS
System
135 TCP RPC Distributed Link TrkSvr
Tracking
135 TCP RPC Distributed MSDTC
Transaction
Coordinator
135 TCP RPC Event Log Eventlog
135 TCP RPC Fax Service Fax
135 TCP RPC File Replication NtFrs
135 TCP RPC Local Security LSASS
Authority
959

135 TCP RPC Remote Storage Remote_Storage
Notification _User_Link
135 TCP RPC Remote Storage Remote_Storage
Server _Server
135 TCP RPC Systems Management
Server 2.0
135 TCP RPC Terminal Services TermServLicensing
Licensing
135 TCP RPC Terminal Services Tssdis
Session Directory
137 UDP NetBIOS Name Computer Browser Browser
Resolution
137 UDP NetBIOS Name Server lanmanserver

28. Annexe II -
Resolution
Les services
137 UDP NetBIOS Name Windows Internet WINS

Resolution Name Service
137 UDP NetBIOS Name Net Logon Netlogon
Resolution
137 UDP NetBIOS Name Systems Management
Resolution Server 2.0
138 UDP NetBIOS Datagram Computer Browser Browser
Service
138 UDP NetBIOS Datagram Messenger Messenger
Service
138 UDP NetBIOS Datagram Server lanmanserver
Service
138 UDP NetBIOS Datagram Net Logon Netlogon
Service
138 UDP NetBIOS Datagram Distributed File Dfs
Service System
138 UDP NetBIOS Datagram Systems Management
Service Server 2.0
138 UDP NetBIOS Datagram License Logging LicenseService
Service Service
139 TCP NetBIOS Session Computer Browser Browser
Service
139 TCP NetBIOS Session Fax Service Fax
Service
960

139 TCP NetBIOS Session Performance Logs and SysmonLog
Service Alerts
139 TCP NetBIOS Session Print Spooler Spooler
Service
139 TCP NetBIOS Session Server lanmanserver
Service
139 TCP NetBIOS Session Net Logon Netlogon
Service
139 TCP NetBIOS Session Remote Procedure RpcLocator
Service Call Locator
139 TCP NetBIOS Session Distributed File Dfs
Service System

139 TCP NetBIOS Session Systems Management
28. Annexe II -
Service Server 2.0
Les services
139 TCP NetBIOS Session License Logging LicenseService
Service Service
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP Service SNMP
162 UDP SNMP Traps SNMP Trap Service SNMPTRAP
Outbound
270 TCP MOM 2004 Microsoft Operations MOM
Manager 2004
389 TCP LDAP Server Local Security LSASS
Authority
389 UDP LDAP Server Local Security LSASS
Authority
389 TCP LDAP Server Distributed File Dfs
System
389 UDP LDAP Server Distributed File Dfs
System
443 TCP HTTPS HTTP SSL HTTPFilter
443 TCP HTTPS World Wide Web W3SVC
Publishing Service
443 TCP HTTPS SharePoint Portal
Server
445 TCP SMB Fax Service Fax
445 TCP SMB License Logging LicenseService
Service
961

445 TCP SMB Print Spooler Spooler
445 TCP SMB Server lanmanserver
445 TCP SMB Remote Procedure RpcLocator
Call Locator
445 TCP SMB Distributed File Dfs
System
445 TCP SMB Net Logon Dfs
500 UDP IPSec ISAKMP Local Security LSASS
Authority
515 TCP LPD TCP/IP Print Server LPDSVC
548 TCP File Server for File Server for MacFile
Macintosh Macintosh
28. Annexe II -
554 TCP RTSP Windows Media WMServer

Les services
Services
563 TCP NNTP over SSL Network News NntpSvc
Transfer Protocol
593 TCP RPC over HTTP Remote Procedure RpcSs
Call
593 TCP RPC over HTTP Exchange Server
636 TCP LDAP SSL Local Security LSASS
Authority
636 UDP LDAP SSL Local Security LSASS
Authority
993 TCP IMAP over SSL Exchange Server
995 TCP POP3 over SSL Exchange Server
1270 TCP MOM-Encrypted Microsoft Operations one point
Manager 2000
1433 TCP SQL over TCP Microsoft SQL Server SQLSERVR
1433 TCP SQL over TCP MSSQL$UDDI SQLSERVR
1434 UDP SQL Probe Microsoft SQL Server SQLSERVR
1434 UDP SQL Probe MSSQL$UDDI SQLSERVR
1645 UDP Legacy RADIUS Internet Authentication IAS
Service
1646 UDP Legacy RADIUS Internet Authentication IAS
Service
1701 UDP L2TP Routing and Remote RemoteAccess
Access
962

1723 TCP PPTP Routing and Remote RemoteAccess
Access
1755 TCP MMS Windows Media WMServer
Services
1755 UDP MMS Windows Media WMServer
Services
1801 TCP MSMQ Message Queuing msmq
1801 UDP MSMQ Message Queuing msmq
1812 UDP RADIUS Authentication Internet Authentication IAS
Service
1813 UDP RADIUS Accounting Internet Authentication IAS
Service

1900 UDP SSDP SSDP Discovery SSDPRSRV
28. Annexe II -
Les services
Service
2101 TCP MSMQ-DCs Message Queuing msmq
2103 TCP MSMQ-RPC Message Queuing msmq
2105 TCP MSMQ-RPC Message Queuing msmq
2107 TCP MSMQ-Mgmt Message Queuing msmq
2393 TCP OLAP Services 7.0 SQL Server :
Downlevel OLAP Client
Support
2394 TCP OLAP Services 7.0 SQL Server :
Downlevel OLAP Client
Support
2460 UDP MS Theater Windows Media WMServer
Services
2535 UDP MADCAP DHCP Server DHCPServer
2701 TCP SMS Remote Control SMS Remote Control
(control) Agent
2701 UDP SMS Remote Control SMS Remote Control
(control) Agent
2702 TCP SMS Remote Control SMS Remote Control
(data) Agent
2702 UDP SMS Remote Control SMS Remote Control
(data) Agent
2703 TCP SMS Remote Chat SMS Remote Control
Agent
963

2703 UDP SMS Remote Chat SMS Remote Control
Agent
2704 TCP SMS Remote File SMS Remote Control
Transfer Agent
2704 UDP SMS Remote File SMS Remote Control
Transfer Agent
2725 TCP SQL Analysis Services SQL 2000 Analysis
Server
2869 TCP UPNP Universal Plug and UPNPHost
Play Device Host
2869 TCP SSDP event SSDP Discovery SSDPRSRV
notification Service
3268 TCP Global Catalog Server Local Security LSASS

28. Annexe II -
Authority
Les services
3269 TCP Global Catalog Server Local Security LSASS

Authority
3343 UDP Cluster Services Cluster Service ClusSvc
3389 TCP Terminal Services NetMeeting Remote mnmsrvc
Desktop Sharing
3389 TCP Terminal Services Terminal Services TermService
3527 UDP MSMQ-Ping Message Queuing msmq
4011 UDP BINL Remote Installation BINLSVC
4500 UDP NAT-T Local Security LSASS
Authority
5000 TCP SSDP legacy event SSDP Discovery SSDPRSRV
notification Service
5004 UDP RTP Windows Media WMServer
Services
5005 UDP RTCP Windows Media WMServer
Services
42424 TCP ASP.Net Session State ASP.NET State Service aspnet_state
51515 TCP MOM-Clear Microsoft Operations one point
Manager 2000
964
Les exigences relatives aux ports et aux protocoles Active Directory
28.3. Les exigences relatives aux ports et aux

protocoles Active Directory
Les serveurs d’applications, les ordinateurs clients et les contrôleurs de domaine situés
dans des forêts communes ou externes ont des dépendances de service qui permettent à
des opérations initiées par l’utilisateur ou par l’ordinateur (telles que la jonction de
domaine, l’authentification d’ouverture de session, l’administration distante et la
réplication Active Directory) de fonctionner correctement. De tels services et
opérations requièrent une connectivité réseau sur des ports et des protocoles réseau
spécifiques.
Voici une liste (non exhaustive) de services, de ports et de protocoles nécessaires pour
que les ordinateurs membres et les contrôleurs de domaine puissent interopérer ou pour
que les serveurs d’applications puissent accéder à Active Directory :
1. Active Directory/LSA.
28. Annexe II -
Les services
2. Services de certificats (requis pour des configurations spécifiques).
3. Explorateur d’ordinateurs.
4. Serveur DHCP (si configuré de cette manière).
5. Système de fichiers distribués.
6. Serveur de suivi de lien distribué (facultatif mais activé par défaut sur les
ordinateurs Windows 2000).
7. Coordinateur de transactions distribuées.
8. Serveur DNS (si configuré de cette manière).
9. Journal des événements.
10. Service de télécopie (si configuré de cette manière).
11. Réplication de fichiers.
12. Serveur de fichiers pour le Macintosh (si configuré de cette manière).
13. HTTP SSL.
14. Service d’authentification Internet (si configuré de cette manière).
15. Centre de distribution de clés Kerberos.
16. Enregistrement de licences (activé par défaut).
17. Messenger.
18. Ouverture de session réseau.
19. Journaux et alertes de performance.
20. Spouleur d’impression.
965
21. Installation à distance (si configuré de cette manière).

22. Appel de procédure distante (RPC).
23. Localisateur d’appels de procédure distante (RPC).
24. Notification de stockage étendu.
25. Serveur de stockage étendu.
26. Routage et accès distant.
27. Serveur.
28. Protocole SMTP (si configuré de cette manière).
29. Service SNMP.
30. Service d’interruption SNMP.
31. Serveur d’impression TCP/IP.
32. Telnet.
28. Annexe II -
Les services
33. Services Terminal Server.

34. Gestion de licences Terminal Server.
35. Annuaire de session des services Terminal Server.
36. WINS.
37. Temps Windows.
38. Service de publication World Wide Web.
966
Chapitre 29
Annexe III -
Glossaire
Annexe III - Glossaire
Accès à distance
Élément du service de routage et d’accès distant au réseau destiné aux télétravailleurs,
aux employés itinérants et aux administrateurs système qui surveillent et gèrent des
serveurs de plusieurs succursales. Les utilisateurs qui exécutent Windows et le module
de connexion réseau peuvent composer un numéro pour établir une connexion distante
à leur réseau et accéder à des services tels que le partage de fichiers et d’imprimantes, la
messagerie électronique, le planning, etc.
ACL discrétionnaire
Partie d’un descripteur de sécurité d’objet qui accorde ou refuse à des utilisateurs ou à
des groupes particuliers l’autorisation d’accéder à l’objet. Seul le propriétaire de l’objet
peut modifier les autorisations accordées ou refusées dans un ACL discrétionnaire. Cela
signifie que l’accès à l’objet est à la discrétion de son propriétaire. Anglais : DACL
(Discretionary Access Control List).
ACT (Application Compatibility Toolkit)

Outil de gestion du cycle de vie. Il aide à exploiter les ressources de la communauté pour
les résultats des tests de compatibilité des applications, la gestion du catalogue
29. Annexe III -

d’applications d’une organisation, les problèmes et solutions en termes de compatibilité
Glossaire
des applications, les déploiements d’applications et la possibilité pour les entreprises de
concentrer leurs efforts de compatibilité des applications afin de permettre le
déploiement facile et rapide d’un nouveau système d’exploitation.
Acrobat
Format standard de l’éditeur Adobe destiné à la création et à la diffusion des documents
électroniques compatibles sur toutes les plateformes. Le plugin Acrobat Reader, gratuit
et téléchargeable, permet de consulter les documents dans ce format.
Actif, active
Qualifie un objet (fenêtre ou icône) qui est sélectionné, en cours d’utilisation. Le
système d’exploitation applique toujours, à la fenêtre active, la prochaine commande ou
frappe de touche que vous exécutez. Les fenêtres ou les icônes du Bureau qui ne sont pas
sélectionnées sont inactives.
Active Directory
Active Directory est un annuaire au sens informatique et technique chargé de
répertorier tout ce qui touche au réseau comme le nom des utilisateurs, des
imprimantes, des serveurs, des dossiers partagés, etc. L’utilisateur peut ainsi trouver
facilement des ressources partagées, et les administrateurs peuvent contrôler leurs
969
Chapitre 29 Annexe III - Glossaire
utilisations grâce à des fonctionnalités de distribution, de duplication, de

partitionnement et de sécurisation des accès aux ressources répertoriées. Active
Directory donne aux administrateurs la possibilité d’administrer l’infrastructure de
façon centralisée et décentralisée.
Il est possible d’interroger l’annuaire pour obtenir une liste des objets possédant des
attributs, en formulant par exemple une requête du type : "Trouver toutes les
imprimantes couleur de l’étage 2".
ActiveX
Ensemble de technologies permettant à des composants logiciels de dialoguer entre eux
au sein d’un environnement réseau, quel que soit le langage dans lequel ils ont été créés.
Administrateur
Pour les versions professionnelles de Windows Vista, c’est la personne qui est
responsable de la configuration et de la gestion des contrôleurs de domaine ou des
ordinateurs locaux et de leurs comptes de groupes ou d’utilisateurs, qui attribue les mots
de passe et les autorisations et aide les utilisateurs à résoudre leurs problèmes de réseau.
Les administrateurs sont membres du groupe Administrateurs et possèdent le contrôle
29. Annexe III -
total sur le domaine ou l’ordinateur.

