Académique Documents
Professionnel Documents
Culture Documents
Avertissement Les informations contenues dans cet ouvrage sont données à titre indicatif et n’ont aucun
aux utilisateurs caractère exhaustif voire certain. A titre d’exemple non limitatif, cet ouvrage peut vous pro-
poser une ou plusieurs adresses de sites Web qui ne seront plus d’actualité ou dont le
contenu aura changé au moment où vous en prendrez connaissance.
Aussi, ces informations ne sauraient engager la responsabilité de l’Editeur. La société MI-
CRO APPLICATION ne pourra être tenue responsable de toute omission, erreur ou lacune
qui aurait pu se glisser dans ce produit ainsi que des conséquences, quelles qu’elles soient,
qui résulteraient des informations et indications fournies ainsi que de leur utilisation.
ISBN : 978-2-7429-8448-0
Tous les produits cités dans cet ouvrage sont protégés, et les marques déposées par leurs
titulaires de droits respectifs.
Cet ouvrage n’est ni édité, ni produit par le(s) propriétaire(s) de(s) programme(s) sur
le(s)quel(s) il porte.
Couverture réalisée par Com’Back
Conventions typographiques
Afin de faciliter la compréhension des techniques décrites, nous avons adopté les
conventions typographiques suivantes :
j gras : menu, commande, boîte de dialogue, bouton, onglet.
j italique : zone de texte, liste déroulante, case à cocher, bouton radio.
j Police bâton : instruction, listing, texte à saisir.
✂ : indique un retour à la ligne dû aux contraintes de la mise en page.
Met l’accent sur un point important qu’il ne faut négliger à aucun prix.
Chapitre 2
État des lieux de Windows Server en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Les différentes versions de Windows Server 2003 . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Standard Edition . . . . . . . . . . . . . . . . . . . . . . 57
Windows Server 2003 Enterprise Edition . . . . . . . . . . . . . . . . . . . . . 58
Windows Server 2003 Datacenter Edition . . . . . . . . . . . . . . . . . . . . . 58
Windows Server 2003 Web Edition . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Sommaire
Chapitre 3
Windows Server 2003 Service Pack 2 et R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Les mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Scalable Networking Pack (SNP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
La bibliothèque XmlLite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Les services de déploiement Windows WDS (Windows Deployment
Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Microsoft Management Console 3.0 (MMC 3.0) . . . . . . . . . . . . . . . . . 96
Wireless Protected Access 2 (WPA2) . . . . . . . . . . . . . . . . . . . . . . . . . 96
La version améliorée de l’outil CACLS . . . . . . . . . . . . . . . . . . . . . . . . 97
Les fonctions existantes améliorées . . . . . . . . . . . . . . . . . . . . . . . . . 98
Qu’apporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . 99
Une gestion simplifiée des serveurs dans les agences et les succursales . . 99
La gestion améliorée des identités et des accès . . . . . . . . . . . . . . . . . 100
Les coûts de gestion du stockage réduits . . . . . . . . . . . . . . . . . . . . . 101
Une plateforme web enrichie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Une virtualisation de serveur à moindre coût . . . . . . . . . . . . . . . . . . 102
Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . 102
La version majeure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Sommaire
Chapitre 4
L’installation et le déploiement de Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . 105
Considérations sur l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Les prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Vérifier la compatibilité du système . . . . . . . . . . . . . . . . . . . . . . . . 108
Nouvelle installation ou mise à niveau ? . . . . . . . . . . . . . . . . . . . . . 109
Le double amorçage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
L’installation manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
L’installation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . . . . 133
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Chapitre 5
L’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Découvrir les différentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Que faire ? Avec quelle version . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Windows Vista Starter Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Windows Vista Édition Familiale Basique . . . . . . . . . . . . . . . . . . . . . 139
Windows Vista Édition Familiale Premium . . . . . . . . . . . . . . . . . . . . 139
Windows Vista Professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Windows Vista Entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Windows Vista Édition Intégrale . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Valider la configuration matérielle minimale recommandée . . . . . . . . . . . 142
Vista Édition Familiale Basique . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Vista Édition Familiale Premium, Professionnel, Entreprise et Intégrale . 142
Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . 143
L’activation et la licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Transférer les fichiers et les paramètres via le réseau . . . . . . . . . . . . . 152
Transférer les fichiers et les paramètres à l’aide d’un support
amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Transférer les fichiers et les paramètres: à l’aide d’un CD ou d’un DVD . 165
Sommaire
Chapitre 6
Le déploiement des ordinateurs Windows Vista en entreprise – phase 1 . . . . . . . . . . . . 185
Le processus d’installation de Windows Vista . . . . . . . . . . . . . . . . . . . . . 187
Introduction à l’installation de Windows Vista . . . . . . . . . . . . . . . . . 187
Les méthodes d’exécution du programme d’installation Windows . . . . . 193
Les passes de configuration du programme d’installation de Windows
Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Les méthodes conseillées pour l’installation de Windows Vista . . . . . . 206
L’Assistant Gestion d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
L’architecture de l’Assistant Gestion d’installation . . . . . . . . . . . . . . . . . . 208
L’interface graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Créer un fichier de réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Le fichier autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Le fichier Corp_autounattend_sample . . . . . . . . . . . . . . . . . . . . . . . 215
Attribuer des fichiers Unattend à des images . . . . . . . . . . . . . . . . . . . 218
Quelques points importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Présentation des partages de distribution et des jeux de configuration . 221
Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Introduction à Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Implémenter Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Les options d’extinction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Le processus de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Réinitialiser l’activation de Windows Vista . . . . . . . . . . . . . . . . . . . . 227
Utiliser des fichiers de réponses en conjonction avec Sysprep . . . . . . . 229
Les fichiers journaux de Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Sommaire
Chapitre 7
Le déploiement des ordinateurs Windows Vista en entreprise – phase 2 . . . . . . . . . . . . 247
Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Présentation d’ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
L’architecture d’ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
La commande ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Capturer une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
La commande Imagex /apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Personnaliser l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Le fichier Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Le fonctionnement d’Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Implémenter Oobe.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
La maintenance de l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Ajouter une image dans une image . . . . . . . . . . . . . . . . . . . . . . . . . 284
Le Gestionnaire de packages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
La commande Pkgmgr.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Ajouter des pilotes à une image de Windows hors connexion . . . . . . . . 289
Activer ou désactiver les fonctionnalités Windows lorsque le système
d’exploitation est hors connexion . . . . . . . . . . . . . . . . . . . . . . . . . 293
Installer ou supprimer des packages hors connexion à l’aide du
Gestionnaire de package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Installer un pack de langues dans une image hors connexion . . . . . . . . 296
Les limitations du Gestionnaire de packages . . . . . . . . . . . . . . . . . . 298
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Sommaire
Chapitre 8
Les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Le fonctionnement des services de déploiement Windows . . . . . . . . . . . . . 303
Installer les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . 305
Les modes de fonctionnement des services de déploiement Windows . . . . . . 309
Le mode hérité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Le mode mixte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Le mode natif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Configurer les services de déploiement Windows . . . . . . . . . . . . . . . . . . 310
Configurer DHCP pour les services de déploiement Windows . . . . . . . . . . . 312
L’option DHCP 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Le port 67 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Les images de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Ajouter une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exporter une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . 318
Supprimer une image de démarrage . . . . . . . . . . . . . . . . . . . . . . . . 319
Les images d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Les groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Créer des groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Ajouter une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Supprimer une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . 323
Exporter une image d’installation . . . . . . . . . . . . . . . . . . . . . . . . . 325
La stratégie de noms de clients et l’emplacement de compte . . . . . . . . . . . 326
L’administrateur spécifie le nom de l’ordinateur et l’unité d’organisation . 326
Spécifier la stratégie de noms de clients et l’unité d’organisation lors de
l’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Le serveur spécifie le nom de l’ordinateur et l’unité d’organisation . . . . 328
Définir la stratégie de noms d’ordinateurs . . . . . . . . . . . . . . . . . . . . 329
Effectuer toutes les actions d’ajout à un domaine lors du premier
démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Le programme de démarrage par défaut . . . . . . . . . . . . . . . . . . . . . . . . 332
WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Configurer l’option 60 en ligne de commandes . . . . . . . . . . . . . . . . . 335
Configurer le port 67 en ligne de commandes . . . . . . . . . . . . . . . . . . 336
Ajouter une image de démarrage en ligne de commandes . . . . . . . . . . 336
Supprimer une image de démarrage en ligne de commandes . . . . . . . . 337
Sommaire
Chapitre 9
L’intégration de Windows Vista dans l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . 351
L’intégration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . 353
Changer rapidement d’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Les stratégies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . 362
Les fichiers ADMX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Les stratégies de groupe locales multiples . . . . . . . . . . . . . . . . . . . . 379
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Gérer les réseaux filaires IEEE 802.3 . . . . . . . . . . . . . . . . . . . . . . . 383
Gérer les réseaux sans fil IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . 387
Gérer Bitlocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Chapitre 10
Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Présentation de Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . 401
Installer Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Exécuter Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Les applets de commande Windows PowerShell . . . . . . . . . . . . . . . . . . . 404
Le traitement d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Les pipelines d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
L’interaction et les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
La stratégie d’exécution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Utiliser Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
L’importance de l’aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Utiliser des applets de commande . . . . . . . . . . . . . . . . . . . . . . . . . 418
Mettre en forme la sortie des commandes . . . . . . . . . . . . . . . . . . . . 419
Utiliser des alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Naviguer dans Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Naviguer dans le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 424
Sommaire
Chapitre 11
La maintenance des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Préparer l’administration d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . 431
Utiliser les appartenances de groupe pour administrer un serveur . . . . 431
La commande Exécuter en tant que . . . . . . . . . . . . . . . . . . . . . . . . . 433
L’outil Gestion de l’ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Le Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . 451
Pourquoi analyser les performances ? . . . . . . . . . . . . . . . . . . . . . . 451
Établir une ligne de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Choisir entre analyse programmée et analyse en temps réel . . . . . . . . 453
Les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Les alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Les compteurs de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Chapitre 12
Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Les prérequis à l’installation de Windows Server 2008 . . . . . . . . . . . . . . . 479
Qu’est-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . 480
Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Les services par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Gérer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Les tâches de configuration initiales . . . . . . . . . . . . . . . . . . . . . . . . 489
La console Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . 490
Les assistants Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Les rôles et les fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Les améliorations liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Les fonctionnalités de sécurité avancée du pare-feu Windows . . . . . . . 501
La protection : NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Le chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 504
Sommaire
Chapitre 14
La planification d’un projet Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Le processus de conception d’Active Directory . . . . . . . . . . . . . . . . . . . . 538
Le processus de planification d’un projet Active Directory . . . . . . . . . . . . . 539
Les définitions communes dans un projet Active Directory . . . . . . . . . . . . . 541
Définition du service d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Définition du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Définition du catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Définition d’un nom unique et d’un nom unique relatif . . . . . . . . . . . . 544
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Sommaire
Chapitre 15
La conception de l’infrastructure logique Active Directory . . . . . . . . . . . . . . . . . . . . 545
Du projet d’entreprise à la conception d’Active Directory . . . . . . . . . . . . . 547
Les modèles de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Le modèle de forêt basé sur l’organisation . . . . . . . . . . . . . . . . . . . . 548
Le modèle de forêt basé sur les ressources . . . . . . . . . . . . . . . . . . . . 549
Le modèle de forêt à accès restreint . . . . . . . . . . . . . . . . . . . . . . . . 550
Principe de conception des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Les modèles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Le modèle de domaine unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Le modèle de domaine régional . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
Le modèle de domaine basé sur les entités de l’entreprise . . . . . . . . . . 554
Choisir le domaine racine de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Le domaine racine d’une forêt dans un modèle de domaine unique . . . . 556
Le domaine racine d’une forêt dans un modèle de domaine régional
ou basé sur les entités de l’entreprise . . . . . . . . . . . . . . . . . . . . . . . 557
Les avantages du domaine racine vide . . . . . . . . . . . . . . . . . . . . . . . 559
Les avantages d’un domaine régional ou d’entité en tant que racine
de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
Conception de domaine et sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . 560
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Chapitre 16
La conception de la topologie de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Les mécanismes de conception : définitions . . . . . . . . . . . . . . . . . . . . . 565
Les fonctionnalités liées aux sites . . . . . . . . . . . . . . . . . . . . . . . . . 566
Les concepts de réplication d’Active Directory . . . . . . . . . . . . . . . . . . 569
Collecter les informations sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . 580
Prévoir l’emplacement des contrôleurs de domaine . . . . . . . . . . . . . . . . 581
Prévoir l’emplacement des contrôleurs de domaine racine de la forêt . . 582
Prévoir l’emplacement des contrôleurs de domaine régionaux . . . . . . . 582
Prévoir l’emplacement des serveurs de catalogue global . . . . . . . . . . . 584
Déterminer l’emplacement des rôles maîtres d’opération . . . . . . . . . . 585
Concevoir des sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
Concevoir les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Concevoir les ponts de liaison de sites . . . . . . . . . . . . . . . . . . . . . . . . . 590
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Sommaire
Chapitre 17
La conception et l’implémentation de la structure des unités d’organisation . . . . . . . . . 593
Planifier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
La collecte des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Les modèles administratifs informatiques . . . . . . . . . . . . . . . . . . . . 597
Concevoir une structure d’unités d’organisation – les modèles de structure
d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modèle basé sur l’emplacement . . . . . . . . . . . . . . . . . . . . . . . . . 598
Le modèle basé sur l’organisation . . . . . . . . . . . . . . . . . . . . . . . . . 599
Le modèle basé sur la fonction . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
Le modèle hybride basé sur l’emplacement, puis sur l’organisation . . . 600
Le modèle hybride basé sur l’organisation, puis sur l’emplacement . . . 601
Implémenter la structure d’unités d’organisation . . . . . . . . . . . . . . . . . . 601
Les outils de création . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
Le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Les outils de service d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
L’outil Ldifde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
L’outil de scripts Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Chapitre 18
L’implémentation des serveurs d’infrastructure Active Directory . . . . . . . . . . . . . . . . 613
Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Déterminer les contraintes matérielles pour les contrôleurs de domaine . 616
Les conditions requises pour l’installation d’Active Directory . . . . . . . 618
Déployer le domaine racine de la forêt puzzmania.com . . . . . . . . . . . . . . 619
Le processus d’installation d’Active Directory . . . . . . . . . . . . . . . . . . 620
Installer le premier contrôleur de domaine . . . . . . . . . . . . . . . . . . . 622
L’installation détaillée d’Active Directory . . . . . . . . . . . . . . . . . . . . . 623
Vérifier le premier contrôleur de domaine . . . . . . . . . . . . . . . . . . . . 630
Configurer le serveur de temps . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
Vérifier la résolution de noms récursive sur le premier contrôleur
de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
Après l’installation du premier contrôleur de domaine . . . . . . . . . . . . . . . 641
Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . 642
Modifier le nom d’un contrôleur de domaine . . . . . . . . . . . . . . . . . . 645
Supprimer un contrôleur de domaine dans Active Directory . . . . . . . . 646
Sommaire
Chapitre 21
La sécurisation d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
L’importance de la sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . 717
Identifier les types de menaces pour la sécurité Active Directory . . . . . . . . . 717
Établir des frontières sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
Sélectionner une structure Active Directory sécurisée . . . . . . . . . . . . . . . 720
Sécuriser les comptes d’administration des services . . . . . . . . . . . . . . . . 720
Limiter l’exposition des comptes d’administration des services . . . . . . . . . . 721
Sécuriser les méthodes d’administration des données . . . . . . . . . . . . . . . 723
Protéger les serveurs DNS et les données DNS . . . . . . . . . . . . . . . . . . . . 728
Sécuriser les relations interforêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
Chapitre 22
Active Directory Application Mode et Active Directory Federation Services . . . . . . . . . . 733
Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . 735
Les principes d’ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735
Implémenter ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
La maintenance d’ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
Synchroniser les données entre Active Directory et une instance ADAM . 752
Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . 754
Les principales fonctionnalités d’ADFS . . . . . . . . . . . . . . . . . . . . . . 754
L’extension d’Active Directory à Internet . . . . . . . . . . . . . . . . . . . . . 755
Les rôles des serveurs ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
Configuration requise pour ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . 757
Implémenter des composants ADFS . . . . . . . . . . . . . . . . . . . . . . . . 760
La terminologie ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Chapitre 24
La conception de la sécurité des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
Les problématiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Les serveurs assurant plusieurs rôles. . . . . . . . . . . . . . . . . . . . . . . 791
Des ressources limitées pour la mise en œuvre de solutions
de sécurisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
La menace interne ou accidentelle . . . . . . . . . . . . . . . . . . . . . . . . . 791
Le manque de compétences en matière de sécurité . . . . . . . . . . . . . . 791
Les possibilités d’accès physique . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Les conséquences juridiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
L’utilisation de systèmes anciens . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Les concessions en matière de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 792
Sécurité et facilité d’emploi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Un faible coût . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
La sécurité de base des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Sécuriser les serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Quelques recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
Sommaire
Chapitre 25
Évaluation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
Pourquoi réaliser des évaluations de la sécurité ? . . . . . . . . . . . . . . . . . . 807
Planification de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 808
Le concept de défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . 810
Définition du cadre de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . 811
Les objectifs de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 812
Les types d’évaluations de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
L’analyse des vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Le test de pénétration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
L’audit de sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
Publier les résultats de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . 818
Utiliser l’outil MSAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
Chapitre 26
La sécurisation des postes de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
Gérer les mises à jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
La sécurité sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Windows Defender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
Sommaire
Chapitre 28
Annexe II - Les services et les ports réseau sous Windows Server 2003 . . . . . . . . . . . . 927
Les ports des services système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
Active Directory (autorité de sécurité locale) . . . . . . . . . . . . . . . . . . 929
Le service de la passerelle de la couche Application . . . . . . . . . . . . . . 930
Le service d’état ASP.NET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
Les services de certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
Le service de cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
L’Explorateur d’ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932
Le Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932
Le Système de fichiers distribués (DFS) . . . . . . . . . . . . . . . . . . . . . . 933
Le Serveur de suivi de lien distribué . . . . . . . . . . . . . . . . . . . . . . . . 933
Le Coordinateur de transactions distribuées . . . . . . . . . . . . . . . . . . 934
Le Serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Le Journal des événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Les clients Microsoft Exchange Server et Outlook . . . . . . . . . . . . . . . 935
Le service de télécopie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 936
La réplication de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
Le Serveur de fichiers pour Macintosh . . . . . . . . . . . . . . . . . . . . . . . 937
Le service de publication FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
HTTP SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 938
Le service d’authentification Internet . . . . . . . . . . . . . . . . . . . . . . . 938
Le service Pare-feu de connexion Internet/Partage de connexion
Internet (ICF/ICS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 939
Le Centre de distribution de clés Kerberos . . . . . . . . . . . . . . . . . . . . 939
L’enregistrement de licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 940
Le service Message Queuing (MSMQ) . . . . . . . . . . . . . . . . . . . . . . . 940
L’Affichage des messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Les piles MTA Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . . . . . 941
Le Gestionnaire des opérations Microsoft 2000 . . . . . . . . . . . . . . . . 941
Le service POP3 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
Le service MSSQLSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
Le service MSSQL$UDDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943
L’Ouverture de session réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943
Le Partage de Bureau à distance NetMeeting . . . . . . . . . . . . . . . . . . . 943
Network News Transfer Protocol (NNTP) . . . . . . . . . . . . . . . . . . . . . 944
Le service Journaux et alertes de performance . . . . . . . . . . . . . . . . . 944
Le Spouleur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 944
Sommaire
Chapitre 29
Annexe III - Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 967
Chapitre 30
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999
Préface
Nous vous remercions d’avoir choisi la Bible Windows Server 2003 Windows Server 2008
afin de développer vos compétences dans le domaine des infrastructures Microsoft.
Nous avons souhaité que cet ouvrage vous serve de guide aussi bien dans la conception
de votre infrastructure que dans l’implémentation étape par étape des fonctionnalités
techniques. Il vous aidera à faire face aux problématiques de tous les jours. Pour cela,
l’ouvrage s’articule autour d’une étude de cas, une société fictive, qui sert de point de
départ à l’exposition des problématiques et permet d’élaborer la conception de la
solution, puis l’implémentation technique.
Même si nous avons souhaité nous concentrer uniquement sur les infrastructures
Microsoft, nous avons aussi voulu donner une dimension bien réelle aux problématiques
d’entreprise en montrant que, de nos jours, la satisfaction de l’utilisateur final passe par
un savant équilibre entre les fonctionnalités des systèmes d’exploitation pour serveurs et
les fonctionnalités des systèmes d’exploitation pour clients et qu’une nouvelle version de
Windows ne chasse pas l’autre immédiatement. En effet, Windows Vista arrive dans un
contexte où le parc informatique est déjà composé de Windows XP et/ou
Windows 2000, et Windows Server 2008 arrive également dans un contexte où le parc
informatique est déjà composé de Windows Server 2003, Windows 2000 Server, voire
Windows NT 4.0 Server. Au travers de la conception et de l’implémentation des
serveurs Windows Server 2003, nous avons souhaité vous sensibiliser à cet état de fait et
voulu que vous ayez en mains tous les arguments qui vous permettront de faire les choix
structurants dans votre contexte. C’est pourquoi vous trouverez, par exemple, des
chapitres traitant tout autant du déploiement de Windows Server 2003 que du
déploiement de Windows Vista, de la sécurisation des serveurs comme de la sécurisation
des stations de travail ou que des problématiques comme la gestion des identités et des
services réseaux.
En raison de la masse d’informations que cela représente, la Bible Windows Server 2003
Windows Server 2008 est composée de deux tomes.
25
j les problématiques d’entreprise comme l’authentification forte, la haute
disponibilité ou l’intégration de Windows Server 2008 ;
j la conception, l’implémentation, l’administration des services réseau ;
j l’administration centralisée de l’infrastructure, les outils améliorant
l’administration.
Tous les chapitres sont en rapport avec l’étude de cas, mais cela ne vous empêchera pas
d’utiliser ces livres pour un sujet précis selon vos besoins.
26
Partie
A
Installation,
déploiement
et généralités
Partie Installation,
déploiement
A et généralités
Étude de cas
1.1 Le contexte : présentation de la société . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
1.2 Les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
1.3 La mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Le contexte : présentation de la société
1. Étude de cas
l’idée de présenter tous les concepts techniques au travers de la réalité des besoins
quotidiens d’une entreprise (bien que celle-ci soit inventée de toutes pièces pour les
besoins de l’ouvrage).
Ce premier chapitre vous présente Puzzmania, une société à taille humaine, qui
ressemble à tant d’autres dans le domaine de l’informatique et qui a les problématiques
d’un grand nombre de sociétés en France de nos jours. Ce chapitre de référence détaille
également les noms des serveurs, le plan de nommage, le plan d’adressage utilisé tout au
long de l’ouvrage.
Pour avoir l’opportunité d’introduire la conception d’Active Directory dans cet ouvrage,
nous allons partir du postulat de base que Puzzmania est architecturée autour de
domaines Windows NT 4.0, sachant que la plupart des entreprises en France ont toutes
(ou presque) migré tout leur parc vers Active Directory. Cela va vous permettre de voir
tous les aspects de la conception et, par anticipation, vous donner les bonnes pratiques
de réflexion en cas de migration, puisque la migration vers Windows Server 2008 sera
bientôt d’actualité.
L’activité de la société
Puzzmania est une société de conception et de fabrication de puzzles, composée de
300 personnes réparties autour de trois sites géographiques : Paris, Toulouse et Nice.
Elle enregistre de bons résultats grâce à une gamme de produits complète (pour tous les
âges et tous les niveaux) et connaît depuis peu un essor considérable en étant la seule à
proposer des puzzles 3D grâce à une technique d’impression holographique des pièces
unique au monde.
La situation géographique
La société est articulée autour de trois sites géographiques :
j le site de Paris, qui regroupe la direction, le marketing, les finances, les ressources
humaines ;
31
Chapitre 1 Étude de cas
L’infrastructure informatique
Le système d’information de Puzzmania est à l’image de la société : il a été bâti il y a
quelques années et il connaît maintenant une forte croissance.
Puzzmania est composée de trois domaines NT 4.0 indépendants, un sur chaque site
géographique, avec des relations d’approbation bidirectionnelles entre les sites.
Au fil des différents projets informatiques, dus à l’essor des puzzles 3D, des serveurs
Windows 2000 Server et Windows Server 2003 ont été ajoutés afin d’apporter de la
robustesse et des fonctionnalités, mais sans impact sur l’infrastructure. Le but principal
était de relier les sites, de communiquer, de répondre au besoin coûte que coûte.
Chaque site dispose de son propre service informatique (de l’administration au support
des utilisateurs).
Les utilisateurs sont administrateurs de leurs propres stations de travail : ils utilisent des
applications bureautiques (style Office), graphiques ou maison, selon leurs activités.
Plan d’adressage IP
La société utilise exclusivement le protocole TCP/IP comme protocole de
communication sur son réseau. Voici comment a été pensé le plan d’adressage IP
(serveurs, équipements actifs, stations de travail…) en tenant compte des trois sites
géographiques, basé sur une étendue d’adresses IP de classe B. Une règle appliquée au
troisième et quatrième octet de l’adresse IP offre un moyen mnémotechnique
sympathique qui permet d’avoir en tête rapidement la relation entre l’adresse IP et le
type de matériel. Dans certains cas, on peut également faire une correspondance entre
l’adresse IP et le nom du serveur, par exemple, bien qu’aucun plan de nommage officiel
n’ait été écrit.
Le masque de sous-réseau, quant à lui, sera le même sur tous les sites : 255.255.240.0.
Il est calculé selon le besoin en adresses.
32
Le contexte : présentation de la société
1. Étude de cas
à travers les sites.
Tableau 1.2 : Liste des sous-réseaux affectés aux sites géographiques de Paris, Toulouse
et Nice
Site Numéro de sous- Adresse du sous- Adresses IP des Adresse de
géographique réseau réseau machines broadcast
Paris 1 172.50.0.0 De 172.50.0.1 à 172.50.15.255
172.50.15.254
Toulouse 2 172.50.16.0 De 172.50.16.1 172.50.31.255
à
172.50.31.254
Nice 3 172.50.32.0 De 172.50.32.1 172.50.47.255
à
172.50.47.254
33
Chapitre 1 Étude de cas
5 Stations de travail
Il faut noter que le fait d’intégrer une variable Y dans la règle d’attribution des
adresses IP limite encore plus le champ des possibles au sein d’un même sous-réseau. En
effet, il va falloir segmenter une plage d’adresses IP qui est déjà segmentée elle-même.
Il est quand même défini que les valeurs de 1 à 9 sont réservées aux contrôleurs de
domaine répartis sur les sites géographiques.
Tableau 1.5 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de Paris
Nom du serveur Adresse IP Système d’exploitation Fonction
PADC01 172.50.11.1 Windows NT 4.0 Server Contrôleur principal de domaine,
serveur primaire DNS, serveur
primaire WINS, serveur DHCP
PADC02 172.50.11.2 Windows NT 4.0 Server Contrôleur secondaire de domaine
(CSD), serveur secondaire DNS,
serveur secondaire WINS partenaire
de réplication
TLDC06 172.50.11.6 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine TLSPUZZ
34
Le contexte : présentation de la société
1. Étude de cas
pour le domaine NCEPUZZ
PABUR01 172.50.11.10 Windows 2000 Server Serveur de fichiers
PAPRINT01 172.50.11.11 Windows 2000 Server Serveur d’impression
PAMAIL01 172.50.11.12 Windows 2000 Server Serveur de messagerie
PAAV01 172.50.11.13 Windows Server 2003 Serveur antivirus
Standard Edition
PAWEB01 172.50.11.15 Windows Server 2003 Web Serveur web
Edition
PAWEB02 172.50.11.16 Windows Server 2003 Web Serveur web
Edition
Cas d’entreprise
La liste des serveurs montre la mixité des versions des systèmes d’exploitation
utilisées. En guise de serveurs web, par exemple, on a installé Windows Server 2003
afin d’utiliser les fonctionnalités d’IIS 6. On remarque également que le site de Paris
contient un CSD de chacun des autres domaines. En outre, dans la mesure du
possible, les noms de serveur sont représentatifs, bien qu’il n’y ait pas de plan de
nommage officiel, mais cela n’est pas le cas à tous les coups.
Le serveur DHCP du site, PADC01, distribue des adresses IP comprises dans une
étendue allant de 172.50.14.1 à 172.50.14.254 et de 172.50.15.1 à 172.50.15
.254. Elles sont distribuées aux stations de travail localisées au même endroit.
Toulouse
j Nombre d’utilisateurs : 100.
j Nombre de stations : 90.
j Nombre de serveurs : 11.
35
Chapitre 1 Étude de cas
Tableau 1.6 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de
Toulouse
Nom du serveur Adresse IP Système d’exploitation Fonction
TLDC03 172.50.21.3 Windows NT 4.0 Server Contrôleur principal de domaine,
serveur primaire DNS, serveur
primaire WINS, serveur DHCP
TLDC04 172.50.21.4 Windows NT 4.0 Server Contrôleur secondaire de domaine,
serveur secondaire DNS, serveur
secondaire WINS partenaire de
réplication
PADC03 172.50.21.3 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine PARPUZZ
NCEDC09 172.50.21.9 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine NCEPUZZ
TLSBUR01 172.50.21.10 Windows 2000 Server Serveur de fichiers
TLSPRINT01 172.50.21.11 Windows 2000 Server Serveur d’impression
TLSMAIL01 172.50.21.12 Windows 2000 Server Serveur de messagerie
TLSAV01 172.50.21.13 Windows Server 2003 Serveur antivirus
Standard Edition
TLSBDD01 172.50.21.14 Windows 2000 Server Serveur de base de données
TLSAPP01 172.50.21.15 Windows Server 2003 Serveur applicatif
Standard Edition
TLSAPP02 172.50.21.16 Windows Server 2003 Serveur applicatif
Standard Edition
Cas d’entreprise
Si on compare les listes des serveurs d’infrastructure de Paris et de Toulouse, on
retrouve des doublons dans les rôles de serveur induits par le fait que le domaine
TLSPUZZ est indépendant du domaine de Paris. Cette remarque vaut pour tous les
sites. On constate également des différences dans la règle de nommage des serveurs
par rapport au site de Paris, sûrement dues à la précipitation (par exemple, le site de
Toulouse est mentionné sur deux ou trois caractères).
Le serveur DHCP du site, TLDC03, distribue des adresses IP comprises dans une
étendue allant de 172.50.24.1 à 172.50.24.254 et de 172.50.25.1 à 172.50.25
.254. Elles sont distribuées aux stations de travail localisées au même endroit.
36
Le contexte : présentation de la société
Nice
j Nombre d’utilisateurs : 80.
1. Étude de cas
j Nombre de stations : 90.
j Nombre de serveurs : 9.
Tableau 1.7 : Liste des serveurs d’infrastructure de Puzzmania présents sur le site de Nice
Nom du serveur Adresse IP Système d’exploitation Fonction
NCDC06 172.50.41.6 Windows NT 4.0 Server Contrôleur principal de domaine,
serveur primaire DNS, serveur
primaire WINS, serveur DHCP
NCEDC07 172.50.41.7 Windows NT 4.0 Server Contrôleur secondaire de domaine,
serveur secondaire DNS, serveur
secondaire WINS partenaire de
réplication
PADC04 172.50.41.4 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine PARPUZZ
TLDC05 172.50.41.5 Windows NT 4.0 Server Contrôleur secondaire de domaine
pour le domaine TLSPUZZ
NCEBUR01 172.50.41.10 Windows 2000 Server Serveur de fichiers
NCEPRINT01 172.50.41.11 Windows 2000 Server Serveur d’impression
NCEMAIL01 172.50.41.12 Windows 2000 Server Serveur de messagerie
NCEAV01 172.50.41.13 Windows Server 2003 Serveur antivirus
Standard Edition
NCEBDD01 172.50.41.14 Windows 2000 Server Serveur de base de données
NCAPPA 172.50.41.15 Windows Server 2003 Serveur applicatif en cluster
Enterprise Edition
NCEAPPB 172.50.41.16 Windows Server 2003 Serveur applicatif en cluster
Enterprise Edition
Le serveur DHCP du site, NCDC06, distribue des adresses IP comprises dans une
étendue allant de 172.50.44.1 à 172.50.44.254 et de 172.50.45.1 à 172.50.45
.254. Elles sont distribuées aux stations de travail localisées au même endroit.
37
Chapitre 1 Étude de cas
focalise sur la communication entre les sites géographiques. Elle n’est pas la plus
sécurisée qui soit, ni la plus simple à administrer d’ailleurs.
1. Étude de cas
Des coûts importants sont recensés au niveau du centre d’appels de la société. Les
techniciens sont obligés de connaître plusieurs systèmes d’exploitation clients tels que
Windows NT 4.0 Workstation, Windows 2000 Professionnel, Windows XP
Professionnel et maintenant Windows Vista Professionnel, ainsi que diverses
applications, souvent dupliquées quand elles ne sont pas triplées.
38
Le contexte : présentation de la société
1. Étude de cas
d’exploitation clients et serveurs. La mise en service de stations de travail ou de serveurs
se fait manuellement, ce qui touche considérablement la mise en production et le coût
des machines.
Son infrastructure informatique est constituée d’un seul domaine Windows NT 4.0
Server englobant tous les services de la société : 4 serveurs pour 15 stations de travail.
Les mêmes règles d’attribution d’adresses IP, énoncées dans le plan d’adressage IP de
Puzzmania, sont appliquées ici. Les seules exceptions concernent le sous-réseau dans
lequel se trouvent les machines ainsi que la variable X du troisième octet, qui prend ici la
valeur 5.
39
Chapitre 1 Étude de cas
Tableau 1.8 : Sous-réseau affecté au site géographique de Londres pour Smart Com
Site géographique Numéro de sous- Adresse du sous- Adresses IP des Adresse de
1. Étude de cas
Tableau 1.9 : Liste des serveurs d’infrastructure de Smart Com présents sur le site de
Londres
Nom du serveur Adresse IP Système d’exploitation Fonction
SMART−DC01 172.50.51.1 Windows NT 4.0 Server Contrôleur principal de domaine,
serveur primaire DNS, serveur
primaire WINS, serveur DHCP
SMART−DC02 172.50.51.2 Windows NT 4.0 Server Contrôleur secondaire de domaine,
serveur secondaire DNS, serveur
secondaire WINS partenaire de
réplication
SMART−BUR01 172.50.51.10 Windows 2000 Server Serveur de fichiers et serveur
antivirus
SMART−BDD01 172.50.51.11 Windows 2000 Server Serveur de base de données et
serveur applicatif
Le serveur DHCP du site, SMART−DC01, distribue des adresses IP comprises dans une
étendue allant de 172.50.54.1 à 172.50.54.254 et de 172.50.55.1 à 172.50.55
.254. Elles sont distribuées aux stations de travail localisées au même endroit.
Créadesign
Créadesign est une petite société high-tech située à Nice, spécialisée dans l’infographie.
Le but de ce rachat est de renforcer le développement autour de la technique qui fait le
succès de l’entreprise.
La société est constituée d’un domaine unique Active Directory Windows Server 2003
comprenant sept serveurs et cinquante postes.