Glossaire
Pour les versions familiales de Windows Vista, c’est la personne qui peut appliquer des
modifications à l’ordinateur au niveau du système, installer des logiciels et accéder à
tous les fichiers de l’ordinateur. Une personne possédant un compte d’administrateur
dispose d’un accès total à tous les comptes utilisateur de l’ordinateur.
Administrateur d’ordinateur
Utilisateur qui gère un ordinateur. L’administrateur de l’ordinateur est autorisé à
apporter des modifications système à l’ordinateur, notamment à installer des logiciels et
à accéder à tous les fichiers de l’ordinateur. Il peut également créer, modifier et
supprimer les comptes des autres utilisateurs.
Adresse Internet
Adresse qui identifie de façon unique un emplacement sur Internet. Elle commence
habituellement par un nom de protocole, suivi par le nom de l’organisation qui gère le
site et le suffixe identifiant le type d’organisation. Par exemple, dans l’adresse http://www
.yale.edu/, http représente le serveur web qui utilise le protocole HTTP (Hypertext Transfer
Protocol), www indique que le site est situé sur le World Wide Web et edu indique qu’il
s’agit d’un établissement d’enseignement. Elle peut être plus détaillée et contenir par
exemple le nom d’une page hypertexte, généralement identifiée par l’extension de nom
de fichier .html ou .htm. Anglais : URL (Uniform Resource Locator).
970
Adresse IP
Adresse 32 bits, utilisée pour identifier un nœud au sein d’un réseau d’interconnexion
IP. Chaque nœud du réseau d’interconnexion IP doit posséder une adresse IP unique,
composée de l’ID réseau et d’un ID hôte unique. En règle générale, la valeur décimale
de chaque octet est séparée par un point (par exemple, 192.168.7.27). Dans cette
version de Windows, vous pouvez configurer l’adresse IP de manière statique ou
dynamique par l’intermédiaire de DHCP.
ADSL (Asymmetric Digital Subscriber Line)

Technologie de transmission numérique à haut débit qui utilise les lignes téléphoniques
existantes tout en permettant la transmission simultanée de données vocales sur ces
mêmes lignes. L’essentiel du trafic est transmis vers l’utilisateur à des vitesses comprises
généralement entre 512 kbits/s et 6 Mbits/s.
Alerte de protection de la sécurité

Lorsqu’une alerte de Norton Internet Security apparaît, lisez le message avant de
prendre une décision. Identifiez le type d’alerte et le niveau de sécurité, évaluez les
risques et faites un choix en prenant le temps nécessaire. Tant que l’alerte est active,
29. Annexe III -

votre ordinateur est à l’abri des attaques dans la plupart des cas.
Glossaire
Appartenance à un groupe
Un compte d’utilisateur peut appartenir à un groupe. Les autorisations et les droits
accordés à un groupe le sont également à ses membres. Dans la plupart des cas, les
actions qu’un utilisateur peut exécuter sous Windows sont déterminées par
l’appartenance à un groupe du compte d’utilisateur sur lequel l’utilisateur a ouvert une
session.
Attribut
Pour les fichiers, informations qui indiquent si un fichier est en lecture seule, caché, prêt
pour l’archivage (sauvegarde), compressé ou crypté, et si le contenu de ce fichier doit
être indexé pour la recherche rapide des fichiers.
Audit
Processus de suivi des activités des utilisateurs par l’enregistrement des types
d’événements sélectionnés dans le journal sécurité d’un serveur ou d’une station de
travail.
971
Autorisation
Processus qui détermine ce qu’un utilisateur est autorisé à faire sur un système
informatique ou un réseau.
Règle associée à un objet en vue de déterminer les utilisateurs qui peuvent accéder à
l’objet et la manière qu’ils doivent employer. Les autorisations sont accordées ou
refusées par le propriétaire de l’objet.
Autorisations d’accès spéciales

Ensemble personnalisé d’autorisations sur des volumes NTFS. Vous pouvez
personnaliser des autorisations sur des fichiers et des répertoires en sélectionnant des
composants appartenant aux ensembles d’autorisations standards.
Autorisations héritées
Autorisations portant sur un objet et qui sont automatiquement héritées de son objet
parent. Les autorisations héritées ne peuvent pas être modifiées.
Authentification
29. Annexe III -
Glossaire
Processus de vérification de la nature réelle ou prétendue d’une entité ou d’un objet.

L’authentification consiste par exemple à confirmer la source et l’intégrité des
informations, à vérifier une signature numérique ou l’identité d’un utilisateur ou d’un
ordinateur.
Backdoor
Littéralement, "porte arrière". Elle permet aux pirates d’accéder illégalement à un
logiciel ou à un système d’exploitation en utilisant une autre issue que celle qui est
officielle.
Bande passante
Représente la quantité de données pouvant être acheminées par le biais d’une
connexion réseau. La bande passante se mesure habituellement en bits par seconde
(bps).
Barre des tâches

Barre qui contient le bouton de démarrage et qui apparaît par défaut sur le bord
inférieur du Bureau. Vous pouvez cliquer sur les boutons de la barre des tâches pour
permuter les programmes. Vous pouvez aussi masquer la barre des tâches et la déplacer.
Vous avez également la possibilité de la personnaliser de nombreuses manières.
972
Base de connaissances
Partie d’un système expert contenant l’ensemble des informations, en particulier des
règles et des faits, qui constituent le domaine de compétence du système. Anglais :
knowledge base.
Bluetooth
Norme de communication par ondes radio avec un rayon d’action de 1 m à 100 m
suivant les appareils, développée par le Bluetooth SIG. Elle est utilisée avant tout sur les
téléphones mobiles, les oreillettes sans fil et les assistants personnels.
Norme permettant de relier deux appareils par une connexion radio dans un rayon de
10 m à 100 m, sur une bande radio de 2,4 GHz. Elle est destinée à remplacer à terme les
liaisons infrarouges.
Bogue
De l’anglais, bug (punaise, insecte, microbe). En informatique, erreur, défaut dans un
programme, ce qui provoque des dysfonctionnements.
29. Annexe III -

Browser
Glossaire
Voir Navigateur.
Bug
Voir Bogue.
Bureau
Zone de travail de l’écran dans laquelle apparaissent les fenêtres, les icônes, les menus
et les boîtes de dialogue.
Byte
Voir Octet.
Carte mère
La carte mère réunit des composants aussi essentiels que le processeur, la mémoire vive,
des systèmes de bus de données et des connecteurs d’extension pour relier une carte son
ou une carte graphique, par exemple. La carte mère est le centre nerveux d’un
ordinateur, le lieu d’échange de données et de calcul.
973
Carte vidéo
Carte d’extension enfichée dans un ordinateur personnel pour lui donner des capacités
d’affichage. Celles-ci dépendent des circuits logiques (fournis par la carte vidéo) et du
moniteur. Chaque carte propose plusieurs modes vidéo différents. Ceux-ci
appartiennent aux deux catégories de base : le mode texte et le mode graphique.
Certains moniteurs permettent en outre de choisir la résolution du mode texte et du
mode graphique. Un moniteur peut afficher davantage de couleurs aux résolutions les
plus basses.
Les cartes actuelles contiennent de la mémoire afin que la mémoire vive de l’ordinateur
ne soit pas sollicitée pour stocker les affichages. En outre, la plupart des cartes
possèdent leur propre coprocesseur graphique qui se charge des calculs liés à l’affichage
graphique. Ces cartes sont souvent appelées "accélérateurs graphiques".
Certificat
Document numérique communément employé pour l’authentification et la sécurisation
des échanges d’informations sur les réseaux ouverts tels qu’Internet, ou les extranets et
les intranets. Un certificat lie de manière sécurisée une clé publique à l’entité qui
possède la clé privée correspondante. Les certificats sont signés numériquement par
l’autorité de certification émettrice et peuvent être émis pour un utilisateur, un
29. Annexe III -
ordinateur ou un service. Le format de certificat le plus largement accepté est défini par
Glossaire
la norme internationale ITU-T X.509.
Cheval de Troie
Programme qui se fait passer pour un autre programme commun en vue de recevoir des
informations. Par exemple, un programme usurpe l’identité d’une session système pour
extraire des noms d’utilisateur et des mots de passe susceptibles d’aider les développeurs
du cheval de Troie à pénétrer ultérieurement dans le système. Synonyme : troyen.
Anglais : trojan.
Classe d’adresses
Groupements prédéfinis d’adresses Internet, dont chaque classe définit des réseaux
possédant une taille déterminée. La plage de nombres susceptibles d’être affectés au
premier octet de l’adresse IP varie en fonction de la classe d’adresses. Les réseaux de
classe A (dont les valeurs sont comprises entre 1 et 126) sont les plus grands, chacun
d’eux peut relier plus de 16 millions d’hôtes. Les réseaux de classe B (dont les valeurs
sont comprises entre 128 et 191) peuvent relier jusqu’à 65 534 hôtes par réseau, tandis
que les réseaux de classe C (dont les valeurs sont comprises entre 192 et 223) peuvent
regrouper jusqu’à 254 hôtes par réseau.
974
Clé
Dans la Base de registre, dossier qui apparaît dans le panneau gauche de la fenêtre de
l’éditeur. Une clé peut contenir des sous-clés ainsi que des rubriques valuées.
Environment, par exemple, est une clé contenue dans HKEY_CURRENT_USER.
Communication sans fil

Elle est possible entre deux ordinateurs ou entre un ordinateur et un périphérique. La
lumière infrarouge constitue la forme de communication sans fil proposée par le
système d’exploitation Windows pour la transmission des fichiers. Les fréquences radio,
semblables à celles utilisées par les téléphones portables et les téléphones sans fil,
constituent une autre forme de communication sans fil.
Compte d’utilisateur
Ensemble de toutes les informations définissant un utilisateur pour Windows. Parmi ces
informations, citons le nom d’utilisateur et le mot de passe fourni par l’utilisateur pour
se connecter au réseau, les groupes auxquels appartient l’utilisateur, et les droits et
autorisations dont jouit l’utilisateur pour utiliser l’ordinateur et le réseau ou accéder à
leurs ressources. Pour Windows XP Professionnel, les comptes d’utilisateurs sont gérés
29. Annexe III -

par le service Utilisateurs et groupes locaux.
Glossaire
Compression
Procédé permettant de réduire le volume (en bits) ou le débit (en bits par seconde) des
données numérisées (parole, image, texte…).
Connexions web sécurisées

Lorsque vous visitez un site web sécurisé, votre navigateur établit automatiquement
avec lui une connexion cryptée. Par défaut, tous les comptes peuvent utiliser des
connexions sécurisées. Si vous souhaitez empêcher les utilisateurs d’envoyer des
informations confidentielles à des sites web sécurisés, vous pouvez désactiver les
connexions web sécurisées.
Si vous désactivez les connexions web sécurisées, votre navigateur ne chiffrera plus les
informations envoyées. Vous ne devez désactiver les connexions web sécurisées que si
vous voulez protéger les informations confidentielles figurant sur la liste Informations
confidentielles.
Cookie
Code, ensemble d’informations, qu’un serveur enregistre, souvent temporairement, sur
votre disque dur pour vous identifier sur son service.
975
Corbeille
Emplacement dans lequel Windows stocke les fichiers supprimés. Vous pouvez
récupérer des fichiers supprimés par erreur ou vider la Corbeille pour augmenter
l’espace disque disponible.
Défragmentation
Processus de réécriture de parties d’un fichier dans des secteurs contigus d’un disque
dur en vue d’augmenter la vitesse d’accès et de récupération des données. Lorsque des
fichiers sont mis à jour, l’ordinateur a tendance à les enregistrer sur le plus grand espace
continu du disque dur, qui se trouve souvent sur un secteur différent de celui sur lequel
sont enregistrées les autres parties du fichier. Lorsque des fichiers sont ainsi fragmentés,
l’ordinateur doit examiner le disque dur chaque fois qu’il ouvre le fichier afin d’en
rechercher les différentes parties, ce qui réduit son temps de réponse.
Domaine
Groupe d’ordinateurs faisant partie d’un réseau et partageant une même base de
données d’annuaire. Un domaine est administré comme une unité régie par des règles et
des procédures communes. Chaque domaine possède un nom unique. Un domaine
29. Annexe III -
Active Directory est constitué d’un ensemble d’ordinateurs définis par l’administrateur
Glossaire
d’un réseau Windows. Ces ordinateurs partagent une base de données d’annuaires
commune, des stratégies de sécurité et des relations de sécurité avec d’autres domaines.
Un domaine Active Directory fournit l’accès aux comptes de groupe et aux comptes
d’utilisateurs centralisés qui sont gérés par l’administrateur du domaine. Une forêt
Active Directory se compose d’un ou de plusieurs domaines, qui peuvent s’étendre sur
plusieurs emplacements physiques.
Un domaine DNS est une arborescence au sein de l’espace de noms DNS. Bien que les
noms des domaines DNS correspondent souvent aux domaines Active Directory, les
domaines DNS ne doivent pas être confondus avec les domaines Active Directory.
Dossier
Dans une interface utilisateur graphique, conteneur de programmes et de fichiers
symbolisé par une icône de dossier. Un dossier est un outil permettant de classer les
programmes et les documents sur un disque et capable de contenir à la fois des fichiers
et des sous-dossiers.
Dossier de base
Dossier (généralement sur un serveur de fichiers) que les administrateurs peuvent
attribuer à des utilisateurs ou à des groupes individuels. Les administrateurs utilisent des
dossiers de base pour consolider les fichiers utilisateurs sur des serveurs de fichiers
spécifiques afin d’en faciliter la sauvegarde. Certains programmes utilisent les dossiers
976
de base comme dossiers par défaut pour les boîtes de dialogue Ouvrir et Enregistrer
sous. Les dossiers de base sont parfois appelés "répertoires de base".
Droits d’utilisateur
Ensemble des autorisations d’un utilisateur, sur un ordinateur ou un domaine, et lui
permettant d’accéder à un certain nombre de tâches définies. Il existe deux types de
droits d’utilisateur : les privilèges et les droits d’ouverture de session. Le droit de fermer
le système est un exemple de privilège. Le droit d’ouvrir une session sur un ordinateur
localement est un exemple de droit d’ouverture de session. Les privilèges et les droits
sont attribués par les administrateurs à des utilisateurs ou à des groupes particuliers
dans le cadre de la configuration des paramètres de sécurité de l’ordinateur.
DRM (Digital Rights Management)