Les mêmes règles d’attribution d’adresses IP, énoncées dans le plan d’adressage IP de
Puzzmania, sont appliquées ici. Les seules exceptions concernent le sous-réseau dans
lequel se trouvent les machines ainsi que la variable X du troisième octet, qui prend ici la
valeur 7.
40
Le contexte : présentation de la société
Tableau 1.10 : Sous-réseau affecté au site géographique de Londres pour Smart Com
Site géographique Numéro de sous- Adresse du sous- Adresses IP des Adresse de
1. Étude de cas
réseau réseau machines broadcast
Nice 5 172.50.64.0 De 172.50.79.255
172.50.64.1 à
172.50.79.254
Tableau 1.11 : Liste des serveurs d’infrastructure de Créadesign présents sur le site de
Nice
Nom du serveur Adresse IP Système d’exploitation Fonction
crea−dc1 172.50.71.1 Windows Server 2003 Contrôleur de domaine, serveur
Standard Edition primaire DNS, serveur primaire
WINS, serveur DHCP
crea−dc2 172.50.71.2 Windows Server 2003 Contrôleur de domaine, serveur
Standard Edition secondaire DNS, serveur
secondaire WINS partenaire de
réplication
crea−bur1 172.50.71.10 Windows Server 2003 Serveur de fichiers
Standard Edition
crea−av1 172.50.71.11 Windows Server 2003 Serveur antivirus
Standard Edition
crea−bda 172.50.71.12 Windows Server 2003 Serveur applicatif et de base de
Enterprise Edition données en cluster
crea−bdb 172.50.71.13 Windows Server 2003 Serveur applicatif et de base de
Enterprise Edition données en cluster
crea−web1 172.50.71.14 Windows Server 2003 Web Serveur web
Edition
Le serveur DHCP du site, crea−dc1, distribue des adresses IP comprises dans une
étendue allant de 172.50.74.1 à 172.50.74.254 et de 172.50.75.1 à 172.50.75
.254. Elles sont distribuées aux stations de travail localisées au même endroit.
41
Chapitre 1 Étude de cas
Résumé du contexte
Puzzmania est une entreprise de taille moyenne, fonctionnant sous une architecture
Windows NT 4.0 Server, et repartie sur trois sites. Chaque site est autonome dans le
choix de ses machines et de ses logiciels, et dispose approximativement d’une dizaine de
serveurs, allant de Windows NT 4.0 Server à Windows Server 2003 Enterprise Edition,
et d’une centaine de postes utilisateurs, allant de Windows NT 4.0 Workstation à
Windows XP professionnel. Chaque site possède son propre domaine et communique
avec les autres domaines de l’entreprise à l’aide de relations d’approbation
bidirectionnelles, et parfois de comptes dupliqués pour l’administration.
Pour que tous les sites puissent partager l’information, on est obligé de créer des
relations d’approbation dans tous les sens, ce qui a comme conséquence d’augmenter les
risques d’intrusion et de complexifier l’administration (placer les droits sur les serveurs
de fichiers est un vrai casse-tête !).
Windows Server 2003 est le système d’exploitation serveur Microsoft de référence (en
attendant Windows Server 2008, son successeur). Puzzmania compte profiter des
nouveautés apportées par Windows Server 2003 R2 (sorti en 2005), des améliorations
de sécurité, de stabilité et de performances apportées par le Service Pack 2 ainsi que des
fonctionnalités d’anticipation à l’arrivée de Windows Vista dans l’infrastructure réseau
et système, apportées également par le Service Pack 2.
42
Les objectifs
1. Étude de cas
Réduire les coûts
Vaste travail ! La première étape consiste à concevoir une nouvelle infrastructure qui
sera la base d’un travail de fond sur la réduction des coûts.
Une plus grande disponibilité de l’infrastructure, des serveurs et des stations de travail
va participer également à la réduction des coûts. Tout doit être mis en œuvre pour
simplifier l’accès aux données, mettre en place toutes les options et les services qui vont
accroître la productivité de l’utilisateur.
Une autre étape importante porte sur l’industrialisation des installations des stations de
travail et des serveurs, l’uniformité des choix logiciels et l’allégement de la charge de
travail du centre d’appels. En effet, en utilisant tout le potentiel de l’infrastructure
Windows Server 2003, il sera possible d’automatiser l’installation des serveurs et des
stations de travail, et également d’appliquer des stratégies de groupe qui définiront les
droits des utilisateurs (par exemple, les logiciels qu’ils ont le droit d’utiliser).
Dans le contexte de Puzzmania, le but est d’avoir une plateforme matérielle et logicielle
commune à tous les sites. Cela permettra d’être plus réactif lors de la sortie d’une
nouvelle version d’Office par exemple. En outre, la charge de travail du centre d’appels
sera allégée, non seulement parce que les compétences demandées aux techniciens de
support seront plus clairement exprimées, mais aussi parce que l’environnement de
travail de l’utilisateur sera contrôlé.
Il ne faut pas perdre de vue que l’infrastructure informatique doit répondre à une
problématique d’entreprise.
43
Chapitre 1 Étude de cas
Sécuriser l’infrastructure
À l’heure actuelle, il est clair que les infrastructures informatiques doivent être les plus
1. Étude de cas
sécurisées possibles.
44
La mise en œuvre
1. Étude de cas
pour être conséquente, devra s’appliquer sur les points suivants :
j la maîtrise du nombre des serveurs d’infrastructure ;
j la gestion des coûts liés aux stations de travail et aux serveurs ;
j la réorganisation des sites ;
j la stabilité des stations de travail des utilisateurs ;
j la gestion des coûts liés aux utilisateurs ;
j la réduction du nombre coups de téléphone au centre d’appels ;
j la réduction des interventions des techniciens sur les sites.
À partir de cette étude, il sera possible de déterminer le nombre de sites ayant besoin de
serveurs d’infrastructure et les sites qui deviendront des succursales sans serveur
d’infrastructure. La charge des contrôleurs de domaine sera calculée. Le nombre de
serveurs et les configurations de chaque machine au niveau de la puissance et du
stockage en seront déduits.
45
Chapitre 1 Étude de cas
L’entreprise sera réorganisée de la façon suivante : trois sites et une succursale. Chacun
des trois sites possédera des serveurs d’infrastructure du domaine auquel il appartient.
Les serveurs d’infrastructure auront les rôles de service réseau, tels que DNS, WINS,
DHCP, Active Directory et serveur de catalogue global.
46
La mise en œuvre
1. Étude de cas
maîtriser les dépenses dues à l’achat d’espace disque.
L’action d’un utilisateur sur un poste se limitera uniquement aux besoins de son
périmètre. Il sera important de limiter, voire d’empêcher l’installation de logiciels
exotiques (non nécessaires à l’entreprise), qui sont facteurs de réinstallation des postes
et de surplus de coups de téléphone au centre d’appels (help desk).
Pour réduire les coûts liés aux interventions des techniciens sur les sites, on mettra en
place un modèle de poste standard.
47
Chapitre 1 Étude de cas
1. Étude de cas
48
La mise en œuvre
différents sites, de clarifier les rôles des serveurs et d’anticiper le futur : pourquoi pas le
rachat de nouvelles sociétés !
1. Étude de cas
Plan d’adressage IP
Une règle assez similaire à la règle existante chez Puzzmania est mise en place. Elle
permettra de conserver les habitudes prises par les administrateurs. Elle joue sur les
distinctions simplifiées du troisième et du quatrième octet. Le deuxième octet, quant à
lui, change et prend la valeur 100.
Le masque de sous-réseau, quant à lui, sera le même sur tous les sites, c’est-à-dire
255.255.240.0. En fonction du nombre d’adresses IP souhaitées et du nombre de sites
géographiques, il est convenu de découper l’étendue d’adresses IP en 16 sous-réseaux
afin de prévoir l’éventualité d’une future croissance et d’affecter un sous-réseau par site
géographique, à l’exception du site de Nice, qui disposera d’un sous-réseau
supplémentaire afin de sécuriser au mieux le domaine rd.puzzmania.com. Seuls
5 sous-réseaux seront utilisés pour l’instant.
Tableau 1.13 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris,
Toulouse, Londres et Nice R&D
Site Numéro de Adresse du sous- Adresses IP des Adresse de
géographique sous-réseau réseau machines broadcast
Nice 1 172.100.0.0 De 172.100.0.1 à 172.100.15.255
172.100.15.254
Toulouse 2 172.100.16.0 De 172.100.16.1 à 172.100.31.255
172.100.31.254
Paris 3 172.100.32.0 De 172.100.32.1 à 172.100.47.255
172.100.47.254
Londres 4 172.100.48.0 De 172.100.48.1 à 172.100.63.255
172.100.63.254
Nice R&D 5 172.100.64.0 De 172.100.64.1 à 172.100.79.255
172.100.79.254
49
Chapitre 1 Étude de cas
Les valeurs de 1 à 9 sont réservées aux contrôleurs de domaine répartis sur les sites
géographiques.
Plan de nommage
En complément du plan d’adressage IP, comme il est possible de déterminer le site
d’une machine en fonction de son adresse IP, pourquoi ne pas trouver une règle de
nommage qui permettrait d’en déterminer également le rôle et une partie de
l’adresse IP ?
50
La mise en œuvre
1. Étude de cas
Catégorie d’équipements Site géographique Domaine Rôle de l’ordinateur sur
2 caractères
S = serveur NCE = Nice RC = puzzmania Numéro sur 2 caractères
.com
I = imprimante TLS = Toulouse CP = corp DC01 = contrôleur de
.puzzmania.com domaine numéro 1
W = station de travail PAR = Paris RD = rd.puzzmania
.com
T = téléphonie LON = Londres
R = équipement actif
réseau
Ce qu’il faut retenir, c’est qu’il est possible de rapprocher, de cette façon, le nom d’un
ordinateur et son adresse IP. Par exemple, STLSCPBD01, qui est un serveur de base de
données du domaine corp.puzzmania.com situé sur le site de Toulouse, a l’adresse IP
172.100.22.14. On ne peut évidemment pas retrouver l’adresse IP complète par le
nom à cause des deux derniers octets, mais on peut s’en rapprocher.
Voici les noms, les adresses IP et la localisation des contrôleurs de domaine qui
constitueront la forêt puzzmania.com.
51
Chapitre 1 Étude de cas
Pour ce faire, il est nécessaire d’étudier les solutions les moins onéreuses et de regarder
les technologies de sécurité apportées par Windows Server 2003, Windows XP
Professionnel et Windows Vista Professionnel (et les Service Pack 2 de Windows
Server 2003 et Windows XP) pouvant répondre au mieux au plan de sécurité.
52
La mise en œuvre
Ces phases de conception vont permettre d’analyser tous les facteurs qui, s’ils ne sont
pas identifiés, risquent d’augmenter le coût de la sécurité, et de rechercher les
technologies de sécurité qui, si elles ne sont pas employées, feront échouer le projet.
1. Étude de cas
Considérer les exigences légales qui affectent la mise en œuvre de la
sécurité
Pour intégrer les dispositions légales au sein de l’entreprise, il est important de
demander au service juridique de l’entreprise de vérifier le plan de sécurité. Il s’agit
entre autres de réaliser un certain nombre de démarches auprès des organismes
gouvernementaux et des associations qui peuvent être des sources de conseils en
matière de sécurité.
Prenons le cas de la probabilité d’une menace. Si on définit une échelle des probabilités
allant de 1 à 9 – 9 étant la probabilité la plus importante qu’une menace se produise – et
si on définit une échelle du niveau de criticité allant de 1 à 9 – 9 étant la criticité la plus
élevée –, une menace avec une probabilité de 2 et une criticité de 8 sur cette échelle
devra être prise en compte selon certaines considérations.
Maintenir l’interopérabilité
Appliquer une sécurité importante dans l’entreprise ne signifie pas que l’activité doit
s’arrêter. Que l’on ne puisse plus communiquer, échanger des données ou encore piloter
des applications n’est pas forcément le signe d’un réseau sécurisé. Au contraire, il faut
pouvoir garantir les échanges de données en cryptant les informations, en s’assurant de
la compatibilité de certains protocoles avec les autres systèmes, en veillant à l’aspect
fonctionnel de l’infrastructure.
53
Chapitre 1 Étude de cas
Les performances des machines doivent être prises en compte également : en effet,
l’utilisation excessive d’un protocole de cryptage peut empêcher un ordinateur de
communiquer dans un temps imparti.
1. Étude de cas
1.4. En résumé
Nous avons voulu que cette étude de cas soit suffisamment générique et ouverte pour
que chaque administrateur y retrouve les informations dont il a besoin : soit par rapport
à une situation à laquelle il est confronté, soit par rapport à une fonctionnalité
technique. Nous souhaitons que tous les concepts techniques abordés par la suite
trouvent un sens dans une réalité quotidienne et vous permettent d’anticiper les phases
de migration : avec Windows Server 2003 et Windows Server 2008, avec Windows XP et
Windows Vista.
54
Chapitre 2
Windows Server en
2. État des lieux de
l’infrastructure, mais aussi pour fournir une multitude de services (impression, base de
entreprise
données, messagerie, travail en collaboration, supervision, et bien d’autres). Dans les
grandes sociétés, il permet de gérer des milliers de comptes ; dans les petites, il permet
d’avoir un serveur à tout faire pas trop dur à installer et à administrer.
Aussi, quand Microsoft a introduit Windows 2000 et changé la façon de gérer les
comptes et les ressources en sortant Active Directory, l’impact a été très grand pour les
entreprises. De longs projets, parfois complexes, ont vu le jour et certaines entreprises
ont préféré attendre avant de migrer, convaincues de l’inéluctabilité de la migration.
C’est pourquoi, même de nos jours, plusieurs années après la mise à disposition d’Active
Directory, les migrations sont encore courantes dans l’industrie. Windows Server 2003
est arrivé à point, avec son lot de nouveautés, afin de compléter le processus.
Comme Windows Server 2003 s’appuie sur les dix ans d’histoire de Windows NT et des
serveurs Windows qui lui ont succédé, il offre une interopérabilité complète avec les
serveurs Windows 2000 Server et Windows NT Server, à condition que l’on respecte
certaines procédures. C’est pourquoi les entreprises peuvent immédiatement installer
de nouveaux serveurs exécutant Windows Server 2003, même si elles n’ont pas encore
déployé Active Directory. Elles bénéficieront immédiatement des améliorations en
matière d’administration, de fiabilité, de sécurité, de performances et d’intégration des
services web XML par exemple.
57
Chapitre 2 État des lieux de Windows Server en entreprise
entreprise
58
Les différentes versions de Windows Server 2003
Windows Server en
2. État des lieux de
Comparaison des caractéristiques des différentes versions de
entreprise
Windows Server 2003
Le tableau suivant compare les caractéristiques des différentes versions de Windows
Server 2003. Il vous aidera dans le choix des versions à installer en fonction de vos
besoins.
Légende utilisée…
j T : caractéristique totalement prise en charge ;
j P = caractéristique partiellement prise en charge ;
j - = caractéristique non prise en charge.
59
Chapitre 2 État des lieux de Windows Server en entreprise
Système de fichiers T T T P
distribué (DFS)
Système de fichiers T T T T
cryptés (EFS)
Restauration de clichés T T T T
instantanés
Transport de clichés - T T -
instantanés
Stockage amovible T T T T
Stockage à distance - T T -
Service de télécopie T T T -
Service pour Macintosh T T T -
Services pour Unix T T T T
Virtual Disk Service T T T T
(VDS)
Virtual Shadow Copy T T T T
Service (VSS)
Service de gestion
IntelliMirror T T T P
Jeu de stratégie résultant T T T P
(RSoP)
Ligne de commande T T T T
Windows Management
Instruction (WMI)
Installation du système T T T T
d’exploitation à distance
Service d’installation à T T T -
distance (RIS)
Windows System - T T -
Resource Manager
(WSRM)
60
Les différentes versions de Windows Server 2003
Windows Server en
2. État des lieux de
Prise en charge 64 bits T T T -
pour les processeurs
entreprise
Ajout de la mémoire à - T T -
chaud
Accès non uniforme à la - T T -
mémoire (NUMA)
Programme Datacenter - - T -
Services de sécurité
Pare-feu Internet T T - T
Services de certificats, P T T P
infrastructure de clés
publiques et cartes à
puces
Services Terminal Server
Bureau à distance pour T T T T
l’administration
Terminal Server T T T -
Annuaire de session - T T -
Terminal Server
Configuration requise
Même si les configurations minimales ne sont pas vraiment réalistes pour faire tourner
en production un environnement Windows Server 2003, il reste toujours intéressant de
les connaître. Elles sont présentées dans le tableau suivant. Elles peuvent vous être
utiles par exemple en environnement de test ou de lab., sur des machines virtuelles.
61
Chapitre 2 État des lieux de Windows Server en entreprise
62
De Windows NT 4.0 Server à Windows Server 2003, qu’est-ce qui a changé ?
Windows Server en
2. État des lieux de
Gestion des sauvegardes Accessoires/Outils système/Utilitaire de sauvegarde
entreprise
Gestion de serveur Gestion de l’ordinateur/Outils système/Dossiers partagés
Utilisateurs et ordinateurs Active Directory (pour ajouter un ordinateur à
un domaine)
Sites et services Active Directory (pour forcer manuellement la
réplication de l’annuaire entre des contrôleurs de domaine)
Gestion des utilisateurs Gestion de l’ordinateur/Outils système/Utilisateurs et
groupes locaux (pour gérer les comptes locaux sur les serveurs
autonomes dans les groupes de travail)
Stratégie de sécurité locale (pour configurer les restrictions sur les mots
de passe, le verrouillage des comptes, la stratégie d’audit et les droits
des utilisateurs sur les serveurs autonomes dans les groupes de travail)
Gestion des utilisateurs pour le Utilisateurs et ordinateurs Active Directory (pour gérer les comptes de
domaine domaine et pour configurer les restrictions sur les mots de passe, le
verrouillage des comptes, la stratégie d’audit et les droits des
utilisateurs au travers de la stratégie de groupe)
Domaines et approbations (pour gérer les approbations)
Gestionnaire DHCP DHCP
Gestionnaire WINS WINS
Gestionnaire DNS DNS
Moniteur réseau Observateur réseau
Observateur d’événements Observateur d’événements
Outils de migration pour Netware Pas d’équivalence
63
Chapitre 2 État des lieux de Windows Server en entreprise
Dossier et utilitaire version Windows NT 4.0 Server Équivalence sous Windows Server 2003
C:\winnt\profiles (emplacement où les profils C:\documents and settings (sauf en cas de mise
d’utilisateurs locaux sont stockés) à niveau depuis NT, auquel cas l’emplacement originel
est conservé)
L’emplacement par défaut où les applications Dossier Mes documents pour les applications
enregistrent leurs fichiers varie sous Windows NT conformes (sauf en cas de mise à niveau depuis NT,
Windows Server en
2. État des lieux de
Démarrer/Rechercher Démarrer/Rechercher
Démarrer/Aide Démarrer/Aide et support
Démarrer/Programmes/Invite de Démarrer/Invite de commandes
commande
Démarrer/Programmes/Explorateur Démarrer/Explorateur Windows
Windows NT
Démarrer/Paramètres/Active Desktop Clic droit sur le Bureau, Active Desktop
Démarrer/Paramètres/Options des dossiers Panneau de configuration/Options des
dossiers
Accessoires/Accès réseau à distance Panneau de configuration/Connexions
réseau
Accessoires/Telnet Commande Telnet
Le Panneau de configuration
Tableau 2.5 : Panneau de configuration de Windows NT 4.0 et Windows Server 2003
Panneau de configuration sous Équivalence sous Windows Server 2003
Windows NT 4.0
Alim. de secours Options d’alimentation/Onduleur
Cartes SCSI Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
Console Invite de commandes, clic droit sur le menu de contrôle, Par défaut
Internet Options Internet
Modems Options de modems et téléphonie
ODBC Outils d’administration/Sources de données (ODBC)
Paramètres régionaux Options régionales et linguistiques
Périphériques Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
Périphériques de bandes Gestion de l’ordinateur/Outils système/Gestionnaire de
périphériques
64
De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?
Windows Server en
Réseau/Services/Protocoles Connexions réseau/Connexion au réseau local/Propriétés
entreprise
Réseau/Liaisons Tous les
programmes/Accessoires/Communications/Connexions
réseau/Avancé/Paramètres avancés
Serveur Gestion de l’ordinateur/Outils système/Dossiers partagés
Services Outils d’administration/Services
Système/Général Système/Général
Système/Profils utilisateurs Système/Avancé/Profil des utilisateurs/Paramètres
Système/Performances Système/Avancé/Performances/Paramètres
Système/Environnement Système/Avancé/Variable d’environnement
Système/Arrêt/Démarrage Système/Avancé/Démarrage et récupération
Système/Profils matériels Système/Matériel/Profils matériels
Téléphonie Options de modems et téléphonie/Règles de numérotation
65
Chapitre 2 État des lieux de Windows Server en entreprise
Si l’on voulait dresser un récapitulatif par thèmes des nouvelles fonctionnalités et des
entreprise
66
De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?
j Les objets utilisateurs dans les annuaires LDAP, qui emploient la classe
inetOrgPerson définie dans la RFC 2798 (comme ceux développés par Netscape et
Novell), sont désormais utilisables dans Active Directory.
j L’authentification PassPort est maintenant accessible à Internet Information
Services 6.0 et permet aux objets utilisateurs Active Directory d’être mis en
correspondance avec leur identification PassPort (si elle existe).
Windows Server en
2. État des lieux de
j Un nouvel Assistant Configurer votre serveur simplifie la mise en œuvre d’Active
entreprise
Directory et propose des paramètres prédéfinis, tels les rôles qui définissent la
fonction des serveurs.
j Comme vous le verrez lors de l’implémentation des serveurs d’infrastructure, les
zones DNS et les serveurs peuvent être créés et automatiquement configurés lors de
l’installation d’un serveur de la famille Windows Server 2003.
j Au lieu de répliquer une copie complète de la base de données Active Directory via
le réseau, il est possible de créer un réplica à partir des fichiers existants d’un
contrôleur de domaine ou d’un serveur de catalogue global. Les fichiers de
sauvegarde, créés par l’utilitaire de sauvegarde d’Active Directory, sont gravés sur
support CD ou DVD et le réplica peut alors s’effectuer à partir du support (cette
pratique reste intéressante si l’on a un nombre élevé d’utilisateurs et qu’il existe
quelques agences avec des bandes passantes à faible débit).
j Le modèle actuel des niveaux fonctionnels de domaine et de forêt remplace le
modèle Windows 2000 Server précèdent (modes mixte/natif) et fournit une
interopérabilité entre les contrôleurs de domaine Windows NT 4.0, 2000 et 2003.
j Les classes et attributs de schéma qui ne sont plus nécessaires peuvent être
maintenant redéfinis.
j Tout administrateur aura pour souvenir la rétrogradation d’un contrôleur de
domaine qui se passe mal, avec tout ce que cela comporte. Désormais, la commande
dcpromo facilite l’opération.
j La partition applicative autorise un contrôle plus avancé sur la manière dont les
informations de l’annuaire sont répliquées (les informations du DNS y sont
maintenant stockées).
j L’authentification entre forêts permet aux utilisateurs d’une forêt d’accéder aux
ressources présentes dans une autre forêt. La notion d’approbation de royaume fait
aussi son apparition pour les approbations Kerberos.
j Un important travail a été réalisé sur les stratégies de groupe, tant sur les outils que
sur les nouveaux paramètres. Windows Server 2003 inclut plus de 150 nouveaux
paramètres de stratégie, qui permettent de personnaliser et de contrôler le
comportement du système d’exploitation vis-à-vis des groupes d’utilisateurs. Les
nouvelles fonctions couvrent les points présentés dans ce qui suit.
67
Chapitre 2 État des lieux de Windows Server en entreprise
du serveur par défaut ou bien des nouvelles fonctionnalités de gestion. Mais pour
rendre justice à cette nouvelle version du serveur web, il faudrait y consacrer un
entreprise
ouvrage complet. Toutefois, il existe sur le site web de Microsoft, la publication d’un
kit de ressources techniques complet, en libre téléchargement à l’adresse
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/iis/default.mspx.
j Le protocole TCP/IP ne peut plus être supprimé. Mais une nouvelle commande,
netsh, permet, en ligne de commande, de reconfigurer la pile TCP/IP avec ses
valeurs par défaut sans devoir redémarrer le système (cette commande, très
puissante, sera décrite dans la partie réseau de l’ouvrage). Il est désormais inutile de
supprimer la pile du protocole puis de la réinstaller.
j Autodétermination des métriques de routage en fonction de la vitesse de l’interface
réseau de l’ordinateur : le protocole est capable de calculer lui-même la métrique de
chaque route en fonction de la configuration TCP/IP et de la vitesse de l’interface.
j La taille de la fenêtre de réception TCP/IP est déterminée en fonction de
l’adaptateur réseau de la machine. Cette taille de fenêtre conditionne le nombre
maximal d’octets qui peuvent être reçus avant l’envoi d’accusés de réception.
j La pile de protocole IPv6 est prise en charge.
j La procédure pour rejoindre un domaine a été améliorée de sorte qu’il est possible
de détecter un DNS mal configuré.
j Nouveauté de Windows Server 2003 sur le DNS toujours : les zones de stub et la
redirection conditionnelle. Qu’est-ce qu’une zone de stub ? C’est la copie d’une
zone contenant uniquement les enregistrements de ressources nécessaires à
l’authentification des serveurs DNS faisant autorité pour ladite zone. La fonction de
redirection conditionnelle inclut un mécanisme de redirection en fonction du nom
d’hôte.
j Le service DNS permet l’enregistrement d’un journal de débogage. Il enregistre
automatiquement les ressources NS et prend en charge la technique de Round
Robin pour tous les enregistrements RR (Record Ressources).
68
De Windows 2000 Server à Windows Server 2003, qu’est-ce qui a changé ?
j Par défaut, les écrans de veille sont maintenant protégés par mot de passe. Cette
amélioration est simple mais importante en matière de sécurité dans le contexte
d’une salle informatique avec, parfois, des accès plus ou moins restreints.
j Toujours côté sécurité, lors de l’installation de Windows Server 2003, il est demandé
un mot de passe fort pour le compte administrateur par défaut. Cette option est
facultative.
Windows Server en
2. État des lieux de
j La sécurité est renforcée aussi sur le service Telnet. Il est maintenant désactivé au
entreprise
lieu d’être configuré pour un démarrage manuel, comme sous Windows 2000
Server.
j La base de données DHCP peut être sauvegardée alors que le service est en cours
d’exécution.
j Un pare-feu minimal est disponible. Il a été grandement amélioré depuis le Service
Pack 1.
j L’adresse IP et le numéro de port d’une source sont présents automatiquement dans
tous les événements d’audit d’ouverture de sessions.
j Les paramètres du client DNS peuvent être configurés à l’aide des stratégies de
groupe.
j Un serveur de messagerie POP3 fait son apparition. Il peut venir en complément du
composant SMTP du serveur IIS. Cette nouveauté reste mineure dans le sens où la
plupart des entreprises utilisent un serveur de messagerie dédié type Exchange.
En fait, lorsque cela s’avère nécessaire, Microsoft fournit des extensions appelées
Feature Packs. Ces services additionnels sont généralement des composants importants
de Windows Server 2003 et sont donc officiellement pris en charge. L’ensemble des
fonctionnalités commentées ici peut être téléchargé à l’adresse www.microsoft.com
/windowsserver2003/downloads/featurepacks/default.mspx.
Voici la liste des fonctionnalités additionnelles qui sont d’ores et déjà téléchargeables
sur le site de Microsoft…
69
Chapitre 2 État des lieux de Windows Server en entreprise
Il s’agit d’un ensemble d’outils assurant les grandes opérations de gestion du système de
réplication de fichiers FRS. FRS est utilisé dans le cadre de l’accès au volume système
SYSVOL et aussi pour la synchronisation des partages du système de fichiers DFS. Ce
pack contient des outils, comme Ultrasound et Sonar, capables de surveiller le service
DFS, ou encore FRSDiag. Pour plus d’informations sur FRS, rendez-vous à l’adresse
www.microsoft.com/windowsserver2003/technologies/storage/dfs/tshootfrs.mspx.
Identity Integration
Identity Integration Feature Pack for Microsoft Windows Server Active Directory
permet la gestion des identités et coordonne les propriétés des objets utilisateurs entre
l’annuaire Active Directory et les différentes implémentations d’ADAM, de Microsoft
Exchange 2000 Server et d’Exchange Server 2003. Il permet ainsi de voir un utilisateur
donné ou une ressource donnée en une seule vue logique.
ISCSI Support
Ce module permet la prise en charge de l’interface iSCSI en fournissant une solution
économique pour la mise en œuvre de réseaux de stockage IP (sur SAN et NAS).
70
Windows Server 2003 Service Pack 2 et R2
Windows Server en
2. État des lieux de
Windows Rights Management Services (RMS)
entreprise
RMS est un élément clé de la stratégie de sécurité. En effet, il permet de mettre en
œuvre un très haut niveau de protection pour les applications RMS-aware. L’objectif est
de protéger les documents et les données critiques de l’entreprise contre tout accès non
autorisé.
Le produit étant construit sur la base de Windows Server 2003 SP1, les mêmes
applications sont compatibles pour les deux systèmes. Windows Server 2003 R2 apporte
de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut
installer (CD-Rom 2). Ces fonctionnalités ne sont pas présentes dans la version
Windows Server 2003 de base et la plupart ne sont pas disponibles séparément. Les
autres, le sont sous forme de Feature Packs.
71
Chapitre 2 État des lieux de Windows Server en entreprise
Windows Server 2003 SP1 améliore les fonctionnalités faisant partie de Windows
Server 2003. De telles améliorations visent à optimiser le produit et à en augmenter la
Windows Server en
2. État des lieux de
éléments suivants :
j Prise en charge de la fonction "Ne pas exécuter" incluse dans le matériel. Windows
Server 2003 SP1 permet à Windows Server 2003 d’utiliser les fonctionnalités
intégrées dans les processeurs d’Intel et d’AMD afin d’empêcher l’exécution de
code malveillant à partir de zones de la mémoire qui ne sont pas attribuées à du
code. Cette disposition élimine une large part des attaques actuelles.
j Audit de la métabase Internet Information Services (IIS) 6.0. La métabase est un
magasin de stockage XML hiérarchique qui contient les informations de
configuration d’IIS 6.0. L’audit de ce magasin permet aux administrateurs réseau de
voir qui a accédé à la métabase lorsqu’elle a été corrompue.
j Paramètres par défaut plus puissants et réduction des privilèges sur les services. Les
services tels que RPC et DCOM font partie intégrante de Windows Server 2003. De
ce fait, ils constituent une cible attrayante pour les personnes malintentionnées. En
exigeant une authentification plus forte lors de l’appel de ces services, Windows
Server 2003 SP1 relève le niveau de sécurité pour toutes les applications qui utilisent
ces services, même si elles sont elles-mêmes peu ou pas sécurisées.
j Ajout de composants Network Access Quarantine Control. Windows Server 2003 SP1
contient à présent les composants RQS.exe et RQC.exe, qui simplifient le déploiement
de Network Access Quarantine Control (contrôle de la mise en quarantaine pour
l’accès au réseau). Pour plus d’informations sur ce sujet, rendez-vous à l’adresse
www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.
72
Windows Server 2003 Service Pack 2 et R2
Windows Server en
2. État des lieux de
permet d’identifier le serveur TSE (comme on identifie un serveur web en SSL) et
entreprise
d’utiliser TLS comme une méthode de chiffrement pour les communications entre
le client et le serveur.
En plus de reprendre toutes les mises à jour correspondant aux bulletins de sécurité, SP2
installe tous les correctifs diffusés depuis la sortie de Windows Server 2003, ainsi que
certaines fonctions ou améliorations importantes réclamées par les clients.
Il n’est donc pas nécessaire que le SP1 soit installé, pour installer le SP2.
73
Chapitre 2 État des lieux de Windows Server en entreprise
Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack), un pack de
réseau capable de monter en charge et qui aide à faire face à la montée du trafic sans
Windows Server en
2. État des lieux de
surcharger les ressources processeurs. SNP prend en charge des technologies réseau qui
entreprise
Le Scalable Networking Pack (SNP) de Microsoft Windows Server 2003 SP2 permet de
mieux répondre aux besoins des utilisateurs tout en conservant les investissements déjà
réalisés dans l’infrastructure existante. SNP évite d’envisager une remise à plat de la
topologie réseau, de changer les configurations des serveurs ou de passer du temps à
modifier des applications existantes et des services.
SNP donne de la souplesse pour choisir les technologies les mieux appropriées en
fonction des besoins, sans devoir changer de fournisseur de matériel.
74
Windows Server 2003 Service Pack 2 et R2
XmlLite
Windows Server en
2. État des lieux de
La bibliothèque XmlLite permet aux développeurs de bâtir des applications à hautes
entreprise
performances, fondées sur XML, capables d’une large interopérabilité avec d’autres
applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite
sont la facilité d’utilisation, les performances et le respect des standards.
XmlLite fonctionne avec n’importe quel langage Windows qui utilise les bibliothèques
dynamiques. Il est quand même plutôt recommandé d’utiliser C++. La bibliothèque
XmlLite contient tous les fichiers nécessaires pour être utilisée avec C++.
75
Chapitre 2 État des lieux de Windows Server en entreprise
Puisque XmlLite a pour objectif d’améliorer les performances, cette bibliothèque est
particulièrement bien adaptée aux scénarios du second type. XmlLite permet aux
développeurs d’écrire un code efficace et rapide pour lire et écrire des documents XML.
Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans
MSXML ou que SAX2 dans MSXML.
Si vous souhaitez obtenir plus d’informations sur RIS, consultez le chapitre Installer
et Déployer Windows Server 2003. Quant à WDS, nous y reviendrons en détail dans
le chapitre Service de déploiement spécialement dédié à cet outil.
76
Windows Server 2003 Service Pack 2 et R2
Windows Server en
2. État des lieux de
et RIPREP sont prises en charge. Les nouveaux outils d’administration de WDS ne
sont pas utilisés. Les anciens utilitaires RIS sont les seuls moyens pour administrer
entreprise
le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows
Server 2003.
j Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage
OSChooser et Windows PE sont disponibles. Dans ce mode, l’accès aux anciens
types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est
possible d’exploiter le nouveau format WIM via une image d’amorçage
Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre
RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer
les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer
toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS
ne peut fonctionner que sur Windows Server 2003.
77
Chapitre 2 État des lieux de Windows Server en entreprise
entreprise
Ces différents modes permettent une transition en douceur entre les fonctionnalités
RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows
Server 2008.
Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS mais
fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS.
À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et
l’interface à la ligne de commande) pour initialiser le serveur fait passer WDS en mode
mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties
au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande
/forceNative).
MMC 3.0 représente un cadre de travail pour écrire des composants logiciels
enfichables fondés sur .NET et destinés à administrer des applications. Le modèle de
programmation .NET simplifie le développement de ces composants. La réalisation
d’un composant pour MMC 3.0 nécessite beaucoup moins de lignes de code que dans les
versions précédentes. Cela simplifie la maintenance et réduit le risque de bogues.
78
Windows Server 2003 Service Pack 2 et R2
WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que l’équipement
Windows Server en
2. État des lieux de
sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP
entreprise
(Wired Equivalent Privacy) et les autres fonctions de sécurité du standard 802.11
d’origine. La certification WPA2 prend en charge les fonctions de sécurité obligatoires
du standard IEEE 802.11i, supplémentaires par rapport à WPA.
La mise en œuvre de WPA2 dans Windows Server 2003 Service Pack 2 prend en charge
les caractéristiques suivantes du standard WPA2 de l’IEEE :
j WPA2 Enterprise qui utilise l’authentification IEEE 802.1X et WPA2 Personal via
une clé prépartagée (PSK).
j Chiffrement avancé qui utilise le protocole CCMP (CM-CBC-MAC, Counter
Mode-Cipher Block Chaining-Message Authentication Code) afin de renforcer la
confidentialité des données, l’authentification de l’origine des données et l’intégrité
des données pour les transmissions sans fil.
j Utilisation optionnelle du cache de la clé principale (PMK) et mise en cache
opportuniste de la PMK. Dans ce type de cache, les clients et les points d’accès sans
fil mettent en cache les résultats des authentifications 802.1X. Par conséquent,
l’accès s’effectue plus rapidement lorsqu’un client sans fil se reconnecte via un point
d’accès sans fil auprès duquel il s’est authentifié précédemment.
j Utilisation optionnelle de la préauthentification. Lors d’une préauthentification, un
client sans fil WPA2 peut effectuer une authentification 802.1X avec d’autres points
d’accès sans fil à proximité, alors qu’il est toujours connecté à son premier point
d’accès.
79
Chapitre 2 État des lieux de Windows Server en entreprise
Tableau 2.9 : Fonctionnalités déjà existantes mais améliorées par le SP2 de Windows
Server 2003
Modification Description
Authentification par port de pare-feu Une authentification par port sécurise le trafic entre l’environnement
extranet et des ressources internes qui sont protégées par une
isolation de domaine IPSec. L’installation du SP2 active cette
Windows Server en
2. État des lieux de
Amélioration des performances pour Le SP2 améliore les performances de SQL Server 2005 lorsque le
SQL Server serveur est soumis à de fortes charges. L’installation du SP2 active
cette amélioration par défaut.
Options de découverte améliorées dans MSConfig propose désormais un onglet supplémentaire qui constitue
MSConfig un point de lancement unique pour des outils de support qui
faciliteront la découverte de diagnostics. L’installation du SP2 active
cette amélioration par défaut.
Meilleure administration du filtre lPSec Le SP2 réduit l’ensemble des filtres qu’il faut gérer dans un scénario
d’isolation de domaine et de serveur, en faisant passer leur nombre
de plusieurs centaines à 2. Il supprime aussi le besoin d’une
maintenance permanente des filtres due à des modifications de
l’infrastructure. L’installation du SP2 active cette amélioration par
défaut.
Améliorations des performances dans Le SP2 améliore les performances lorsque le taux d’accès APIC
le cadre de la virtualisation de (Advanced Processor lnterrupt Control) est élevé. Windows
Windows Server 2003 fonctionnant comme système d’exploitation
multiprocesseur hébergé dans le cadre d’une virtualisation de
Windows.
Stockage par défaut plus vaste pour la Pour la file d’attente des messages, la limite de stockage par défaut
file d’attente des messages est passée à 1 Go. Il est possible de relever cette limite dans la
console MMC, via l’onglet Général des Propriétés de la file d’attente
des messages.
Améliorations des tests DNS DCDIAG De nouvelles options ont été ajoutées aux tests DNS (Domain
Name Service) Dcdiag.exe. Les nouvelles options sont /x et
/xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles
génèrent des balises XML lorsque les tests sont exécutés avec
l’option /test:dns. Ce nouveau mécanisme de sortie permet
d’analyser plus facilement les fichiers journaux verbeux produits par
les tests DNS.
De nouveaux événements pour les Un nouvel événement a été créé pour couvrir certaines situations
comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limité par la
stratégie appliquée au domaine. Ce nouvel événement porte le
numéro 1239. Son texte descriptif inclut des informations de
dépannage.
80
Windows Server 2003 Service Pack 2 et R2
Windows Server en
2. État des lieux de
− sauvegarde et administration centralisée des services de partage de fichiers et
entreprise
d’impression ;
− haute disponibilité ;
− gestion du hardware à distance.
j Gestion du stockage :
− gestion plus simple des SAN ;
− File Server Migration Toolkit ;
− gestion des ressources de stockage.
Une gestion simplifiée des serveurs dans les agences et les succursales
Windows Server 2003 R2 permet de garantir les performances, la disponibilité et
l’efficacité des serveurs de succursales tout en évitant les difficultés généralement
inhérentes aux solutions serveurs pour les agences et les succursales, telles que les
problèmes de connectivité et les coûts de gestion.
81
Chapitre 2 État des lieux de Windows Server en entreprise
Tableau 2.10 : Avantage de la gestion simplifiée des serveurs dans les agences et les
succursales
Avantage Description
Gestion simplifiée des Extension de la connectivité et la fiabilité aux agences et aux succursales tout en
serveurs dans les contrôlant le coût total de possession des infrastructures informatiques.
agences et les Administration mieux centralisée. Fournit des outils d’administration centralisée
Windows Server en
2. État des lieux de
site. Réseau étendu plus efficace. Accélère la réplication des données sur les
réseaux étendus.
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre ADAM et ADFS.
82
Windows Server 2003 Service Pack 2 et R2
Avantage Description
Meilleure interopérabilité des systèmes hétérogènes. Authentification web unique
entre les plateformes et fédération des identités. Les outils et les spécifications de
l’interopérabilité des services web permettent de gérer et de mettre à jour
dynamiquement les comptes et les mots de passe utilisateurs sur les systèmes
Windows et Unix à l’aide du service NIS (Network Information Service). À cela
Windows Server en
2. État des lieux de
s’ajoute la synchronisation automatique des mots de passe entre les systèmes
d’exploitation Windows et Unix.
entreprise
Des coûts de gestion du stockage réduits
Windows Server 2003 R2 est doté de nouveaux outils qui fournissent une vue centralisée
du stockage. Cette version comprend également des fonctions simplifiées de
planification, de mise en place et de gestion du stockage ainsi que des outils améliorés de
contrôle et de génération de rapports.
83
Chapitre 2 État des lieux de Windows Server en entreprise
Version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi
capables de prendre en charge de nouveaux matériels, de nouveaux modèles de
84
En résumé
Windows Server en
2. État des lieux de
Service Pack, certains Feature Packs, et de nouvelles fonctionnalités additionnelles.
entreprise
Comme une version mise à jour est basée sur la précédente version majeure, les clients
peuvent l’incorporer dans leur environnement de production sans autres tests
supplémentaires que ceux que pourrait nécessiter un simple Service Pack. Toutes les
fonctionnalités additionnelles fournies par une mise à jour sont optionnelles et, de fait,
elles n’affectent pas la compatibilité des applications existantes. Par conséquent, les
clients n’ont pas à certifier ou à tester à nouveau leurs applications.
Service Packs
Les Service Packs incorporent toutes les corrections de type critique et non critique ainsi
que les dernières demandes de correction qui les concernent, émises par les clients. Les
Service Packs sont testés de manière intensive par Microsoft et par les clients et
partenaires participant à un programme de bêta test. Ils peuvent ainsi inclure des
améliorations importantes de la sécurité, comme le Security Configuration Wizard,
inclus dans le Service Pack 1 de Windows Server 2003. Il sera parfois nécessaire de
modifier certains programmes pour prendre en charge les nouveaux standards de
l’industrie ou des fonctionnalités demandées par les clients. Ces changements sont
soigneusement évalués et testés avant d’être finalement inclus dans un Service Pack.
Afin de permettre les extensions et les évolutions d’architecture, Microsoft maintient un
niveau de compatibilité entre les Service Packs en réalisant des tests intensifs sur les
applications et ces différents Service Packs. En règle générale, les problèmes de
compatibilité concernent les applications qui utilisent de manière inappropriée des
appels système, des interfaces internes ou des fonctions spécifiques.
2.5. En résumé
Ce chapitre vous a présenté la fiche signalétique de Windows Server 2003, du Service
Pack 1, du Service Pack 2 et de Windows Server 2003 R2. Maintenant que vous avez
déchiré l’emballage et sorti le CD-Rom du boîtier, il est temps de passer à l’installation
du produit, dans le cadre d’une entreprise, en l’occurrence Puzzmania.
85
Chapitre 3
Windows
Server 2003 Service
Pack 2 et R2
3.1 Les nouveautés du Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
3.2 Les nouveautés du Service Pack 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.3 Qu’apporte Windows Server 2003 R2 ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
3.4 Un nouveau cycle de produits Windows Server . . . . . . . . . . . . . . . . . . . . . . 102
3.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Les nouveautés du Service Pack 1
T out le monde est maintenant habitué à la notion de Service Pack. Personne n’est
plus surpris par la sortie et la mise à disposition d’un Service Pack pour Windows
(quelle que soit la version). L’information est rapidement connue de tous. C’est donc
avec une certaine logique que Microsoft a mis à disposition le Service Pack 1 de
Windows Server 2003 en 2005 puis le Service Pack 2 en 2007. Vous trouverez la liste des
principales améliorations ci-après.
3. Windows Server
car Windows Server 2003 R2 est soumis à licence. Il est à noter cependant que le Service
Pack 2 de Windows Server 2003 fonctionne tout autant pour la version de base que pour
la version Windows Server 2003 R2.
R2
Le produit étant construit sur la base de Windows Server 2003 SP1, les mêmes
applications sont compatibles pour les deux systèmes. Windows Server 2003 R2 apporte
de nombreuses fonctionnalités, sous la forme de composants additionnels que l’on peut
installer (CD-Rom 2). Ces fonctionnalités ne sont pas présentes dans la version
Windows Server 2003 de base et la plupart ne sont pas disponibles séparément. Les
autres, le sont sous forme de Feature Packs.
Windows Server 2003 SP1 améliore les fonctionnalités faisant partie de Windows
Server 2003. De telles améliorations visent à optimiser le produit et à en augmenter la
89
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
De ce fait, ils constituent une cible attrayante pour les personnes malintentionnées.
En exigeant une authentification plus forte lors de l’appel de ces services, Windows
Server 2003 SP1 relève le niveau de sécurité pour toutes les applications qui utilisent
ces services, même si elles sont elles-mêmes peu ou pas sécurisées.
j Ajout de composants Network Access Quarantine Control : Windows Server 2003
SP1 contient à présent les composants RQS.exe et RQC.exe, qui simplifient le
déploiement de Network Access Quarantine Control (contrôle de la mise en
quarantaine pour l’accès au réseau). Pour plus d’informations sur ce sujet,
rendez-vous à l’adresse www.microsoft.com/windowsserver2003/techinfo/overview
/quarantine.mspx.
90
Les nouveautés du Service Pack 2
j Support de TLS dans Terminal Services : c’est la grande nouveauté sur TSE, qui
permet d’identifier le serveur TSE (comme on identifie un serveur web en SSL) et
d’utiliser TLS comme une méthode de chiffrement pour les communications entre
le client et le serveur.
3. Windows Server
Server 2003 et Windows Server 2003 R2.
R2
nouvelles fonctionnalités à Windows Server 2003.
En plus de reprendre toutes les mises à jour correspondant aux bulletins de sécurité, SP2
installe tous les correctifs diffusés depuis la sortie de Windows Server 2003, ainsi que
certaines fonctions ou améliorations importantes réclamées par les clients.
Il n’est donc pas nécessaire que le SP1 soit installé, pour installer le SP2.
91
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
Microsoft Windows Server 2003 SP2 inclut SNP (Scalable Networking Pack, un pack de
réseau capable de monter en charge) qui aide à faire face à la montée du trafic sans
surcharger les ressources processeurs. SNP prend en charge des technologies réseau qui
visent à éliminer les goulets d’étranglement du système d’exploitation associés au
traitement des paquets. Voici les améliorations apportées par ce package…
j TCP Chimney Offload (allégement de la pile TCP) : TCP Chimney Offload
transfère de façon automatique le traitement du trafic TCP (Transmission Control
Protocol) avec état à un adaptateur réseau spécialisé qui met en œuvre un moteur de
déchargement TCP (TOE, TCP Offload Engine). Pour les connexions à longue
durée de vie mettant en œuvre des paquets de grande taille, comme les connexions
2003 Service Pack 2 et
TCP Chimney Offload, vous allégez le processeur qui peut se concentrer à d’autres
tâches comme permettre davantage de sessions utilisateurs ou traiter les requêtes
des applications en réduisant la latence. Cette fonction était auparavant proposée
par certains constructeurs de serveurs, maintenant elle est disponible directement
par Windows.
j Montée en charge en fonction du trafic reçu : cette technique permet de répartir le
trafic entrant (paquets reçus) entre plusieurs processeurs en exploitant de nouvelles
améliorations matérielles des interfaces réseau. Elle peut répartir dynamiquement
la charge du trafic entrant en fonction de la charge du système ou des conditions de
fonctionnement du réseau. Toute application recevant de nombreux paquets et
fonctionnant sur un système multiprocesseur, comme un serveur web ou un serveur
de fichiers, devrait bénéficier de la mise en place de ce dispositif.
j NetDMA : ce composant autorise une gestion plus efficace de la mémoire en
permettant un accès direct à la mémoire (DMA) sur les serveurs équipés de la
technologie idoine comme l’I/OAT (I/O Acceleration Technology) d’Intel.
Le SNP (Scalable Networking Pack) de Microsoft Windows Server 2003 SP2 permet de
mieux répondre aux besoins des utilisateurs tout en conservant les investissements déjà
réalisés dans l’infrastructure existante. SNP évite d’envisager une remise à plat de la
topologie réseau, de changer les configurations des serveurs, ou de passer du temps à
modifier des applications existantes et des services.
SNP donne de la souplesse pour choisir les technologies les mieux appropriées en
fonction des besoins, sans devoir changer de fournisseur de matériel.
92
Les nouveautés du Service Pack 2
La bibliothèque XmlLite
La bibliothèque XmlLite permet aux développeurs de bâtir des applications à hautes
performances, fondées sur XML, capables d’une large interopérabilité avec d’autres
applications qui respectent le standard XML 1.0. Les principaux objectifs de XmlLite
sont la facilité d’utilisation, les performances et le respect des standards.
XmlLite fonctionne avec n’importe quel langage Windows qui utilise les bibliothèques
dynamiques. Il est quand même plutôt recommandé d’utiliser C++. La bibliothèque
XmlLite contient tous les fichiers nécessaires pour être utilisée avec C++.
3. Windows Server
j XmlLite (natif) ;
j MSXML (SAX2) (natif) ;
R2
j System.XML.XmlReader (géré).
93
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
processus. Un autre exemple pourrait être fourni par une application complexe qui
enregistre et relit de gros volumes d’informations. Le développeur contrôle
totalement le format du document XML.
Puisque XmlLite a pour objectif d’améliorer les performances, cette bibliothèque est
particulièrement bien adaptée aux scénarios du second type. XmlLite permet aux
développeurs d’écrire un code efficace et rapide pour lire et écrire des documents XML.
Dans la plupart des cas, XmlLite analyse un document plus rapidement que DOM dans
MSXML ou que SAX2 dans MSXML.
2003 Service Pack 2 et
Deployment Services)
R2
Windows Server 2003 SP2 inclut une version profondément remaniée de RIS (Remote
Installation Services, "services d’installation à distance"), désormais nommée Services de
déploiement Windows ou WDS, qui aide les entreprises à préparer l’arrivée de
Windows Vista et de Windows Server 2008. WDS assure le stockage, l’administration et
le déploiement des images qui utilisent le nouveau format WIM (Windows Imaging).
94
Les nouveautés du Service Pack 2
R2
j Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage,
OSChooser et Windows PE, sont disponibles. Dans ce mode, l’accès aux anciens
types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est
possible d’exploiter le nouveau format WIM via une image d’amorçage
Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre
RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer
les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer
toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS
ne peut fonctionner que sur Windows Server 2003.
95
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
Ces différents modes permettent une transition en douceur entre les fonctionnalités
RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows
Server 2008.
2003 Service Pack 2 et
3. Windows Server
Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS, mais
fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS.
R2
À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et
l’interface à la ligne de commande) pour initialiser le serveur fait passer WDS en mode
mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties
au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande
/forceNative).
MMC 3.0 représente un cadre de travail pour écrire des composants logiciels
enfichables fondés sur .NET et destinés à administrer des applications. Le modèle de
programmation .NET simplifie le développement de ces composants. La réalisation
d’un composant pour MMC 3.0 nécessite beaucoup moins de lignes de code que dans les
versions précédentes. Cela simplifie la maintenance et réduit le risque de bogues.
96
Les nouveautés du Service Pack 2
WPA2 est une certification disponible de la Wi-Fi Alliance qui assure que l’équipement
sans fil est compatible avec le standard IEEE 802.11i. Cette certification remplace WEP
(Wired Equivalent Privacy) et les autres fonctions de sécurité du standard 802.11
d’origine. La certification WPA2 prend en charge les fonctions de sécurité obligatoires
du standard IEEE 802.11i, supplémentaires par rapport à WPA.
R2
j WPA2 Enterprise utilise l’authentification IEEE 802.1X et WPA2 Personal via une
clé prépartagée (PSK).
j Le chiffrement avancé utilise le protocole CCMP (CM-CBC-MAC, Counter Mode –
Cipher Block Chaining – Message Authentication Code) afin de renforcer la
confidentialité des données, l’authentification de l’origine des données et l’intégrité
des données pour les transmissions sans fil.
j Utilisation optionnelle du cache de la clé principale (PMK) et mise en cache
opportuniste de la PMK. Dans ce type de cache, les clients et les points d’accès sans
fil mettent en cache les résultats des authentifications 802.1X. Par conséquent,
l’accès s’effectue plus rapidement lorsqu’un client sans fil se reconnecte via un point
d’accès sans fil auprès duquel il s’est déjà authentifié précédemment.
j Utilisation optionnelle de la pré-authentification. Lors d’une pré-authentification,
un client sans fil WPA2 peut effectuer une authentification 802.1X avec d’autres
points d’accès sans fil à proximité, alors qu’il est toujours connecté à son premier
point d’accès.
97
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
Tableau 3.4 : Fonctionnalités déjà existantes mais améliorées par le SP2 de Windows
Server 2003
Modification Description
Authentification par port de Une authentification par port sécurise le trafic entre
pare-feu l’environnement extranet et des ressources internes qui sont
2003 Service Pack 2 et
pour SQL Server serveur est soumis à de fortes charges. L’installation du SP2
active cette amélioration par défaut.
Options de découverte MSConfig propose désormais un onglet supplémentaire qui
améliorées dans MSConfig constitue un point de lancement unique pour des outils de
support qui faciliteront la découverte de diagnostics. L’installation
du SP2 active cette amélioration par défaut.
Meilleure administration du Le SP2 réduit l’ensemble des filtres qu’il faut gérer dans un
filtre lPSec scénario d’isolation de domaine et de serveur, en faisant passer
leur nombre de plusieurs centaines à deux. Il supprime aussi le
besoin d’une maintenance permanente des filtres due à des
modifications de l’infrastructure. L’installation du SP2 active cette
amélioration par défaut.
Améliorations des Le SP2 améliore les performances lorsque le taux d’accès APIC
performances dans le cadre de (Advanced Processor lnterrupt Control) est élevé. Windows
la virtualisation de Windows Server 2003 fonctionnant comme système d’exploitation
multiprocesseur hébergé dans le cadre d’une virtualisation de
Windows.
Stockage par défaut plus vaste Pour la file d’attente des messages, la limite de stockage par
pour la file d’attente des défaut est passée à 1 Go. Il est possible de relever cette limite
messages dans la console MMC, via l’onglet Général des propriétés de la
file d’attente des messages.
Améliorations des tests DNS De nouvelles options ont été ajoutées aux tests DNS (Domain
DCDIAG Name Service) Dcdiag.exe. Les nouvelles options sont /x et
/xsl:xslfile.xsl ou /xsl:xsltfile.xslt. Elles
génèrent des balises XML lorsque les tests sont exécutés avec
l’option /test:dns. Ce nouveau mécanisme de sortie permet
d’analyser plus facilement les fichiers journaux verbeux produits
par les tests DNS.
De nouveaux événements pour Un nouvel événement a été créé pour couvrir certaines situations
les comptes du service Cluster dans lesquelles le compte du service Cluster devient trop limité
par la stratégie appliquée au domaine. Ce nouvel événement porte
le numéro 1239. Son texte descriptif inclut des informations de
dépannage.
98
Qu’apporte Windows Server 2003 R2 ?
R2
− authentification unique web ;
− interopérabilité avec les offres SSO (Single Sign On) web.
j La gestion du stockage :
− gestion plus simple des SAN ;
− File Server Migration Toolkit ;
− gestion des ressources de stockage.
99
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
inhérentes aux solutions serveur pour les agences et les succursales, telles que les
problèmes de connectivité et les coûts de gestion.
Tableau 3.5 : Avantage de la gestion simplifiée des serveurs dans les agences et les
succursales
Avantage Description
Gestion simplifiée des serveurs Extension de la connectivité et la fiabilité aux agences et aux
dans les agences et les succursales tout en contrôlant le coût total de possession des
succursales infrastructures informatiques. Administration mieux centralisée.
Fournit des outils d’administration centralisée pour les fonctions
2003 Service Pack 2 et
Pour en savoir un peu plus sur ADFS, reportez-vous au chapitre Active Directory
Application Mode et Active Directory Federation Services.
100
Qu’apporte Windows Server 2003 R2 ?
Avantage Description
Plus grande efficacité pour les administrateurs système.
Administration centralisée de l’accès aux applications sur les
extranets, réduction des changements de mots de passe et
délégation possible de la gestion des utilisateurs à des partenaires
de confiance.
Meilleure sécurité. Blocage automatique de l’accès à l’extranet par
le biais de la désactivation du compte Active Directory d’un
utilisateur.
Meilleure mise en conformité. Consignation des accès utilisateurs
aux applications partenaires dans les domaines de sécurité
3. Windows Server
Meilleure interopérabilité des systèmes hétérogènes.
Authentification web unique entre les plateformes et fédération
des identités. Les outils et les spécifications de l’interopérabilité
R2
des services web permettent de gérer et de mettre à jour
dynamiquement les comptes et les mots de passe utilisateurs sur
les systèmes Windows et Unix à l’aide du service NIS (Network
Information Service). À cela s’ajoute la synchronisation
automatique des mots de passe entre les systèmes d’exploitation
Windows et Unix.
101
Chapitre 3 Windows Server 2003 Service Pack 2 et R2
102
En résumé
La version majeure
Les versions majeures de Windows Server incluent un nouveau noyau et sont ainsi
capables de prendre en charge de nouveaux matériels, de nouveaux modèles de
programmation et des évolutions fondamentales dans les domaines de la sécurité et de
la stabilité. Ces changements majeurs peuvent bien entendu générer des
incompatibilités entre le nouveau système et les matériels et logiciels existants.
3. Windows Server
Service Pack, certains Feature Packs, et de nouvelles fonctionnalités additionnelles.
Comme une version mise à jour est basée sur la précédente version majeure, les clients
peuvent l’incorporer dans leur environnement de production sans tests supplémentaires
R2
autres que ceux qu’un simple Service Pack pourrait nécessiter. Toutes les
fonctionnalités additionnelles fournies par une mise à jour sont optionnelles et, de fait,
elles n’affectent pas la compatibilité des applications existantes. Par conséquent, les
clients n’ont pas à certifier ou à tester de nouveau leurs applications.
3.5. En résumé
Ce chapitre vous a présenté la fiche signalétique de Windows Server 2003 Service Pack 1
et 2, et de Windows Server 2003 R2. Maintenant que vous avez déchiré l’emballage et
sorti le CD-Rom du boîtier, il est temps de passer à l’installation du produit, dans le
cadre d’une entreprise, en l’occurrence de Puzzmania.
103
Chapitre 4
L’installation et le
déploiement de
Windows Server 2003
4.1 Considérations sur l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
4.2 Installer Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.3 Résoudre les problèmes d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
4.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Considérations sur l’installation
4. L’installation et le
La qualité et la stabilité du système d’exploitation installé sur votre équipement matériel
déploiement de
serveur en dépendent.
Les prérequis
Windows Server 2003 arrive évidemment avec une liste de préconisations, de
caractéristiques à respecter afin de faire tourner le système d’exploitation dans les
meilleures conditions, notamment en ce qui concerne la puissance de processeur, la
puissance de la mémoire vive (RAM) et l’espace disque minimal.
107
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Configuration requise Windows Server 2003 Windows Server 2003 Windows Server 2003
Web Edition Standard Edition Enterprise Edition
Quantité maximale de 2 Go 4 Go 32 Go pour les
RAM prise en charge serveurs x86
64 Go pour les serveurs
Itanium
Prise en charge des Jusqu’à 2 processeurs Jusqu’à 4 processeurs Jusqu’à 8 processeurs
systèmes
multiprocesseurs
Espace disque pour 1,5 Go 1,5 Go 1,5 Go pour les
l’installation serveurs x86
2 Go pour les serveurs
Itanium
Windows Server 2003
4. L’installation et le
déploiement de
Les problèmes que vous rencontrerez si vous installez le système d’exploitation sur un
équipement non compatible sont souvent aléatoires : par exemple, le système
d’exploitation se fige ou des erreurs de type écran bleu apparaissent. L’origine de ces
événements n’est pas évidente à identifier du premier coup et cette expérience risque de
mettre vos nerfs à rude épreuve. Dans certains cas, l’équipe de support de Microsoft
risque de refuser de vous aider si elle s’aperçoit que le système d’exploitation est installé
sur du matériel non compatible.
Pour toutes ces raisons, même si cela paraît une évidence, ne faites pas l’impasse sur la
vérification de la compatibilité de votre équipement avec le système d’exploitation.
108
Considérations sur l’installation
4. L’installation et le
laquelle vous voulez installer le système d’exploitation. Vous évitez d’importer
déploiement de
d’éventuels problèmes, de mauvais paramètres de configuration ou d’application, dus à
une instance de système d’exploitation existante et que l’on migre. Au contraire, vous
serez obligé, une fois le serveur installé, de procéder à l’installation et à la configuration
complète de la ou les applications associées. C’est la méthode la plus recommandée
pour les serveurs, notamment les serveurs d’infrastructure. Lorsque vous achetez un
nouveau serveur chez votre fournisseur, il est souvent livré sans système d’exploitation
installé, et vous devez passer par une nouvelle installation de Windows Server 2003. Le
service informatique de Puzzmania n’utilise que cette méthode afin d’éliminer le doute
en cas de problèmes durant cette phase.
Cette méthode est détaillée dans la section Installer Windows Server 2003 de ce
chapitre.
La mise à niveau
Dans ce cas, vous utilisez un serveur déjà en production, donc configuré, sur lequel
tourne une version antérieure à Windows Server 2003. Il s’agit de la faire migrer vers le
nouveau système d’exploitation lors d’une opération de maintenance au cours de
laquelle le service sera indisponible.
En utilisant cette méthode, vous n’avez pas à réinstaller les applications de production.
Vous gagnez donc du temps. Par contre, vous devez impérativement vous assurer que les
applications sont compatibles avec le nouveau système d’exploitation avant de
commencer la mise à niveau.
Toutes les versions antérieures de Windows ne sont pas forcément compatibles pour
être mises à niveau vers Windows Server 2003. Le tableau suivant vous en présente un
récapitulatif :
109
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Il est fortement conseillé, en entreprise, de n’utiliser la mise à niveau que lorsque vous
connaissez parfaitement les impacts de l’application de production et que celle-ci n’a pas
un rôle essentiel dans l’infrastructure ou dans la gestion des données vitales. Vous
courez le risque, en cas de problèmes survenant après la mise à niveau, de ne pas pouvoir
déterminer si la source des ennuis vient de la mise à niveau elle-même ou d’ailleurs, et
donc de perdre le temps que vous auriez pu gagner en choisissant d’effectuer cette mise
à niveau.
Le double amorçage
Le double amorçage (également appelé multiboot ou dualboot) est la fonctionnalité qui
permet d’installer, sur un même ordinateur, plusieurs instances (deux dans ce cas-là) de
système d’exploitation (indépendamment des versions) et de choisir de démarrer sur
l’un ou l’autre des systèmes d’exploitation disponibles.
Lorsque vous installez Windows Server 2003 sur un serveur à des fins de production,
pour fournir un service (contrôle du domaine, impression…), votre vœu est évidemment
que ce service soit fourni au mieux et sans temps d’arrêt. Vous n’allez certainement pas
installer un double amorçage Linux ou une version antérieure de Windows.
Par contre, il peut être judicieux de penser au double amorçage à des fins de dépannage,
voire de restauration de fichiers. En effet, en installant deux instances de Windows
110
Installer Windows Server 2003
Server 2003 sur le même serveur, il peut être intéressant d’utiliser une instance pour la
production et une autre en cas de problèmes. Cette dernière permettra d’accéder aux
fichiers si l’instance de production est complètement inutilisable et qu’aucun autre outil
de récupération ne donne de résultats. On peut alors très vite faire basculer les données
sur un autre serveur ou bien installer l’application nécessaire, et recommencer à
travailler au plus vite. La seconde instance peut aussi être très utile s’il faut restaurer des
données en cas de corruption de l’instance de production. En effet, certains logiciels de
sauvegarde et de restauration demandent à ce qu’une autre instance de système
d’exploitation soit installée pour pouvoir restaurer correctement. De plus, des
problèmes référencés par Microsoft dans la base de connaissances ne trouvent de
solution que par l’installation en parallèle d’une autre instance de Windows.
Nous supposons donc que vous allez installer deux instances de Windows Server 2003
sur le même serveur. Vous avez le choix entre deux méthodes d’installation.
j Installation sur la même partition : une fois que la première instance de Windows
4. L’installation et le
Server 2003 est installée (par défaut dans le répertoire C:\Windows), le programme
déploiement de
détecte la seconde instance et vous propose de l’installer dans un répertoire portant
un nom distinct. Il est fortement conseillé de lui donner un nom approprié, par
exemple C:\Winbackup.
j Installation sur une partition différente : une fois que la première instance de
Windows Server 2003 est installée (par défaut dans le répertoire C:\Windows), le
programme détecte la seconde instance et vous propose de l’installer dans un
répertoire portant un nom distinct. Sélectionnez une autre partition (ou créez-la) et
donnez un nom approprié au répertoire d’installation, par exemple D:\Winbackup.
Bien que ce double amorçage avec deux instances de Windows Server 2003 ne soit pas
une nécessité, vous pouvez toujours réfléchir à la possibilité de l’implémenter selon le
niveau critique de l’application et l’espace disque dont vous disposez.
L’installation manuelle
C’est la méthode d’installation la plus courante. Elle démarre lors du boot sur le
CD-Rom d’origine. Si vous avez déjà installé des versions antérieures de Windows, vous
ne serez pas surpris.
111
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Phase 1 : la préinstallation
Cette phase consiste en fait à collecter les renseignements suivants afin de simplifier et
d’accélérer l’installation du serveur…
j Le nom de l’ordinateur : notez le nom de l’ordinateur, respectez la convention de
nommage appliquée dans votre entreprise. Chaque nom doit être unique sur le
réseau.
Windows Server 2003
4. L’installation et le
Vous pouvez bien sûr attribuer un nom pouvant aller jusqu’à 63 caractères, mais
pensez que les versions antérieures à Windows 2000 ne reconnaissent que les
15 premiers caractères. Bien que l’implémentation du service DNS de Microsoft
permette d’employer certains caractères non standards sur Internet (tel le tiret de
soulignement ou underscore), cela pourrait générer des problèmes si des serveurs
DNS non Microsoft sont présents sur votre réseau. C’est pourquoi les
recommandations sont d’utiliser les lettres minuscules (de a à z) et majuscules (de A
à Z), les chiffres de 0 à 9 et le trait d’union.
j Le nom du groupe de travail ou du domaine : notez dans quel domaine vous voulez
installer votre ordinateur ou, si vous êtes en train de bâtir votre nouvelle
infrastructure, vous pouvez l’installer dans un groupe de travail et, une fois
l’installation terminée, lancer la procédure de création de domaine. Dans tous les
cas, vous pouvez installer l’ordinateur dans un groupe de travail et rejoindre le
domaine une fois l’installation terminée.
112
Installer Windows Server 2003
4. L’installation et le
j Adressage IP dynamique : choisissez cette méthode si un ou plusieurs serveurs
déploiement de
DHCP sont présents sur le réseau et que vous souhaitiez qu’ils distribuent des
adresses IP aux serveurs. Selon votre besoin, déterminez que le service fourni par
le serveur ne sera pas touché par le renouvellement d’adresse.
j Adressage IP statique : c’est la méthode la plus utilisée sur des serveurs, souvent
à cause de compatibilités applicatives et surtout pour ne pas que l’adresse IP
puisse expirer et changer. Cela consiste à configurer manuellement les
paramètres IP.
113
Chapitre 4 L’installation et le déploiement de Windows Server 2003
L’étape suivante consiste à sélectionner le disque dur sur lequel vous souhaitez installer
Windows Server 2003 et à créer la partition adéquate, puis à la formater.
Windows Server 2003
4. L’installation et le
déploiement de
Les différences entre FAT et NTFS ne seront pas exposées ici. De nos jours, en
entreprise, seul le système de fichiers NTFS (New Technology File System) est un choix
viable si vous voulez mettre en place un plan de sécurité pour votre infrastructure. Voici
quelques fonctionnalités de NTFS qui le rendent indispensable :
j gestion de la sécurité locale ;
j gestion des volumes de grande taille (jusqu’à 16 To) ;
j prise en charge des technologies de tolérance de pannes (niveaux de RAID) ;
j prise en charge de l’audit du système de fichiers ;
j prise en charge de la compression des fichiers ;
j prise en charge des quotas disque ;
114
Installer Windows Server 2003
Pour le serveur SNCECPDC01, le choix sera donc NTFS. Une fois le choix effectué, la
procédure d’installation se poursuit, formate la partition système, copie les fichiers
nécessaires, puis redémarre le serveur. Débute alors la phase 3 : l’installation en mode
graphique.
4. L’installation et le
Options régionales et linguistiques : ces options vous permettent de modifier
déploiement de
j
l’affichage des nombres, des dates, des monnaies, des heures, et de configurer votre
langue d’entrée et votre méthode de saisie de texte.
j Clé du produit : entrez la clé qui vous a été livrée avec le CD-Rom de Windows
Server 2003.
Programme de licence
Si vous avez acheté le CD-Rom de Windows Server 2003 chez un détaillant ou dans
un magasin spécialisé, vous serez obligé d’activer le produit soit par téléphone, soit
par Internet une fois l’installation terminée. Si vous avez acheté le produit par
l’intermédiaire du programme de licence en volume Open ou Select, aucune
activation ne sera nécessaire. De plus, une même clé pourra servir à toutes les
installations de l’entreprise, ce qui présente un intérêt certain dans le cas d’une
installation automatisée par script.
j Modes de licence : vous avez le choix entre deux modes, à savoir par serveur ou par
périphérique (voir fig. 4.2).
− Le mode de licence par serveur : dans ce mode, chaque serveur accepte un
nombre défini de clients autorisés à se connecter simultanément en fonction du
nombre de licences d’accès client (CAL) configuré. Si le nombre de clients
tentant de se connecter au serveur dépasse le nombre de licences, la connexion
est refusée. Il est possible de faire évoluer le nombre de licences une fois
l’installation terminée, sélectionnez dans le Panneau de configuration le lien
Licences. Ce mode de licence par serveur est conseillé dans les très petites
entreprises maîtrisant leur nombre de connexions simultanées et ayant très peu
de serveurs (un ou deux). C’est également le mode de licence le moins onéreux.