Gestion des droits numériques. Technologie sécurisée qui permet au détenteur des
droits d’auteur d’un objet soumis à la propriété intellectuelle (comme un fichier audio,
vidéo ou texte) de spécifier ce qu’un utilisateur est en droit d’en faire. En général, elle
est utilisée pour proposer des téléchargements sans craindre que l’utilisateur ne
distribue librement le fichier sur le Web.
29. Annexe III -

Dual core
Glossaire
Physiquement, le processeur dual core ressemble fort à un processeur classique, à cela
près qu’il est surmonté de deux dies au lieu d’un seul. Le die étant parfois recouvert
d’une plaque protectrice, il ne sera pas toujours possible de distinguer au premier coup
d’œil un processeur dual core d’un processeur classique. Pour autant, il est impossible
d’utiliser un processeur dual core sur une carte mère actuelle, même si le socket est
identique. Il faut que le chipset de la carte mère soit adapté à la gestion du dual core.
Durée de vie
Valeur incluse dans les paquets envoyés sur des réseaux TCP/IP qui indiquent aux
destinataires la durée pendant laquelle le paquet ou les données qu’il contient peuvent
être conservés ou utilisés.
Les valeurs de durée de vie sont utilisées dans les enregistrements de ressources au sein
d’une zone pour déterminer la durée pendant laquelle les clients demandeurs mettent
en cache et utilisent ces informations lorsqu’elles apparaissent dans la réponse d’un
serveur DNS à une requête pour cette zone. Anglais : TTL (Time to Live).
En ligne
Lorsqu’un utilisateur a établi une connexion à un réseau, on dit qu’il est en ligne.
Désigne également un mode d’accès direct à des écrans d’aide, par exemple.
977
Ethernet
Standard IEEE 802.3 pour les réseaux en litige. Ethernet utilise une topologie en bus ou
en étoile et repose sur une forme d’accès appelée "CSMA/DC" (Carrier Sense Multiple
Access with Collision Detection) pour réguler le trafic des communications sur la ligne.
Les nœuds des réseaux sont reliés par du câble coaxial, de la fibre optique ou une paire
de câbles torsadés. Les données sont transmises dans des trames de longueur variable
qui contiennent des informations de contrôle et de remise, et jusqu’à 1500 octets de
données. Le standard Ethernet fournit une transmission en bande de base à la vitesse de
10 Mbps (10 millions de bits par seconde).
Événement
Tout fait important se produisant dans le système ou dans une application et devant être
signalé aux utilisateurs ou consigné dans un journal.
FAI (fournisseur d’accès à Internet)

Prestataire de services qui offre différents types de comptes d’accès Internet aux
organismes et aux particuliers. Synonyme : prestataire d’accès Internet. Anglais :
provider.
29. Annexe III -
Glossaire
FAT32 (File Allocation Table 32)

Variante du système de fichiers FAT, FAT32 prend en charge des tailles de cluster
moins importantes et des volumes plus grands, assurant ainsi une allocation d’espace
plus efficace.
Fenêtre
Portion de l’écran dans laquelle les programmes et les processus peuvent être exécutés.
Vous pouvez ouvrir plusieurs fenêtres à la fois. Par exemple, vous pouvez consulter vos
messages électroniques dans une fenêtre, travailler sur un budget dans une feuille de
calcul ouverte dans une autre fenêtre, télécharger des images de votre Caméscope dans
une autre fenêtre et faire vos courses en ligne dans une autre fenêtre. Les fenêtres
peuvent être fermées, redimensionnées, déplacées, réduites en bouton dans la barre des
tâches ou affichées en plein écran.
Fichier journal
Fichier dans lequel sont stockés les messages générés par une application, un service ou
le système d’exploitation. Ces messages permettent de suivre l’exécution des opérations.
Les serveurs web, par exemple, gèrent des fichiers journaux qui répertorient toutes les
requêtes adressées au serveur. Les fichiers journaux sont généralement des fichiers en
texte clair (ASCII) qui possèdent souvent l’extension .log.
978
Dans l’utilitaire de sauvegarde, il s’agit d’un fichier qui contient un enregistrement de la

date de création des bandes ainsi que le nom des fichiers et des répertoires qui ont été
sauvegardés et restaurés. Le service Journaux et alertes de performances crée
également des fichiers journaux.
Fichier système
Fichiers utilisés par Windows pour charger, configurer et exécuter le système
d’exploitation. En général, les fichiers système ne doivent jamais être supprimés ou
déplacés.
Firewall
Voir Pare-feu.
FTP (File Transfer Protocol)

Protocole servant à déplacer ou à transmettre des fichiers sur le réseau. Il permet
d’établir une connexion à un autre site Internet et de télécharger ou d’envoyer des
fichiers. Certains sites contiennent des fichiers du domaine public accessibles par FTP
en entrant le nom d’utilisateur anonymous et une adresse de courrier électronique
29. Annexe III -

comme mot de passe. Ce type d’accès est appelé "FTP anonyme".
Glossaire
Forêt
Ensemble d’un ou de plusieurs domaines Windows partageant un schéma, une
configuration et un catalogue global communs et liés par des relations d’approbation
transitives bidirectionnelles.
Fournisseur d’accès
Voir FAI.
Gestion de l’ordinateur
Composant qui permet d’afficher et de contrôler de nombreux aspects de la
configuration d’un ordinateur. La Gestion de l’ordinateur associe plusieurs utilitaires
d’administration dans l’arborescence d’une seule console, fournissant un accès facile aux
propriétés et aux outils d’administration des ordinateurs locaux ou distants.
Gestionnaire de périphériques
Outil d’administration qui permet de gérer les périphériques d’un ordinateur. Grâce au
Gestionnaire de périphériques, vous pouvez afficher et modifier les propriétés des
979
périphériques, mettre à jour les pilotes de périphérique, configurer les paramètres des
périphériques et les désinstaller.
GPO
Voir Stratégies de groupe.
Groupe
Ensemble d’utilisateurs, d’ordinateurs, de contacts et d’autres groupes. Les groupes
peuvent être utilisés comme des ensembles de distribution électronique ou de sécurité.
Les groupes de distribution ne sont utilisés que pour la messagerie. Les groupes de
sécurité sont utilisés à la fois pour accorder l’accès à des ressources et comme listes de
distribution électronique.
Groupe de sécurité
Groupe qui peut être répertorié sur des listes de contrôle d’accès discrétionnaire
(DACL, Discretionary Access Control List ; voir ACL) utilisées pour définir les
autorisations sur les ressources et les objets. Un groupe de sécurité peut également être
utilisé comme une entité de courrier électronique. Lorsque vous envoyez un message de
29. Annexe III -
courrier électronique à un groupe, ce message est envoyé à tous les membres du groupe.
Glossaire
Groupe local
Pour les ordinateurs exécutant Windows et les serveurs membres, groupe auquel
peuvent être accordés des droits et des autorisations à partir de son propre ordinateur
et, si ce dernier appartient à un domaine, des comptes d’utilisateurs et des groupes
globaux à partir de son propre domaine et de domaines approuvés.
Groupes prédéfinis
Groupes de sécurité installés par défaut avec le système d’exploitation. Les groupes
prédéfinis sont dotés d’une série de droits et de fonctions prédéfinis extrêmement utiles.
Dans la plupart des cas, les groupes prédéfinis confèrent à un utilisateur donné toutes
les possibilités nécessaires. Par exemple, si un compte d’utilisateur sur un domaine
appartient au groupe prédéfini Administrateurs, toute ouverture de session avec ce
compte donne à l’utilisateur des capacités d’administrateur sur le domaine et les
serveurs du domaine. Pour attribuer à un compte d’utilisateur un ensemble de
possibilités données, assignez-le au groupe prédéfini approprié.
980
Héritage
Mécanisme qui autorise la copie d’une entrée de contrôle d’accès (ACE, Access Control
Entry) spécifique du conteneur auquel elle s’applique sur tous les enfants de ce
conteneur. L’héritage peut être associé à la délégation afin d’accorder des droits
d’administration à l’intégralité d’une arborescence du répertoire en une seule opération
de mise à jour.
Hexadécimal
Système en base 16 représenté par les chiffres 0 à 9 ainsi que par les lettres A
(équivalant au nombre décimal 10) à F (équivalant au nombre décimal 15).
Homepage
Voir Page d’accueil.
HTTP (Hypertext Transfer Protocol)

Protocole utilisé pour transférer les informations sur le World Wide Web. On parle
d’adresse HTTP (un type de localisateur de ressource universelle), par exemple
29. Annexe III -

http://www.microsoft.com.
Glossaire
Identificateur de processus
Voir PID.
Identificateur de sécurité
Voir SID.
Image disque
L’image d’un disque peut se comparer à un colis postal. On peut y mettre des choses de
nature diverses (correspondance, vêtements, nourriture, etc.). En le scellant
correctement et tant qu’il n’a pas été ouvert, on peut être certain de son contenu.
Cependant, il peut arriver endommagé. Ainsi, une image disque garantit la liste des
fichiers qu’elle contient, mais pas leur intégrité. C’est pourquoi elle est parfois associée
à des systèmes de contrôle d’intégrité des données.
Pour prendre une comparaison plus précise, on peut aussi dire que l’image disque est
semblable à la photo prise d’un paysage. Celle-ci permet de prendre l’ensemble des
éléments du paysage, en le réécrivant sous la forme d’un code de couleur. Pour un
disque, le logiciel prendra une photo du disque et le récrira sous la forme d’un code
981
(compressé ou pas) contenant tous les fichiers. Cela donne alors naissance à un seul
fichier, généralement volumineux (autant que l’espace utilisé du disque).
ImageX
Utilitaire de manipulation des images disque Microsoft au format WIM. ImageX
permet de créer, d’appliquer, d’ouvrir et de fermer ces images.
Infrastructure
L’infrastructure est un ensemble d’éléments structuraux interconnectés qui fournissent
le cadre pour supporter la totalité de la structure.
Le terme est souvent utilisé d’une façon très abstraite. Par exemple, les outils
d’ingénierie informatique sont quelquefois décrits comme une partie de l’infrastructure
d’un environnement de développement.
Internet
Vaste regroupement de réseaux d’ordinateurs qui échangent de l’information par le
biais d’une suite de protocoles de réseau appelés "TCP/IP". En tant qu’utilisateur, on
29. Annexe III -
peut penser à Internet comme une immense bibliothèque dont les livres sont des sites
Glossaire
web et les pages des livres des pages web. En lisant une page d’un livre, on peut sauter
à d’autres pages ou livres.
Intranet
Réseau d’une organisation (commerciale, éducative, militaire…) qui offre à son
personnel des services semblables à Internet. La plupart des intranets sont raccordés à
Internet. L’accès à un intranet est cependant limité aux personnes autorisées. Les
intranets se défendent des accès non souhaités par des pare-feu.
IP (Internet Protocol)
Protocole responsable de l’adressage et du routage entre les ordinateurs, de
l’acheminement des paquets de données au sein du réseau, de la constitution et du
réassemblage des paquets. Les fonctionnalités assurées par le protocole IP peuvent se
déduire de l’examen de l’en-tête du paquet. Il identifie entre autres, la source et la
destination du paquet et comporte des identificateurs de fragmentation. IP est défini par
la RFC 791.
Java
Langage de programmation de Sun Microsystems.
982
Javascript
Langage plus simple que Java, permettant d’insérer dans des pages HTML de petits
programmes à exécuter par le navigateur.
Jeton
Élément textuel non réductible dans les données en cours d’analyse, par exemple
l’utilisation dans un programme d’un nom variable, d’un mot réservé ou d’un opérateur.
Le stockage des jetons en tant que codes courts réduit la taille des fichiers programme
et accélère leur exécution.
En matière de gestion de réseau, objet de données structuré unique ou message qui

circule continuellement entre les nœuds d’un anneau à jetons (token ring) et qui décrit
l’état actuel du réseau. Avant qu’un nœud puisse envoyer un message sur le réseau, il
doit attendre de contrôler le jeton.
Jeu de sauvegardes
Ensemble de fichiers, de dossiers et de données qui ont été sauvegardés et stockés dans
un fichier ou encore sur une ou plusieurs bandes.
29. Annexe III -

Glossaire
Job
En informatique, suite d’instructions réalisant une tâche et faisant appel à des
programmes informatiques agissant sur un ou plusieurs systèmes afin d’obtenir un
résultat, en particulier une recherche d’informations ; déroulement du traitement
correspondant à l’exécution de cette suite d’instructions (tâches).
Journal sécurité
Journal d’événements contenant des informations sur les événements de sécurité
spécifiés dans la stratégie d’audit.
Liste de diffusion
Liste d’adresses e-mail d’utilisateurs Internet qui se sont inscrits auprès du gestionnaire
correspondant. La liste est gérée par une personne ou un service et distribue des
informations. Certaines listes sont modérées (elles ont un ou plusieurs modérateurs). Il
existe des listes de diffusion concernant de nombreux sujets. Certaines sont "ouvertes"
(tout abonné à la liste peut envoyer un message à toute la liste, comme lors d’une
conversation) et d’autres sont "fermées" (seuls certains abonnés peuvent créer des
messages, mais tous les abonnés peuvent les lire). Anglais : mailing list.
983
Magasin de certificats
En général, dossier de stockage permanent renfermant les certificats, les listes de
révocation de certificats et les listes de certificats de confiance.
Mailing list
Voir Liste de diffusion.
Maintenance
Ensemble des actions de dépannage, de révision et de vérification périodique des
machines, des logiciels et des objets manufacturés produits par l’industrie. Il existe
différentes façons d’organiser les actions de maintenance :
j La maintenance est "préventive" lorsqu’elle est dictée par des exigences de sûreté de
fonctionnement. Cette maintenance préventive est "systématique" quand elle est
effectuée selon un échéancier établi à partir d’un temps d’usage ou d’un nombre
d’unités d’usage et "conditionnelle" lorsqu’elle est réalisée à la suite d’une analyse
révélatrice de l’état de dégradation de l’équipement.
j La maintenance est "corrective" lorsqu’elle est effectuée après une défaillance,
29. Annexe III -
attitude fataliste consistant à attendre la panne pour procéder à une intervention.

Glossaire
Elle est "palliative" lorsque le dépannage de l’équipement est provisoire, permettant

d’assurer tout ou partie d’une fonction requise. Ce dépannage doit toutefois être
suivi d’une action curative dans les plus brefs délais. Elle est "curative" pour une
remise à l’état initial.
Malware
Logiciel ou programme malveillant capable d’endommager votre système.
Masque de sous-réseau
Un masque de sous-réseau permet d’identifier un sous-réseau.
En IPv4, une adresse IP est codée sur 4 octets, soit 32 bits. Un masque de sous-réseau
possède lui aussi 4 octets. Lorsque deux adresses IP appartiennent à un même
sous-réseau, elles partagent un certain nombre de bits. Si le bit n des deux adresses IP est
identique, alors le bit n du masque de sous-réseau vaut 1, sinon il vaut 0.
Mémoire flash
Mémoire petite, plate et à semi-conducteur, utilisée dans les lecteurs MP3, les appareils
photo numériques et les assistants personnels. Elle regroupe les mémoires
984
CompactFlash, SmartMedia et Memory Stick. Si vous calculez le coût au mégaoctet,

cette forme de stockage est très onéreuse.
Mémoire virtuelle
Espace du disque dur interne d’un ordinateur qui vient seconder la mémoire vive, Elle
se concrétise par un fichier d’échanges (fichier swap), lequel contient les données non
sollicitées constamment. La mémoire virtuelle, comme son nom l’indique, sert à
augmenter artificiellement la mémoire vive. Elle est aussi moins performante.
Migration
Passage d’un état existant d’un système d’information ou d’une application vers une
cible définie dans un projet ou un programme.
MMC (Microsoft Management Console)

Cadre d’hébergement des outils d’administration appelés "consoles". Une console peut
contenir des outils, des dossiers ou d’autres conteneurs, des pages web et d’autres
éléments d’administration. Tous ces éléments sont affichés dans le volet gauche de la
console, dans ce qu’il est convenu d’appeler une "arborescence". Une console possède
29. Annexe III -

une ou plusieurs fenêtres qui affichent des représentations de l’arborescence. La fenêtre
Glossaire
MMC principale regroupe les commandes et les outils des consoles de création. Les
fonctionnalités de création de la console MMC et de l’arborescence de la console
proprement dite peuvent être masquées lorsqu’une console est en mode Utilisateur.
Mot de passe
Mesure de sécurité utilisée pour limiter les noms d’ouverture de session sur les comptes
d’utilisateurs ainsi que les accès aux systèmes et aux ressources. Un mot de passe est une
chaîne de caractères qui doit être fournie pour qu’une ouverture de session ou un accès
soient autorisés. Un mot de passe peut être composé de lettres, de chiffres ou de
symboles. Les minuscules et les majuscules sont différenciées.
Mot de passe crypté

Mot de passe brouillé. Les mots de passe cryptés sont plus sûrs que les mots de passe en
clair qui peuvent être découverts par des "renifleurs" à partir du réseau.
Mot de passe de l’utilisateur

Mot de passe stocké dans chaque compte d’utilisateur. Chaque utilisateur ne possède
généralement qu’un seul mot de passe utilisateur, obligatoire pour ouvrir une session ou
accéder à un serveur.
985
Navigateur
Logiciel qui interprète les balises des fichiers HTML, les transforme en pages web et les
affiche dans une fenêtre. Certains navigateurs permettent aux utilisateurs d’envoyer et
de recevoir des courriers électroniques, de consulter des groupes de discussion et de lire
des fichiers audio et vidéo intégrés à des documents web. Anglais : browser.
Nom de partage
Nom qui fait référence à une ressource partagée sur un serveur. Tout dossier partagé
d’un serveur possède un nom de partage utilisé par les utilisateurs de PC pour faire
référence au dossier. Les utilisateurs d’ordinateurs Macintosh utilisent le nom du
volume accessible aux Macintosh qui correspond à un dossier, et qui peut être identique
au nom de partage.
Newsgroup
Forum de discussions sur Internet, avec des sujets précis. Les newsgroups sont en
général modérés (ils ont un ou plusieurs modérateurs).
NTFS
29. Annexe III -
Glossaire
Système de fichiers avancé qui offre des performances, une sécurité, une fiabilité et des
fonctionnalités avancées qui ne se retrouvent dans aucune version de FAT. Par exemple,
NTFS garantit la cohérence des volumes en utilisant des techniques standards
d’ouverture de transaction et de restauration. Si un système présente une défaillance,
NTFS utilise son fichier journal et ses informations de points de vérification pour
restaurer la cohérence du système de fichiers. Dans Windows 2000 et Windows XP,
NTFS fournit également des fonctionnalités avancées telles que les autorisations sur
fichiers et dossiers, le cryptage, les quotas de disque et la compression.
Objet
Entité (par exemple un fichier, un dossier, un dossier partagé, une imprimante ou un
objet Active Directory) identifiée par un jeu nommé et distinct d’attributs. Les attributs
d’un objet fichier, par exemple, couvrent son nom, son emplacement et sa taille,
tandis que les attributs d’un objet utilisateur Active Directory peuvent
comporter le prénom, le nom et l’adresse de messagerie de l’utilisateur.
Pour OLE et ActiveX, un objet peut aussi être n’importe quel élément d’information lié
(incorporé) à un autre objet.
986
Objet enfant et parent

L’objet enfant réside dans l’objet parent. Cela implique une relation. Un fichier, par
exemple, est un objet enfant qui réside dans un dossier (l’objet parent).
Octet
Unité de mesure de mémoire informatique (1 octet vaut 8 bits). La place occupée par les
fichiers est mesurée en octets, en kilo-octets (1 ko vaut 1024 octets), en mégaoctets
(Mo) ou en gigaoctets (Go). Anglais : byte.
Ouverture de session
Opération permettant à un utilisateur de commencer à utiliser le réseau en fournissant
un identifiant et un mot de passe.
Ouverture de session interactive

Ouverture de session réseau à partir du clavier d’un ordinateur, quand l’utilisateur tape
des informations dans la boîte de dialogue Informations de session affichée par le
système d’exploitation de l’ordinateur.
29. Annexe III -

Glossaire
OSI (Open Systems Interconnection)
Modèle de gestion de réseau proposé par l’ISO (International Organization for
Standardization) pour promouvoir l’interopérabilité entre fournisseurs. Le modèle OSI
est un modèle conceptuel composé des sept couches suivantes : application,
présentation, session, transport, réseau, liaison de données et physique.
Page d’accueil
Page web de départ d’un site Internet, contenant des informations sur l’identité du
propriétaire du site, les serveurs fournis, éventuellement un index. Anglais : homepage.
Page web
Les sites Internet contiennent plusieurs pages web. Par exemple, plusieurs personnes
peuvent avoir des pages personnelles sur le même serveur (site Internet). Une page web
est un document hypermédia sur le Web.
Pare-feu
Ensemble de matériels et de logiciels constituant un système de sécurité, en règle
générale pour empêcher les accès non autorisés provenant de l’extérieur sur un réseau
interne ou un intranet. Un pare-feu empêche les communications directes entre les
987
ordinateurs du réseau et les ordinateurs externes en faisant passer les communications

par un serveur Proxy en dehors du réseau. Ce serveur Proxy détermine s’il n’est pas
dangereux de laisser passer un fichier sur le réseau. Synonyme : passerelle de sécurité.
Anglais : firewall.
Partition
Partie d’un disque physique qui se comporte comme s’il s’agissait d’un disque
physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui
assigner une lettre de lecteur avant de pouvoir y stocker des données.
Sur les disques de base, les partitions sont appelées des "volumes de base" et peuvent
être des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les
partitions sont appelées des "volumes dynamiques" et peuvent être des partitions
simples, fractionnées, agrégées par bande, en miroir ou RAID-5.
Partition active
Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit
être une partition principale d’un disque de base. Si vous utilisez exclusivement
Windows, la partition active peut être la même que celle du volume système.
29. Annexe III -
Glossaire
Partition d’amorçage
Partition qui contient le système d’exploitation Windows et ses fichiers de prise en
charge. La partition d’amorçage peut être la même que la partition système.
Partition principale
Type de partition que vous pouvez créer sur les disques de base. Une partition principale
est une partie de l’espace disque physique qui fonctionne comme un disque
physiquement indépendant. Sur les disques MBR (Master Boot Record) de base, vous
pouvez créer jusqu’à quatre partitions principales ou trois partitions principales et une
partition étendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous
pouvez créer jusqu’à 128 partitions principales. Synonyme : volume.
Partition système
Partition qui contient des fichiers propres au matériel qui sont indispensables au
chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La
partition système peut être la même que la partition d’amorçage.
988
PID (Process Identifier)

Identificateur numérique qui désigne, de manière unique, un processus en cours
d’exécution. Utilisez le Gestionnaire des tâches pour l’afficher.
Plugin ou plug-in
De l’anglais to plug in (brancher). Non autonome, ce petit logiciel se greffe sur un
programme principal pour lui conférer de nouvelles fonctionnalités. Le programme
principal fixe un standard d’échange d’informations auquel les plugins se conforment.
Par exemple, certains plugins s’installent sur un navigateur pour lui apporter des
fonctions supplémentaires.
Point de restauration
Représentation d’un état stocké de votre ordinateur. Le point de restauration est créé
par la fonction Restauration système à intervalles réguliers ou lorsque le début d’un
changement sur l’ordinateur est détecté. Vous pouvez également créer des points de
restauration manuellement.
Pop-up
29. Annexe III -