115
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Windows Server 2003
4. L’installation et le
déploiement de
− Le mode de licence par périphérique (ou siège) : dans ce mode, chaque utilisateur
spécifique de l’entreprise est sujet à licence. Les serveurs ne disposent d’aucune
restriction quant au nombre maximal de connexions simultanées. C’est le mode
de licence le plus utilisé car, une fois que vous avez payé pour l’utilisateur, il peut
se connecter à un nombre illimité de serveurs Windows. Notre société
Puzzmania n’utilisera que ce mode pour tout son parc, et c’est donc le mode qui
est choisi lors de l’installation de SNCECPDC01.
116
Installer Windows Server 2003
Figure 4.3 :
Avertissement sur la
faiblesse du mot de passe
du compte local
Administrateur
4. L’installation et le
j Paramètres de gestion du réseau : entrez les paramètres réseau que vous avez
déploiement de
relevés dans la phase de préinstallation (méthode d’adressage IP et incorporation
ou non à un domaine). Dans le cadre de l’installation de SNCECDPDC01, les
renseignements indiqués dans le tableau de la phase de préinstallation seront
utilisés.
L’installation automatique
L’installation manuelle de Windows Server 2003 n’est pas compliquée. Quelques
interactions avec le processus sont nécessaires durant les phases en mode texte et en
mode graphique. Ce n’est pas des plus compliqué, certes, mais le processus est long et,
en raison de ces interactions, monopolise l’attention d’un administrateur.
117
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Cette méthode peut s’appliquer aussi bien à une nouvelle installation qu’à une mise à
niveau, sur des serveurs ou des stations de travail, équipés de matériels physiques
différents.
Pour créer le fichier unattend.txt, vous devez utiliser l’Assistant Gestion d’installation qui
se trouve sur le CD-Rom du SP1 de Windows Server 2003.
1. Insérez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers.
2. Ouvrez le répertoire support\tools et le fichier deploy.cab.
118
Installer Windows Server 2003
3. Sélectionnez tous les fichiers qu’il contient, cliquez du bouton droit de la souris et
choisissez Extraire.
4. Sélectionnez ou créez un répertoire de destination et cliquez sur Extraire.
5. Ouvrez le répertoire de destination et exécutez setupmgr.exe.
Figure 4.4 :
Choix du type
d’installation dans
l’Assistant Gestion
d’installation
4. L’installation et le
déploiement de
6. Sélectionnez le type Installation sans assistance. Vous pouvez également créer un
fichier de réponses pour les installations de type RIS et Sysprep qui seront détaillées
ultérieurement.
7. Sélectionnez la version du système d’exploitation Windows qui sera installée à l’aide
de ce fichier de réponses, puis le type d’interaction que vous souhaitez, ou plutôt le
niveau d’automatisation du fichier de réponses, parmi les différentes propositions
décrites dans la fenêtre suivante :
Figure 4.5 :
Choix du type
d’interaction dans
l’Assistant Gestion
d’installation
119
Chapitre 4 L’installation et le déploiement de Windows Server 2003
S’ouvre alors une interface vous permettant de remplir les différents champs qui
répondent aux interactions de l’installation et personnalisent la vôtre. En voici un
exemple :
Windows Server 2003
4. L’installation et le
déploiement de
Figure 4.6 : Définition des paramètres d’interaction dans l’Assistant Gestion d’installation
Une fois que tous les champs sont remplis, votre fichier unattend.txt est généré dans le
dossier partagé de distribution. Voici ce que nous obtenons pour le serveur
SNCECPDC01 :
;SetupMgrTag
[Data]
AutoPartition=1
MsDosInitiated="0"
UnattendedInstall="Yes"
[Unattended]
UnattendMode=FullUnattended
OemSkipEula=Yes
OemPreinstall=Yes
TargetPath=\WINDOWS
120
Installer Windows Server 2003
[GuiUnattended]
AdminPassword=464993d6cb5eb807f0d412bd764ffe8173ecbccd10d1011b5b10daf955db377d
EncryptedAdminPassword=Yes
OEMSkipRegional=1
TimeZone=105
OemSkipWelcome=1
[UserData]
ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
FullName="PUZZMANIA Service Informatique"
OrgName="PUZZMANIA"
ComputerName=SNCECPDC01
[Display]
BitsPerPel=32
Xresolution=1024
YResolution=768
4. L’installation et le
déploiement de
[LicenseFilePrintData]
AutoMode=PerSeat
[SetupMgr]
DistFolder=C:\windist
DistShare=windist
[Identification]
JoinDomain=PUZZMANIA
DomainAdmin=Administrateur
[Networking]
InstallDefaultComponents=No
[NetAdapters]
Adapter1=params.Adapter1
[params.Adapter1]
INFID=*
[NetClients]
MS_MSClient=params.MS_MSClient
[NetServices]
MS_SERVER=params.MS_SERVER
[NetProtocols]
MS_TCPIP=params.MS_TCPIP
[params.MS_TCPIP]
DNS=Yes
UseDomainNameDevolution=No
EnableLMHosts=Yes
121
Chapitre 4 L’installation et le déploiement de Windows Server 2003
AdapterSections=params.MS_TCPIP.Adapter1
[params.MS_TCPIP.Adapter1]
SpecificTo=Adapter1
DHCP=No
IPAddress=172.100.112.1
SubnetMask=255.255.240.0
DefaultGateway=172.100.111.1
DNSServerSearchOrder=172.100.111.1,172.100.111.2
WINS=Yes
WinsServerList=172.100.111.1,172.100.111.2
NetBIOSOptions=0
Vous pouvez également pousser l’automatisation encore plus loin en créant un fichier
de réponses afin d’automatiser le processus de création de contrôleur de domaine.
9. Créez un fichier de réponses que vous appellerez unattenddcpromo.txt par exemple.
Windows Server 2003
[DCInstall]
AllowAnonymousAccess = No
AutoConfigDNS = Yes
ChildName = corp.puzzmania.com
ConfirmGc = Yes
CreateOrJoin = Join
CriticalReplicationOnly = Yes
DatabasePath = D:\Data
DisableCancelForDnsInstall = Yes
DNSOnNetwork = Yes
DomainNetBiosName = CORP
IsLastDCInDomain = No
LogPath = D:\Logs
NewDomain = Child
NewDomainDNSName = corp.puzzmania.com
ParentDomainDNSName = puzzmania.com
Password = XXXXXXXX
RebootOnSuccess = NoAndNoPromptEither
ReplicaDomainDNSName = puzzmania.com
ReplicaOrNewDomain = Domain
ReplicationSourcePath = %SYSTEMDRIVE%\Source
SafeModeAdminPassword = XXXXXXXX
SiteName = Nice
Syskey = 12345
SysVolPath = %SYSTEMDRIVE%\Sysvol
TreeOrChild = Child
UserDomain = puzzmania.com
UserName = Administrateur
122
Installer Windows Server 2003
Comme vous le savez, certains paramètres sont uniques sur le réseau comme le nom
d’ordinateur. Cela veut dire que le fichier unattend.txt n’est pas réutilisable tel quel sur
tous vos ordinateurs. Vous devez donc créer un fichier .udf en complément du fichier
unattend.txt afin de lister toutes les différences apparaissant d’une installation à l’autre.
Le fichier d’aide deploy.chm inclus dans deploy.cab vous sera précieux quant à la syntaxe
à respecter.
4. L’installation et le
déploiement de
@echo off
rem
rem Ceci est un EXEMPLE de script de commandes généré par
rem l’Assistant Gestion d’installation.
rem Si ce script est déplacé de l’emplacement dans lequel il
rem a été créé, il peut être nécessaire de le modifier.
rem
set AnswerFile=.\unattend.txt
set SetupFiles=\\SNCECPFS01\windist\I386
Cette méthode ne s’applique que dans le cadre d’une nouvelle installation et se fonde
sur la technologie des images disques et/ou celle des fichiers de réponses. Une image
d’un ordinateur de référence (cette image pouvant également contenir des applications)
et/ou une image du CD-Rom de Windows sont prises, puis stockées sur le serveur RIS
qui distribuera l’installation aux clients autorisés. Le processus sera détaillé par la suite.
Cette méthode d’installation peut s’appliquer sur des serveurs ou des stations de travail
123
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Environment). Ils doivent posséder une carte réseau équipée d’une Rom PXE ou
4. L’installation et le
124
Installer Windows Server 2003
Figure 4.7 :
Assistant Installation des
services d’installation à
distance
4. L’installation et le
4. Sélectionnez ensuite l’emplacement où sera créé le dossier d’installation et qui
déploiement de
contiendra les images. Par défaut, le nom de ce dossier est RemoteInstall et il est
partagé sous le nom de REMINST. Il doit impérativement se situer sur une partition
NTFS, qui ne doit être ni la partition système ni la partition d’amorçage. Ce dossier
doit également avoir un espace minimal disponible de 2 Go.
5. Dans la boîte de dialogue suivante, vous avez la possibilité de prendre en charge les
ordinateurs clients. Il est conseillé de décocher toutes les options, en d’autres termes
de ne pas prendre en charge les ordinateurs clients dans l’immédiat. Vous pourrez
valider la prise en charge des ordinateurs clients une fois que votre serveur RIS sera
totalement opérationnel. Cliquez sur Suivant.
6. Spécifiez l’emplacement des fichiers d’installation de Windows à partir du
CD-Rom. Le serveur RIS a besoin d’au moins une image de CD-Rom qu’il sera
possible de déployer. La version du système d’exploitation peut aussi bien être
Windows Server 2003 que Windows XP Professionnel ou Windows 2000
Professionnel.
7. Entrez ensuite un nom de sous-dossier pour stocker les fichiers provenant de ce
CD-Rom. Cliquez sur Suivant et faites une description plus détaillée de l’image du
CD-Rom. Ces informations seront visibles sur l’écran de l’ordinateur qui installera
cette image.
8. Cliquez sur Suivant, vérifiez vos paramètres, puis cliquez sur Terminer. La copie
démarre et l’installation s’achève.
125
Chapitre 4 L’installation et le déploiement de Windows Server 2003
j Trivial File Transfer Protocol (TFTPD daemon) : "service trivial FTP", c’est le service
qui permet aux clients de télécharger les fichiers et de rapatrier le Client Installation
Wizard (CIW) ou "assistant d’installation du client" et toutes les boîtes de dialogue
contenues dans ce dernier.
j Single Instant Store (SIS) : "stockage d’instance simple", c’est le service chargé de
réduire l’espace disque des volumes utilisés par les images d’installation RIS. Ce
service surveille l’apparition de plusieurs versions d’un même fichier sur le volume
et, dans ce cas, crée un lien vers ledit fichier, économisant ainsi de l’espace disque.
Autoriser le serveur
Bien que le serveur RIS ne soit pas un serveur DHCP, vous devez l’autoriser dans la
console DHCP.
1. Ouvrez les Outils d’administration et lancez la console DHCP.
2. Sélectionnez la racine de la console DHCP, cliquez du bouton droit de la souris et
choisissez Gérer les serveurs autorisés.
3. Cliquez sur Autoriser et saisissez le nom ou l’adresse IP du serveur RIS, puis
validez.
126
Installer Windows Server 2003
Figure 4.9 :
Prise en charge des
clients RIS
4. L’installation et le
déploiement de
Vous pouvez également cocher la case Ne pas répondre aux ordinateurs clients inconnus,
mais si vous le faites, vous devez avoir créé au préalable tous les comptes d’ordinateur
client dans Active Directory. Cette technique, dite de prestaging, est plus contraignante,
mais permet, d’une part, de ne pas déléguer à un utilisateur le droit de joindre un
ordinateur au domaine et, d’autre part, d’équilibrer la charge lorsque plusieurs serveurs
RIS sont présents sur le réseau.
127
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Figure 4.10 :
Attribution des noms
d’ordinateur client
Windows Server 2003
4. L’installation et le
déploiement de
128
Installer Windows Server 2003
Pour plus d’informations sur tous les termes relatifs à Active Directory, reportez-vous
au chapitre Introduction à LDAP et Active Directory.
4. L’installation et le
déploiement de
Voyons comment créer ou ajouter des images des deux types au serveur RIS.
Figure 4.11 :
Assistant de création
d’une nouvelle image
129
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Figure 4.12 :
déploiement de
Assistant Préparation
d’une installation à
distance
Quelle stratégie choisir pour utiliser RIS convenablement en entreprise ? Tout dépend
du contexte. Il peut être intéressant de s’en servir pour installer les stations de travail
plutôt que les serveurs, parce que, avec Riprep.exe, vous possédez un outil semblable aux
outils spécialisés du marché qui permet de créer des images à partir d’un ordinateur de
130
Installer Windows Server 2003
4. L’installation et le
déploiement de
Cette méthode est valable uniquement pour de nouvelles installations sur des
équipements matériels identiques. Vous n’avez pas besoin qu’une infrastructure de
domaine soit déployée.
La difficulté rencontrée avec les outils de création d’image disque est qu’il ne faut pas
régénérer les mêmes identificateurs de sécurité (SID) à chaque installation. Pour cela,
vous devez utiliser un programme qui permet de nettoyer les identificateurs de sécurité
(SID) avant le clonage afin de garantir l’unicité de chaque installation sur le réseau.
Vous pouvez vous servir de l’utilitaire fourni avec votre programme de création d’image
disque ou bien utiliser Sysprep.exe (System Preparation) fourni sur le CD-Rom de
Windows Server 2003 SP1. Procédez ainsi :
1. Installez un ordinateur de référence contenant toutes les applications et les
paramètres que vous désirez.
2. Insérez le CD-Rom du SP1 de Windows Server 2003 et explorez les fichiers.
3. Ouvrez le répertoire support\tools et le fichier deploy.cab.
4. Sélectionnez tous les fichiers qu’il contient, cliquez du bouton droit de la souris et
choisissez Extraire.
5. Sélectionnez ou créez un répertoire de destination et cliquez sur Extraire.
6. Ouvrez le répertoire de destination et exécutez Sysprep.exe. Suivez alors les
instructions.
131
Chapitre 4 L’installation et le déploiement de Windows Server 2003
Figure 4.13 :
Outil de préparation du
système 2.0
(Sysprep.exe)
Windows Server 2003
4. L’installation et le
déploiement de
7. Après avoir sélectionné les options que vous désirez, cliquez sur le bouton Resceller.
Sysprep.exe et Riprep.exe
Sysprep.exe et Riprep.exe ont des utilisations bien distinctes. Alors que vous utiliserez
Sysprep.exe en association avec un outil spécialisé de duplication d’image disque,
vous ne pourrez pas vous servir de Riprep.exe, qui nécessite impérativement la mise en
production d’un serveur RIS.
Cette méthode d’installation permet de tirer parti de votre outil tiers de création
d’image disque. Elle est plutôt orientée vers l’installation des stations de travail pour
deux raisons : elle n’est applicable que sur des équipements physiques identiques, et une
image peut contenir des applications. Cette méthode d’installation a l’avantage d’être
très simple à mettre en œuvre, sans nécessiter d’infrastructure de domaine.
132
Résoudre les problèmes d’installation
4. L’installation et le
l’installation en appuyant sur la touche [F6].
déploiement de
Espace disque insuffisant Utilisez le programme d’installation en mode texte afin de recréer
la partition système.
Carte réseau non trouvée Mettez à jour le pilote de la carte ou installez momentanément
durant la phase d’installation une carte réseau virtuelle (carte de bouclage Microsoft) afin de
terminer l’installation, puis lancez des tests physiques afin de
déceler une panne matérielle.
Impossibilité de joindre le Vérifiez les paramètres de la carte ainsi que les paramètres
domaine TCP/IP. Vérifiez que vous pouvez contacter vos contrôleurs de
domaine et que vos serveurs DNS et vos comptes d’ordinateur
sont correctement configurés.
133
Chapitre 4 L’installation et le déploiement de Windows Server 2003
4.4. En résumé
Avec Windows Server 2003, vous pouvez choisir entre différentes méthodes
d’installation et vous avez même la possibilité de mettre en place une structure de
déploiement afin d’opérer des installations en nombre, qu’il s’agisse d’ailleurs de
Windows Server 2003 ou des versions clientes de Windows. Vous devez choisir la
solution qui correspond le mieux à vos attentes en fonction de votre contexte de travail.
vous devez modifier un pilote pour résoudre un problème donné, vous n’aurez qu’à
4. L’installation et le
modifier une seule fois l’image pour que toutes les nouvelles installations prennent en
déploiement de
compte la modification.
134
Chapitre 5
L’installation de
Windows Vista
5.1 Découvrir les différentes versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.2 Valider la configuration matérielle minimale recommandée . . . . . . . . . . . . . . 142
5.3 Effectuer une installation interactive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.4 Migrer vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
5.5 Préparer la mise à jour vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . 167
5.6 Mettre à jour le système d’exploitation vers Windows Vista . . . . . . . . . . . . . . . 181
5.7 Dépanner la mise à niveau vers Windows Vista . . . . . . . . . . . . . . . . . . . . . . 182
5.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Découvrir les différentes versions
Au travers de ce chapitre, vous allez découvrir les différentes versions et les fonctions de
Windows Vista ainsi que son installation standard. Jusque-là rien de bien exceptionnel,
mais maîtriser cette base est nécessaire pour l’utilisation de cet ouvrage. Vous
découvrirez également les mécanismes de l’installation, un peu plus complexe mais
théorique cette fois-ci, de ce nouveau Windows ainsi que les changements apportés par
le format WIM. Pour terminer, vous apprendrez comment personnaliser votre média
d’installation et votre installation pour la rendre totalement automatique,
Voici en quelques lignes ce que vous réserve ce chapitre pour que l’installation de
Windows Vista n’ait plus de secret pour vous !
5. L’installation de
j les utilisateurs à la maison avec Home Basic, Home Premium et Intégrale ;
Windows Vista
j les utilisateurs/administrateurs en petites entreprises avec Business et Intégrale ;
j les utilisateurs/administrateurs en grandes entreprises avec Enterprise et Intégrale.
137
Chapitre 5 L’installation de Windows Vista
138
Découvrir les différentes versions
réseau ne sera pas possible. Pas de changement rapide d’utilisateurs non plus, ni de
démarrage par validation de mot de passe, mais la connexion Internet restera accessible.
Windows Vista Home Basic Edition offre tout de même un environnement d’une
grande sécurité, fiabilité et efficacité. Les utilisateurs pourront tirer parti de nouveaux
outils et de technologies modernes. Ils disposeront notamment d’un explorateur de
recherche très performant, de la Sidebar, des fonctions intégrées de contrôle parental
mais pas d’interface graphique évoluée, pas de Media Center, pas de MovieMaker HD,
pas de mise en réseau (hormis Internet évidemment), pas de cryptage, etc. On reste sur
des besoins simples et quotidiens.
Cette version s’intègre parfaitement sur les PC ou portables à bas prix, à base de
5. L’installation de
processeurs Intel Celeron par exemple.
Windows Vista
Windows Vista Édition Familiale Basique fait office de version de fondation pour les
deux autres versions destinées aux utilisateurs à la maison que sont Vista Édition
Familiale Premium et Vista Intégrale.
Avec cette version, on grimpe d’un cran dans les fonctionnalités. Par exemple, la
nouvelle interface graphique Aero est disponible. Également, Windows Vista Édition
Familiale Premium intègre la recherche à l’ensemble du système d’exploitation : les
utilisateurs sont ainsi en mesure d’organiser aisément d’importantes collections de
documents, d’images, de films, de séquences vidéo et de morceaux de musique, et de
retrouver en un clin d’œil les fichiers recherchés.
Vista Édition Familiale Premium ajoute les fonctions de Media Center. Votre PC se
transforme alors en un centre multimédia pour animer les loisirs numériques de la
famille. Les fonctions de Media Center intégrées permettent d’enregistrer et de
139
Chapitre 5 L’installation de Windows Vista
Cette édition intègre également la possibilité de connecter Windows à une XBox 360 de
façon à profiter de ses loisirs numériques dans toutes les pièces de son domicile.
Cependant, Vista Édition Familiale Premium reste destiné aux utilisateurs à la maison.
Cela veut dire : pas de jonction à un domaine, pas de cryptage de fichiers par exemple.
Vous pouvez constater que cette version intègre les fonctions de Media Center et de
Tablet PC. Pas de versions dissociées. Bien sûr, il vaut mieux que votre portable ait un
écran tactile et un stylet pour tirer parti des fonctions d’encre numérique.
5. L’installation de
Windows Vista
140
Découvrir les différentes versions
Cette édition, spéciale entreprise, intègre en sus des fonctions plus spécifiques dont la
jonction aux domaines, l’administration distante du poste de travail et de cryptage de
données sur disque dur.
5. L’installation de
Windows Vista
disposant d’ordinateurs couverts par un contrat Microsoft Software Assurance ou
Microsoft Enterprise Agreement.
Virtual PC Express est l’un des nombreux outils intégrés qui améliorent la compatibilité
des applications avec les versions antérieures des systèmes d’exploitation de Microsoft.
Virtual PC Express permet d’exécuter une ancienne application sur un ancien système
d’exploitation Windows dans un environnement virtuel créé sous Windows Vista
Entreprise.
Le sous-système pour applications Unix est également présent sous Vista Entreprise et
permet aux utilisateurs d’exécuter des applications Unix directement sur un PC
Windows Vista Entreprise.
141
Chapitre 5 L’installation de Windows Vista
142
Effectuer une installation interactive
Configuration requise
Pour plus d’informations sur la configuration requise de Windows Vista, vous pouvez
consulter le site technique de la base de connaissance Microsoft à l’adresse http://
support.microsoft.com/search/?adv=1 et sélectionner la fiche KB 919183 Configuration
requise de Windows Vista.
5. L’installation de
notamment le lecteur de destination, son nom d’utilisateur et son fuseau horaire.
Windows Vista
L’installation standard de Windows Vista ne déroge pas aux règles de simplicité.
Windows Vista reste très élémentaire à installer puisqu’il vous suffit de démarrer
l’ordinateur avec le DVD d’installation pour que celle-ci se réalise presque seule. Il vous
sera demandé d’entrer le numéro de série et de répondre à trois ou quatre questions :
votre pays, votre nom, un mot de passe, etc.
143
Chapitre 5 L’installation de Windows Vista
Figure 5.2 : Sélection des paramètres régionaux : la langue, les paramètres liaient au
pays ainsi que le clavier
144
Effectuer une installation interactive
5. L’installation de
Windows Vista
Figure 5.3 : Écran de saisie pour le déblocage de la version de Windows Vista
5. Windows Vista ne déroge pas à la règle : dans la fenêtre Veuillez lire le contrat de
licence, lisez et acceptez les termes du contrat de licence. Activez l’option J’accepte
les termes du contrat de licence (indispensable pour continuer). Cliquez sur Suivant.
Si vous ne validez pas cette option, vous serez obligé de mettre fin au programme
d’installation de Windows Vista.
6. Dans la fenêtre Quel type d’installation voulez-vous effectuer ?, deux choix s’offrent
à vous : une Mise à niveau ou une installation Personnalisée (options avancées).
Sélectionnez Personnalisée (option avancée).
145
Chapitre 5 L’installation de Windows Vista
j Le contrôleur de disque n’est pas compatible avec Windows Vista, voire il est
obsolète.
j Les pilotes ne sont pas à jour.
j Le disque dur est un disque converti en dynamique.
j Le disque dur a un problème matériel.
j La partition que vous sélectionnez est en FAT32 ou dans un format incompatible
pour Windows Vista.
Pour répondre à ces problèmes la fiche KB927520 : "Vous ne pouvez pas sélectionner
ou formater une partition de disque dur lorsque vous essayez d’installer Windows
Vista" vous propose huit solutions possibles.
146
Effectuer une installation interactive
5. L’installation de
Windows Vista
Figure 5.4 : Personnalisation de la taille de la partition d’installation
Durée de l’installation
L’installation peut prendre plusieurs dizaines de minutes selon la puissance de votre
machine.
147
Chapitre 5 L’installation de Windows Vista
L’activation et la licence
5. L’installation de
C’est bien connu, l’utilisation de Windows nécessite une licence et, sur ce point,
Windows Vista
Windows Vista ne déroge pas à la règle. Cela veut dire qu’une fois votre système
d’exploitation installé avec un numéro de série, vous disposez d’une période de grâce de
30 jours. Après ce délai, l’utilisation de votre ordinateur deviendra compliquée.
Cependant, il peut arriver que l’on veuille faire des tests et que cette période ne suffise
pas. Pour répondre à cette contrainte, il existe une commande assez peu documentée
qui se nomme SLMGR.
Figure 5.6 :
Recherche
d’informations sur
SLMGR dans l’aide de
Windows Vista
148
Effectuer une installation interactive
Cette commande vous permet de repousser ce délai trois fois. Pour connaître les
extensions liées à cette commande, saisissez SLMGR /? dans une fenêtre en ligne de
commandes.
Figure 5.7 :
Extensions de la
commande SLMGR
5. L’installation de
Windows Vista
Pour savoir combien de temps il vous reste avant la fin de votre période de grâce,
procédez ainsi :
1. Cliquez sur le menu Démarrer/Tous les programmes/Accessoires. Cliquez avec le
bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en
tant qu’administrateur.
2. Dans la fenêtre d’Invite de commandes, saisissez slmgr –dli.
Figure 5.8 :
Informations sur le délai
d’enregistrement
149
Chapitre 5 L’installation de Windows Vista
Dans notre exemple, nous pouvons constater que le délai de grâce est de 20 jours.
3. Redémarrez votre système d’exploitation pour que la commande soit validée. Pour
contrôler, lancer le mode en ligne de commandes en tant qu’administrateur, puis
saisissez la commande slmgr –dli.
Figure 5.10 :
Informations sur le
nouveau délai
d’enregistrement
Il reste 29 jours.
SLMGR
La commande slmgr −rearm ne peut pas être utilisée plus de trois fois. Cela veut dire
que vous pouvez utiliser Windows Vista durant une période totale de 120 jours.
150
Migrer vers Windows Vista
Si vous souhaitez connaître jusqu’où cette grâce vous conduit, tapez la commande
slmgr −xpr.
5. L’installation de
Windows Vista
Windows contenant les applications, les paramètres et les données à déplacer vers un
nouvel ordinateur avec Windows Vista. Les outils de migration de Windows Vista vous
offrent trois possibilités pour la migration des paramètres et des fichiers :
j la connexion réseau (dans le premier cas, les deux ordinateurs doivent être en
mesure de communiquer directement de l’un à l’autre ; dans le second cas, si l’on
utilise un partage réseau, les deux ordinateurs doivent être capables de mapper ce
partage) ;
j un support amovible (par exemple une clé USB ou un disque dur externe) ;
j un CD ou un DVD.
Outre la méthode de transfert, vous avez le choix des outils de migration. L’Assistant
Migration de PC est inclus dans Windows Vista, mais également dans le DVD
d’installation. Il vous permet de faire migrer les paramètres et les fichiers de tous vos
utilisateurs d’un ordinateur vers un nouvel ordinateur.
151
Chapitre 5 L’installation de Windows Vista
Avant de démarrer les étapes entre les deux postes, il est important de vérifier que ces
5. L’installation de
première consiste à contrôler que les ordinateurs sont présents dans le voisinage réseau.
152
Migrer vers Windows Vista
Configuration IP de Windows
5. L’installation de
Windows Vista
Statistiques Ping pour 172.100.16.75:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 156ms, Maximum = 1074ms, Moyenne = 398ms
153
Chapitre 5 L’installation de Windows Vista
Figure 5.13 :
Lancement de l’utilitaire
de transfert depuis
Windows Vista
5. L’installation de
Windows Vista
154
Migrer vers Windows Vista
3. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous pouvez choisir
d’enregistrer votre travail dans chaque programme, puis de les fermer
individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant Migration
de PC afin de fermer simultanément tous les programmes en cours d’exécution.
5. L’installation de
Windows Vista
Figure 5.15 : Fermeture de tous les programmes en cours d’exécution
155
Chapitre 5 L’installation de Windows Vista
7. Pour continuer, vous allez devoir anticiper le fait d’avoir déjà installé l’utilitaire de
transfert sur votre ancien ordinateur. Pour cela, dans la fenêtre Avez-vous installé
Transfert de fichiers et paramètres Windows sur votre ancien ordinateur ?,
sélectionnez Oui, je l’ai installé.
8. C’est à ce stade du paramétrage que vous pouvez sélectionner le mode de transfert,
soit en réseau par un support de type CD ou DVD. Sélectionnez Oui, je vais
transférer des fichiers et paramètres via le réseau.
9. Il va s’agir de sécuriser l’échange entre les deux ordinateurs. Pour cela, vous
disposerez d’une clé commune aux deux ordinateurs. Deux choix s’offrent à vous.
156
Migrer vers Windows Vista
Vous avez la possibilité de cliquer sur Non, j’ai besoin d’une clé. Dans ce cas,
l’utilitaire va générer une clé que vous pourrez fournir à l’ordinateur source.
Seconde possibilité : vous démarrez simultanément le paramétrage de l’ordinateur
cible et demandez par le biais de l’ordinateur source une clé. Dans ce cas,
sélectionnez Oui, je dispose d’une clé.
10. Pour notre exemple, la clé sera demandée par l’ordinateur cible à l’utilitaire.
5. L’installation de
Windows Vista
Sélectionnez Non, j’ai besoin d’une clé. Notez la clé.
Figure 5.20 : L’ordinateur vous donne une clé aléatoire composée de chiffres et de lettres
en majuscules et minuscules
157
Chapitre 5 L’installation de Windows Vista
pour continuer. Si des programmes sont ouverts, vous êtes invité à les fermer. Vous
pouvez choisir d’enregistrer votre travail dans chaque programme, puis de les
fermer individuellement, ou vous pouvez cliquer sur Tout fermer dans l’Assistant
Migration de PC afin de fermer simultanément tous les programmes en cours
d’exécution.
158
Migrer vers Windows Vista
5. L’installation de
Windows Vista
Méthode de transfert
Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par
exemple, les deux ordinateurs doivent être connectés au même réseau.
4. Cliquez sur Utiliser une connexion réseau afin de commencer le transfert. Vous
pouvez également cliquer sur Copier dans et à partir d’un emplacement réseau si
vous souhaitez stocker les fichiers et paramètres dans un fichier afin de le charger
ultérieurement. Si vous choisissez de stocker les données dans un emplacement
réseau, vous serez invité à indiquer le chemin.
159
Chapitre 5 L’installation de Windows Vista
160
Migrer vers Windows Vista
Figure 5.26 : Fenêtre Que voulez-vous transférer sur votre nouvel ordinateur
9. Examinez la liste des fichiers et des paramètres à transférer, puis cliquez sur
Transférer pour lancer le transfert. Malgré le fait d’avoir sélectionné Tous les
comptes d’utilisateurs, fichiers et paramètres (recommandé), vous avez la
possibilité de personnaliser votre sélection. Cela peut vous permettre d’ajouter des
données qui ne se trouvent pas forcément dans les paramètres utilisateurs. Pour
5. L’installation de
cela, cliquez sur Options avancées, puis sur Ajouter des répertoires.
Windows Vista
Figure 5.27 : Sélection des utilisateurs, des paramètres et des fichiers à transférer
10. Entrez un nouveau nom d’utilisateur ou sélectionnez-le sur la liste. Dans cette
fenêtre, vous avez la possibilité de renommer les comptes que vous avez
sélectionnés précédemment et de donner le nouveau nom qu’ils porteront sur
l’ordinateur cible. Cliquez sur Suivant.
161
Chapitre 5 L’installation de Windows Vista
11. Dans le cas où vous posséderiez plusieurs lecteurs logiques ou simplement plusieurs
Windows Vista
disques durs, vous avez la possibilité de transférer les données, les paramètres et les
fichiers sur le lecteur de votre choix. Vous avez même la possibilité de ne posséder
qu’un lecteur, par exemple. Cliquez sur Suivant pour lancer le transfert.
Figure 5.29 : Correspondance des disques de l’ordinateur source vers l’ordinateur cible
162
Migrer vers Windows Vista
Une estimation du temps de copie est réalisée, puis la copie est lancée.
12. Une fois le transfert terminé, un bref résumé s’affiche. Vous avez la possibilité
d’obtenir plus de détails sur l’ensemble des fichiers transférés en cliquant sur
Afficher tous les éléments transférés. Cliquez sur Fermer pour fermer l’utilitaire de
transfert sur le poste source.
Regardons à présent ce qu’il s’est passé sur l’ordinateur cible. Les utilisateurs et les
paramètres ont été transférés. Paul a été renommé en Polo, Julie en Juju et Sylvain reste
Sylvain. Seule remarque pour le moment, les profils avec des droits d’administrateurs au
5. L’installation de
Windows Vista
départ du transfert se retrouvent avec des droits de simples utilisateurs à l’arrivée ; idem
pour les données, elles sont à présent toutes sur le disque C.
163
Chapitre 5 L’installation de Windows Vista
Support
Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par
exemple, ils doivent prendre en charge le même type de support amovible.
4. Cliquez sur Vers un lecteur réseau afin d’enregistrer les fichiers dans un dossier
réseau ou un dossier sur un lecteur amovible.
5. Dans Où souhaitez-vous enregistrer vos fichiers ?, tapez le chemin d’un dossier sur le
lecteur amovible. Cliquez sur Suivant.
6. Cliquez sur Tous les comptes d’utilisateurs, fichiers et paramètres (recommandé)
afin de transférer tous les fichiers et paramètres. Vous pouvez également choisir de
déterminer exactement les fichiers à migrer, en cliquant sur Seulement mon compte
utilisateur, mes fichiers et mes paramètres de programme ou sur Personnalisé.
7. Examinez la liste des fichiers et paramètres à transférer, puis cliquez sur Démarrer
pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou
supprimer des fichiers ou des paramètres.
8. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des
fichiers.
164
Migrer vers Windows Vista
5. L’installation de
pour lancer le transfert. Cliquez sur Personnaliser si vous souhaitez ajouter ou
Windows Vista
supprimer des fichiers ou des paramètres.
16. Cliquez sur Fermer une fois que l’Assistant Migration de PC a terminé la copie des
fichiers.
165
Chapitre 5 L’installation de Windows Vista
Support
Les deux ordinateurs doivent prendre en charge la méthode de transfert choisie. Par
exemple, ils doivent être équipés d’un lecteur de CD ou de DVD.
166
Préparer la mise à jour vers Windows Vista
5. L’installation de
Windows Vista
Cette opération demande de répondre aux prérequis suivants :
j la mise à jour de Windows Vista avec le numéro de série ;
j un disque dur ou un DVD pour la sauvegarde des données ;
j un espace disque libre d’au moins 12 Go pour la mise à niveau.
167
Chapitre 5 L’installation de Windows Vista
Une fois l’analyse du tableau réalisée, il est nécessaire d’effectuer quelques tâches
préliminaires comme évaluer la configuration requise ou encore valider la version vers
laquelle vous souhaitez mettre l’ordinateur à jour. Pour cela, Microsoft propose un outil.
Deuxième étape importante : la sauvegarde des données. C’est seulement après avoir
réalisé les deux étapes préliminaires que vous pourrez passer à l’étape 3 qui consiste à
mettre à niveau un ordinateur possédant déjà un système d’exploitation vers Windows
Vista.