Glossaire
Qualifie une fenêtre publicitaire qui s’affiche devant la page web consultée. On parle de
fenêtre pop_under lorsque la fenêtre de publicité apparaît derrière la page.
Prévention d’intrusion
La Prévention d’intrusion analyse tout le trafic entrant et sortant sur votre ordinateur et
compare ces informations à un ensemble de signatures d’attaque. Une signature
d’attaque est un groupe de données organisées qui identifie une tentative de piratage
visant à exploiter une faille connue du système d’exploitation ou d’un programme.
Si les informations correspondent à une signature d’attaque, la Prévention d’intrusion

rejette automatiquement le paquet et interrompt la connexion avec l’ordinateur à
l’origine de l’envoi des données. L’ordinateur est ainsi protégé contre la plupart des
attaques possibles.
Privilège
Droit d’un utilisateur d’effectuer une tâche spécifique, qui affecte généralement
l’ensemble du système informatique plutôt qu’un objet particulier. Les privilèges sont
attribués par les administrateurs à des utilisateurs ou à des groupes d’utilisateurs
particuliers dans le cadre de la configuration des paramètres de sécurité de l’ordinateur.
Voir Droits d’utilisateur.
989
Profil d’utilisateur
Fichier qui contient des informations de configuration (comme les paramètres du
Bureau, les connexions réseau permanentes et les paramètres des applications) pour un
utilisateur spécifique. Les préférences de chaque utilisateur sont enregistrées dans un
profil d’utilisateur que Windows utilise pour configurer le Bureau chaque fois qu’un
utilisateur ouvre une session.
Programme
Jeu d’instructions complet et autonome qui permet d’exécuter une tâche donnée :
traitement de texte, comptabilité ou gestion des données, par exemple. Synonyme :
application.
Protocoles
Ensemble de règles et de conventions relatives à l’envoi d’informations sur un réseau.
Ces règles régissent le contenu, le format, la synchronisation, la mise en séquence et le
contrôle des erreurs des messages échangés entre les périphériques du réseau.
Proxy
29. Annexe III -
Glossaire
Ordinateur qui s’intercale entre le réseau privé et Internet pour servir de pare-feu ou de
cache. Dans ce dernier cas, il enregistre les pages web transférées par les utilisateurs
pour les délivrer sans qu’il soit nécessaire de se connecter sur le serveur initial.
Raccourci
Lien vers n’importe quel élément accessible sur un ordinateur ou sur un réseau,
notamment un programme, un fichier, un dossier, un lecteur de disque, une page web,
une imprimante ou un autre ordinateur. Vous pouvez placer des raccourcis à différents
endroits, notamment sur le Bureau, dans le menu Démarrer ou dans des dossiers
déterminés.
RAM (Random Access Memory)

Par opposition à la mémoire fixe (ROM), la mémoire vive peut être modifiée à l’infini
dès qu’elle est alimentée en électricité. En informatique, la mémoire vive sert à stocker
temporairement les fichiers que l’ordinateur exécute.
Registre
Emplacement de base de données destiné aux informations relatives à la configuration
d’un ordinateur. Le Registre contient des informations auxquelles Windows se réfère en
permanence, notamment :
990
j les profils de chacun des utilisateurs ;

j les programmes installés sur l’ordinateur et les types de documents que chacun peut
créer ;
j les paramètres des propriétés des dossiers et des icônes de programme ;
j le matériel présent sur le système ;
j les ports en cours d’utilisation.
Le Registre est organisé de manière hiérarchique sous la forme d’une arborescence et

est constitué de clés et de sous-clés, de ruches et de rubriques valuées.
Réseau
Groupe d’ordinateurs et de périphériques, comme des imprimantes et des scanneurs,
connectés entre eux par une liaison de communication permettant à tous les
périphériques d’interagir. Un réseau peut être de grande ou de petite taille, connecté
durablement par des câbles ou temporairement par des lignes téléphoniques ou des
transmissions sans fil. Le plus grand réseau est Internet, qui est un groupement de
réseaux du monde entier.
29. Annexe III -

Routeur
Glossaire
Dans un environnement Windows, matériel qui participe à l’interopérabilité et à la
connectivité des réseaux locaux et des réseaux étendus. Permet aussi de lier des réseaux
locaux régis par différentes topologies réseau (notamment Ethernet et Token Ring).
Les routeurs font correspondre les en-têtes de paquets à un segment du réseau local et
choisissent le meilleur chemin pour le paquet, ce qui optimise les performances du
réseau.
Dans l’environnement Macintosh, les routeurs sont indispensables aux communications

entre des ordinateurs appartenant à des réseaux physiques distincts. Ils conservent une
copie de la configuration des réseaux physiques sur un interréseau Macintosh (réseau)
et transfèrent les données reçues du réseau physique vers les autres. Les ordinateurs
exécutant la version serveur de Windows avec l’intégration réseau AppleTalk peuvent
servir de routeurs, et vous pouvez également utiliser d’autres matériels de routage sur
les réseaux avec intégration réseau AppleTalk.
Ruche
Partie du Registre qui apparaît en tant que fichier sur votre disque dur. Le sous-arbre du
Registre est divisé en ruches (en raison de la ressemblance avec la structure cellulaire
d’une ruche d’abeilles). Une ruche correspond à un ensemble discret de clés, de
sous-clés et de valeurs qui figurent en haut de la hiérarchie du Registre. Une ruche est
sauvegardée par un fichier unique et un fichier .log qui se trouvent dans le dossier
racine_système\System32\Config ou racine_système\Profiles\nom_utilisateur.
991
La plupart de ces fichiers (par défaut, SAM, sécurité et système) sont normalement
stockés dans le dossier racine_système\System32\Config. Le dossier racine_système
\Profiles contient le profil d’utilisateur de tous les utilisateurs de l’ordinateur. Puisqu’une
ruche est un fichier, elle peut être déplacée d’un système à un autre. Cependant, vous
devez utiliser l’éditeur de Registre pour modifier le fichier.
Spamming
Envoi de courrier indésirable en masse. Les spammeurs envoient des courriers (ou
spams) à des fins lucratives. Ils utilisent de nombreux moyens pour y parvenir. Ce
système est puni par la loi, en France et dans beaucoup d’autres pays.
Sauvegarde
Copie de tous les fichiers sélectionnés (en d’autres termes, l’attribut Archive est
désactivé). Pour les sauvegardes normales, vous n’avez besoin que de la copie la plus
récente du fichier ou de la bande de sauvegarde, afin de restaurer les fichiers. En règle
générale, une sauvegarde normale s’effectue la première fois que vous créez un jeu de
sauvegardes.
Script
29. Annexe III -
Glossaire
Type de programme constitué d’un jeu d’instructions pour une application ou un

programme d’outil. Un script exprime généralement ses instructions en employant les
règles et la syntaxe de l’application ou de l’outil, avec des structures de commande
simples telles que des boucles et des expressions (if, then…).
Dans l’environnement Windows, programme de traitement par lots. Anglais : batch.
Sécurité
Ensemble de mécanismes de contrôle empêchant l’utilisation non autorisée de
ressources. Un des mécanismes de sécurité, que l’utilisateur d’un ordinateur rencontre
souvent, est le mot de passe.
Services
Les services sont utilisés pour effectuer des actions entre un programme installé sur un
ordinateur et un périphérique Bluetooth distant. Ces paramètres permettent à
l’ordinateur et aux périphériques Bluetooth externes de se connecter et d’effectuer
d’autres activités, comme la connexion à Internet ou l’impression.
992
Shareware
De l’anglais share (partage). Logiciel distribué librement et dont l’utilisation est soumise
à la condition de le payer si l’utilisateur est satisfait et continue à l’utiliser après un
certain délai, en général un mois.
SID (Security ID)

Structure de données de longueur variable qui identifie les comptes d’utilisateurs, de
groupes et d’ordinateurs. Chaque compte du réseau reçoit un SID personnel au moment
de sa création. Les processus internes de Windows se réfèrent au SID d’un compte
plutôt qu’à son nom d’utilisateur ou de groupe.
Site
Un ou plusieurs sous-réseaux TCP/IP correctement connectés (fiables et rapides). Un
site permet aux administrateurs de configurer l’accès et la topologie de réplication
Active Directory rapidement et facilement pour tirer avantage du réseau physique.
Lorsque les utilisateurs ouvrent une session, les clients Active Directory recherchent les
serveurs Active Directory sur le même site que l’utilisateur.
29. Annexe III -

Sous-arbre
Glossaire
Nœud d’un arbre, ainsi que n’importe quelle sélection de nœuds descendants
connectés. Dans la structure du Registre, les sous-arborescences sont les nœuds
principaux qui contiennent les clés, les sous-clés et les valeurs.
Sous-clé
Clé au sein d’une clé. Dans la structure du Registre, les sous-clés sont subordonnées aux
sous-arbres et aux clés. Les clés et les sous-clés sont semblables à l’en-tête de section des
fichiers .ini, bien que les sous-clés puissent aussi exécuter des fonctions.
SSL (Secure Socket Layer)

Protocole garantissant la sécurité des communications de données par cryptage et
décryptage des données échangées.
Stratégies de groupe
Les stratégies de groupe sont des paramètres de configuration appliqués aux
ordinateurs ou aux utilisateurs lors de leur initialisation, ils sont également gérés dans
un environnement Active Directory.
993
Ils ont pour objectifs de réduire les besoins en assistance, et d’automatiser certains
processus. Une stratégie de groupe peut contrôler la base de Registre d’un ordinateur,
la sécurité NTFS, les règles d’écoute et de sécurité, l’installation de logiciels, les scripts
pour se connecter et se déconnecter, les redirections de répertoires, et les paramètres
d’Internet Explorer. Ces règles sont enregistrées dans les stratégies de groupe. Une
stratégie de groupe est identifiée en interne, par un identifiant unique : un GUID.
Chacun peut être associé à plusieurs sites et domaines de travail. De cette manière, il est
possible de mettre à jour des centaines de machines via un seul changement à une
stratégie de groupe. Cela réduit les coûts de maintenance. Les stratégies de groupe sont
analysées et appliquées lors du démarrage d’un ordinateur, ainsi que lors de la
connexion et la déconnexion d’un utilisateur. La machine cliente rafraîchit
périodiquement la plupart des stratégies de groupe (toutes les 90 à 120 minutes) bien
que cet intervalle soit configurable. Anglais : GPO (Group Policy Object).
TCP (Transmission Control Protocol)

Service de remise fiabilisé et orienté connexion. Les données sont transmises sous forme
de segments. La mention "orienté connexion" signifie qu’une connexion doit être établie
avant que les hôtes puissent échanger des données. La fiabilité est assurée par
l’affectation d’un numéro d’ordre à chacun des segments transmis. La bonne réception
des données par l’hôte destinataire est vérifiée par un acquittement. Pour chacun des
29. Annexe III -
segments envoyés, l’hôte destinataire renvoie un acquittement (ACK) dans un délai

Glossaire
spécifié. Si aucun acquittement n’est reçu, les données sont retransmises. Le TCP est
défini par la RFC 793.
TCP/IP
Le composant TCP/IP installé dans un système d’exploitation réseau est constitué d’une
série de protocoles interconnectés appelés "protocoles centraux de TCP/IP". Toutes les
autres applications et les protocoles de la suite de protocoles TCP/IP s’appuient sur les
services fondamentaux fournis par les protocoles suivants : IP, ARP, ICMP, IGMP,
TCP, UDP.
UDP (User Datagram Protocol)

Protocole de transmission de datagrammes sur le réseau qui fournit de manière
optionnelle un certain nombre de contrôles. Un datagramme est un paquet de données
considéré comme une entité isolée et indépendante, c’est-à-dire qu’il comporte dans son
en-tête toutes les informations nécessaires à son acheminement à travers le réseau
jusqu’à son destinataire, sans assurance de livraison. Ce protocole est peu fiable. Il est
possible qu’une perte de qualité se produise pendant la transmission. Ce peut être le cas
par exemple pour les données de type audio. L’UDP est défini par la RFC 768.
994
Unité d’organisation
Objet conteneur Active Directory utilisé à l’intérieur des domaines. Les unités
d’organisation sont des conteneurs logiques dans lesquels vous pouvez placer des
utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation. Elles ne
peuvent contenir que des objets de leur domaine parent. L’unité d’organisation est la
plus petite étendue à laquelle un objet de stratégie de groupe peut être lié, ou sur
laquelle une autorité administrative peut être déléguée. Anglais : OU (Organization
Unit).
USB (Universal Serial Bus)

Bus externe qui prend en charge l’installation Plug-and-Play. Avec un bus USB, vous
pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre
ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 unités
périphériques, dont des haut-parleurs, des téléphones, des lecteurs de CD-Rom, des
manettes de jeu, des lecteurs de bandes, des claviers, des scanneurs et des appareils
photo.
URL (Uniform Resource Locator)
29. Annexe III -

Voir Adresse Internet.
Glossaire
USMT (User State Migration Tool)
Utilitaire permettant de migrer les profils utilisateurs au cours des déploiements en
nombre de systèmes Microsoft Windows XP et Windows Vista. USMT capture les
profils utilisateurs, notamment les paramètres du Bureau et des applications, ainsi que
les fichiers des utilisateurs, avant de les migrer vers une nouvelle installation de
Windows. Il permet également d’améliorer et de simplifier le processus de migration.
Vous pouvez utiliser USMT pour les migrations de type "côte à côte" (les données sont
copiées de l’ancien ordinateur vers le nouveau) et "effacer et charger" (vous enregistrez
les données, puis vous formatez le disque dur et procédez à une nouvelle installation). Si
vous procédez uniquement à la mise à niveau de votre système d’exploitation, USMT
n’est pas nécessaire.
USMT s’adresse aux administrateurs qui effectuent des déploiements automatisés.