5. L’installation de
Windows Vista
168
Préparer la mise à jour vers Windows Vista
j 1 Go de mémoire ;
j une carte graphique avec pilote WDDM.
5. L’installation de
Windows Vista
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=0856eacb-4362
-4b0d-8edd-aab15c5e04f5
Une fois le Framework téléchargé, il vous faut procéder à l’installation en respectant les
étapes suivantes :
1. Cliquez une première fois sur le fichier téléchargé et, à son ouverture, cliquez sur
Exécuter.
2. Une fois le Framework décompressé, l’assistant d’installation se lance. Dans la
fenêtre Bienvenue dans le programme d’installation de Microsoft .NET
Framework2.0, cliquez sur Suivant.
3. Dans la fenêtre Contrat de Licence Utilisateur Final, acceptez les termes du contrat
de licence en cochant la case J’accepte les termes du contrat de licence et cliquez sur
Installer.
4. L’installation peut prendre quelques minutes. Dans la fenêtre Installation
terminée, cliquez sur Terminer.
169
Chapitre 5 L’installation de Windows Vista
Installer MSXML
Le deuxième prérequis pour l’utilisation de l’outil Upgrade Advisor est MSXML.
Téléchargement de MSXML
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=993c0bcf-3bcf
-4009-be21-27e85e1857b1
Sur le site, cliquez sur le lien Téléchargez le Conseiller de mise à niveau Windows Vista
pour que le téléchargement se lance.
Windows Vista Upgrade Advisor ne fonctionne qu’avec Windows XP. Il n’est pas
possible de le faire fonctionner avec Windows 98 ou Windows 2000. Pour l’installer,
procédez ainsi :
1. Lancez l’exécutable WindowsVistaUpgradeAdvisor. Une fenêtre d’avertissement de
sécurité s’ouvre, cliquez sur Exécuter.
170
Préparer la mise à jour vers Windows Vista
Figure 5.32 :
La fenêtre
d’avertissement de
sécurité de l’installation
du Conseiller de mise à
niveau Windows Vista
5. L’installation de
Windows Vista
3. Dans la fenêtre Contrat de licence, cliquez sur J’accepte pour valider les termes de
licence et cliquez sur Suivant (voir fig. 5.34).
4. Dans la fenêtre Sélection du dossier d’installation, gardez le répertoire par défaut
et cliquez sur Suivant. Si vous souhaitez modifier le chemin d’installation, cliquez
sur Parcourir, sélectionnez le nouveau chemin et cliquez sur Suivant (voir fig. 5.35).
171
Chapitre 5 L’installation de Windows Vista
Figure 5.34 :
Validation du contrat de
licence
Figure 5.35 :
Sélection du dossier
d’installation
5. L’installation de
Windows Vista
172
Préparer la mise à jour vers Windows Vista
Figure 5.36 :
Confirmation de
l’installation
Figure 5.37 :
5. L’installation de
Windows Vista
Fin de l’installation
173
Chapitre 5 L’installation de Windows Vista
À présent, vous allez utiliser le Conseiller de mise à niveau Windows Vista au travers de
plusieurs étapes.
1. Pour lancer le programme, cliquez sur le menu Démarrer/Tous les programmes/
Conseiller de mise à niveau Windows Vista ou cliquez tout simplement sur le
raccourci si vous avez sélectionné l’option durant l’installation.
Figure 5.38 :
Le raccourci du Conseiller de mise à
niveau Windows Vista sur le Bureau
174
Préparer la mise à jour vers Windows Vista
Une fois l’analyse terminée, le programme affiche la version de Windows Vista la mieux
adaptée à votre ordinateur ainsi que trois rapports détaillés.
5. L’installation de
Windows Vista
Figure 5.40 : Le résultat de l’analyse
175
Chapitre 5 L’installation de Windows Vista
176
Préparer la mise à jour vers Windows Vista
5. L’installation de
Windows Vista
177
Chapitre 5 L’installation de Windows Vista
Configuration requise
Les PC qui ne satisfont pas à la configuration matérielle pour le processeur, la
mémoire et la carte vidéo peuvent tout de même exécuter Windows Vista, mais ils
n’en offriront peut-être pas toutes les fonctionnalités et tous les avantages. Par
178
Préparer la mise à jour vers Windows Vista
exemple, les PC avec des cartes graphiques qui ne prennent pas en charge WDDM
offriront simplement un graphisme comparable à celui de Windows XP avec les
bénéfices des fonctionnalités, de la stabilité et des performances ainsi que
l’amélioration de la sécurité.
Pour enregistrer vos données essentielles dans un emplacement sûr, les options
dépendent du système d’exploitation d’origine et des options de sauvegarde dont vous
disposez. La liste suivante présente quelques possibilités de sauvegarde :
j l’utilisation de Windows Backup ou tout autre logiciel de sauvegarde ;
5. L’installation de
j la copie des données importantes dans un point de partage sur le réseau ;
Windows Vista
j la gravure des données sur un CD ou un DVD ;
j la sauvegarde sur un disque dur externe.
179
Chapitre 5 L’installation de Windows Vista
j L’option Me laisser choisir les fichiers à sauvegarder vous laisse le choix des
informations que vous souhaitez sauvegarder.
4. Sélectionnez la quatrième option et cliquez sur Suivant.
5. Sélectionnez dans la fenêtre Éléments à sauvegarder l’ensemble des éléments
que vous souhaitez sauvegarder. Une fois votre sélection réalisée, cliquez sur
Suivant.
6. Donnez un nom et une destination pour les stocker. Dans la fenêtre Type, nom
et destination de la sauvegarde, il est possible de sauvegarder vos données sur
une clé USB, voire sur un disque dur amovible. Nommez la sauvegarde, par
exemple Sauvegarde avant Vista. Cliquez sur Suivant.
7. Pour mettre fin à l’assistant de sauvegarde, cliquez sur Fin.
180
Mettre à jour le système d’exploitation vers Windows Vista
Impératif
Pour pouvoir mettre votre ordinateur à niveau vers Windows Vista, il vous faut plus
de 11 Go d’espace disponible. Autrement, l’option de mise à niveau restera grisée. En
cas de problème d’installation, il se peut que l’ordinateur se fige et que vous deviez
redémarrer l’ordinateur. Dans ce cas, une boîte de dialogue s’ouvre en vous indiquant
que l’installation a été arrêtée de façon inattendue. Or, celle-ci aura consommé de
5. L’installation de
Windows Vista
l’espace disque, et il se peut qu’il ne vous soit plus possible de mettre à niveau la
machine vers Vista à cause d’un manque d’espace disponible et que vous ne puissiez
plus utiliser votre ancienne version de Windows. La parade est de redémarrer depuis
le DVD d’installation en mode de réparation, d’utiliser l’utilitaire en ligne de
commandes et de supprimer les fichiers temporaires de l’installation, puis de répéter
l’étape d’installation.
Pour mettre votre ordinateur à jour vers Windows Vista, suivez ces étapes :
1. Démarrez le programme d’installation de Windows Vista en insérant le DVD, puis
en cliquant sur Installer. Si le programme d’exécution automatique n’ouvre pas la
fenêtre d’installation de Windows, accédez au dossier racine du DVD et
double-cliquez sur setup.exe.
2. Cliquez sur Suivant afin de lancer le processus d’installation.
3. Cliquez sur Rechercher les dernières mises à jour en ligne (recommandé) afin de
rechercher les dernières mises à jour importantes pour Windows Vista. Cette étape
est facultative. Si vous choisissez de ne pas rechercher les mises à jour au cours de
l’installation, cliquez sur Ne pas rechercher les dernières mises à jour.
4. Dans la partie Clé du produit, tapez le numéro de série du produit. Il est composé de
25 caractères alphanumériques. Cliquez sur Suivant pour continuer.
5. Windows Vista ne déroge pas à la règle : lisez et acceptez les termes du contrat de
licence. Sélectionnez J’accepte les termes du contrat de licence (indispensable pour
181
Chapitre 5 L’installation de Windows Vista
Windows), puis cliquez sur Suivant. Si vous ne validez pas cette option, vous serez obligé
de mettre fin au programme d’installation de Windows Vista.
6. Dans la fenêtre Quel type d’installation voulez effectuer ?, cliquez sur Mettre à
niveau pour procéder à la mise à jour de votre installation existante de Windows.
À la fin de la mise à niveau, les partitions, les partages et les paramètres de l’ancienne
version n’ont pas bougé. À présent, il ne vous reste plus qu’à restaurer vos anciennes
données. Pour cela, vous devez lancer l’utilitaire de sauvegarde et choisir l’option
Restauration de données. Suivez les instructions de restauration comme à l’étape
Sauvegarder des données de ce chapitre.
Journaux d’installation
Les fichiers journaux suivants sont créés lorsqu’une mise à niveau réussit :
j C:\Windows\Panther\Setupact.log ;
j C:\Windows\panther\setuperr.log ;
j C:\Windows\inf\setupapi.app.log ;
5. L’installation de
Windows Vista
j C:\Windows\inf\setupapi.dev.log ;
j C:\Windows\panther\PreGatherPnPList.log ;
j C:\Windows\panther\PostApplyPnPList.log ;
j C:\Windows\panther\miglog.xml.
Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau pendant
l’installation et avant que l’ordinateur redémarre pour la seconde fois :
j C:\$Windows.~BT\Sources\panther\setupact.log ;
j C:\$Windows.~BT\Sources\panther\miglog.xml ;
j C:\Windows\setupapi.log.
182
Dépanner la mise à niveau vers Windows Vista
Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau pendant
l’installation et après que l’ordinateur redémarre pour la seconde fois :
j C:\Windows\panther\setupact.log ;
j C:\Windows\panther\miglog.xml ;
j C:\Windows\inf\setupapi.app.log ;
j C:\Windows\inf\setupapi.dev.log ;
j C:\Windows\panther\PreGatherPnPList.log ;
j C:\Windows\panther\PostApplyPnPList.log ;
j C:\Windows\memory.dmp.
Les fichiers journaux suivants sont créés en cas d’échec d’une mise à niveau, lors de la
restauration du bureau :
j C:\$Windows.~BT\Sources\panther\setupact.log ;
j C:\$Windows.~BT\Sources\panther\miglog.xml ;
j C:\$Windows.~BT\sources\panther\setupapi\setupapi.dev.log ;
j C:\$Windows.~BT\sources\panther\setupapi\setupapi.app.log ;
5. L’installation de
Windows Vista
j C:\Windows\memory.dmp.
Lorsque vous tentez d’effectuer une mise à niveau vers Windows Vista, il se peut que
l’option Mettre à niveau située dans la boîte de dialogue Installer Windows ne soit pas
disponible. Pour tenter de résoudre ce problème, Microsoft met à votre disposition un
ensemble de fiches techniques disponibles sur le site de support…
j 927295 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous
essayez d’installer Windows Vista, et vous obtenez le message suivant : "Windows ne
peut pas déterminer si un autre système d’exploitation existe sur l’ordinateur."
j 927296 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous
essayez d’installer Windows Vista, et vous obtenez le message suivant : "Il existe
plusieurs systèmes d’exploitation sur votre partition de mise à niveau."
j 927297 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous
essayez d’installer Windows Vista, et vous obtenez le message suivant : "Vous devez
renommer ou supprimer <NomDossier> pour que la mise à niveau puisse continuer."
j 926069 : vous ne pouvez pas sélectionner l’option de mise à niveau lorsque vous
essayez d’installer Windows Vista, et vous obtenez le message suivant : "La mise à
niveau a été désactivée."
j 927688 : lorsque vous tentez d’installer Windows Vista, l’option de mise à niveau
n’est pas disponible, et un message d’erreur spécifique au matériel installé sur votre
ordinateur s’affiche.
183
Chapitre 5 L’installation de Windows Vista
5.8. En résumé
Vous avez découvert l’installation détaillée de Windows Vista à partir d’un média ou
d’une mise à jour. Vous avez appris à transférer votre profil et vos données à partir de
votre ancien poste Windows XP.
184
Chapitre 6
Le déploiement des
ordinateurs Windows
Vista en entreprise –
phase 1
6.1 Le processus d’installation de Windows Vista . . ... . . . . . . . . . . . . . . . . . . 187
6.2 L’Assistant Gestion d’installation . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 208
6.3 L’architecture de l’Assistant Gestion d’installation .. . . . . . . . . . . . . . . . . . . 208
6.4 L’interface graphique . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 211
6.5 Créer un fichier de réponses . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 212
6.6 Sysprep . . . . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 223
6.7 Windows PE 2.0 . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 233
6.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . 246
Le processus d’installation de Windows Vista
6. Le déploiement des
187
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Vous comprenez tout de suite que vous allez tendre le plus possible vers une installation
et un déploiement le plus automatisé possible car votre temps d’administrateur est
précieux et qu’il est plus utile à des tâches à plus forte valeur ajoutée.
188
Le processus d’installation de Windows Vista
6. Le déploiement des
Copie de l’image système Windows vers le disque.
Préparation des informations d’initialisation.
Traitement des paramètres de fichier de réponses dans l’étape
de configuration OfflineServicing.
Configuration Création des configurations spécifiques, en rendant l’installation
de Windows unique.
Accueil Windows Application des paramètres de fichier de réponses dans l’étape
de configuration OobeSystem.
Application des paramètres de fichier de contenu à partir du
fichier Oobe.xml.
Démarrage de l’Accueil Windows.
189
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
de personnaliser leur installation Windows. Les utilisateurs finaux peuvent créer des
comptes d’utilisateur, lire et accepter les termes du contrat de licence logiciel
Microsoft et choisir leur langue et leur fuseau horaire. Par défaut, toutes les
installations Windows démarrent d’abord en mode personnalisé, avec l’accueil
Windows. C’est le mode classique que vous connaissez.
j Le mode Audit, lui, est utilisé par les fabricants d’ordinateurs et les entreprises afin
d’ajouter des personnalisations à leurs images Windows. Le mode Audit ne
nécessite pas l’application de paramètres dans l’Accueil Windows. En ignorant
l’accueil Windows, vous pouvez accéder plus rapidement au Bureau et apporter vos
personnalisations. Vous pouvez ajouter des pilotes de périphérique
supplémentaires, installer des applications et tester la validité de l’installation.
La personnalisation Oobe.xml
En plus du fichier de réponses de l’installation en mode sans assistance, vous pouvez
utiliser le fichier de contenu Oobe.xml pour configurer ce qu’aperçoit un utilisateur lors
du premier démarrage de Windows. Les paramètres d’un fichier de contenu Oobe.xml
sont appliqués après l’étape de configuration OobeSystem, avant le démarrage de
l’Accueil de Windows.
Oobe.xml est un fichier qui sert à collecter du texte et des images supplémentaires pour
la personnalisation de l’Accueil Windows. Si vous créez une image système Windows
unique comprenant plusieurs langues et pouvant être livrée dans plusieurs pays, vous
pouvez ajouter différents fichiers Oobe.xml afin de personnaliser le contenu en fonction
des sélections de langue et de pays de l’utilisateur final.
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
190
Le processus d’installation de Windows Vista
L’état de l’image système Windows est stocké à deux emplacements, dans le Registre et
dans un fichier.
Figure 6.4 :
Fichier associé à l’état de l’installation
6. Le déploiement des
Le tableau suivant décrit les différentes valeurs existantes que peuvent prendre la clé de
Registre ou le champ de fichier associé à l’état de l’installation :
191
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Si vous souhaitez contrôler par la suite une installation de Windows Vista, vous pouvez
utiliser ces deux procédés…
j Cliquez sur le logo Windows de démarrage, tapez cmd et validez pour ouvrir l’Invite
de commandes, puis tapez la ligne reg query HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Setup\State /v ImageState.
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
j Cliquez sur le logo Windows de démarrage, tapez cmd et validez pour ouvrir l’Invite
de commandes, puis tapez type %windir%\Setup\State\State.ini.
192
Le processus d’installation de Windows Vista
en entreprise – phase 1
6. Le déploiement des
Windows
Le programme d’installation Windows propose des méthodes d’installation interactive
ou sans assistance. Le programme d’installation propose également la commande setup
.exe qui permet de lancer l’installation.
193
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
SETUP
Configure et exécute une installation de Windows Vista.
194
Le processus d’installation de Windows Vista
[/emsport:
{com1 | com2 |
usebiossettings
| off}
[/emsbaudrate:
DébitEnBauds]] Active ou désactive les services de gestion d’urgence (EMS,
Emergency Management Services) pendant l’installation de Windows
et une fois le système d’exploitation serveur installé. Les arguments
suivants servent à spécifier le comportement des services de gestion
d’urgence au cours de l’installation de Windows : com1 autorise les
services de gestion d’urgence via COM1. Pris en charge pour les
systèmes x86 uniquement. com2 autorise les services de gestion
d’urgence via COM2. Pris en charge pour les systèmes x86
uniquement. usebiossettings utilise les paramètres spécifiés
dans le BIOS. Pour les systèmes x86, la valeur du tableau SPCR
(Serial Port Console Redirection) est utilisée. Pour les systèmes
fondés sur Itanium, l’interface EFI (Extensible Firmware Interface)
est utilisée. Si aucun tableau SPCR ou chemin de périphérique de
console d’interface EFI n’est spécifié dans le BIOS,
usebiossettings est désactivé. off (désactivé) désactive les
services EMS. Si vous désactivez les services EMS dans l’installation
de Windows, vous pouvez les activer ultérieurement en modifiant les
paramètres de démarrage. [/emsbaudrate:DébitEnBauds]
spécifie le débit en bauds à utiliser lors du transfert de données au
en entreprise – phase 1
6. Le déploiement des
bauds peut aussi posséder la valeur 115200 ou 57600. Par
exemple : setup.exe /emsport:COM1 /emsbaudrate:
115200.
[/m:nom
_dossier] Spécifie au programme d’installation de copier des fichiers de
remplacement à partir d’un autre emplacement. Cette option
demande au programme d’installation de rechercher d’abord des
fichiers dans l’autre emplacement et, si des fichiers sont présents, de
les utiliser à la place des fichiers qui se trouvent à l’emplacement par
défaut. nom_dossier nom et emplacement du dossier contenant
les fichiers de remplacement. nom_dossier peut correspondre à
n’importe quel emplacement de lecteur local. Les chemins UNC ne
sont pas pris en charge. Vous devez savoir où les fichiers seront
installés dans l’installation de Windows. Tous les fichiers
supplémentaires doivent être copiés vers un dossier $OEM$ dans
votre source d’installation ou dans nom_dossier. La structure
$OEM$ fournit une représentation du disque d’installation de
destination. Par exemple : $OEM$\$1 effectue un mappage vers
195
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
196
Le processus d’installation de Windows Vista
[/usbdebug:
nomhôte] Définit le débogage sur un port USB. Les données de débogage
entrent en vigueur lors du redémarrage suivant. nomhôte est le nom
de l’ordinateur à déboguer. Par exemple : setup.exe
/usbdebug:CVI−DK−01.
Utilisez Setup.exe pour configurer votre propre méthode d’installation ou pour créer un
script d’installation.
Cette méthode est utile pour un déploiement à petite échelle ou une installation sur un
seul ordinateur. Parce qu’elle utilise l’image par défaut fournie sur le média DVD de
Windows Vista, l’installation de Windows ne nécessite aucune tâche de préparation,
telle que la création de fichiers de réponses ou la capture d’images Windows. La
méthode interactive d’installation de Windows peut être utilisée en conjonction avec la
création et la capture d’images Windows personnalisées.
en entreprise – phase 1
6. Le déploiement des
lecteur de destination, son nom d’utilisateur et son fuseau horaire.
197
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Ces actions s’exécutent lorsque vous exécutez pour la première fois WindowsPE ou
Setup.exe. Vous devez utiliser le fichier avec le nom Autounattend.xml lorsque vous
êtes dans le scénario où vous souhaitez automatiser l’installation de Windows Vista à
partir du DVD Vista tout en rajoutant le fichier de réponses stocké sur une clé USB.
198
Le processus d’installation de Windows Vista
6. Le déploiement des
Si vous avez intégré des données sensibles dans les fichiers de réponses, le programme
d’installation les supprime à la fin de l’étape de configuration en cours.
199
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Vous pouvez, par exemple, installer Windows avec un fichier de réponses qui contient
les commandes RunSynchronous dans l’étape Specialize. Au cours de l’installation, la
passe Specialize s’exécute et les commandes RunSynchronous s’exécutent. Après
l’installation, exécutez la commande sysprep /generalize. S’il n’existe aucun fichier
de réponses avec une priorité plus élevée que celle du fichier de réponses mis en cache,
le programme d’installation exécute la passe Specialize lors du prochain démarrage de
l’ordinateur. Puisque le fichier de réponses mis en cache contient une marque selon
laquelle les paramètres de cette passe ont déjà été appliqués, les commandes
RunSynchronous ne s’exécutent pas.
Premier scénario : vous décidez d’utiliser le média DVD de Windows Vista pour faire
l’installation et d’utiliser un seul fichier de réponses pour automatiser les derniers
renseignements afin que vous n’ayez pas du tout à intervenir sur cette installation.
1. Créez un fichier de réponses nommé Autounattend.xml qui comprend des
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
Le fichier de réponses est placé en mémoire cache sur l’ordinateur. Si aucun autre
fichier de réponses n’est identifié par les passes de configuration ultérieures, le fichier
de réponses placé en mémoire cache est utilisé tout au long de l’installation de Windows.
Second scénario : sur la base du premier scénario, vous allez utiliser plusieurs fichiers de
réponses.
200
Le processus d’installation de Windows Vista
en entreprise – phase 1
6. Le déploiement des
Unattend.xml n’est pas pris en compte, car il ne contient pas de paramètre valide pour
l’étape de configuration Generalize.
Les passes de configuration sont des phases d’installation de Windows qui servent à
appliquer des paramètres dans un fichier de réponses d’installation en mode sans
assistance.
201
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Le tableau suivant décrit les différentes passes de configuration dans l’ordre dans
lesquelles elles se déroulent du lancement de l’installation jusqu’à ce que le système
d’exploitation soit opérationnel :
/generalize.
en entreprise – phase 1
6. Le déploiement des
AuditSystem Traite des paramètres d’installation en mode sans assistance pendant que
Windows s’exécute dans un contexte de système, avant qu’un utilisateur se
connecte à l’ordinateur en mode Audit. L’étape AuditSystem s’exécute
uniquement si vous démarrez en mode Audit.
AuditUser Traite des paramètres d’installation en mode sans assistance après la
connexion d’un utilisateur à l’ordinateur en mode Audit. L’étape AuditUser
s’exécute uniquement si vous démarrez en mode Audit.
OobeSystem Applique des paramètres à Windows avant le démarrage de l’Accueil de
Windows.
202
Le processus d’installation de Windows Vista
Il faut maintenant détailler une par une les différentes passes afin de comprendre toutes
les actions qui se déroulent lors d’une installation.
La passe WindowsPE
6. Le déploiement des
La passe de configuration WindowsPE sert à configurer des paramètres spécifiques à
Windows PE, ainsi que des paramètres qui s’appliquent à l’installation.
La passe OfflineServicing
La passe de configuration OfflineServicing sert à appliquer des paramètres d’installation
sans assistance à une image système Windows qui n’est pas utilisée dans un processus
d’installation. Au cours de cette passe de configuration, vous pouvez ajouter des packs
203
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
de langues, des mises à jour Windows, des Service Packs ou même des applications
(packages) à l’image système hors connexion. La passe OfflineServicing est utile pour
optimiser la durée de vie de l’image : admettons que vous ayez créé une image puis,
quelques mois plus tard un nouvel équipement, nouveau type d’ordinateur fait son
apparition dans votre entreprise avec un nouveau pilote Vista associé, vous avez la
possibilité d’ajouter à froid le pilote à l’image créée précédemment sans avoir à refaire
l’image.
La passe Generalize
L’étape Generalize de l’installation de Windows sert à créer une image système de
référence Windows qui peut être utilisée à travers l’organisation. Un paramètre de
l’étape Generalize vous permet d’automatiser le comportement pour tous les
déploiements de cette image de référence. En comparaison, un paramètre associé à
l’étape de configuration Specialize vous permet de remplacer le comportement d’un
déploiement unique et spécifique.
La passe Specialize
Des informations spécifiques aux machines associées à l’image sont appliquées lors de
l’étape de configuration Specialize du programme d’installation Windows. Vous pouvez
par exemple configurer les paramètres réseau, les paramètres internationaux et les
informations relatives aux domaines.
204
Le processus d’installation de Windows Vista
Lors de la passe de configuration Specialize, vous pouvez par exemple spécifier diverses
pages d’accueil associées dans Internet Explorer aux différents services ou
départements de l’entreprise. Ce paramètre remplace alors la page d’accueil par défaut
appliquée lors de la passe de configuration Generalize.
La passe AuditSystem
La passe AuditSystem, qui est facultative, traite des paramètres d’installation en mode
sans assistance dans le contexte d’un système en mode Audit. La passe AuditSystem
s’exécute immédiatement avant la passe AuditUser.
Le mode Audit vous permet d’installer des pilotes de périphérique supplémentaires, des
applications et d’autres mises à jour. Lors du démarrage de Windows en mode Audit, les
paramètres d’installation de Windows en mode sans assistance AuditSystem et AuditUser
sont traités.
En utilisant le mode Audit, vous pouvez gérer moins d’images système Windows car
vous pouvez créer une image de référence avec un ensemble minimal de pilotes. L’image
peut être mise à jour à l’aide de pilotes supplémentaires au cours du mode Audit. Vous
pouvez ensuite tester et résoudre tout problème associé à un dysfonctionnement ou à
6. Le déploiement des
une installation incorrecte de pilotes sur l’image système Windows.
La passe AuditUser
La passe de configuration AuditUser, qui est facultative, traite les paramètres
d’installation sans assistance dans le contexte utilisateur en mode d’audit. Elle est
exécutée après l’étape de configuration AuditSystem.
En règle générale, AuditUser est utilisé pour exécuter des commandes RunSynchronous
ou RunAsynchronous. Ces commandes permettent d’exécuter des scripts, des
applications ou autres exécutables en mode d’audit.
205
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
pouvez intégrer d’autres pilotes à l’image en mode d’audit. Vous pouvez alors identifier
et résoudre tout problème relatif à des périphériques qui ne fonctionnent pas
correctement ou dont l’installation est incorrecte dans l’image Windows.
La passe OobeSystem
Enfin, la passe de configuration OobeSystem configure des paramètres appliqués au
cours de l’expérience du premier démarrage pour l’utilisateur final, également appelé
Accueil Windows. Les paramètres OobeSystem sont traités avant la première ouverture
de session d’un utilisateur sous Windows Vista.
Vous pouvez configurer Windows pour qu’il démarre à partir de l’Accueil Windows en
exécutant la commande sysprep /oobe. Par défaut, après l’exécution de l’installation
de Windows, l’Accueil Windows démarre.
206
Le processus d’installation de Windows Vista
Windows.old. Vous pouvez accéder à vos données dans le dossier Windows.old une
fois l’installation de Windows terminée.
j Vérifiez toujours les logs. Si vous avez rencontré des problèmes au cours de
l’installation de Windows, analysez les fichiers journaux dans %WINDIR%\panther
et les emplacements adéquats.
en entreprise – phase 1
6. Le déploiement des
− Le nombre de disques, la structure de partition et l’emplacement du bus doivent
être identiques sur les ordinateurs de référence et de destination.
− La partition et la lettre de lecteur sur lesquels l’image système de référence
Windows est installée doivent correspondre exactement à la partition et à la
lettre de lecteur reconnues par l’image système Windows déployée.
− Les types de partition (principale, étendue ou logique) doivent correspondre.
La partition active sur l’ordinateur de référence doit correspondre à
l’ordinateur de destination.
Il est primordial de bien comprendre les différentes installations, les modes et, surtout,
la manière dont se déroule une installation de Windows Vista. La notion de passes est
fondamentale afin de mieux comprendre les outils qui sont décrits dans les chapitres
suivants. L’illustration suivante vous montre une vue d’ensemble des passes de
configuration d’une installation :
207
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Figure 6.8 : Vue d’ensemble des passes de configuration de l’installation de Windows Vista
Il existe deux grandes méthodes de déploiement, la première par image, la seconde par
script. Windows Vista combine les deux méthodes, c’est-à-dire des images pour booter
et installer le système d’exploitation et des fichiers réponses pour personnaliser
l’installation. Puisque nous avons parcouru le déploiement par images avec Windows
Deployment Service, abordons maintenant l’outil de gestion de fichier Unattend.xml.
Pour créer les fichiers Unattend.xml, le resource kit de déploiement livre un outil en
interface graphique. Il s’agit de l’Assistant Gestion d’installation. L’ajout d’un fichier de
réponses à une image permet de descendre cette image dans un certain contexte avec
comme exemple la taille des partitions, les pilotes qui doivent être utilisés, etc. Ce fichier
sera lu par le Win PE pour être appliqué ensuite à votre image WIM.
208
L’architecture de l’Assistant Gestion d’installation
copié sur un support amovible pour constituer une version mobile des dossiers partagés
et facultatifs de la distribution.
6. Le déploiement des
L’Assistant Gestion d’installation utilise l’API CPI (Component Platform Interface) pour
créer un fichier de réponses sans assistance. Cet assistant se sert au départ de l’API CPI
pour monter une image système Windows. Les composants et les paramètres contenus
dans une image système Windows particulière sont utilisés pour créer un fichier
catalogue. Le fichier catalogue est ensuite exploité dans l’Assistant Gestion
d’installation pour créer des fichiers de réponses.
Il vous est également possible d’utiliser l’API CPI pour créer vos propres applications
personnalisées qui peuvent automatiser la création et la gestion de fichiers de réponses
d’installation de Windows sans assistance.
209
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
210
L’interface graphique
Terme Définition
Paramètre Réglage de configuration d’un programme ou d’un système
d’exploitation.
Commande synchrone Permet d’exécuter une application ou tout autre fichier exécutable durant
l’installation de Windows. Vous pouvez indiquer l’étape de configuration
dans laquelle vous voulez que la commande s’exécute.
Valider le fichier de réponses Les paramètres doivent en premier lieu être validés pour que l’Assistant
Gestion d’installation puisse enregistrer un fichier de réponses. Lorsqu’un
fichier de réponses est correctement validé, toutes les valeurs des
paramètres de ce fichier sont applicables à l’image système Windows.
Fonctionnalité Windows Fonctionnalité facultative de Windows pouvant être activée ou désactivée.
Fichier image système Un seul fichier compressé contenant une collection de fichiers et de
Windows (.wim) dossiers qui duplique une installation de Windows sur un volume de
disque.
6. Le déploiement des
211
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
La partie Image Windows est la partie la plus importante de l’outil puisqu’elle comprend
un certain nombre de packages qui vous permettront de personnaliser votre installation
en ajoutant ou en supprimant des composants comme les jeux ou la personnalisation du
DNS. Tous les composants seront listés et modifiés à partir de cette fenêtre.
212
Créer un fichier de réponses
Figure 6.11 :
Sélection de la version de
Windows Vista à
personnaliser
3. Dans la fenêtre Fichier de réponses, cliquez avec le bouton droit de la souris, puis
sélectionnez Créer ou ouvrir un fichier de réponses.
6. Le déploiement des
Ces sections correspondent à une partie de l’installation de Windows Vista. Cette partie
permet de vous aiguiller au cours de la réalisation de votre fichier image. Cliquez avec le
bouton droit de la souris sur vos packages pour voir à quelle partie ils peuvent
appartenir. Par exemple, vous n’allez pas pouvoir créer une partition en fin
d’installation.
4. Pour personnaliser l’installation, cliquez avec le bouton droit de la souris sur les
packages afin de voir à quelle section ils peuvent appartenir.
5. Une fois les packages sélectionnés, personnalisez-les en donnant des paramètres
comme le nom de domaine, le compte utilisateur, un mot de passe ou encore la taille
d’une partition, bref, tout ce qui caractérise un système d’exploitation de bout en
bout.
6. Une fois le fichier réalisé, sauvegardez-le afin de pouvoir l’utiliser avec des images
WIM. Pour sauvegarder le fichier de réponses, cliquez sur Fichier/Enregistrer sous.
Indiquez le chemin souhaité.
213
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Le fichier autounattend_sample
<?xml version="1.0" encoding="utf-8" ?>
- <unattend xmlns="urn:schemas-microsoft-com:unattend">
- <settings pass="windowsPE">
- <component name="Microsoft-Windows-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
+ <DiskConfiguration>
- <Disk>
- <CreatePartitions>
- <CreatePartition wcm:action="add">
<Order>1</Order>
<Size>20000</Size>
<Type>Primary</Type>
</CreatePartition>
</CreatePartitions>
- <ModifyPartitions>
- <ModifyPartition wcm:action="add">
<Active>true</Active>
<Extend>false</Extend>
<Format>NTFS</Format>
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
<Label>OS_Install</Label>
<Letter>C</Letter>
<Order>1</Order>
<PartitionID>1</PartitionID>
</ModifyPartition>
</ModifyPartitions>
<DiskID>0</DiskID>
<WillWipeDisk>true</WillWipeDisk>
</Disk>
<WillShowUI>OnError</WillShowUI>
</DiskConfiguration>
- <UserData>
- <ProductKey>
<Key><productkey></Key>
<WillShowUI>OnError</WillShowUI>
</ProductKey>
<AcceptEula>true</AcceptEula>
</UserData>
- <ImageInstall>
- <OSImage>
- <InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
214
Créer un fichier de réponses
</InstallTo>
<WillShowUI>OnError</WillShowUI>
</OSImage>
</ImageInstall>
</component>
- <component name="Microsoft-Windows-International-Core-WinPE"
✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft
✂ .com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <SetupUILanguage>
<UILanguage>en-us</UILanguage>
</SetupUILanguage>
<InputLocale>0409:00000409</InputLocale>
<SystemLocale>en-us</SystemLocale>
<UILanguage>en-us</UILanguage>
<UserLocale>en-US</UserLocale>
</component>
</settings>
- <settings pass="oobeSystem">
- <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <OEMInformation>
<Manufacturer><company name></Manufacturer>
<Model><computer model></Model>
<SupportHours><support hours></SupportHours>
<SupportPhone><phone number></SupportPhone>
6. Le déploiement des
</OEMInformation>
</component>
- <component name="Microsoft-Windows-Deployment" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <Reseal>
<Mode>Audit</Mode>
</Reseal>
</component>
</settings>
</unattend>
Le fichier Corp_autounattend_sample
<?xml version="1.0" encoding="utf-8" ?>
- <unattend xmlns="urn:schemas-microsoft-com:unattend">
- <settings pass="windowsPE">
- <component name="Microsoft-Windows-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
215
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
- <DiskConfiguration>
- <Disk>
- <CreatePartitions>
- <CreatePartition wcm:action="add">
<Order>1</Order>
<Size>20000</Size>
<Type>Primary</Type>
</CreatePartition>
</CreatePartitions>
- <ModifyPartitions>
- <ModifyPartition wcm:action="add">
<Active>true</Active>
<Extend>false</Extend>
<Format>NTFS</Format>
<Label>OS_Install</Label>
<Letter>C</Letter>
<Order>1</Order>
<PartitionID>1</PartitionID>
</ModifyPartition>
</ModifyPartitions>
<DiskID>0</DiskID>
<WillWipeDisk>true</WillWipeDisk>
</Disk>
<WillShowUI>OnError</WillShowUI>
</DiskConfiguration>
- <UserData>
- <ProductKey>
<Key><productkey></Key>
<WillShowUI>OnError</WillShowUI>
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
</ProductKey>
<AcceptEula>true</AcceptEula>
<FullName><user name></FullName>
<Organization><company organization></Organization>
</UserData>
- <ImageInstall>
- <OSImage>
- <InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
<WillShowUI>OnError</WillShowUI>
</OSImage>
</ImageInstall>
- <UpgradeData>
<WillShowUI>OnError</WillShowUI>
</UpgradeData>
- <Display>
<ColorDepth>16</ColorDepth>
<HorizontalResolution>1024</HorizontalResolution>
<RefreshRate>60</RefreshRate>
<VerticalResolution>768</VerticalResolution>
</Display>
216
Créer un fichier de réponses
</component>
- <component name="Microsoft-Windows-International-Core-WinPE"
✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
✂ language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft
✂ .com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <SetupUILanguage>
<UILanguage>en-us</UILanguage>
</SetupUILanguage>
<InputLocale>0409:00000409</InputLocale>
<SystemLocale>en-us</SystemLocale>
<UILanguage>en-us</UILanguage>
<UserLocale>en-US</UserLocale>
</component>
</settings>
- <settings pass="oobeSystem">
- <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
✂ xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <OOBE>
<HideEULAPage>true</HideEULAPage>
<ProtectYourPC>3</ProtectYourPC>
<SkipMachineOOBE>true</SkipMachineOOBE>
<SkipUserOOBE>true</SkipUserOOBE>
</OOBE>
- <UserAccounts>
- <LocalAccounts>
- <LocalAccount wcm:action="add">
6. Le déploiement des
- <Password>
<Value><strongpassword></Value>
<PlainText>false</PlainText>
</Password>
<DisplayName><username></DisplayName>
<Name><username></Name>
<Group>administrators</Group>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
- <OEMInformation>
<Manufacturer><company name></Manufacturer>
<Model><computer model></Model>
<SupportHours><support hours></SupportHours>
<SupportPhone><phone number></SupportPhone>
</OEMInformation>
<RegisteredOrganization><Your Organization></RegisteredOrganization>
<RegisteredOwner><Your Organization></RegisteredOwner>
</component>
</settings>
- <settings pass="specialize">
- <component name="Microsoft-Windows-IE-InternetExplorer"
✂ processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
217
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Services).
en entreprise – phase 1
6. Le déploiement des
Une fois votre fichier de réponses créé, vous devez effectuer encore quelques
manipulations sur votre serveur pour accrocher vos images à vos fichiers de réponses.
Procédez ainsi :
1. Cliquez sur le menu Démarrer/Tous les programmes/Outils d’administration.
Sélectionnez Windows Deployment Services.
2. Il faut définir la première option qui consiste à spécifier un fichier de réponses par
défaut en fonction des architectures. Sélectionnez votre serveur WDS, cliquez avec
le bouton droit de la souris, puis choisissez Propriété et Windows DS Client.
3. Cochez la case Enable Unattend mode.
4. Pour x86 Architecture, cliquez sur Parcourir, sélectionnez le fichier Unattend puis
cliquez sur Ouvrir. Pour ia64 Architecture, cliquez sur Parcourir, sélectionnez le
fichier Unattend puis cliquez sur Ouvrir. Pour x64 Architecture, cliquez sur
218
Créer un fichier de réponses
Parcourir, sélectionnez le fichier Unattend puis cliquez sur Ouvrir. Une fois les
fichiers déclarés, cliquez sur OK.
5. Attribuez des fichiers spécifiques à des images spécifiques. Placez-vous dans le
serveur WDS. Sélectionnez Images d’installation, puis le groupe d’images
précédemment créé et choisissez l’image à laquelle vous souhaitez attribuer le
fichier de réponses.
6. Cliquez avec le bouton droit de la souris sur votre image, puis sur Propriété. Dans la
fenêtre Propriété de l’image, sélectionnez l’onglet General.
7. Sous l’onglet General, cochez la case Autoriser l’image à s’installer en mode sans
assistance, puis cliquez sur Sélectionner un fichier. Choisissez votre fichier à l’aide
du bouton Parcourir et cliquez sur OK. Pour terminer, cliquez sur OK.
Figure 6.12 :
Attribution d’un fichier
Unattend.xml à une
image spécifique
6. Le déploiement des
Le fichier ImageUnattend.xml est ajouté pour l’image WIM dans le répertoire
E:\RemoteInstall\Images\Vista\Windows_Vista_Ultimate-CQXQK\Unattend de l’image
Ultimate de Windows Vista.
Installation de packages
Une fois les différentes étapes de paramétrages réalisées, vous avez la possibilité
d’utiliser également des packages et des points de distribution qui pourront servir à
l’installation de logiciels supplémentaires après l’installation de Windows Vista.
219
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
présent, nous allons voir comment fonctionne le paramétrage du fichier avec une étape
importante qui est la partie 1 WindowsPE.
1. Dans la partie gauche de l’interface graphique, sélectionnez Windows Image, puis la
version d’images déjà présente. Ouvrez la section Components.
2. Sélectionnez le package x86_Microsoft-Windows-Setyp_(version de build)_neutral.
C’est dans ce package que vous allez créer une partition pour l’installation de Windows
Vista.
Vous allez pouvoir indiquer si vous souhaitez créer une partition ou bien garder la
partition existante, préciser également le type de partition (FAT ou NTFS) ainsi que la
taille, mais aussi des actions liées à l’éventuelle présence d’un autre système sur la
machine, et beaucoup d’autres options encore.
Bien que toutes les parties soient importantes, la partie du package à considérer est
WindowsDeploymentServices. Elle est divisée en deux sections…
j ImageSelection : dans cette section, vous allez trouver le nom du fichier
d’installation, le groupe auquel il appartient (ce groupe a été précédemment créé
dans Windows Deployment Services pour descendre les images) ainsi que le nom
que vous avez donné à l’image sur le serveur WDS.
j Login : dans cette section, vous allez pouvoir spécifier les credantials, le nom de
domaine, le compte utilisateur et le mot de passe pour pouvoir entrer dans le
domaine lors de l’installation.
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
Exemple d’une partie du fichier Unattend.xml qui a été généré à la suite du paramétrage
proposé :
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<servicing></servicing>
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup" processorArchitecture="x86"
✂ publicKeyToken="31bf3856ad364e35" language="neutral"
✂ versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/
✂ WMIConfig/2002/State"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<DiskConfiguration>
<Disk>
<CreatePartitions>
<CreatePartition wcm:action="add">
<Size>30000</Size>
220
Créer un fichier de réponses
<Type>Primary</Type>
<Order>1</Order>
</CreatePartition>
</CreatePartitions>
<DiskID>0</DiskID>
</Disk>
</DiskConfiguration>
<WindowsDeploymentServices>
<ImageSelection>
<InstallImage>
<Filename>install.wim</Filename>
<ImageGroup>Vista</ImageGroup>
<ImageName>Ultimate</ImageName>
</InstallImage>
</ImageSelection>
<Login>
<Credentials>
<Domain>puzzmania.com</Domain>
<Username>admin</Username>
<Password>P@ssW0r2</Password>
</Credentials>
</Login>
</WindowsDeploymentServices>
</component>
</settings>
<cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
en entreprise – phase 1
6. Le déploiement des
configuration
Un "partage de distribution" est un ensemble facultatif de dossiers contenant des fichiers
utilisés pour personnaliser Windows via des fichiers de réponses sans assistance.
Lorsque vous ajoutez des éléments à un fichier de réponses contenu dans un partage de
distribution, les chemins d’accès de ces éléments sont inclus dans le fichier de réponses.
Au cours de l’installation, le programme d’installation de Windows utilise ces chemins
pour installer les applications et les pilotes de périphériques supplémentaires. Par
exemple, lorsque vous vous connectez à un partage de distribution sur un réseau, le
chemin d’accès au réseau est référencé dans le fichier de réponses.
221
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
En règle générale, vous ajoutez des ressources et des nouveaux fichiers à Windows par
l’intermédiaire d’une image de données.
Windows.
\$OEM$\$1 Représente la racine du lecteur où est installé Windows Oui
(également appelée "partition de démarrage") et contient
des fichiers copiés dans la partition de démarrage au cours
de l’installation Windows.
\$OEM$\$1\pilotesPlug- Contient des pilotes Plug and Play (PnP) nouveaux ou mis Oui
and-Play à jour. L’utilisateur indique le nom du dossier dans le
fichier Unattend.xml pour les installations sans
assistance. Ce dossier peut par exemple être nommé
\$OEM$\$1\pilotesPnP.
\$OEM$\$1\SysPrep Contient les fichiers utilisés pour une installation préparée Non
avec Sysprep.
\$OEM$\$Docs Contient les fichiers copiés dans le dossier Non
%DOCUMENTS_AND_SETTINGS% au cours de
l’installation Windows.
\$OEM$\$Progs Contient les programmes copiés dans le dossier Non
%PROGRAM_FILES% au cours de l’installation
Windows.
222
Sysprep
6.6. Sysprep
Dans la plupart des cas, en entreprise, pour déployer des ordinateurs Windows Vista,
vous souhaitez créer une image de Windows Vista personnalisée, qui contient les
applications métiers communes à la société afin de ne pas avoir à les installer une par
une sur chaque poste de travail.
Communément, vous allez utiliser un outil de création d’image pour créer une image
personnalisée. Ici, vous procéderez de la même façon qu’avec des outils tiers de création
et d’application d’images système (comme Symantec Ghost).
en entreprise – phase 1
6. Le déploiement des
2. Vous y installez les diverses applications et vous vous assurez qu’elles fonctionnent
correctement.
3. Vous utilisez Sysprep pour préparer l’ordinateur à la duplication.
4. Vous éteignez l’ordinateur.
5. Vous récupérez l’image système associée.
À la différence près qu’avec Windows Vista vous n’avez pas besoin d’outil tiers et que
l’image créée fonctionnera sur n’importe quelle plateforme matérielle. Voyez
maintenant comment fonctionne l’outil Sysprep sous Windows Vista.
Introduction à Sysprep
L’outil Sysprep prépare une installation de Windows à la duplication, à l’audit et à la
livraison à l’utilisateur final. La duplication, également appelée "acquisition d’images",
permet de capturer une image système Windows Vista personnalisée que vous êtes à
même de réutiliser dans toute votre entreprise. Pour cela, Sysprep exécute un certain
nombre de tâches pour nettoyer le système (informations relatives au Registre, à
l’utilisateur logué, à la licence, au SID d’ordinateur) afin de le rendre neutre et
223
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
réutilisable pour n’importe quel autre utilisateur. Grâce au mode Audit, vous pouvez
ajouter des applications ou des pilotes de périphériques supplémentaires à une
installation de Windows. Une fois les applications et les pilotes installés, vous avez la
possibilité de tester l’intégrité de l’installation de Windows. Sysprep permet également
de préparer une image qui sera ensuite livrée à un utilisateur final. Ainsi, lorsque le
client démarre Windows, les écrans d’accueil de Windows s’affichent.
L’outil Sysprep est maintenant inclus à la base dans Windows Vista, plus besoin de
télécharger le Deployment Pack Microsoft. Suivez le chemin %WINDIR%\
system32\sysprep.
Implémenter Sysprep
Reprenons notre scénario de départ : vous installez Windows Vista sur un ordinateur de
test, vous y installez toutes les applications que vous voulez inclure dans votre image
personnalisée et vous vérifiez leur fonctionnement. Maintenant, vous allez utiliser
Sysprep pour préparer l’ordinateur à la duplication.
1. Cliquez sur le logo Windows de démarrage.
224
Sysprep
Figure 6.14 :
Application Sysprep
6. Le déploiement des
Vous remarquez une interface graphique très épurée en comparaison de la précédente
version de Sysprep contenue dans le Deployment Pack Microsoft Windows XP. Deux
menus déroulants uniquement, donc deux choix à faire : un choix sur le mode de
nettoyage du système et un sur le mode d’extinction de l’ordinateur.
Le nettoyage du système
Dans le premier menu déroulant de l’application Sysprep, vous devez choisir l’action de
nettoyage du système à mener.
Figure 6.15 :
Choix d’action de
nettoyage du système
225
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
L’option Généraliser
ordinateurs Windows Vista
Juste en dessous de la liste Action de nettoyage du système se trouve une case à cocher
en entreprise – phase 1
6. Le déploiement des
très importante appelée Généraliser. Cette option est l’équivalent de l’option Resceller
sous Windows XP : c’est en la cochant que vous allez générer un SID ordinateur
différent à chaque application de l’image. Si vous utilisez Sysprep pour générer une
image de référence devant s’appliquer sur tous les postes de travail de l’entreprise,
alors il est primordial de cocher cette case.
La fin de l’exécution de Sysprep se marque par l’option d’extinction. Dans la plupart des
cas, vous choisirez d’éteindre l’ordinateur. Là, votre ordinateur est prêt pour
redémarrer, mais en bootant sur un outil de récupération de l’image système.
226
Sysprep
Figure 6.16 :
Options d’extinction de
Sysprep
Le processus de Sysprep
Pour que Sysprep s’exécute sans problème, vous devez vous assurer du processus
suivant :
1. Vérifiez que Sysprep est capable de s’exécuter. Seul un administrateur peut exécuter
Sysprep, dont il est impossible de faire tourner plusieurs instances. Sysprep doit
également s’exécuter sur la version de Windows sur laquelle il a été installé.
2. Analysez les arguments de ligne de commande.
3. Si vous n’avez pas spécifié d’argument de ligne de commande, la fenêtre de Sysprep
qui s’affiche permet aux utilisateurs de définir des actions Sysprep.
4. Traitez les actions Sysprep, appelez les fichiers .dll et les exécutables appropriés,
en entreprise – phase 1
6. Le déploiement des
5. Vérifiez que tous les fichiers .dll ont traité toutes leurs tâches, puis arrêtez le
système, relancez-le ou quittez Sysprep.
227
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Image et activation
Vous ne pouvez pas créer d’image d’une installation Windows activée et dupliquer
cette image sur un autre ordinateur. Si vous le faites, Windows ne parvient pas à
reconnaître l’activation et force l’utilisateur final à réactiver manuellement
l’installation.
228
Sysprep
Le fichier de réponses étant placé en mémoire cache, les paramètres qu’il contient sont
appliqués lorsque vous exécutez Sysprep. Si vous utilisez les paramètres extraits d’un
autre fichier de réponses, vous pouvez spécifier un autre fichier Unattend.xml par le biais
de l’option sysprep /unattend:fichierréponses.
6. Le déploiement des
Figure 6.18 : Paramètre PersistAllDeviceInstalls
229
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
230
Sysprep
Figure 6.21 :
Paramètre WillReboot
6. Le déploiement des
j Si le paramètre WillReboot est réglé sur Always, si la commande renvoie 0,
l’élément de liste correspondant est coché en vert. Un redémarrage est
immédiatement exécuté. Si la commande renvoie une autre valeur, l’élément de
liste correspondant est signalé par un X rouge. Un redémarrage est immédiatement
exécuté.
j Si le paramètre WillReboot est réglé sur Never, si la commande renvoie 0,
l’élément de liste correspondant est coché en vert. Si la commande renvoie une
autre valeur, l’élément de liste correspondant est signalé par un X rouge. Une autre
valeur n’est pas considérée comme une erreur irrécupérable si WillReboot est réglé
sur Always ou Never.
j Si le paramètre WillReboot est réglé sur OnRequest, si la commande renvoie 0,
l’élément de liste correspondant coché en vert. Si la commande renvoie 1, l’élément
de liste correspondant est coché en vert. Un redémarrage est immédiatement
exécuté. Si la commande renvoie 2, l’élément de liste correspondant est
temporairement coché en vert. Un redémarrage est immédiatement exécuté. À la
suite du redémarrage, l’élément de liste correspondant s’affiche à nouveau dans la
fenêtre AuditUI sans annotation car la commande est encore en cours d’exécution.
Si la commande renvoie d’autres valeurs, il se produit une erreur irrécupérable et
une boîte de dialogue de blocage s’affiche.
231
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
j Sysprep ne doit pas être utilisé sur des types d’installation de mise à niveau.
Exécutez Sysprep uniquement sur des installations propres.
j Si vous prévoyez d’utiliser la commande imagex d’application d’une image système
Windows Vista à un ordinateur, le format de partition sur les ordinateurs de test et
de destination doit être identique. Par exemple, si vous capturez une image système
Windows personnalisée sur le lecteur C, vous devez toujours déployer cette image
système sur le lecteur C de l’ordinateur de destination. La liste suivante décrit les
paramètres de partition qui doivent être identiques sur les ordinateurs de test et de
destination…
− Le numéro de partition où est installé Windows Vista doit correspondre.
− Le type de partition (principale, étendue ou logique) doit correspondre.
− Si la partition est définie comme active sur l’ordinateur de référence,
l’ordinateur de destination doit également être défini comme actif.
232
Windows PE 2.0
j Les périphériques plug and play présents sur les ordinateurs de test et de
destination, tels que les modems, les cartes son, les cartes réseau et les cartes vidéo,
n’ont pas besoin d’être du même fabricant. Cependant, les lecteurs de ces
périphériques doivent être inclus dans l’installation.
j L’horloge d’activation commence son compte à rebours la première fois que
Windows est démarré. Vous pouvez utiliser Sysprep au maximum trois fois pour
réinitialiser l’horloge en vue de l’activation de produit Windows. Après trois
exécutions de Sysprep, l’horloge ne peut plus être réinitialisée.
j Que ce soit ImageX (outil de création d’image système de Windows Vista) ou que ce
soit des logiciels de création d’image système de disque tiers ou des périphériques
matériels de duplication de disque, ils sont nécessaires pour l’installation fondée sur
une image. Ces produits créent des images du disque dur d’un ordinateur, puis la
dupliquent sur un autre disque dur ou la stockent dans un fichier sur un disque
séparé.
j Sysprep s’exécute seulement si l’ordinateur est membre d’un groupe de travail, et
non d’un domaine. Si l’ordinateur appartient à un domaine, Sysprep le retire de ce
domaine.
j Si vous exécutez Sysprep sur une partition de système de fichiers NTFS qui contient
des fichiers ou des dossiers cryptés, les données contenues dans ces dossiers
deviennent complètement illisibles ou irrécupérables.
j Sysprep convertit la variable d’environnement %COMPUTERNAME% en caractères
majuscules. Cependant, le nom réel de l’ordinateur ne change pas.
j L’exécution de Sysprep fait que les écrans d’accueil de Windows vous demandent
6. Le déploiement des
une clé de produit. Vous pouvez utiliser un fichier de réponses avec Sysprep pour
éviter que les écrans d’accueil de Windows ne vous demandent une clé de produit.
Une fois le Sysprep effectué, la prochaine étape consiste à démarrer sur Windows PE 2
.0 pour avoir un environnement adéquat afin de capturer l’image qui servira de
référence au déploiement.
Mais Windows PE 2.0 va quand même plus loin : cet environnement vous servira
également à appliquer les images, voire à diagnostiquer un poste de travail.
Windows PE 2.0 est incontournable quand on parle de déploiement car même le
processus d’installation de Windows Vista provenant du DVD Vista effectue en premier
lieu un démarrage sur Windows PE 2.0.
233
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Introduction à WIN PE
Windows PE 2.0 (Windows Preinstallation Environnement) constitue l’une des bases du
déploiement de Windows Vista. Il est conçu pour faciliter les déploiements de ce
nouveau système d’exploitation. C’est un environnement bootable limité conçu sur la
base de Windows Vista.
Windows PE 2.0
Jusqu’à présent Windows PE était réservé aux clients disposant d’un contrat
Microsoft Software Assurance (SA). La bonne nouvelle, c’est que Windows PE 2.0
devient disponible pour toutes les personnes ou sociétés désireuses d’installer ou de
déployer Windows Vista au travers du WAIK.
Windows PE (ou Win PE) offre de puissants outils de préparation et d’installation pour
Windows Vista. Même s’il ne dispose pas de toutes les classes WMI, il en possède un
certain nombre, ce qui vous permettra d’optimiser vos déploiements. Dans sa version 2.0,
Win PE est personnalisable au travers d’outils livrés dans le WAIK (Windows Automated
Installation Kit). Ainsi, il est possible d’ajouter simplement des pilotes ou des packages.
Windows PE
Win PE est un outil de démarrage système de Microsoft qui offre des fonctionnalités
avancées pour l’installation, le dépannage et la récupération. Il a été conçu pour
remplacer MS-DOS comme environnement de préinstallation. Win PE 2.0 est la
version liée à Windows Vista.
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
234
Windows PE 2.0
Win PE 2.0
Que de chemin parcouru entre la version 1.0 et la version 2.0 de Win PE. La version 2.0
de Win PE s’appuie en effet sur les composants de Windows Vista. Par conséquent,
Win PE 2.0 prend en charge les pilotes Windows Vista et tire parti d’un grand nombre
d’améliorations apportées par Windows Vista, par exemple la protection améliorée
contre les attaques réseaux offertes par le pare-feu Windows. Désormais, cette nouvelle
version de Win PE prend en charge l’ajout de pilotes, ce qui vous permet de charger des
pilotes avant ou après le lancement de Win PE. Si vous démarrez Win PE et que vous
constatiez qu’il manque un pilote nécessaire, vous avez la possibilité de charger le pilote
non standard à partir d’un support amovible et d’utiliser aussitôt le matériel sans
redémarrage.
Utilisation de Win PE
Win PE n’est pas une version Embedded du système d’exploitation. Il ne remplace
pas un système d’exploitation client ou serveur. Il reboote toutes les soixante-douze
heures. Windows PE est un outil amorçable fondé sur les composants de Windows
Vista. Contrairement à Windows Vista, qui est un système d’exploitation général,
Windows PE est conçu pour être utilisé dans le cadre de l’installation ou du
dépannage.
6. Le déploiement des
Voici la liste des nouveautés apportées par la version 2.0 de Win PE…
j Mises à jour de sécurité : Windows PE prend désormais en charge le protocole SSL
(Secure Socket Layer).
j Outils de gestion des fichiers .wim : les fichiers .wim peuvent être personnalisés et
démarrés au moyen de l’outil de ligne de commandes ImageX et du pilote WIM FS
Filter (Windows Imaging File System Filter).
j Prise en charge de nouvelles méthodes de démarrage : vous pouvez démarrer
Windows PE depuis le fichier .wim hébergé sur le DVD Windows AIK ou l’option
/boot de l’outil de ligne de commandes ImageX.
j Prise en charge du redémarrage sur 72 heures : l’horloge de redémarrage de
Windows PE a été étendue de 24 à 72 heures.
j Prise en charge du plug and play (PnP) : les périphériques matériels peuvent être
détectés et installés alors que Windows PE est en cours d’exécution. Tous les
périphériques PnP fournis sont pris en charge, y compris les médias amovibles et les
périphériques de stockage de masse. Cette prise en charge est activée par défaut.
235
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
j Outil Drvload : utilisez ce nouvel outil de ligne de commandes pour ajouter des
pilotes non fournis au démarrage de Windows PE. Drvload installe les pilotes en
utilisant les fichiers .inf des pilotes en tant qu’entrées.
j Outil PEImg : utilisez ce nouvel outil de ligne de commandes pour personnaliser
une image de Windows PE hors ligne. PEImg vous permet d’ajouter et de
supprimer des pilotes, des composants de Windows PE et des modules linguistiques.
j Données de configuration de démarrage (BCD) : utilisez ce nouveau fichier de
configuration de démarrage pour personnaliser les options de démarrage. Ce fichier
remplace le fichier Boot.ini.
j Outil bootsect (secteur de démarrage) : utilisez cet outil pour permettre le
déploiement de versions antérieures de Windows en changeant le code de
démarrage de la précédente version de Windows en vue d’assurer la prise en charge
du gestionnaire de démarrage (Bootmgr) pour Windows Vista.
j Disque virtuel inscriptible automatique : en cas de démarrage depuis un média en
lecture seule, Windows PE crée automatiquement un disque virtuel inscriptible
(disque X) et alloue 32 Mo de ce dernier au stockage général. En utilisant un
système de fichiers NTFS compressé, les 32 Mo sont adressables jusqu’à 60 Mo.
Avec l’arrivée de Windows Vista, Win PE sera donc disponible pour tout le monde.
Win PE 2.0 sera disponible dans le WAIK et utilisable pour déployer Windows Vista
dans toutes les entreprises sans problème de licence.
La première étape pour utiliser Win PE consiste à installer le WAIK. Dans l’un des
répertoires du kit d’installation automatique Windows se trouvent deux images WIM de
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
236
Windows PE 2.0
La première image se nomme winpe.wim, c’est le Win PE 2.0 fourni pour déployer
Windows Vista. La seconde image s’appelle boot.wim. Les deux images font
sensiblement la même taille, 125 Mo et 130 Mo. Cependant, elles présentent quelques
différences non négligeables. Dans les versions précédentes de Win PE, il était souvent
reproché à Win PE de mettre trop longtemps à démarrer car il n’était pas optimisé. Ce
problème est résolu grâce à ces deux images.
Vous trouverez deux modes dans cette nouvelle version de Win PE, un mode Préparé et
un mode Non préparé. Vous créerez votre propre arborescence, ajouterez des éléments,
puis, au travers d’une commande, vous pourrez l’optimiser en fonction de son
démarrage via le réseau, un support USB ou un CD.
en entreprise – phase 1
6. Le déploiement des
l’ajout de pilotes sera possible dans ce mode. Il est donc très important de conserver une
version dite non préparée de Win PE, ce qui est le cas avec winpe.wim. Pour voir la
différence entre les versions, utilisez la commande suivante : ImageX /info
nom_image.wim.
La version winpe.wim
Pour visualiser le contenu de la version de winpe.wim, utilisez l’instruction ImageX
/info winpe.wim.
WIM Information:
----------------
GUID: {d86b36d5-4860-4a9d-baa7-5b251ba821aa}
Image Count: 1
237
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Compression: LZX
Part Number: 1/1
Boot Index: 1
Attributes: 0x8
Relative path junction
<SYSTEMROOT>WINDOWS</SYSTEMROOT>
</WINDOWS>
<DIRCOUNT>2070</DIRCOUNT>
<FILECOUNT>8293</FILECOUNT>
<TOTALBYTES>708015723</TOTALBYTES>
<CREATIONTIME>
<HIGHPART>0x01C6FEC8</HIGHPART>
<LOWPART>0xBFD8DDC6</LOWPART>
</CREATIONTIME>
<LASTMODIFICATIONTIME>
<HIGHPART>0x01C6FEC8</HIGHPART>
<LOWPART>0xC375E20E</LOWPART>
</LASTMODIFICATIONTIME>
</IMAGE>
</WIM>
238
Windows PE 2.0
La version boot.wim
Pour visualiser le contenu de la seconde image de Win PE boot.wim, utilisez
l’instruction ImageX /info boot.wim.
C:\Program Files\Windows AIK\Tools\x86>ImageX /info boot.wim
WIM Information:
----------------
GUID: {6c00797e-6e60-4b43-9be6-cf327f16f3f6}
Image Count: 1
Compression: LZX
Part Number: 1/1
Boot Index: 1
Attributes: 0x0
6. Le déploiement des
<HIGHPART>0x1C638CD</HIGHPART>
<LOWPART>0x196493A</LOWPART>
</CREATIONTIME>
<NAME>Windows Preinstallation Environment (x86)</NAME><WINDOWS
><ARCH>0</ARCH><PRODUCTNAME>Microsoft "Windows" Operating Syst
em</PRODUCTNAME><PRODUCTTYPE>WinNT</PRODUCTTYPE><PRODUCTSUITE
/><LANGUAGE>00000409</LANGUAGE><VERSION><MAJOR>6</MAJOR><MINOR
>0</MINOR><BUILD>5308</BUILD><SPBUILD>17</SPBUILD></VERSION><S
YSTEMROOT>WINDOWS</SYSTEMROOT></WINDOWS></IMAGE></WIM>
239
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
L’utilisation de Win PE
Win PE 2.0 est capable de traiter trois aspects spécifiques.
j Installation de Windows Vista : Win PE s’exécute chaque fois que vous installez
Windows Vista. Les outils graphiques qui collectent les informations de
configuration au cours de la phase d’installation s’exécutent dans Windows PE.
j Résolution des problèmes : Win PE sert également pour la résolution de problèmes.
Par exemple, Win PE démarre automatiquement et lance l’environnement de
récupération de Windows.
j Récupération : il peut être utilisé pour créer des solutions personnalisées et
automatisées pour la récupération et la reconstruction d’ordinateurs basés sur
Windows Vista.
240
Windows PE 2.0
j Dans la mesure où WOW (Windows on Windows) n’est pas pris en charge, les
applications 16 bits ne s’exécutent pas dans les versions 32 bits de Windows PE, et
les applications 32 bits ne s’exécutent pas dans les versions 64 bits de Win PE.
j Win PE redémarre 72 heures après le démarrage initial.
Les outils
Un certain nombre d’outils permettent d’utiliser Win PE, certains sont inclus dans
Win PE, d’autres non. Voici la liste et les fonctions de ces outils…
j ImageX : il n’est pas présent dans Win PE, mais vous pouvez le trouver dans le
resource kit de déploiement. Il est utilisé pour l’ajout d’une image, la capture
d’images, l’application d’images, etc.
j DiskPart : c’est un outil qui permet de créer ou supprimer des partitions. Il n’est
pas nouveau mais c’est uniquement après la création d’une partition que vous
pourrez descendre l’image WIM.
j Drvload : c’est un nouvel outil. Vous pouvez utiliser la commande drvload pour
ajouter des pilotes de périphérique, comme des chipsets audio, vidéo et des chipsets
de carte mère à une image Windows PE. Vous pouvez également utiliser la
commande drvload pour charger dynamiquement un pilote après le démarrage de
Windows PE.
j OSCDImg : cet outil permet de créer une image ISO de son Win PE.
j PEImg : il permet de lister ou d’ajouter des composants en ligne de commandes dans
6. Le déploiement des
j BCDEdit : cet outil permet d’éditer les données de configuration de démarrage
(Boot Configuration Data). Il est aussi utilisé pour ajouter WINPE dans un menu de
boot. C’est le remplaçant du boot.ini.
Pour préparer et personnaliser Win PE, soit l’image winpe.wim, c’est-à-dire le Win PE
non préparé, il faut appliquer son contenu dans un répertoire afin d’utiliser ses fichiers
et son arborescence. Vous avez plusieurs possibilités : la première serait d’utiliser la
commande ImageX /mountrw, la seconde d’employer la commande ImageX /apply.
C’est la commande que nous utiliserons. Voici la syntaxe ImageX avec le commutateur
/apply (ce commutateur permet d’appliquer des images) avec le nom de l’image WIM
suivi du numéro d’indexation de l’image dans le fichier WIM, pour terminer le chemin
complet du répertoire de destination.
241
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
L’ajout de packages est une fonction très pratique de Win PE puisque ce dernier peut
également exécuter des fichiers batch, des scripts VBScript, des scripts WSH si le
composant optionnel WSH est installé, des applications HTA (HTML Applications) et
des objets ADO. Dans la mesure où Win PE offre un espace temporaire s’appuyant sur
la mémoire vive, Win PE peut exécuter des applications qui nécessitent la possibilité
d’écrire des fichiers temporaires sur le disque dur, même si aucun disque dur n’est
disponible.
Pour réaliser l’installation de packages, il faut disposer d’une version de Win PE non
préparée, par exemple winpe.wim. Vous devez lister les packages contenus dans cette
image. Pour cela, vous disposez de la commande peimg /list et avez la possibilité de
détailler le contenu des packages avec le commutateur /verbose. Une fois cette tâche
effectuée, vous pouvez ajouter des packages à l’aide de la commande peimg /install.
Vous pouvez également installer des pilotes avec la commande peimg /inf, à condition
de posséder le fichier INF de celui-ci. Une fois les ajouts terminés, il vous restera encore
deux étapes à suivre pour utiliser votre image. La première consiste à préparer l’image
avec la commande peimg /prep /f et la seconde, un peu plus complexe, ImageX /
boot /compress maximum /capture, permettra de capturer l’image.
ordinateurs Windows Vista
en entreprise – phase 1
6. Le déploiement des
Du résultat de cette commande, il est important de retenir deux informations parmi les
informations listées : le nom exact du package, par exemple WinPE-Scripting-Package,
vous servira pour la syntaxe d’installation ; les signes + et − vous permettront de
déterminer les packages installés. Le signe + indique un package installé, le signe − un
package non installé.
Ajouter un package
Une fois les packages listés, il vous faut installer les packages non installés. Si vous
souhaitez utiliser des applications HTML, il vous faudra ajouter le package HTA
(HTML Applications). Pour cela, utilisez la commande peimg avec le commutateur
242
Windows PE 2.0
Installed 2 packages.
6. Le déploiement des
C:\Program Files\Windows AIK\Tools\x86>peimg /inf:c:\drivers\lan\yukon.inf
✂ c:\extractpe\windows
Pre-Installation Environment Image Setup Tool for Windows
Copyright (C) Microsoft Corp. 1981-2005. All rights reserved.
243
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
Préparer l’image
Il existe deux modes d’images Win PE : un mode non préparé, qui permet l’ajout de
packages et pilotes et un mode préparé permettant d’optimiser votre version de Win PE
une fois celle-ci personnalisée. Le passage d’un mode à l’autre ne se fait pas
automatiquement, il faut utiliser la commande peimg /prep :
C:\Program Files\Windows AIK\Tools\x86>peimg c:\extractPE\windows /PREP
Pre-Installation Environment Image Setup Tool for Windows
Copyright (C) Microsoft Corp. 1981-2005. All rights reserved.
[==========================100.0%==========================]
PEIMG completed the operation successfully.
244
Windows PE 2.0
Repackager l’image
Une fois votre Win PE préparé, il ne reste plus qu’à remettre l’image au format WIM et
à la rendre bootable. Pour réaliser cette tâche, utilisez la commande ImageX avec les
connecteurs / boot si vous souhaitez rendre l’image bootable, /compress maximum
pour optimiser l’image, suivi du connecteur /capture pour capturer l’image.
C:\Program Files\Windows AIK\Tools\x86>ImageX /boot /compress
maximum /capture "c:\extractPE" "c:\lab-winPE\WINPE LAB.wim" W
inpeLab"
Progress: 100%
Win PE doit être le plus petit possible, afin de pouvoir être stocké sur un support
amovible tel qu’un CD ou une clé USB, être démarré rapidement et être stocké
en entreprise – phase 1
6. Le déploiement des
fonction de la façon dont vous personnalisez l’image, mais il consomme généralement
moins de 100 Mo lorsqu’il est compressé au format WIM. Les versions 64 bits de
Win PE sont plus volumineuses, et la personnalisation de l’image Win PE avec des
packs de langues ou des applications fait augmenter la taille.
Pour réduire l’utilisation de la mémoire, Win PE peut s’exécuter à partir d’une image
compressée. Vous pouvez compresser Win PE dans un fichier WIM et l’exécuter à partir
de la mémoire sans le décompresser. Vous tirez parti de la compression à la fois lors du
stockage de l’image sur un disque et après son chargement dans la mémoire de
l’ordinateur.
Pour réduire le stockage sur disque, le format WIM stocke une seule instance des
fichiers dupliqués. Par conséquent, si vous disposez d’un fichier WIM avec deux images
Win PE, les fichiers partagés par les deux images sont stockés une seule fois.