USMT vous permet d’effectuer les opérations suivantes :
j la configuration d’USMT, pour une situation unique, en utilisant les fichiers (.xml)
de règles de migration pour contrôler exactement quels comptes utilisateurs, quels
fichiers et quels paramètres sont transférés, et comment ils le sont ;
j l’automatisation de la migration à l’aide des deux outils de ligne de commande
USMT qui contrôlent la collecte et la restauration des fichiers et paramètres
utilisateur.
995
Utilisateur
Personne qui utilise un ordinateur. Si l’ordinateur est connecté à un réseau, un
utilisateur peut accéder aux programmes et aux fichiers de l’ordinateur, ainsi qu’aux
programmes et aux fichiers situés sur le réseau (en fonction des restrictions du compte
déterminées par l’administrateur réseau).
Variable
En programmation, emplacement de stockage nommé qui peut contenir un type de
données déterminé, susceptible d’être modifié pendant l’exécution du programme. Les
variables d’environnement système sont définies par Windows XP et sont les mêmes,
indépendamment de celui qui se connecte à l’ordinateur. Les membres du groupe
Administrateurs peuvent néanmoins ajouter de nouvelles variables ou modifier des
valeurs.
Les variables d’environnement utilisateur peuvent être différentes pour chaque

utilisateur d’un ordinateur particulier. Elles comprennent toutes les variables
d’environnement que vous souhaitez définir ou les variables définies par vos
applications, comme le chemin d’accès de vos fichiers d’application.
29. Annexe III -
Variable d’environnement
Glossaire
Chaîne comportant des informations sur l’environnement (lecteur, chemin ou nom de

fichier), associées à un nom symbolique pouvant être utilisé par Windows. Vous
définissez des variables d’environnement par le lien Système du Panneau de
configuration ou à l’aide de la commande Set dans l’Invite de commandes.
Versions précédentes
Les versions précédentes sont des copies de sauvegarde (copies de fichiers et de
dossiers) ou des clichés instantanés (copies de fichiers et de dossiers enregistrées
automatiquement par Windows comme élément d’un point de restauration). Les clichés
instantanés peuvent être des copies de fichiers sur votre ordinateur ou des fichiers
partagés sur un ordinateur d’un réseau. Vous pouvez utiliser des versions précédentes
de fichiers pour restaurer des fichiers que vous avez accidentellement modifiés ou
supprimés, ou qui ont été endommagés. Selon le type de fichier ou de dossier, vous
pouvez les ouvrir, les enregistrer vers un autre emplacement ou les restaurer à une
version précédente.
Virtualisation
En informatique, ensemble des techniques matérielles et/ou logicielles qui permettent
de faire fonctionner sur une seule machine plusieurs systèmes d’exploitation et/ou
plusieurs applications, séparément les uns des autres, comme s’ils fonctionnaient sur des
machines physiques distinctes. Les outils de virtualisation servent à faire fonctionner ce
996
qu’on appelle communément des "serveurs privés virtuels" (Virtual Private Servers ou
VPS) ou encore "environnements virtuels" (Virtual Environments ou VE).
Wi-Fi (Wireless-Fidelity)
Norme 802.11 de réseau sans fil. Un réseau Wi-Fi peut être utilisé pour permettre la
connexion à un réseau local ou étendu, ou à Internet.
WIM
Format des images systèmes utilisé par Windows Vista, Windows Longhorn Server et
SMS.
Windows RE
Environnement de récupération, de résolution d’incidents de Windows Vista.
Windows PE
Environnement de préinstallation de Windows. Windows PE permet de charger un
29. Annexe III -

système d’exploitation minimal à partir d’un média de type CD/DVD au démarrage d’un
ordinateur afin d’obtenir une plateforme de déploiement ou de maintenance pour le
Glossaire
poste de travail. Windows PE est configurable. Windows Vista introduit la version 2 de
Windows PE.
XML (Extended Markup Language)

Norme de documents sur le Web, permettant une structuration de l’information.
ZIP
Format de compression, utilisé notamment par les utilitaires pkzip et WinZip.
L’extension correspondante est .zip. Lorsque l’on compresse un fichier ou un dossier, le
résultat obtenu est communément appelé "fichier ZIP" ou "archive".
997
Index
! installation à partir d’un fichier de
réponses, 651
installation détaillée, 623
$OEM$, 222 installation via le réseau, 649
\$OEM$\$$, 222 intégration du DNS, 634
\$OEM$\$$\Help, 222 journaux d’événements, 636
\$OEM$\$$\System32, 222 NETLOGON, 631
\$OEM$\$1, 222 objets créés par défaut, 641
\$OEM$\$1\pilotesPlug-and-Play, 222 premier contrôleur de domaine, 622, 641
\$OEM$\$1\SysPrep, 222 problème lié à l’installation, 643
\$OEM$\$Docs, 222 problème lors de l’installation, 642
\$OEM$\$Progs, 222 processus d’installation, 620
\$OEM$\$Progs\Internet Explorer, 223 restauration des annuaires, 635
\$OEM$\lettre_lecteur\sous_dossier, 223 sécurité, 715
\$OEM$\Textmode, 222 schéma, 525, 670
SYSVOL, 631
vérification de l’installation, 630
vérifier la structure de dossiers, 631
A vérifier les dossiers partagés nécessaires,
631
Abortpxe.com, 332 vue d’ensemble, 615
Accès à distance, 969 Active Directory Application Mode (voir
Access Denied, 847 ADAM), 69, 735
ACL, 969 Active Directory Federation Services (voir
Acrobat, 969 ADFS), 754
ACT, 969 ActiveX, 970
Actif, 969 ADAM
Active Directory, 522, 969 configuration requise, 738
assistant Installation, 623 création d’une instance, 742
base de données, 632 création d’une Unité d’Organisation, 750
calcul de l’espace libre, 617 gérer une instance, 748
conditions requises pour l’installation, 618 installation, 740
contraintes matérielles, 616 instances, 737
déployer le deuxième contrôleur de maintenance, 750
domaine, 649 principe, 735
déployer le domaine racine, 619 restauration, 751
définitions communes, 541 sauvegarde, 750
fichiers journaux, 632 se connecter à une instance, 746
999
Adamsync
synchroniser les données avec Active Annuaire, 513

Directory, 752 Antivirus en entreprise, 847
Adamsync, 753 Appartenances de groupe, 431, 971
ADFS, 754 Applet, 404
agent, 759 Appliquer une image avec ImageX, 265
configuration requise, 757 Approbation, 684
implémentation des composants, 760 création, 690
installation du composant agent web, 761 domaine kerberos, 688
installation du composant Proxy du service fonctionnement, 688
de fédération, 761 périphériques en attente, 326
installation du composant Service de Arbre, 526
fédération, 760 Architecture
principales fonctionnalités, 754 gestion d’installation, 208
proxy de serveur de fédération, 757 ImageX, 252
proxy du service de fédération, 759 Assistant Gestion d’installation, 208
rôles des serveurs, 755 architecture, 208
serveur de fédération, 756 attribution des fichiers Unattend à des
service de fédération, 758 images, 218
terminologie, 762 création d’un fichier de réponses, 212
Admin Approval Mode, 846 interface graphique, 211
Administration points importants, 219
pare feu, 502 volet Fichier de réponses, 212
d’ordinateur, 970 volet Image système Windows, 212
d’un serveur, 431 volet Messages, 212
ADPREP, 863 volet Partage de distribution, 212
Adressage volet Propriétés, 212
APIPA (Automatic Private IP Addressing), AT, 864
113 Attaque du compte Administrateur, 722
DHCP, 113 ATTRIB, 865
IP dynamique, 113 Attribut, 971
IP statique, 113 Audit, 971
plan d’adressage IP, 32, 48 AuditSystem, 205, 213
Adresse AuditUser, 205, 213
Internet, 970 Authentification, 717, 972
IP, 971 Automated Deployment Services (ADS), 70
ADS (Automated Deployment Services), 70 Autonomie, 719
ADSL, 971 Autorisation, 717, 972
Affinité des clients, 567 accès spéciales, 972
Ajout héritées, 972
à un domaine impliquant le client WDS, Avantages
326 ImageX, 249
à un domaine lors du premier démarrage,
331
de pilotes à une image de Windows hors
connexion, 289
une image dans une image, 284
B
Alerte, 468, 971 Backdoor, 972
Amorçage (double), 110 Bande passante, 972
Analyse des performances, 451
1000
CreateProcessAsUser
Barre des tâches, 972 d’objets, 524

Basculement, 574 Clé, 975
Base de connaissances, 973 Clients (affinités), 567
BitLocker, 504 CLIP, 873
Bluetooth, 973 CMD, 873
Bogue, 973 CMDKEY, 875
Boot Information Negociation Layer (BINL), CNG, 505
125 Collision de réplication, 572
Boot.wim, 237 Commande
BOOTCFG, 866 synchrone, 211
Bootmgfw.efi, 332 Communication sans fil, 975
Bug, 973 Composant, 210
Bureau, 973 Compression, 975
Bureau à distance, 443 Compte Administrateur
configurer les préférences, 444 attaque, 722
se connecter, 445 Compte d’utilisateur, 975
contrôle des comptes, 846
Compteurs de performance, 471
Conception de l’infrastructure logique Active
C Directory, 545
Configurer
CACLS, 867 catalogue global, 674
Capturer une image avec ImageX, 249 DNS, 633
Caractéristiques Conformité LDAP, 519
Windows Server 2003, 59 Connexions web sécurisées, 975
Windows Server 2008, 493 Contrôle des comptes utilisateurs, 846
Carte Contrôleurs de domaine, 530
mère, 973 indisponibilité, 645
vidéo, 974 Cookie, 975
Catalogue global, 532 Corbeille, 976
configurer, 674 Couche Application, 770, 780
définir, 543 corruption, 781
maître d’infrastructure et catalogue global, défense, 781
667 Couche Données, 770, 782
serveur, 579 corruption, 783
Centralisation des données, 523 défense, 783
Certificat, 974 Couche Hôte, 770, 778
éditeurs de certificats, 642 corruption, 779
magasin, 426, 984 défense, 779
service, 931 Couche Périmètre, 770, 773
Chemin d’accès du pilote, 210 corruption, 774
Cheval de Troie, 974 défense, 774
CHKDSK, 869 Couche Physique, 770
CHKNTFS, 870 corruption, 771
Choix du domaine racine de la forêt, 555 défense, 771
CIPHER, 871 Couche Réseau interne, 770, 775
Classe corruption, 776
d’adresses, 974 défense, 777
CreateProcessAsUser, 847
1001
Création
Création DnsAdmins, 641

approbations, 690 DnsUpdateProxy, 642
fichier de réponses, 212 Domaine, 112, 525, 976
CSVDE, 876 contrôleurs, 530
enfant, 655
racine vide, 556
racine de la forêt, 555
D régional, 554
unique, 552
DATE, 877 Dossier, 976
Dcdiag.exe, 644 de base, 976
DCGPOFIX, 878 Double amorçage, 110
Défense DRM, 977
couche application, 781 Droits d’utilisateur, 977
couche données, 783 Drvload, 241
couche hôte, 779 Dsadd, 605
couche périmètre, 774 DSADD QUOTA, 724
couche physique, 771 DSGET, 882
couche réseau interne, 777 DSMOD QUOTA, 725
en profondeur, 769 DSMOVE, 883
Définir DSQUERY, 884
catalogue global, 543 DSQUERY QUOTA, 727
nom unique et nom unique relatif, 544 Dual core, 977
schéma, 542 Dualboot, 110
service d’annuaire, 541 Duplicateurs, 641
stratégie de noms d’ordinateurs, 329 Durée de vie, 977
Définitions communes dans un projet Active
Directory, 541
DEFRAG, 878
Défragmentation, 976
DHCP
E
configuration, 312 Élément de liste, 210
utilisateurs, 641 Emplacement de compte, 326
Déployer Émulateur
des ordinateurs Windows Vista en contrôleur principal de domaine (CDP),
entreprise, 185, 247 532
option d’installation des services de PDC, 665
déploiement, 308 En ligne, 977
DFS (Distributed File System), 568 En tant qu’administrateur, 847
DFSCMD, 879 Enregistrements de ressources SRV, 618
DiskPart, 241, 880 Établir des frontières de sécurité, 797
Disques, 474 Étape de configuration, 210
DNS Ethernet, 978
mécanisme de vieillissement, 653 Évaluation de la sécurité, 805
protection des données DNS, 729 analyse des vulnérabilités, 814
protection des serveurs DNS, 728 audit de sécurité informatique, 816
résolution de noms récursive, 640 défense en profondeur, 810
vieillissement et nettoyage, 653-654 planification, 808
1002
Image
test de pénétration, 815 Gestionnaire

Événement, 978 de packages, 285
EVENTQUERY, 885 de périphériques, 979
Exécuter en tant que, 433 des tâches, 459
raccourcis, 437 Get-help, 409
Get-Member, 412
GETMAC, 890
GPO, 980
F GPRESULT, 890
GPUPDATE, 891
FAI, 978 Group Policy Management Console
FAT32, 978 (GPMC), 70
Feature Packs, 69 Groupe, 980
Fenêtre, 978 d’images, 320
Fichier de sécurité, 980
catalogue, 210 de travail (Workgroup), 112
de réponses, 210-211 local, 980
journal, 978 local de domaine, 433
système, 979 local de domaine intégré, 431
File Replication Services (FRS) prédéfinis, 980
Monitoring Tools, 70 universels, 579
FINGER, 886 Groupes d’images, 320
Flexible Single Master of Operation, 663 créer, 321
Fonctionnalité de basculement, 574 Install.wim, 320
Fonctionnement des approbations, 688 Res.rwm, 320
Forêt, 527, 979
accès restreint, 550
basé sur l’organisation, 548
basé sur les ressources, 549
modes de forêt, 680
H
multidomaine, 616 Hdlscom1.com, 332
puzzmania.com, 51 Hdlscom1.n12, 332
Format Hdlscom2.com, 332
commande FORMAT, 887 Hdlscom2.n12, 333
WIM, 319 Héritage, 981
Framework.NET, 169 Hexadécimal, 981
FREEDISK, 888 Home page, 987, 981
Frontières de sécurité, 797 HTTP, 981
FRS (File Replication Service), 568
FSMO, 663
FTP, 889
I
G Identity Integration, 70
Image
attribution des fichiers Unattend, 218
Generalize, 204, 213 CD-Rom (Risetup.exe), 129, 320
Gestion de l’ordinateur, 439, 979 de démarrage, 312, 315
1003
ImageSelection
disque, 981
d’installation, 312, 319
héritées, 312
J
Riprep (Riprep.exe), 130, 319 Java, 982
système Windows, 211 Javascript, 983
ImageSelection, 220 Jeton, 983
ImageX, 241, 982 Jeu
/apply, 241, 255, 265 de configuration, 210
/capture, 257 de sauvegardes, 983
/export, 285 Job, 983
/info, 259 Journal sécurité, 983
/mountrw, 241, 260 Journaux, 462
/split, 262
/unmount, 263
appliquer une image, 265
architecture, 252
capturer une image, 249
K
scénarios, 251 KCC (Knowledge Consistency Checker), 573
Indisponibilité du contrôleur, 645 Kerberos, 688
InetOrgPerson, 521 centre de distribution de clés, 939
Informatique Krbtgt, 642
centralisée, 597
décentralisée, 598
externalisée, 598
Infrastructure, 982
logique Active Directory, 545
L
maître d’infrastructure, 532, 666
Install.wim, 320 LDAP (Lightweight Directory Access
Installation Protocol), 513
compatibilité du système, 108 LDAP V3, 516
en mode texte, 113 LDIFDE, 893
Framework.NET, 169 Licence, 115
interactive, 143 CAL, 115
manuelle, 111 enregistrement de licences, 940
mise à niveau, 109 gestion de licences Terminal Server, 953
MSXML, 170 Windows Vista, 148
nouvelle installation, 109 Lien de sites, 576
pack de langues dans une image hors Limites
connexion, 296 exposition des comptes d’administration des
prérequis, 107 services, 721
Upgrade Advisor, 170 ImageX, 251
Internet, 982 Sysprep, 232
Internet Explorer, 826 Win PE, 240
Intranet, 982 Localisation de services, 569
Isolation, 719 Login, 220
ISTG (Intersite Topology Generator), 573 LPQ, 894
IUSR_xxx, 642 LPR, 895
IWAM_xxx, 642
1004
NETSH
M administration, 851
domaine basé sur les entités de l’entreprise,
554
Magasin de certificats, 426, 984 domaine régional, 554
Maintenance, 984 domaine unique, 552
Active Directory, 704 forêt à accès restreint, 550
ADAM, 750 forêt basé sur l’organisation, 548
de l’image, 283 forêt basé sur les ressources, 549
des serveurs, 429 informatique centralisée, 597
stratégies de groupe, 375 informatique décentralisée, 598
Maintenance d’Active Directory informatique externalisée, 598
défragmentation, 704 sécurité, 850
déplacement, 705 sécurité Member Server Baseline, 799
prendre les rôles maîtres, 707 structure d’unités d’organisation, 598
restauration, 700 Modes de forêt, 680
restauration autoritaire, 703 Mot de passe, 985
restauration non autoritaire, 701 crypté, 985
sauvegarde, 697 utilisateur, 985
Maître MOUNTVOL, 895
d’attribution de noms de domaine, 531, 664 MSAT, 818
d’ID relatifs, 531 MSF, 548
d’infrastructure, 532, 666 MSXML, 170
d’infrastructure et catalogue global, 667 Multiboot, 110
de schéma, 531, 586
des ID relatifs, 664
Majuscules et minuscules, 626
Malware, 826, 984
Masque de sous-réseau, 984
N
Mémoire, 471 NAP, 503
flash, 984 NET, 896
virtuelle, 985 NET CONFIG, 897
Menaces pour la sécurité Active Directory, NET CONFIG SERVER, 897
717 NET CONFIG WORKSTATION, 897
Microsoft Exchange Server et Outlook, 935 NET GROUP, 898
Microsoft Security Assessment Tool, 818 NET HELPMSG, 898
Microsoft Solutions Framework, 548 NET LOCALGROUP, 898
Migration, 985 NET PRINT, 899
vers Windows Vista, 151 NET SEND, 900
Migwiz.exe, 157, 164 NET SESSION, 901
Minuscules et majuscules, 626 NET SHARE, 901
Mise à niveau du système d’exploitation, 109 NET START, 902
Mise en cache de l’appartenance aux groupes NET STOP, 902
universels, 579 NET TIME, 902
Mises à jour dynamiques, 619 NET USE, 903
MMC, 985 NET USER, 904
Mode Netdiag.exe, 643
de licence par périphérique (ou siège), 116 NETSH, 904
de licence par serveur, 115 contexte global, 905
Modèle
1005
Newsgroup
Newsgroup, 986 OfflineServicing, 203, 213

Nom de partage, 986 Oobe.xml, 267, 270, 282
Nouvelle installation, 109 personnalisation, 190
NSLOOKUP, 906 OobeSystem, 206, 213
Ntdsutil, 644 Option d’installation des services de
suppression d’un contrôleur de domaine, déploiement Windows, 308
647 Organisation unique, 47
NTFS (New Technology File System), 114, OSCDImg, 241
986 OSChooser, 309
Numéro OSI, 987
séquence de mise à jour (USN), 571 Outils système, 440
version de propriété (PVN), 572 Ouverture de session, 987
interactive, 987
O P
Objet, 524, 986
connexion, 572 Pack de langues, 296
enfant, 987 Package, 210
serveur, 622 Page web, 987
Objets Active Directory home page, 987, 981
Administrateur, 642 Paramètre, 211
Administrateurs, 641 sécurité des stratégies de groupe, 852
Administrateurs de l’entreprise, 642 Pare-feu, 987
Administrateurs du schéma, 642 action, 502
Admins du domaine, 642 administration à distance, 502
Builtin, 641 avancé, 839
Computers, 641 configuration, 502
Contrôleur de domaine, 641 critères de règles, 502
Contrôleurs de domaine, 642 filtres de paquets, 502
DnsAdmins, 641 GPO, 502
DnsUpdateProxy, 642 option Activé, 836
Duplicateurs, 641 option Bloquer toutes les connexions, 838
Éditeurs de certificats, 642 option Désactivé, 837
Invité, 642 personnel, 835
Invités, 641 réglage par défaut, 502
Invités du domaine, 642 sens, 502
IUSR_xxx, 642 Partage
IWAM_xxx, 642 de distribution, 210, 221
Krbtgt, 642 nom de partage, 986
Opérateurs, 641 Partition, 988
Serveurs RAS et IAS, 642 active, 988
Users, 641 base de données Active Directory, 528
Utilisateurs, 641 d’amorçage, 988
Utilisateurs DHCP, 641 d’annuaire, 569
Utilisateurs WINS, 642 d’application, 570
Octet, 987 de domaine, 570
1006
Redémarrer Managers
de la configuration, 570 Processus d’installation de Windows Vista,

de schéma, 570 187
principale, 988 AuditSystem, 205
système, 988 AuditUser, 205
Passes de configuration, 201 état d’installation, 190
PEImg, 241 Generalize, 204
Performances installation interactive, 197
analyse, 451 installation sans assistance, 197
compteurs, 471 journaux d’état d’installation, 193
Périphériques en attente, 312 méthodes conseillées, 206
Personnalisation de l’image, 267 mode Audit, 189
accueil de premier démarrage Windows, OfflineServicing, 203
273 OobeSystem, 206
accueil Windows, 279 passes de configuration, 201
conditions dans Oobe.xml, 282 personnalisation Oobe.xml, 190
fonctionnement d’Oobe.xml, 270 setup.exe, 193
implémentation d’Oobe.xml, 271 Specialize, 204
Oobe.xml, 267 WindowsPE, 203
PID, 989 Profil d’utilisateur, 990
Pilote Programme, 990
chemin d’accès, 210 de démarrage par défaut, 332
Pkgmgr, 287 Protection
PKI, 504 des données DNS, 729
Plan des serveurs DNS, 728
d’adressage IP, 32, 48 des serveurs membres, 799
de nommage, 50 des serveurs pour des rôles spécifiques, 800
de nommage commun, 48 Protocole, 990
Planification IP, 982
projet Active Directory, 535 TCP, 994
Plugin, 989 TFTP, 126
Point de restauration, 989 UDP, 994
Pont de liaison de sites, 577 Proxy, 990
Pop-up, 989 Puzzmania (système d’information de), 32
Port 67, 314 PVN (Property Version Number), 572
configuration, 314 PXE Server Setting, 312
Présentation d’ImageX, 249 Pxeboot.com, 333
Prévention d’intrusion, 989 Pxeboot.n12, 333
Privilège, 989
PRNCNFG, 906
PRNDRVR, 907
PRNJOBS, 909
PRNMNGR, 910
R
PRNQCTL, 912 Raccourci, 990
Processeur, 474 exécuter en tant que, 437
Processus RAM, 990
approbation des périphériques en attente, RCP, 913
326 RECOVER, 914
installation de Windows Vista, 187 Redémarrer Managers, 832
1007
Réduction
Réduction RIS (Remote Installation Service), 123

coûts, 45 RISETUP, 309
trafic, 677 RODC, 505
Registre, 990 Rôles maîtres
Renforcer d’opération, 531, 663
protection des serveurs d’impression, 801 RootDSE, 515
protection des serveurs d’infrastructure, 800 Routage de la réplication, 566
protection des serveurs de fichiers, 801 Routeur, 991
protection des serveurs IIS, 801 Ruche, 991
stratégie de domaine, 798 RUNAS, 915
Renommer un contrôleur de domaine, 645
Réplication, 533
collision de réplication, 572
routage, 566
Sysvol, 568
S
Res.rwm, 320 Sauvegarde, 992
Réseau, 475, 991 Scénarios ImageX, 251
Restauration Schéma Active Directory, 525, 670
point, 989 SCHTASKS, 916
Résolution de noms récursive, 640 Script, 992
Ressources Sécurité, 767, 784, 805, 850, 992
de service, 568 Active Directory, 715
SRV, 618 analyse des vulnérabilités, 814
Rétrograder un contrôleur de domaine attaque du compte Administrateur, 722
principal, 646 audit de sécurité informatique, 816
REXEC, 914 cheval de Troie, 974
RFC comptes d’administration des services, 720
RFC 768, 994 défense en profondeur, 810
RFC 791, 982 définir des solutions, 785
RFC 793, 994 évaluer les risques, 785
RFC 1034, 626 Member Server Baseline, 799
RFC 1823, 516 mettre en place des solutions, 785
RFC 2247, 516 méthodes d’administration des données,
RFC 2251, 516 723
RFC 2252, 516 notions fondamentales, 784
RFC 2253, 517 planification, 808
RFC 2254, 517 physique, 771
RFC 2255, 517 postes de travail, 823
RFC 2256, 517 postes de travail à l’aide d’Active Directory,
RFC 2307, 517 849
RFC 2587, 517 relations interforêts, 731
RFC 2589, 517 serveurs, 789
RFC 2596, 518 test de pénétration, 815
RFC 2649, 518 valider des solutions, 785
RFC 2696, 518 Windows Vista, 826
RFC 2713, 518 Sécurité des serveurs, 789
RFC 2714, 518 Active Directory, 795
RIPREP, 309 base des serveurs, 793
Riprep (Riprep.exe), 130, 319
1008
Service
conception de la sécurité, 789 de télécopie, 936