Voici l’interface Windows PE que vous avez à l’écran lorsque vous démarrez sur votre
média personnalisé :
245
Chapitre 6 Le déploiement des ordinateurs Windows Vista en entreprise – phase 1
6.8. En résumé
Vous venez d’étudier les outils très importants de préparation au déploiement. Le
chapitre suivant est la deuxième partie du déploiement de Windows Vista ; vous allez y
aborder la manière d’effectuer ce déploiement.
246
Chapitre 7
Le déploiement des
ordinateurs Windows
Vista en entreprise –
phase 2
7.1 Capturer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
7.2 Appliquer une image avec ImageX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
7.3 Personnaliser l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
7.4 La maintenance de l’image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
7.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Capturer une image avec ImageX
Une fois que vous avez créé votre installation de référence sur un ordinateur de test,
exécuté la commande Sysprep, redémarré votre ordinateur sous Windows PE 2.0, vous
êtes fin prêt pour capturer l’image qui vous servira de référence dans votre processus de
déploiement.
Présentation d’ImageX
ImageX est un outil de ligne de commande (à l’ancienne !) qui permet aux entreprises
de capturer, de modifier et d’appliquer des images disques de fichiers pour réaliser des
déploiements rapides. L’outil ImageX fonctionne avec des fichiers image système
Windows WIM pour la copie vers un réseau, mais il peut utiliser d’autres technologies
qui exploitent les images .wim, comme l’installation de Windows, les services de
déploiement Windows et le Feature Pack de déploiement de système d’exploitation
pour SMS.
7. Le déploiement des
Les limites de l’acquisition d’images basées sur les secteurs (tel Ghost) ont conduit
Microsoft à développer la technologie ImageX et le format de fichier associé : image
système Windows (.wim). Vous pouvez utiliser ImageX pour créer une image, la
modifier sans l’extraire ni la recréer, et la déployer dans votre environnement sans
changer d’outil. La technologie ImageX intervient au niveau du fichier et offre, par
conséquent, de multiples possibilités…
j La possibilité de travailler sur n’importe quelle plateforme matérielle prise en
charge par Windows : rien que cet argument devrait suffire à convaincre. Cela veut
dire que, peu importe la plateforme matérielle utilisée par l’ordinateur de test,
l’image capturée servira pour tous les ordinateurs de l’entreprise.
j L’application d’images non destructive : ImageX ne procède à aucun remplacement
global du contenu de votre lecteur. Vous pouvez sélectionner les informations à
ajouter ou à supprimer. L’image s’appliquera même sur une partition sur laquelle
des données sont présentes (on pense aux cas de la réinstallation) ; lorsque vous
249
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
capturerez une image, vous pourrez à la fois capturer l’image d’une partition et
générer le fichier WIM associé sur cette même partition.
j La possibilité d’inclure des images dans une seule et même image.
j Une taille d’image réduite en raison de l’instanciation unique : cela signifie un
stockage distinct pour les données du fichier et les informations du chemin d’accès.
Cette particularité permet aux fichiers présents dans plusieurs chemins d’accès ou
plusieurs images d’être stockés une seule fois tout en étant partagés entre les
images.
j La possibilité de traiter un fichier image comme un répertoire : vous pouvez ainsi
ajouter, copier, coller et supprimer des fichiers en utilisant un outil de gestion de
fichiers tel que l’Explorateur Windows. Vous pouvez travailler et maintenir l’image
à froid (hors connexion).
j Plus de flexibilité et un contrôle accru sur le support déployé.
j L’extraction rapide d’images pour raccourcir le temps d’installation.
j Deux algorithmes de compression différents, Rapide et Maximum, pour diminuer
davantage la taille de vos images.
Nombreux sont les assembleurs et les entreprises qui ont besoin de déployer et
d’installer Windows en un temps record tout en intégrant les applications, paramètres et
mises à jour voulues. Le raccourcissement du temps d’installation et de déploiement
abaisse les coûts de production et peut diminuer le coût et les risques de planification
des déploiements réalisés par les entreprises. Des études ont montré que plus la
technique de déploiement d’un système d’exploitation était souple et performante et
plus le taux d’adoption du système d’exploitation par les entreprises était élevé.
250
Capturer une image avec ImageX
7. Le déploiement des
Les limites d’ImageX
ImageX présente tout de même des limites que vous devez connaître :
j Vous pouvez utiliser ImageX uniquement pour capturer et appliquer une version
complète du système d’exploitation et des applications logicielles. Vous ne pouvez
pas utiliser cet outil pour capturer et appliquer des mises à niveau vers un système
d’exploitation ou pour des applications.
j Vous pouvez utiliser uniquement des fichiers .wim pour interagir avec ImageX. Les
images précédentes, créées avec des outils d’acquisition d’images tiers, sont
inutilisables avec la technologie ImageX.
j Seul un type de compression unique peut être utilisé pour un fichier .wim. Les
fichiers image ajoutés doivent utiliser le même type de compression que la capture
initiale.
251
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
j ImageX et le format d’image .wim ne doivent pas être utilisés en conjonction pour se
substituer aux outils de sauvegarde/restauration de Windows Vista.
L’architecture d’ImageX
ImageX est un outil d’acquisition d’images construit à partir d’un ensemble d’API,
appelé API d’acquisition d’images système pour Windows. La principale utilité
d’ImageX est de capturer, de modifier et d’appliquer des images en vue de leur
déploiement dans un environnement informatique d’entreprise ou de fabrication.
ImageX prend en charge le nouveau format d’acquisition d’images de Windows Vista :
le format .wim.
252
Capturer une image avec ImageX
en entreprise – phase 2
7. Le déploiement des
l’application de l’image, etc.
Filtre du système de fichiers Après installation du pilote du filtre WIM FS, le filtre du système de fichiers
WIM WIM gère les fonctions de navigation et de modification pour le fichier .wim.
Une fois que vous avez monté un fichier .wim dans un répertoire, le filtre
surveille toutes les demandes de fichiers ou de données provenant du
système de fichiers et mappe les demandes aux données appropriées dans le
fichier .wim. Cela vous permet de visualiser le contenu de votre fichier image
dans n’importe quel outil de gestion de fichiers standard, tel que l’Explorateur
Windows.
La maintenance hors connexion de votre image vous permet de visualiser et
de modifier vos fichiers .wim sans avoir à réappliquer et à recapturer l’image.
Pour monter et modifier le contenu de votre fichier .wim, un outil en mode
utilisateur et un filtre de système de fichiers en mode noyau interagissent à
l’aide d’un protocole de communication et de l’ensemble d’API WIM.
253
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Composant Description
Ensemble d’API WIM Couche API qui interagit à la fois avec le programme exécutable ImageX et
avec le pilote du filtre WIM FS. C’est aussi l’interface principale pour les outils
tiers et la technologie d’installation.
Les API peuvent être classées selon les fonctions suivantes :
- ajouter, mettre à jour et supprimer des données de fichier ;
- ajouter, mettre à jour et supprimer des données d’image ;
- extraire des données d’image ;
- monter une image à l’aide du filtre du système de fichiers WIM ;
- gérer le fractionnement d’images ;
- surveiller le statut et la progression de la messagerie.
Fichier d’acquisition d’images Une collection de fichiers image qui contient un système d’exploitation et ses
de Windows (.wim) composants. ImageX utilise le format de fichier .wim pour la capture, la
maintenance hors connexion et le processus de déploiement. ImageX offre
ainsi une solution d’acquisition d’images complète pour vos scénarios de
déploiement.
La commande ImageX
ImageX est un outil de ligne de commande de Windows Vista que vous pouvez utiliser
pour créer et gérer des fichiers d’image Windows. Un fichier .wim contient une ou
plusieurs images de volumes, des volumes de disques contenant des images d’un système
d’exploitation Windows installé.
Pour modifier vos images de volumes, vous devez installer le pilote de filtre système de
fichier d’image Windows (filtre WIM FS) sur un ordinateur exécutant Windows XP
SP2, Windows Server 2003 SP1 ou Windows Vista. L’installation du pilote de filtre
WIM FS vous permet de monter un fichier .wim comme s’il s’agissait d’un répertoire et
de rechercher, copier, coller et éditer les images de volumes depuis un outil de gestion
ordinateurs Windows Vista
IMAGEX
Permet de manipuler les images WIM à l’aide de nombreux commutateurs.
254
Capturer une image avec ImageX
7. Le déploiement des
IMAGEX /APPLY
Applique une image de volume à un disque spécifié.
255
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Vous devez créer toutes les partitions du disque dur avant de commencer ce processus,
sauf si vous exécutez cette option à l’aide d’un script. Si vous utilisez l’option /apply
pour une structure de répertoire, cette option inclura le répertoire spécifié, y compris
tous les sous-répertoires et tous les fichiers.
Vous devez inclure le répertoire parent pour l’option /apply. Sinon, lorsque l’image
sera appliquée, elle remplacera tout ce qui se trouve à cet endroit. Par exemple, si vous
appliquez l’image au disque C, l’option /apply remplacera tout ce qui se trouve sur le
disque C par vos fichiers image.
Pour automatiser la création d’un répertoire, vous devez ajouter la commande mkdir
nom_répertoire à votre script avant d’exécuter imagex /apply.
256
Capturer une image avec ImageX
IMAGEX /CAPTURE
Capture une image de volume issue d’un disque dans un nouveau fichier .wim. Les
répertoires capturés comprennent tous les sous-dossiers et toutes les données. Vous ne
pouvez capturer un répertoire vide. Un répertoire doit contenir au moins un fichier.
en entreprise – phase 2
7. Le déploiement des
[maximum | rapide
| aucune] Spécifie le type de compression utilisée pour l’opération de capture
initiale. L’option maximum propose la meilleure compression mais
le temps de capture de l’image est le plus long. L’option rapide
propose une compression d’image plus rapide mais les fichiers
résultants ont une taille plus importante que ceux compressés avec
l’option maximum. C’est également le type de compression par
défaut, utilisé si vous laissez ce paramètre vide. L’option aucune ne
compresse pas du tout l’image capturée.
/config fichier
_configuration.ini Le nom et la situation du fichier de configuration. Vous pouvez
renommer ce fichier comme vous le souhaitez.
257
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
ImageX ne prend pas en charge les attributs étendus. ImageX ignore les attributs
étendus au cours d’une opération de capture. Pendant l’opération de capture, la
compression rapide est automatiquement appliquée. Si vous désirez un type de
compression différent, utilisez l’option /compress. Alors que le type de compression
que vous choisissez affecte le temps de capture, il n’affecte que légèrement le temps
d’application.
100 %.
7. Le déploiement des
258
Capturer une image avec ImageX
7. Le déploiement des
IMAGEX /INFO
Renvoie les descriptions XML enregistrées pour le fichier .wim spécifié, incluant mais
sans limitation à la taille totale du fichier, le numéro d’indice d’image, le nombre de
répertoires, le nombre de fichiers et une description.
259
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Cette commande est très utile pour connaître le contenu d’une image et savoir par
exemple si l’image contient d’autres images WIM.
ordinateurs Windows Vista
en entreprise – phase 2
7. Le déploiement des
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de
Windows Vista avec droit de lecture/écriture vers un répertoire spécifié. Une fois que le
fichier est monté, vous pouvez voir et modifier toutes les informations contenues dans le
répertoire.
260
Capturer une image avec ImageX
Vous devez installer le filtre WIM FS avant de pouvoir monter une image.
L’option /mountrw exige un accès exclusif au fichier .wim. Par conséquent, vous ne
pouvez pas utiliser l’option /mountrw si une image est déjà montée à l’aide de l’option
/mount ou de l’option /mountrw.
Vous ne devez pas monter une image vers le répertoire parent ou les sous-répertoires
d’un répertoire déjà monté. Lors du montage d’une image vers un répertoire contenant
des fichiers, les fichiers existants seront cachés jusqu’à ce vous exécutiez l’option
/unmount. De plus, vous ne devez pas monter votre image dans les dossiers réservés à
Windows.
7. Le déploiement des
261
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
IMAGEX /SPLIT
Divise un fichier .wim existant en plusieurs fichiers .wim, divisés en .swm en lecture
seule.
Cette commande crée des fichiers .swm dans le répertoire spécifié, nommant chaque
fichier par le nom spécifié dans fichier_image, mais en ajoutant un numéro et avec
l’extension .swm. Par exemple, si vous choisissez de diviser un fichier nommé Data.wim,
cette option créera les fichiers Data.swm, Data2.swm, Data3.swm, etc., définissant
chaque portion du fichier .wim divisé.
262
Capturer une image avec ImageX
IMAGEX /UNMOUNT
Démonte l’image montée d’un répertoire spécifié.
Vérifiez que vous disposez d’un espace disque suffisant pour ajouter les fichiers de votre
image. Vous devez compter la taille des fichiers que vous ajoutez au fichier .wim, plus
toute augmentation de taille due à la modification des fichiers existants, moins les
fichiers que vous avez supprimés, avant d’exécuter l’option /commit. Si l’espace disque
est insuffisant, une erreur se produira.
Si vous utilisez l’option /unmount sans l’option /commit, vos modifications seront
rejetées. Afin de pouvoir enregistrer vos modifications, vous devez monter l’image en
utilisant l’option /mountrw et utiliser l’option /commit lors du démontage de l’image ;
par exemple : imagex /unmount /commit c:\mount.
263
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
2. Vous vous êtes assuré que le comportement du poste de travail était tout à fait
stable.
3. Vous avez exécuté la commande Sysprep afin de préparer le système à la
duplication.
4. Vous redémarrez l’ordinateur sur votre média personnalisé Windows PE 2.0 sur
lequel vous avez rajouté la commande ImageX.
5. Vous allez maintenant utiliser la commande ImageX /capture afin de créer
l’image de référence.
6. Dans la fenêtre d’Invite de commande Windows PE, tapez : imagex /compress
maximum /capture c: c:\images\puzzmaniainstall.wim /verify.
Tout de même, ImageX /capture est destiné à capturer une image à des fins de
déploiement et non de sauvegarde de l’ordinateur.
Une fois l’image créée, vous pouvez redémarrer l’ordinateur en mode normal.
Dans l’utilisation des images WIM, la capture est d’autant plus cruciale qu’il faut bien
que vous gardiez à l’esprit que le but du jeu est de créer une et une seule image : un seul
fichier qui puisse servir au déploiement de Windows Vista sur tous les ordinateurs de
l’entreprise.
Ayez toujours à l’esprit que vous créer une image pour qu’elle soit unique pour toute
en entreprise – phase 2
j
7. Le déploiement des
l’entreprise.
j Maîtrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver à une image unique.
j Configurez soigneusement et scrupuleusement l’ordinateur de test, c’est-à-dire la
version de Windows Vista installée, les paramètres, les applications, le style, la
sécurité, les comptes utilisateurs, les accès, etc.
j Récupérez et conservez sur le réseau ou sur un support amovible l’image ainsi créée.
Sauvegardez cette image.
264
Appliquer une image avec ImageX
Mais vous serez peut-être amené à déployer uniquement avec les outils livrés avec
Windows Vista. Pour cela vous allez utiliser le tandem Windows PE 2.0 et ImageX pour
appliquer une image WIM à un ordinateur. Vous le ferez peut-être en conjonction d’un
fichier Autounattend.xml par exemple.
7. Le déploiement des
5. Vous avez maintenant utilisé la commande ImageX /capture afin de créer l’image
de référence que vous avez sauvegardée.
Maintenant partons du scénario suivant : vous devez déployer une image sur un poste de
travail.
1. Vous démarrez cet ordinateur à partir de votre média personnalisé Windows PE 2.0
sur lequel vous avez rajouté la commande ImageX.
2. Assurez-vous que la configuration du disque dur de l’ordinateur est correcte.
Utilisez Diskpart.exe le cas échéant pour créer la partition d’installation, la formater
en NTFS, lui affecter une lettre de lecteur (la même que celle qui a été capturée
avec l’image, soit par défaut C:) et l’activer.
265
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
diskpart
select disk 0
create partition primary size=<taille souhaitée>
select partition 0
active
format fs=ntfs label="Système" quick
assign letter=c
exit
3. Assurez-vous que vous accédez correctement à votre image (qui se trouve soit sur un
média amovible, soit sur le réseau).
4. Vous allez maintenant utiliser la commande ImageX /apply pour appliquer
l’image sur la station de travail.
Vous devez créer toutes les partitions du disque dur avant de commencer ce
processus, sauf si vous exécutez cette option à l’aide d’un script. Si vous utilisez
l’option /apply pour une structure de répertoire, cette option inclura le répertoire
spécifié, y compris tous les sous-répertoires et tous les fichiers.
5. Dans la fenêtre d’Invite de commandes Windows PE, tapez la ligne suivante :
imagex /apply e:\puzzmaniainstall.wim 1 c: /verify.
Le processus est lancé. Votre image s’installe. Comptez une durée d’application de
11 ou 12 minutes avec une image standard de Windows Vista. Ce qui est intéressant,
c’est de constater qu’une image personnalisée, incluant par exemple le pack
Office 2007, ne prend qu’une minute de plus pour être appliquée.
6. Une fois le processus terminé, redémarrez l’ordinateur. Vous entrez alors en mode
d’accueil de premier démarrage de Windows Vista (finalisation de l’installation),
qui peut être contrôlé et automatisé par l’ajout des fichiers Unattend.xml et/ou
Oobe.xml.
ordinateurs Windows Vista
j Essayez, dans la mesure du possible, d’appliquer la même image Windows sur tous
les postes pour garder une cohérence et une efficacité de déploiement
j Maîtrisez et jouez avec tous les avantages du format WIM et de la commande
ImageX pour arriver au but recherché.
j Configurez correctement le disque dur de l’ordinateur de destination à l’aide de
Diskpart.exe si vous utilisez Windows PE ou à l’aide d’un fichier Autounattend.xml.
j Avant de vous lancer, testez soigneusement et scrupuleusement l’application de
l’image sur un ordinateur de test et validez l’usage de l’image (la version de
Windows Vista installée, les paramètres, les applications, le look, la sécurité, les
comptes utilisateurs, les accès, etc.).
266
Personnaliser l’image
Le fichier Oobe.xml
Oobe.xml (prononcez "oubi") est un fichier qui sert à collecter du texte et des images
pour personnaliser les écrans d’accueil de premier démarrage de Windows Vista,
l’Accueil Windows et l’abonnement auprès d’un fournisseur de services Internet. Pour
créer une image système de Windows unique comprenant plusieurs langues et destinée
à être livrée dans plusieurs pays, vous pouvez ajouter différents fichiers Oobe.xml afin de
personnaliser le contenu en fonction des sélections de langue et de pays ou de région du
client.
Oobe.xml est un fichier de contenu qui peut être utilisé en liaison avec Unattend.xml
pour recevoir et déployer des personnalisations d’entreprises pour les écrans d’accueil
de premier démarrage de Windows (utile pour les constructeurs et assembleurs), pour
l’Accueil Windows et pour l’abonnement auprès d’un fournisseur de services Internet.
7. Le déploiement des
j un espace de stockage pour les fichiers et les informations concernant les valeurs par
défaut des paramètres internationaux ;
j un espace de stockage pour des offres spécifiques à une langue à l’intention des
utilisateurs ;
j un espace de stockage pour les choix d’arrière-plan de Bureau des utilisateurs ;
j un espace de stockage pour les termes du contrat de licence logiciel Microsoft et vos
termes du contrat de licence avec les utilisateurs.
267
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
j Sans Unattend.xml, il permet de définir des valeurs par défaut d’entreprise pour les
écrans d’accueil de Windows, pour l’Accueil Windows et pour l’abonnement auprès
d’un fournisseur de services Internet.
Bien que le fichier Oobe.xml puisse contenir toutes les informations dont vous avez
besoin pour personnaliser les écrans d’accueil de Windows, vous pouvez utiliser les
paramètres Unattend.xml pour définir si et comment l’utilisateur final pourra choisir les
options régionales. De plus, vous pouvez utiliser les paramètres Unattend.xml pour
montrer ou masquer différentes pages à des fins de test.
Voici les composants avec les paramètres Unattend.xml qui peuvent servir à manipuler
des pages d’écrans d’accueil de premier démarrage de Windows :
j Microsoft-Windows-Setup ;
j Microsoft-Windows-Shell-Setup ;
j Microsoft-Windows-International-Core.
Faisons une correspondance entre les pages d’écrans d’accueil de premier démarrage
Windows Vista, les paramètres Unattend.xml et les résultats affichés.
Tableau 7.2 : Correspondance entre les pages d’écrans d’accueil de premier démarrage
Windows Vista, les paramètres Unattend.xml et les résultats affichés
Pages des écrans d’accueil Paramètres Unattend.xml Résultats
de premier démarrage de
Windows
Paramètres régionaux Microsoft−Windows−International Si ces quatre paramètres sont définis, cette
−Core | UILanguage page est ignorée.
Microsoft−Windows−International Si des paramètres individuels sont définis,
−Core | InputLocale les champs n’apparaissent pas sur cette
Microsoft−Windows−International page.
ordinateurs Windows Vista
en entreprise – phase 2
7. Le déploiement des
−Core | SystemLocale
Microsoft−Windows−International
−Core | UILanguageFallback
Microsoft−Windows−International
−Core | UserLocale
Termes du contrat de Microsoft−Windows−Shell−Setup Si ce paramètre est défini, la page sera
licence | OOBE | HideEULAPage ignorée. Il est supposé que l’administrateur
d’entreprise accepte les termes du contrat de
licence logiciel Microsoft pour les
utilisateurs.
Clé de produit Microsoft−Windows−Setup | Si Windows détecte une installation de
UserData | ProductKey | Key version commerciale dans laquelle
Microsoft−Windows−Setup | l’utilisateur a déjà entré une clé, une
UserData | ProductKey | installation de licence multiple ou une clé de
WillShowUI produit valide dans Unattend.xml, cette
page ne sera pas affichée.
268
Personnaliser l’image
7. Le déploiement des
Protégez votre PC Microsoft−Windows−Shell−Setup Si ce paramètre a été défini, la page ne sera
| OOBE | ProtectYourPC pas affichée et la valeur appropriée sera
définie. Les valeurs possibles sont :
- 1 (recommandées) ;
- 2 (seulement les mises à jour
d’installation) ;
- 3 (n’active aucune protection).
Page finale Non applicable Si toutes les pages des autres écrans
d’accueil de Windows sont ignorées, cette
page ne sera pas affichée.
269
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Le fonctionnement d’Oobe.xml
L’accueil de premier démarrage de Windows, l’Accueil Windows et les opportunités
d’abonnement au fournisseur d’accès Internet qui occupent le contenu du fichier Oobe
.xml vérifieront et chargeront ce fichier aux endroits suivants et dans cet ordre :
1. %WINDIR%\system32\oobe\info\oobe.xml.
2. %WINDIR%\system32\oobe\info\default\<langue>\oobe.xml.
3. %WINDIR%\system32\oobe\info\<pays>\<langue>\oobe.xml.
Lors d’un déploiement dans une seule langue, lorsqu’il s’exécute pour la première fois,
l’accueil de premier démarrage de Windows recherchera un fichier Oobe.xml à l’endroit
suivant : %WINDIR%\system32\oobe\info\.
Après la sélection par l’utilisateur d’un pays ou d’une région, l’accueil de premier
démarrage de Windows recherchera une autre version du fichier Oobe.xml à l’endroit
suivant : %WINDIR%\system32\oobe\info\<pays>.
Si un dossier de pays correspondant au pays sélectionné par le client est trouvé, l’accueil
de premier démarrage de Windows le charge et remplace les nœuds du fichier Oobe.xml
d’origine par ceux trouvés dans le fichier spécifique au pays. Si un tel dossier est trouvé,
l’accueil de premier démarrage de Windows chargera le fichier Oobe.xml de ce dossier
et remplacera toutes les informations trouvées dans les fichiers Oobe.xml antérieurs
ordinateurs Windows Vista
Si vous expédiez avec plusieurs langues, créez plusieurs dossiers de pays pour vos pays
de destination et des dossiers de langue pour les langues cibles dans les dossiers de pays,
en y incluant un fichier Oobe.xml avec le contenu propre au pays et à la langue dans
chaque dossier de langue, aux endroits suivants :
j %WINDIR%\system32\oobe\info\<pays1>\<langue1> ;
j %WINDIR%\system32\oobe\info\<pays1>\<langue2> ;
j %WINDIR%\system32\oobe\info\<pays2>\<langue1> ;
j %WINDIR%\system32\oobe\info\<pays2>\<langue3>.
270
Personnaliser l’image
Créez également des dossiers de langue avec le dossier default et placez un fichier
Oobe.xml localisé en conséquence dans chacun d’eux, pour s’adapter aux scénarios dans
lesquels l’utilisateur final ne sélectionne pas l’un de vos pays de destination :
%WINDIR%\system32\oobe\info\default\<langue>\oobe.xml.
Implémenter Oobe.xml
Le fichier Oobe.xml n’est pas un fichier que vous allez créer à l’aide de Windows System
Image Manager. Il va falloir le construire de toutes pièces. Pour cela, partez de
l’exemple suivant qui pourra vous servir de modèle de fichier Oobe.xml :
<?xml version="1.0" encoding="utf-8" ?>
<FirstExperience>
<oobe>
<oem>
<name>Educsoft</name>
<logopath>c:\educsoft\educsoft.png</logopath>
<eulafilename>educsoft_eula.rtf</eulafilename>
<wallpaper>
<path>c:\educsoft\wallpapers\wallpaper1.jpg</path>
</wallpaper>
<wallpaper>
<path>c:\educsoft\wallpapers\wallpaper2.jpg</path>
</wallpaper>
7. Le déploiement des
<wallpaper>
<path>c:\educsoft\wallpapers\wallpaper3.jpg</path>
</wallpaper>
<offerheader>Accédez aux offres spéciales Educsoft</offerheader>
<offer type="list">
<title>Offer 1</title>
<imagepath>c:\educsoft\offers\offer1.bmp</imagepath>
<details>Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Ut
✂ a est non mauris fringilla bibendum. Nulla aliquam facilisis est.
✂ Nullam venenatis velit. Nam congue sem nec ipsum.</details>
<detailsfilename>offer1.rtf</detailsfilename>
<shellexecute>%systemroot%\system32\notepad.exe</shellexecute>
</offer>
<offer type="list">
<title>Offer 2</title>
<imagepath>c:\educsoft\offers\offer2.bmp</imagepath>
271
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
<infotip>Souscrivez maintenant!</infotip>
7. Le déploiement des
<previewPaneView
✂ xmlns="http://schemas.microsoft.com/windows/oobetasks/v1">
<previewBackground>%systemroot%\system32\oobe\info\background_wc.png
✂ </previewBackground>
<startText>bouton action tache exemple</startText>
<title>titre tache exemple</title>
<columnOne>
<para><text>texte exemple</text></para>
<para><bullet /><text>liste a puce texte exemple</text></para>
<para><bullet /><text>liste a puce texte exemple</text></para>
<para><bullet /><text>liste a puce texte exemple</text></para>
</columnOne>
</previewPaneView>
<!-- conditions (optional)
<conditions>
<condition name="shell://v1#IsUserAdmin" />
<condition name="shcond://v1#DateInRange">
272
Personnaliser l’image
Vous n’avez qu’à le recopier dans un fichier Oobe.xml, l’adapter à votre entreprise et il
fonctionnera.
La section <oem>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs
autorisées pour la section <oem> d’Oobe.xml.
7. Le déploiement des
nomfichiercluf Langue et situation/version spécifique Chemin d’accès absolu d’un fichier .rtf
du contrat de licence d’utilisateur final nominatif.
de l’entreprise s’il y a lieu.
wallpaper Chemin absolu du fichier de papier Chemin d’accès absolu vers au plus
peint. Peut en contenir jusqu’à trois trois fichiers 32 bits au format .png
pour l’affichage. nommés. 128 x 128 pixels.
offerheader Description initiale de l’offre. Plus pour Chaîne de caractères avec au
les assembleurs que pour les maximum 40 caractères.
entreprises.
title Titre de l’offre. Caractères.
imagepath Chemin absolu d’un fichier .bmp. Chemin d’accès absolu d’un fichier
32 bits .bmp ou .gif. 32 x 32 pixels.
Les fichiers de type .png ne sont pas
pris en charge.
273
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
La section <defaults>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs
autorisées pour la section <defaults>.
Paramètres Les paramètres régionaux sont spécifiés Identificateur décimal. Pour la France,
régionaux à l’aide d’une valeur. l’identificateur est 1036.
clavier La disposition du clavier est déterminée Utilisez la valeur du paramètre keyboard
par le format d’identifiant des paramètres figurant dans le Registre sous
régionaux d’entrée, constitué par une HKEY_LOCAL_MACHINE
combinaison de la valeur hexadécimale \SYSTEM\ControlSet001\Control
de l’identificateur linguistique et d’un \Keyboard Layouts et précédez-la de
identificateur de périphérique. la valeur du paramètre régional convertie
en hexadécimal. Pour la France, cette
valeur est 0x40c.
274
Personnaliser l’image
j http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238z.asp ;
j http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_locations.asp ;
j http://www.microsoft.com/globaldev/reference/lcid-all.mspx.
en entreprise – phase 2
7. Le déploiement des
les yeux au moment où il démarre pour la première fois son nouvel ordinateur Windows
Vista. Nous sommes dans le cas où l’image a déjà été appliquée.
1. Après avoir démarré pour la première fois son ordinateur, l’utilisateur arrive sur
l’écran d’accueil de premier démarrage de Windows Vista en mode personnalisé
(voir fig. 7.8).
2. Cet écran d’accueil doit retranscrire les options d’emplacement géographique et
d’utilisation du clavier ainsi que le logo de constructeur (ou d’entreprise)
paramétrés dans Oobe.xml. Cliquez sur Suivant.
3. La fenêtre qui suit vous montre deux contrats d’utilisation : celui de Microsoft et le
vôtre (paramétré dans Oobe.xml). Vous ne pouvez passer qu’à l’étape suivante
qu’en cochant l’acceptation des deux contrats et en cliquant sur Suivant (voir
fig. 7.9).
275
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
276
Personnaliser l’image
7. Le déploiement des
277
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
278
Personnaliser l’image
La section <useroobe>
Le tableau suivant indique les paramètres disponibles d’Oobe.xml pour la section
<useroobe> et leurs valeurs autorisées.
7. Le déploiement des
conséquent, un élément ayant un
numéro de priorité de tri élevé
(comme 94) apparaîtra avant un
élément un numéro plus faible
(comme 7).
infotip Courte description de l’offre affichée sur Chaîne d’une longueur maximale de
pointage de la souris. 255 caractères.
mots clés Mots-clés utilisés à des fins de Chaîne délimitée par un point-virgule
recherche. (;).
Prévisualisation Chemin d’un fichier .png pour l’offre. Chemin absolu d’un fichier .png.
Image 128 x 128 pixels. Si cette valeur est
omise, le fichier spécifié pour la valeur
de <icon> correspondant à l’offre
sera affiché à sa place (si le contenu du
fichier .ico peut être mis à l’échelle
126 x 126).
279
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
280
Personnaliser l’image
Les entreprises peuvent se servir de l’Accueil Windows personnalisé pour proposer aux
utilisateurs des liens vers l’outil helpdesk interne, vers l’intranet, vers des applications
communes, la vie de l’entreprise etc. C’est un moyen mis à disposition des services
informatiques pour garder un contact avec l’utilisateur afin qu’il ait sous la main les
moyens de contacter facilement son service informatique. Cela augmentera la
satisfaction de l’utilisateur.
La section <oem>
Le tableau suivant indique les paramètres disponibles pour Oobe.xml et leurs valeurs
autorisées pour la section <oem> de Oobe.xml lorsqu’elles sont utilisées pour des offres
d’abonnement auprès de fournisseurs de services Internet.
7. Le déploiement des
fichiers PNG et ICO ne sont pas pris en
charge.
detailsfilename Fichier contenant des informations Chemin absolu d’un fichier .rtf. Les
concernant l’offre. Si cette étiquette est graphiques intégrés ne peuvent pas être
omise, le contenu de l’étiquette affichés.
<informations> est de nouveau
affiché sur la page d’informations.
shellexecute Chemin du fichier exécutable pour Chemin absolu du programme
l’offre. d’installation pour l’offre.
281
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Les conditions sont exprimées par un nom et peuvent contenir un jeu de paramètres.
Chaque condition appartient à l’espace de nom shcond://v1. Elles sont par
conséquent exprimées sous la forme <nom de condition= "shcond://v1#
%conditionName%">.
Le tableau suivant indique les noms de condition, leurs paramètres, leurs valeurs et leurs
descriptions :
282
La maintenance de l’image
7. Le déploiement des
Le processus de déploiement ne s’arrête pas à l’unique projet de déploiement de
Windows Vista sur les ordinateurs de l’entreprise à la place de Windows XP, par
exemple. Il peut aussi être quotidien : dès qu’un nouvel employé arrive et qu’il a donc
besoin d’un ordinateur fraîchement installé. Et c’est aussi un processus qui évolue dans
le temps : de nouveaux équipements feront tôt ou tard leur apparition avec leurs
nouveaux pilotes, des mises à jours et des Service Packs de Windows Vista. Pour être
complet, le processus de déploiement doit fournir des outils qui permettent de mettre à
jour les images capturées sans avoir forcément à les recréer, c’est-à-dire des outils qui
permettent d’ajouter des packages, des packs de langue, des pilotes, des mises à jour à
une image hors connexion (à froid), et bien d’autres.
283
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
À présent, prenons comme exemple l’ajout d’une image image1.wim à l’image image2
.wim. Pour cela, il faut utiliser la commande ImageX avec le commutateur /export.
IMAGEX /EXPORT
Exporte une copie du fichier .wim spécifié vers un autre fichier .wim. Les fichiers source
et destination doivent utiliser le même type de compression.
284
La maintenance de l’image
/compress
[maximum
| rapide | aucune] Spécifie le type de compression utilisée pour l’opération de capture
initiale. L’option maximum propose la meilleure compression, mais
le temps de capture de l’image est le plus long. L’option rapide
propose une compression d’image plus rapide, mais les fichiers
résultants ont une taille plus importante que ceux compressés avec
l’option maximum. C’est également le type de compression par
défaut, utilisé si vous laissez ce paramètre vide. L’option aucune ne
compresse pas du tout l’image capturée.
/ref splitwim.swm Active la référence des fichiers .wim divisés (SWM). splitwim.swm est
le nom et la situation des fichiers divisés supplémentaires. Les
caractères génériques sont acceptés.
À cela, il faudra ajouter le chemin de l’image ainsi que son numéro d’index, puis
terminer par le chemin de l’image de destination :
C:\Program Files\Windows AIK\Tools\x86>ImageX /export
c:\images\image1.wim 1 c:\images\image2.wim "image1"
Progress: 100%
Une fois cette opération terminée, image1 se trouve dans le fichier image2.wim.
7. Le déploiement des
ImageX /export
Lorsque vous utilisez la commande ImageX /export, il est important d’indiquer le
numéro d’indexation de l’image source, même si le fichier ne possède qu’une image.
Autrement, la commande ne fonctionnera pas. Il n’y aura pas de message d’erreur,
uniquement un retour à l’aide sur la commande image.
Le Gestionnaire de packages
Le Gestionnaire de packages est un outil de ligne de commandes (Pkgmgr.exe) que vous
pouvez utiliser hors connexion pour installer, pour supprimer ou pour mettre à jour des
packages Windows, des pilotes, des applications, des mises à jour de sécurité, des
Service Packs. Vous pouvez ajouter les packages fournis sous forme de fichiers .cab à
285
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
j Windows Vista.