concessions, 792 découvertes SSDP, 951
conséquences juridiques, 792 enregistrement de licences, 940
coût, 793 état ASP.NET, 931
frontières de sécurité, 797 explorateur d’ordinateurs, 932
menace interne, 791 gestion de licences Terminal Server, 953
modèle de sécurité Member Server hôte périphérique Plug-and-Play universel,
Baseline, 799 954
possibilités d’accès physique, 792 HTTP SSL, 938
problématiques de base, 791 installation à distance, 945
recommandations, 794 interruption SNMP, 950
serveurs assurant plusieurs rôles, 791 journal des événements, 934
serveurs d’impression, 801 journaux et alertes de performance, 944
serveurs d’infrastructure, 800 localisation de services, 569
serveurs de fichiers, 801 localisateur d’appels de procédure distante,
serveurs IIS, 801 946
serveurs membres, 799 Message Queuing, 940
serveurs pour des rôles spécifiques, 800 MSSQL$UDDI, 943
stratégie de domaine, 798 MSSQLSERVER, 942
systèmes anciens, 792 Network News Transfer Protocol, 944
Server Core, 480, 484 notification de stockage étendu, 946
Serveur ouverture de session réseau, 943
activation de NTPServer, 639 pare-feu de connexion Internet, 939
catalogue global, 579 partage de Bureau à distance NetMeeting,
changement du type de serveur en NTP, 943
638 partage de connexion Internet, 939
configuration du service, 637 passerelle de la couche Application, 930
de temps, 637 piles MTA Microsoft Exchange, 941
horloge matérielle, 638 POP3 Microsoft, 942
intervalle d’interrogation, 639 publication FTP, 937
paramètres de correction, 639 publication World Wide Web, 956
RAS et IAS, 642 réplication de fichiers, 568, 937
web, 757 routage et accès distant, 946
Service, 992 serveur, 947
affichage des messages, 941 serveur d’impression TCP/IP, 952
agent de contrôle à distance SMS, 949 serveur de fichiers pour Macintosh, 937
annuaire de session des services Terminal serveur de stockage étendu, 946
Server, 953 serveur de suivi de lien distribué, 933
appel de procédure distante, 945 serveur DHCP, 932
autorité de sécurité locale, 929 serveur DNS, 934
centre de distribution de clés Kerberos, 939 SharePoint Portal Server, 948
certificats, 931 Simple Mail Transfer Protocol, 948
clients Microsoft Exchange Server et SNMP, 949
Outlook, 935 installation à distance (Remote Installation
cluster, 931 Service), 123
coordinateur de transactions distribuées, spouleur d’impression, 944
934 SQL Analysis Server, 950
d’annuaire, 737 système de fichiers distribués, 933
d’authentification Internet, 938 Systems Management Server 2.0, 951
1009
Service Pack 1
TCP/IP simples, 948 implémentation, 224

Telnet, 952 limitations, 232
temps Windows, 956 options d’extinction, 226
Terminal Server, 952 processus, 227
Trivial FTP, 954 réinitialisation de l’activation, 227
Windows Internet Name Service (WINS), utilisation de fichiers de réponses, 229
955 Système d’information de Puzzmania, 32
Windows Media, 955 SYSTEMINFO, 921
Service Pack 1, 71, 89
Service Pack 2, 73, 91
Services de déploiement Windows
configuration, 310
configuration de DHCP, 312
T
fonctionnement, 303 TAKEOWN, 922
installation, 305 TASKKILL, 923
mode hérité, 309 TASKLIST, 923
mode mixte, 309 TCP, 994
mode natif, 309 TCP/IP, 994
modes de fonctionnement des services, 309 Technologie SIS, 319
option DHCP 60, 313 Télécopie, 936
Services et applications, 441 TELNET, 924
Services for Unix (SFU), 71 Terminal Server
SET, 917 annuaire de session des services, 953
Shareware, 993 TFTP, 925
SHUTDOWN, 919 TIME, 926
SID, 993 Topologie des sites, 565
Single Instant Store (SIS), 126 Trafic de réplications, 677
technologie SIS, 319 Transfert des fichiers et paramètres
Sites, 529, 575, 993 à l’aide d’un support amovible, 164
Sous-arbre, 993 CD ou DVD, 165
Sous-clé, 993 poste cible, 153
Sous-réseau, 574 poste source, 157
masque, 984 réseau, 152
Spamming, 992 Transfert
Specialize, 204, 213 de zones incrémentiels, 619
Spywares, 826 des rôles, 667
SSL, 993 Transitivité des liens de sites, 578
Standard Trivial File Transfer Protocol
LDAP V3, 516 TFTPD, 126
Stockage, 440 TTL, 977
d’instance simple (SIS), 126
Stratégie de noms de clients, 326
Structure
Active Directory sécurisée, 720
physique d’Active Directory, 529
U
Suppression d’un contrôleur de domaine, 646
Sysprep, 131, 223 UDP, 994
action de nettoyage du système, 225 Unattend.xml, 220
fichiers journaux, 232 Unités d’organisation, 527, 593
1010
Windows Server 2003
conception, 598 configuration de l’option 60, 335

implémentation, 601 configuration du port 67, 336
modèle hybride, 600 démarrer le serveur, 346
modèle basé sur l’emplacement, 598 obtenir des informations, 337
modèle basé sur l’organisation, 599 supprimer une image de démarrage, 337
modèle basé sur la fonction, 599 Web
planification de la structure administrative, serveur web, 757
595 connexions web sécurisées, 975
Update Sequence Number (USN), 571 Wi-Fi, 997
Upgrade Advisor, 170 WIM, 997
URL, 995 Win PE
USB, 995 ajouter des packages, 242
USMT, 995 ajouter des pilotes, 243
USN (Update Sequence Number), 571 limitations, 240
Utilisateurs, 996 lister les packages, 242
administrateurs, 431 mode Non préparé, 237, 241
opérateurs d’impression, 432 mode Préparé, 237
opérateurs de compte, 432 outils, 241
opérateurs de sauvegarde, 432 personnaliser, 241
opérateurs de serveur, 432 préparer une image, 244
Utiliser Upgrade Advisor, 173 repackager une image, 245
utilisation, 240
version 2.0, 235
Windows 2000, 168
V Windows Automated Installation Kit, 234
Windows Backup, 179
Valeur d’image, 210 Windows Defender, 826, 828
Variable, 996 historique, 831
d’environnement, 996 Windows Filtering Platform, 501
Vérificateur de cohésion de connaissances, Windows PE, 997
573 Windows PE 2.0, 233-234
Versions, 137 Windows PowerShell, 399
précédentes, 996 aide, 415
Virtualisation, 996 alias, 420
applets de commande, 404
exécution, 403
installation, 402
W interaction et scripts, 413
mise en forme de la sortie des commandes,
419
WAIK, 234 navigation, 424
WDS pipelines d’objets, 412
stratégie de noms de clients, 326 présentation, 401
unité d’organisation lors de l’approbation, stratégie d’exécution, 414
326 traitement d’objets, 410
Wdsnbp.com, 333 Windows Preinstallation Environment, 239
WDSUTIL, 310, 333-335 Windows RE, 997
ajouter une image de démarrage, 336 Windows Rights Management Services, 71
arrêter le serveur, 347 Windows Server 2003
1011
Windows Server 2008
Datacenter Edition, 58 fichiers ADML, 365

Enterprise Edition, 58 fichiers ADMX, 363
R2, 71, 89 gestion de Bitlocker, 391
Standard Edition, 57 gestion des réseaux filaires IEEE 802.3, 383
Web Edition, 58 gestion des réseaux sans fil IEEE 802.11,
Windows Server 2008, 477 387
BitLocker, 504 intégration dans le domaine, 353
CNG, 505 maintenance des stratégies de groupe, 375
fonctionnalités, 493 répertoire de stockage central au domaine,
gestion du serveur, 489 371
gestionnaire de serveur, 490 stratégies de groupe, 362
groupes et utilisateurs, 486 stratégies de groupe locales multiples, 379
installation, 481 Windows XP
installer, 479 Familial, 167
isolement de serveur et de domaine, 506 Media Center, 167
NAP, 503 Professional, 167
pare-feu, 501 Professional x64, 168
PKI, 504 Tablet PC, 168
prérequis, 479 WindowsPE, 213
RODC, 505 WINPE, 234
rôles, 493 Winpe.wim, 237
sécurité, 500 WINS
Server Core, 480 utilisateurs, 642
services, 487 WUA, 832
tâches de configuration initiales, 489
Windows Server Update Services, 832
Windows SharePoint Services, 70
Windows Vista
activation, 148
X
Édition Familiale Basique, 139 X.500, 514
Édition Familiale Premium, 139 XML, 997
Édition Intégrale, 141
Entreprise, 141
licence, 148
Professionnel, 140
Starter Edition, 138
Z
Windows Vista et Active Directory
changement rapide d’utilisateur, 361 ZIP, 997
1012
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Composé en France par Jouve
11, bd de Sébastopol - 75001 Paris

Windows Server 2003 Et Windows Server 2008 - Tome 1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server 2003 Et Windows Server 2008 - Tome 1

Transféré par

Droits d'auteur :

Formats disponibles

Copyright © 2007 Micro Application

20-22, rue des Petits-Hôtels

1ère Édition - Novembre 2007

Auteurs Jean-Georges SAURY et Sylvain CAICOYA

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de

MICRO APPLICATION Support technique

Mister O’net, l’homme à la référence, vous montre le chemin !

Au cours de votre lecture, vous rencontrerez les encadrés suivants :

Propose des trucs pratiques.

Vous recommande une technique ou une marche à suivre.

Vous indique le nom et l’emplacement des fichiers à télécharger.

Renvoi à un site où vous trouverez des infos complémentaires ou des outils à

Fait référence à un chapitre où vous trouverez des informations complémentaires.

Partie A Installation, déploiement et généralités 27

Partie B Active Directory 509

Partie C Sécurité 765

Partie D Annexes 859

Partie A Installation, déploiement et généralités 27

Comparaison des caractéristiques des différentes versions de Windows

La version mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Préparer la mise à jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 167

Les limitations de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

Obtenir des informations sur le serveur de déploiement en ligne de

Naviguer dans le Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Enterprise PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504

Partie B Active Directory 509

Déployer le deuxième contrôleur de domaine sur le même site . . . . . . . . . 649

Partie C Sécurité 765

Défense de la couche physique . . . . . . . . . . . . . . . . . . . . . . . . . . . 771

La sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795

Le Centre de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

Partie D Annexes 859

L’Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945

Le tome I développe les thèmes suivants :

Le tome II développe les thèmes suivants :

Bonne lecture à tous !

Chapitre 1 Étude de cas . . . . . . . . . . . . . . . . . . 29

Q uoi de mieux qu’une mise en situation afin d’expliquer les fonctionnalités de

Nous espérons que ce mode de fonctionnement vous permettra d’établir la relation

1.1. Le contexte : présentation de la société

j le site de Toulouse, qui regroupe l’usine de production et d’acheminement des

j le site de Nice, qui regroupe le laboratoire à l’origine du développement de la

Tableau 1.1 : Règle d’attribution des adresses IP

En fonction du masque de sous-réseau et de l’étendue des adresses IP disponibles, il est

Un tel découpage représente un total de 16 sous-réseaux disponibles de 4094 machines

Définition du troisième octet

Tableau 1.3 : Définition de la variable X du troisième octet du plan d’adressage IP

La variable Y désigne le type d’équipement.

Tableau 1.4 : Définition de la variable Y du troisième octet du plan d’adressage IP

Valeur Y Catégorie d’équipements

Définition du quatrième octet

Exemple : l’adresse IP 172.50.10.254 fait référence à un routeur situé à Paris.

Le détail des sites

Liste des serveurs d’infrastructure

Nom du serveur Adresse IP Système d’exploitation Fonction

Liste des serveurs d’infrastructure

Liste des serveurs d’infrastructure

Les dysfonctionnements de la situation actuelle

Notons les points de dysfonctionnements suivants…

La non-uniformité des processus

Les problèmes de coûts importants

Les problèmes de réactivité

Le problème de gestion du parc informatique trop complexe

La sécurité du système d’information