Certains packages exigent que d’autres packages soient d’abord installés. En raison de
cette condition de dépendance, si vous installez plusieurs packages, procédez de l’une
des manières suivantes :
j Utilisez un fichier de réponses. En transmettant un fichier de réponses au
Gestionnaire de packages, plusieurs packages peuvent être installés dans l’ordre
correct. C’est la méthode recommandée pour installer plusieurs packages.
j Installez ou supprimez plusieurs packages dans une seule commande en les séparant
par un point-virgule dans une liste. Les packages peuvent apparaître dans n’importe
quel ordre. Le Gestionnaire de packages installe ou supprime les packages dans
l’ordre correct.
286
La maintenance de l’image
La commande Pkgmgr.exe
Avant de détailler l’utilisation du Gestionnaire de packages et la manière de mettre à
jour une image, voici les descriptions des commutateurs de l’outil en ligne de commande
Pkgmgr.exe.
PKGMGR
Installe, désinstalle, configure et met à jour des fonctionnalités et des packages pour
Windows Vista.
en entreprise – phase 2
7. Le déploiement des
/l: nom_fichier Désigne le fichier journal pour la sortie de diagnostic. Utilisable en
ligne ou hors connexion. Les journaux par défaut sont situés dans le
répertoire %WINDIR%\logs\cbs\cbs.log. Setupact.log est un journal
complet et Setuperr.log ne répertorie que les erreurs.
L’enregistrement dans un journal ne fonctionne pas lors de
l’installation depuis un support en lecture seule, comme un CD
Windows PE.
/iu: nom_
fonction-nalité
_Windows Spécifie la fonctionnalité Windows à activer. Plusieurs
fonctionnalités Windows peuvent être installées avec une seule
commande et doivent être séparées par des points-virgules.
Utilisable en ligne ou hors connexion. Si vous installez une mise à
jour, vous avez alors besoin du nom de la mise à jour si son package
287
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
288
La maintenance de l’image
7. Le déploiement des
contient tous les pilotes pour cet ordinateur. Lorsque le Plug and Play est exécuté, les
périphériques détectés sont associés aux pilotes de périphériques dans le magasin de
pilotes. Le magasin de pilotes remplace Drivers.cab.
Les pilotes indispensables au démarrage sont insérés sur le système. L’insertion d’un
pilote est le processus consistant à installer un pilote sur un ordinateur qui est ou non
doté d’un périphérique pour ce pilote. Généralement, cela comprend la copie des
fichiers de pilote vers un emplacement de destination et la création du service.
289
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Vous allez créer un fichier de réponses contenant les chemins d’accès aux pilotes de
périphériques à installer :
3. Ajoutez le composant Microsoft-Windows-PnpCustomizationsNonWinPE à votre
fichier de réponses dans la passe de configuration OfflineServicing.
4. Développez le nœud Microsoft-Windows-PnpCustomizationsNonWinPE dans le
fichier de réponses. Cliquez avec le bouton droit de la souris sur DevicePaths, puis
sélectionnez Insérer un nouvel élément PathAndCredentials. Un nouvel élément
est intégré à la liste PathAndCredentials.
Figure 7.16 :
Configuration du
chemin d’accès au pilote
290
La maintenance de l’image
7. Le déploiement des
</settings>
<cpi:offlineImage cpi:source="catalog:c:/images/puzzmaniainstall.clg"
✂ xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend>
8. Montez l’image de Windows dans laquelle vous voulez installer les pilotes à l’aide
d’ImageX. Tapez imagex /mountrw C:\images\moninstall.wim 1 C:\mount,
où l’image de référence à modifier se trouve dans le répertoire C:\images et s’appelle
moninstall.wim et le répertoire de montage s’appelle C:\mount. La première image
de Windows dans le fichier moninstall.wim est montée sur C:\mount.
291
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
IMAGEX /MOUNTRW
Monte un fichier .wim de Windows XP SP2, de Windows Server 2003 SP1 ou de
Windows Vista, avec droit de lecture/écriture vers un répertoire spécifié. Une fois que le
fichier est monté, vous pouvez voir et modifier toutes les informations contenues dans le
répertoire.
292
La maintenance de l’image
Les fichiers .inf référencés dans le chemin d’accès du fichier de réponses sont ajoutés à
l’image de référence Windows Vista. Vous pouvez ouvrir le fichier Drivers.log et
examiner les actions d’injection du pilote de Gestionnaire de packages. Un fichier
journal est créé dans le répertoire C:\pkgmgrlogs\.
Figure 7.18 :
7. Le déploiement des
\Windows\inf de l’image
montée
11. Enfin, démontez le fichier .wim et validez les modifications. Tapez : imagex
/unmount /commit C:\mount.
L’image de Windows est fermée et prête à repartir dans votre processus de déploiement.
Vous avez mis à jour le contenu de l’image à partir de votre poste, sans pour autant avoir
à rejouer un Sysprep et une recréation d’image.
293
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
294
La maintenance de l’image
4. Cliquez sur Activé ou sur Désactivé (Enabled ou Disabled) près des fonctionnalités
que vous souhaitez activer ou désactiver. Cliquez sur la flèche pour sélectionner le
contraire.
5. Vous devrez peut-être développer un élément pour voir tous ses enfants. Le parent
doit être activé si l’un de ses enfants est activé.
6. Cliquez sur Outils dans le menu principal et cliquez sur Valider le fichier de
réponses.
7. Corrigez toutes les erreurs qui apparaissent dans le volet Messages et sauvegardez
le fichier de réponses, par exemple sous le chemin C:\addwinfeatures.xml.
8. Montez l’image Windows hors connexion. Tapez imagex /mountrw
C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se
trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de
montage s’appelle C:\mount. La première image de Windows dans le fichier
moninstall.wim est montée sur C:\mount.
9. Dans l’Invite de commandes, exécutez la commande suivante : pkgmgr
/o:"C:\mount\;C:\mount\Windows" /n:"C:\addwinfeatures.xml".
10. Enfin, démontez le fichier .wim et validez les modifications. Tapez : imagex
/unmount /commit C:\mount.
L’image de Windows est fermée et prête à repartir dans votre processus de déploiement.
Vous avez ajouté, dans cet exemple, l’installation de la fonctionnalité Windows de
serveur web personnel comme effective pour chaque nouvelle installation faite à partir
de cette image.
7. Le déploiement des
Pour installer ou supprimer des packages à une image hors connexion, procédez de la
sorte :
1. Utilisez Windows SIM : ouvrez un catalogue existant en cliquant avec le bouton
droit de la souris sur Sélectionner une image Windows ou un fichier catalogue et en
spécifiant le type de fichier catalogue dans le menu contextuel (.clg), ou créez un
nouveau catalogue en cliquant sur Créer un catalogue dans le menu Outils.
2. Cliquez sur Insérer dans le menu principal et sélectionnez Packages.
3. Cherchez le package désiré et cliquez sur Ouvrir. Les packages sont des fichiers
.cab.
4. Validez et sauvegardez le fichier de réponses, par exemple sous le chemin
C:\newpackage.xml.
5. Montez l’image Windows hors connexion. Dans une Invite de commandes, tapez
imagex /mountrw C:\images\moninstall.wim 1 C:\mount, où l’image de
295
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
Vous avez rajouté un package de type fichier .cab à une image à froid.
2. Utilisez Windows SIM pour créer un fichier de réponses contenant uniquement les
modules linguistiques que vous souhaitez installer.
296
La maintenance de l’image
5. Utilisez ImageX pour monter l’image de Windows que vous souhaitez appliquer au
module linguistique. Dans une Invite de commandes, tapez imagex /mountrw
C:\images\moninstall.wim 1 C:\mount, où l’image de référence à modifier se
trouve dans le répertoire C:\images et s’appelle moninstall.wim et le répertoire de
montage s’appelle C:\mount. La première image de Windows dans le fichier
moninstall.wim est montée sur C:\mount.
6. Utilisez le Gestionnaire de packages pour appliquer le fichier de réponses de
l’installation sans assistance à l’image de Windows montée. Tapez : pkgmgr
/o:"C:\mount\;C:\mount\Windows" /n:"C:\langpack.xml".
en entreprise – phase 2
7. Le déploiement des
7. Utilisez Intlcfg.exe pour recréer le fichier Lang.ini et sélectionner les valeurs
internationales par défaut. Lorsque vous ajoutez ou supprimez des modules
linguistiques dans une image de Windows, vous devez recréer le fichier Lang.ini. Le
fichier Lang.ini est utilisé pendant l’installation de Windows et contient une liste de
tous les modules linguistiques disponibles, les emplacements des modules
linguistiques et la langue par défaut à utiliser pendant l’installation de Windows.
Recréez le fichier Lang.ini avec la commande suivante : intlcfg −genlangini
−dist:C:\images −image:C:\mount –defaultlang:fr−FR –all:fr−FR.
Le fichier Lang.ini est recréé et comprend une liste des modules linguistiques installés.
En outre, la langue par défaut à utiliser pendant le processus d’installation de Windows
et la langue par défaut de l’installation de Windows sont définies à fr−FR.
8. Vous pouvez afficher les langues qui sont disponibles ou qui sont installées dans
l’image de Windows avec l’option −report de la commande Intlcfg. Tapez :
intlcfg −report −dist:C:\images −image:C:\mount.
297
Chapitre 7 Le déploiement des ordinateurs Windows Vista en entreprise – phase 2
L’image de Windows est prête à être réinjectée dans votre processus de déploiement.
Si vous voulez modifier la langue utilisée pendant l’installation de Windows, vous devez
ajouter les ressources localisées de l’installation de Windows à la distribution de
Windows.
j L’installation des packages sur un ordinateur distant à travers un réseau n’est pas
en entreprise – phase 2
7. Le déploiement des
prise en charge. L’image de Windows doit être présente sur le système local. Le
Gestionnaire de packages peut prélever des packages sur un partage réseau, mais il
doit les copier sur un répertoire temporaire local, accessible en écriture, appelé
répertoire bac à sable (sandbox).
j Le Gestionnaire de packages s’exécute à partir d’une Invite de commandes et
comporte une interface utilisateur très limitée.
j Si vous spécifiez un fichier de réponses avec le Gestionnaire de packages, seuls les
paramètres spécifiés dans la passe de configuration OfflineServicing sont appliqués.
Tous les autres paramètres dans le fichier de réponses sont ignorés.
j Le Gestionnaire de packages peut être utilisé avec des fichiers image de Windows
plus anciens (.wim), mais pas avec des images de Windows qui sont plus récentes que la
version installée du WAIK de Windows Vista avec lequel le Gestionnaire de packages est
distribué.
298
En résumé
7.5. En résumé
Dans ces grandes lignes, le déploiement de Windows Vista n’a plus de secret pour vous.
Vous savez capturer et appliquer une image. Vous savez également que Windows Vista
met en œuvre un certain nombre d’outils qui permettent d’ajouter de la valeur, comme
Oobe.xml et la mise à jour à froid d’une image. Ces outils offrent une grande souplesse
dans la durée de vie de l’image dans le processus de déploiement. Utilisez-les.
7. Le déploiement des
299
Chapitre 8
Les services de
déploiement
Windows
8.1 Le fonctionnement des services de déploiement Windows . . . . . . . . . . . . . . . 303
8.2 Installer les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . . 305
8.3 Les modes de fonctionnement des services de déploiement Windows . . . . . . . . 309
8.4 Configurer les services de déploiement Windows . . . . . . . . . . . . . . . . . . . . . 310
8.5 Configurer DHCP pour les services de déploiement Windows . . . . . . . . . . . . . 312
8.6 Les images de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
8.7 Les images d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
8.8 Les groupes d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
8.9 La stratégie de noms de clients et l’emplacement de compte . . . . . . . . . . . . . 326
8.10 Le programme de démarrage par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 332
8.11 WDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
8.12 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Le fonctionnement des services de déploiement Windows
J usqu’à présent Windows Server 2003 ne disposait que d’un seul moyen de
déploiement nommé RIS (Remote Installation Services, "services d’installation à
distance"). Cet ensemble de services répondait aux besoins des entreprises, jusqu’à
l’arrivée de Windows Vista qui bouleverse les méthodes de déploiement chez Microsoft.
Pour répondre à ces changements, Windows Server 2003 SP2 inclut une version
profondément remaniée de RIS désormais nommée "services de déploiement Windows"
ou WDS, qui aide les entreprises à préparer l’arrivée de Windows Vista et de Windows
Server 2008. WDS assure le stockage, l’administration et le déploiement des images qui
utilisent le nouveau format WIM (Windows Imaging).
déploiement Windows
8. Les services de
Windows
Même si, dans l’ensemble, les démos ou les documents Microsoft montre l’exécution des
services de déploiement Windows sur des serveurs Longhorn, il n’en reste pas moins que
le composant peut être installé à partir des versions de serveurs Windows Server 2003
Service Pack 1. Il doit également fonctionner dans un environnement Active Directory,
ou un serveur DHCP doit être présent avec des adresses disponibles ainsi que DNS.
303
Chapitre 8 Les services de déploiement Windows
Globalement, WDS ressemble à RIS, puisque le premier prérequis pour installer WDS
consiste à installer le service RIS. Sachez qu’avec les services de déploiement Windows,
vous avez différents modes d’utilisation. On peut imaginer en effet que certaines
entreprises possèdent déjà un environnement RIS avec des images. Si vous installez les
services de déploiement Windows sur votre serveur RIS, les services de déploiement
Windows vont pouvoir fonctionner en mode mixte et vous pourrez réutiliser vos images
après les avoir converties. Cela signifie qu’il existe un chemin de migration entre les
serveurs RIS actuels et les services de déploiement Windows. Libre à vous de repartir de
zéro sur un serveur de services de déploiement Windows "propre" ou de réaliser une
mise à niveau de votre serveur RIS.
déploiement Windows
304
Installer les services de déploiement Windows
Pour cela, vous devez aller dans le sous-répertoire WDS du répertoire WAIK.
déploiement Windows
8. Les services de
Prérequis
Avant de commencer l’installation des services de déploiement Windows, vous devez
ajouter le service RIS. Pour cela, rendez-vous dans le menu Démarrer. Dans le
Panneau de configuration, sélectionnez Ajout et suppression de programme, puis
Ajout et suppression de composants Windows. Cochez la case Service d’installation à
distance.
305
Chapitre 8 Les services de déploiement Windows
Figure 8.3 : Ajout du service RIS comme prérequis d’installation des services de
déploiement Windows
Pour installer les services de déploiement Windows à partir d’une Invite de commandes,
procédez ainsi :
1. Ouvrez une fenêtre d’Invite de commandes en tant qu’administrateur et placez-vous
sur le dossier contenant l’installation du service.
2. Dans la fenêtre d’Invite de commandes, tapez WINDOWS−DEPLOYMENT
−SERVICES−UPDATE−X86 /quiet /forcerestart pour l’architecture de
l’ordinateur et l’architecture du système d’exploitation.
306
Installer les services de déploiement Windows
Une fois l’installation terminée, le serveur redémarre. Cependant, il faut vérifier que les
services sont bien installés. Pour cela, vous pouvez aller dans les outils d’administration
et vérifier la présence du service Héritage de service de déploiement Windows et des
services de déploiement Windows.
déploiement Windows
8. Les services de
Figure 8.5 : Vérification des services de déploiement dans le menu Outils d’administration
307
Chapitre 8 Les services de déploiement Windows
/log:<chemin_complet> Vous pouvez l’utiliser pour créer un fichier journal dans le chemin
8. Les services de
indiqué.
308
Les modes de fonctionnement des services de déploiement Windows
Le mode hérité
Le mode hérité des services de déploiement Windows fonctionne de manière similaire
aux services d’installation à distance (RIS). Dans ce mode, seul OSChooser est présent
comme système d’exploitation de démarrage et seules les images RISETUP et RIPREP
sont prises en charge. Les nouveaux outils de gestion des services de déploiement
Windows ne sont pas utilisés ; les utilitaires RIS hérités sont les seuls à autoriser la
gestion du serveur. Vous pouvez utiliser le mode hérité des services de déploiement
Windows en installant la mise à jour des services de déploiement Windows, mais sans la
configurer, par le biais de l’assistant d’installation ou à l’aide de WDSUTIL à partir
d’une Invite de commandes. Le mode hérité n’est pas pris en charge par Windows
Server 2003.
Le mode mixte
Le mode mixte des services de déploiement Windows décrit un état du serveur prenant
en charge les services RIS hérités et la nouvelle fonctionnalité des services de
déploiement Windows. En mode mixte, le menu OSChooser est disponible en même
temps que les images de démarrage Win PE. Dans ce mode, il sera possible d’accéder
aux anciens types d’images RISETUP et RIPREP par le biais d’OSChooser et les
nouvelles images de format WIM seront disponibles en utilisant une image de
démarrage Win PE (image de démarrage Windows Vista PE avec le client Services de
déploiement Windows). Du point de vue du client, un menu de démarrage permettra
d’effectuer des sélections dans RIS ou dans Windows Server Longhorn Win PE. D’un
point de vue gestion, un administrateur utilisera les outils de gestion hérités pour
administrer les images RISETUP et RIPREP et il utilisera les outils WDS pour
déploiement Windows
8. Les services de
administrer le serveur et les images WIM. Le mode mixte des services de déploiement
Windows n’est disponible que dans Windows Server 2003. Vous l’obtenez en installant
la mise à jour des services de déploiement Windows sur un serveur RIS configuré
précédemment et en configurant WDS à l’aide de l’assistant d’installation ou de
l’utilitaire WDSUTIL à partir d’une Invite de commandes.
Le mode natif
Le mode natif des services de déploiement Windows s’applique à un serveur WDS avec
des images de démarrage Win PE uniquement. Dans ce mode, OSChooser n’est pas
disponible et les images WIM sont le seul type d’images pris en charge pour le
309
Chapitre 8 Les services de déploiement Windows
déploiement vers les clients. La gestion du serveur s’effectue entièrement à partir des
nouveaux utilitaires de gestion des services de déploiement Windows. Le mode natif des
services de déploiement Windows est disponible sous Windows Server 2003, et
Windows Server Longhorn Il est le seul mode des services de déploiement Windows pris
en charge sous Windows Server Longhorn. Pour utiliser le mode natif sur un serveur
Windows Server 2003, installez, mais ne configurez pas RIS, puis installez et configurez
les services de déploiement Windows. Vous pouvez également forcer votre serveur à
passer en mode natif en exécutant WDSUtil /set−server /ForceNative.
310
Configurer les services de déploiement Windows
Figure 8.8 :
Installation d’un autre
chemin d’accès que la
partition système
déploiement Windows
8. Les services de
6. Dans la fenêtre Emplacement du dossier d’installation à distance, saisissez le
chemin d’accès, par exemple D:\RemoteInstall (voir fig. 8.9).
7. Dans la page de fin de l’Assistant Configuration des services de déploiement
Windows, vous pouvez ajouter des images au serveur ou désélectionner la case à
cocher Ajouter les images au serveur de déploiement Windows maintenant si vous
souhaitez ajouter des images ultérieurement. Cliquez sur Terminer.
311
Chapitre 8 Les services de déploiement Windows
Figure 8.9 :
Paramètres initiaux du
serveur
Une fois la console lancée, vous pouvez voir vos services de déploiement Windows dans
votre domaine Active Directory. En dessous du serveur se trouvent quatre icônes.
j Images d’installation : vous y trouvez toutes les images parsées.
j Images de démarrage : ici se trouve tout ce qui peut être bootable, Boot.wim (le
Win PE optimisé pour l’installation de Windows Vista) ainsi que vos Win PE
personnalisés.
j Images héritées : c’est la partie où sont stockées toutes les anciennes images RIS
réalisées à partir de Risetup.
déploiement Windows
8. Les services de
312
Configurer DHCP pour les services de déploiement Windows
L’option DHCP 60
Si votre serveur DHCP est installé sur le même serveur que les services de déploiement
Windows, l’assistant Installation des services de déploiement Windows ajoute la
balise 60 de l’option DHCP, avec le paramètre de client PXE sélectionné, à toutes les
étendues DHCP en tant qu’option DHCP globale. C’est nécessaire pour qu’un client
PXE de démarrage reçoive une notification de la présence d’un serveur PXE en écoute
sur le réseau.
déploiement Windows
8. Les services de
313
Chapitre 8 Les services de déploiement Windows
Figure 8.11 :
Configuration de
l’option DHCP 60 dans
le serveur de déploiement
Droits utilisateur
Pour exécuter cette procédure, vous devez être membre du groupe Opérateurs de
compte ou du groupe Administrateurs du domaine, ou avoir reçu par délégation les
autorisations nécessaires.
Le port 67
déploiement Windows
Si le service DHCP est installé sur le même serveur que les services de déploiement
8. Les services de
314
Les images de démarrage
Figure 8.12 :
Configuration du port 67
Droits utilisateur
Pour exécuter cette procédure, vous devez être membre du groupe Opérateurs de
déploiement Windows
compte ou du groupe Administrateurs du domaine, ou avoir reçu par délégation les
8. Les services de
autorisations nécessaires.
315
Chapitre 8 Les services de déploiement Windows
j Les images d’installation représentent le type d’image par défaut lorsque vous
exportez une image de démarrage à partir du magasin d’images des services de
déploiement Windows. Lorsqu’un client démarre une image d’installation, le
programme d’installation de Windows est immédiatement appelé.
j Les images de capture offrent une alternative à l’utilitaire de ligne de commande
ImageX lors de la capture d’une image préparée avec l’utilitaire Sysprep. Lorsqu’un
client démarre sur une image de capture, l’utilitaire de capture des services de
déploiement Windows est appelé et vous guide pour la capture et l’ajout d’une
nouvelle image.
j Les images de découverte sont des images de démarrage qui prennent en compte les
services de déploiement Windows, pouvant être copiées sur un CD pour être utilisé
lorsque les services de démarrage de l’environnement d’exécution de prédémarrage
(PXE) sont indisponibles. Après le démarrage sur une image de découverte,
l’utilisateur voit s’afficher le menu client des services de déploiement Windows et
continue le programme d’installation comme lorsqu’un démarrage PXE se produit.
316
Les images de démarrage
4. Dans la fenêtre Fichier Image, cliquez sur Parcourir pour sélectionner l’image à
ajouter, puis cliquez sur Suivant.
Figure 8.14 :
Emplacement du fichier
d’image bootable
déploiement Windows
8. Les services de
317
Chapitre 8 Les services de déploiement Windows
318
Les images d’installation
5. Dans la boîte de dialogue de confirmation, cliquez sur Oui pour supprimer l’image.
déploiement Windows
Les images d’installation sont des images du système d’exploitation qui sera installé sur
8. Les services de
les ordinateurs clients, qui démarrent sur un serveur des services de déploiement
Windows.
j Format WIM : les fichiers WIM représentent un nouveau format de fichier
contenant une ou plusieurs images Windows compressées. Les fichiers WIM
reposent sur des fichiers, plutôt que sur des secteurs, ce qui facilite la mise à jour des
images existantes. Les fichiers WIM intègrent également la technologie SIS (Single
Instance Storage), pour éviter les doublons de fichiers au sein d’un WIM.
j Images RIPREP : les images RIPREP sont des images des services d’installation à
distance héritées. Les services de déploiement Windows, en mode hérité ou mixte,
319
Chapitre 8 Les services de déploiement Windows
Figure 8.19 : Fichiers Res.rwm et Install.wim du groupe d’images Windows Vista x64
Chaque groupe d’images possède un fichier Res.rwm créé lors de l’ajout de la première
image au groupe. Res.rwm est connu comme étant un fichier WIM réservé aux
ressources uniquement ; toutes les ressources de tous les fichiers résident dans Res.rwm.
Le fichier .rwm est un fichier .wim renommé de manière à établir une distinction entre
le fichier .wim réservé aux ressources et le fichier .wims de métadonnées et à accélérer
320
Les groupes d’images
Les données d’un fichier WIM sont à instance unique, les fichiers dupliqués ne sont
donc stockés qu’une seule fois, ce qui réduit fortement le volume de stockage des images
d’un groupe d’images sur le disque.
déploiement Windows
8. Les services de
Figure 8.20 : Création d’un nouveau groupe d’images
4. dans le champ Entrez un nom pour le groupe d’images de la fenêtre Ajouter un groupe
d’images, saisissez Windows Vista x64, puis cliquez sur OK.
321
Chapitre 8 Les services de déploiement Windows
Figure 8.22 : Sélection du groupe dans lequel vous allez ajouter votre image
322
Les groupes d’images
4. Dans la fenêtre Fichier image, cliquez sur Parcourir pour sélectionner l’image à
ajouter, puis cliquez sur Suivant.
Figure 8.23 : Nom et chemin de l’image à ajouter dans le magasin du groupe d’images
Windows x64
5. Dans la fenêtre Liste des images disponibles, sélectionnez les images, activez
l’option Utilisez le nom par défaut et la description pour chaque image sélectionnée et
cliquez sur Suivant.
6. Dans la fenêtre Résumé, cliquez sur Suivant, puis sur Terminer.
déploiement Windows
1. Sélectionnez le menu Démarrer/Outils d’administration/Services de déploiement
8. Les services de
Windows.
2. Dans le volet gauche de la console Services de déploiement Windows, cliquez sur
Serveurs pour développer la liste.
3. Sélectionnez Images d’installation.
4. Sélectionnez le groupe d’images contenant l’image, par exemple Windows Vista x64.
323
Chapitre 8 Les services de déploiement Windows
5. Dans le volet droit, cliquez avec le bouton droit de la souris sur l’image et cliquez sur
Supprimer l’image.
6. Dans la boîte de dialogue, confirmez la suppression de l’image, cliquez sur Oui pour
supprimer l’image.
Figure 8.26 :
Confirmation de la suppression de l’image
324
Les groupes d’images
déploiement Windows
8. Les services de
325
Chapitre 8 Les services de déploiement Windows
en attente), le client est ajouté en tant que périphérique existant. Si l’installation est
effectuée sur un nouvel ordinateur, le client Services de déploiement Windows crée
un compte d’ordinateur dans Active Directory en fonction de ces paramètres de
stratégie. Le client sera alors joint en tant que nouveau compte.
326
La stratégie de noms de clients et l’emplacement de compte
déploiement Windows
Sur l’ordinateur client, un message s’affiche et indique l’ID de demande et l’adresse IP
8. Les services de
du serveur qui a été contacté lors du démarrage de l’ordinateur client.
8. Dans le composant logiciel enfichable Services de déploiement Windows,
sélectionnez le serveur que le client a contacté pour afficher le nouveau client sous
la rubrique Périphériques en attente.
327
Chapitre 8 Les services de déploiement Windows
Figure 8.30 : Client en attente dans le serveur dans la file d’attente du serveur de
déploiement
9. Cliquez avec le bouton droit de la souris sur le périphérique, puis cliquez sur
Approuver.
sont définis sous les onglets Propriétés du serveur et les valeurs sont utilisées lorsque le
client Services de déploiement Windows démarre la première phase de l’installation.
328
La stratégie de noms de clients et l’emplacement de compte
4. Dans la partie Stratégie de réponse PXE, cliquez sur Répondre à tous les ordinateurs
clients (connus et inconnus).
Figure 8.32 :
Paramètres de réponse
PXE
déploiement Windows
défaut (même domaine que le serveur des services de déploiement Windows) ou
8. Les services de
définissez une unité d’organisation pour le serveur.
8. Effectuez un démarrage PXE d’un ordinateur client pour le créer à l’aide de la
stratégie de nom de clients et de l’unité d’organisation spécifiées.
329
Chapitre 8 Les services de déploiement Windows
Bonne pratique
Évitez de créer une convention de nom qui pourrait générer des noms d’ordinateurs
dupliqués. Pour l’éviter, utilisez l’option de numéro incrémentiel décrite dans le
tableau précédent.
Lorsque vous définissez la règle d’attribution de noms de votre ordinateur, vous pouvez
limiter la longueur du nom de l’ordinateur en ajoutant une valeur numérique à la chaîne
de texte. Par exemple, pour réduire à trois caractères le nom d’ordinateur, avec un
numéro incrémentiel à deux chiffres ajoutés au nom de famille du dernier utilisateur,
utilisez la chaîne %3Last%02#. Le nom d’ordinateur attribué au cinquième utilisateur de
l’ordinateur dont le nom de famille est Paul, sera donc Paul05.
déploiement Windows
8. Les services de
330
La stratégie de noms de clients et l’emplacement de compte
déploiement Windows
8. Les services de
Figure 8.33 : Fichier WdsUnattendFile.xml
331
Chapitre 8 Les services de déploiement Windows
La présence de ces balises indique que les services de déploiement Windows doivent
insérer les informations d’ajout au domaine.
Programme de Fonctionnalité
démarrage
Abortpxe.com Ce programme est envoyé à un ordinateur client lorsqu’un
administrateur rejette un périphérique en attente.
Bootmgfw.efi La version EFI de pxeboot.com inclut toutes les fonctionnalités de
pxeboot.com, pxeboot.n12, abortpxe.com et bootmgr.exe.
Uniquement disponible pour ia64 actuellement.
Hdlscom1.com Vous pouvez utiliser ce programme pour rediriger la sortie du
microprogramme vers le port COM1 des systèmes qui ne prennent
pas en charge la redirection du microprogramme vers la console.
Vous pouvez ensuite appuyer sur [F12] pour passer au processus de
démarrage ou quitter ce processus en n’appuyant pas sur [F12].
Hdlscom1.n12 Vous pouvez utiliser ce programme pour rediriger la sortie du
microprogramme vers le port COM1 des systèmes qui ne prennent
pas en charge la redirection du microprogramme vers la console. Ce
déploiement Windows
serveur PXE.
Hdlscom2.com Vous pouvez utiliser ce programme pour rediriger la sortie du
microprogramme vers le port COM2 des systèmes qui ne prennent
pas en charge la redirection du microprogramme vers la console.
Vous pouvez ensuite appuyer sur [F12] pour passer au processus de
démarrage ou quitter ce processus en n’appuyant pas sur [F12].
332
WDSUTIL
Programme de Fonctionnalité
démarrage
Hdlscom2.n12 Vous pouvez utiliser ce programme pour rediriger la sortie du
microprogramme vers le port COM2 des systèmes qui ne prennent
pas en charge la redirection du microprogramme vers la console. Ce
programme ignorera la touche [F12] et démarrera directement le
serveur PXE.
Pxeboot.com Vous pouvez utiliser ce programme de démarrage (par défaut) pour
inviter l’utilisateur à appuyer sur la touche [F12] pour accéder aux
services de démarrage.
Pxeboot.n12 Vous pouvez utiliser ce programme de démarrage pour ignorer la
touche [F12] et démarrer directement sur le serveur PXE.
Wdsnbp.com Wdsnbp.com est un programme de démarrage réseau utilisé par
les services de déploiement Windows et ne doit jamais être utilisé en
tant que programme de démarrage par défaut. Wdsnbp.com sert
les opérations générales suivantes :
- Il bloque le démarrage PXE. Cela permet aux services de
déploiement Windows d’exécuter la logique de réponse avancée en
évitant que le client n’expire tandis qu’il attend le serveur.
- Il rapporte l’architecture du client de démarrage lorsque celle-ci ne
peut pas être déterminée à partir du paquet réseau de démarrage
PXE. C’est particulièrement important sur les systèmes x64 qui ne
rapportent pas leur architecture 64 bits.
- Il résout les cas de références PXE lorsque les services de
déploiement Windows et services d’installation à distance sont
présents sur le même réseau ou segment réseau.
- Il agit en tant que protocole de démarrage réseau pour les cas
d’ajouts automatiques où il bloquera le processus de démarrage PXE
et interrogera le serveur sur l’état d’approbation.
8.11. WDSUTIL
déploiement Windows
8. Les services de
wdsutil
wdsutil est l’outil en ligne de commandes qui permet de configurer et d’administrer les
services de déploiement de Windows.
333
Chapitre 8 Les services de déploiement Windows
334
WDSUTIL
déploiement Windows
8. Les services de
Pour configurer l’option DHCP 60 à l’aide de l’utilitaire WDSUtil, procédez ainsi :
1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le
bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en
tant qu’administrateur.
2. Dans la fenêtre d’Invite de commandes, tapez WDSUTIL /set−server
/DHCPOption60:yes.
335
Chapitre 8 Les services de déploiement Windows
✂ /imagefile:\\stlscpap01\share\sources\boot.wim /imagetype:boot
8. Les services de
336
WDSUTIL
Pour plus d’informations sur les commandes de WDSUTIL, ouvrez une Invite de
commandes et saisissez wdsutil /allhelp pour avoir la totalité des commandes du
serveur.
déploiement Windows
8. Les services de
Obtenir des informations sur le serveur de déploiement en
ligne de commandes
Pour lister la configuration de votre serveur à un instant donné, vous pouvez utiliser la
commande suivante :
1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le
bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant
qu’administrateur.
337
Chapitre 8 Les services de déploiement Windows
État du serveur :
Version du système : 5.2
Mode de fonctionnement WDS : Natif
État de l’installation :
Emplacement REMINST : e:\RemoteInstall
Partage REMINST à jour : Oui
Fichiers de démarrage installés :
x86 - Oui
x64 - Oui
ia64 - Non
[----------------------------------------------------------------------------]
Autorisation de serveur :
État de l’autorisation : Non autorisé
Stratégie de réponse :
Répondre aux clients : Oui
Répondre uniquement aux clients connus : Non
Délai de réponse : 0 secondes
Configuration DHCP :
État du service DHCP : En cours d’exécution
338
WDSUTIL
Stratégie autonome :
déploiement Windows
Activée : Non
8. Les services de
Précédence de ligne de commande : Non
Fichiers d’installation sans assistance WDS :
x86 -
x64 -
ia64 -
Stratégie OSChooser :
Nom de menu :
339
Chapitre 8 Les services de déploiement Windows
340
WDSUTIL
[----------------------------------------------------------------------------]
IMAGES DE DÉMARRAGE
==============================================================================
------------------------------
Images de démarrage pour x86
------------------------------
Nombre d’images : 2
------------------------------
Informations sur les images :
------------------------------
déploiement Windows
Maintenance x86 v.1.3
8. Les services de
Nom du fichier : Maintenance.wim
Nom de l’image : Maintenance x86 v.1.3
Description : Maintenance x86 v.1.3
Architecture : x86
Type d’image : Démarrage
Groupe d’images : <Non applicable>
Taille : 338034861 octets
Type HAL :
Heure de création : jeudi 2 novembre 2006 14:22:57
Dernière modification : samedi 3 février 2007 21:32:22
Langue par défaut : Français (France)
341
Chapitre 8 Les services de déploiement Windows
Autres langues :
Version du système d’exploitation : MicrosoftT WindowsT Operating System,
✂ 6.0.6000
Niveau de Service pack : 16386
Filtre utilisateur : <Non applicable>
Fichier d’installation sans assistance présent : Non
État : Activé
******************************************************************************
------------------------------
Images de démarrage pour ia64
------------------------------
Nombre d’images : 0
------------------------------
Informations sur les images :
------------------------------
------------------------------
Images de démarrage pour x64
------------------------------
Nombre d’images : 2
------------------------------
Informations sur les images :
------------------------------
342
WDSUTIL
==============================================================================
--------
Résumé :
--------
Nombre total de magasins d’images de démarrage : 3
Nombre total d’images de démarrage : 4
--------
IMAGES D’INSTALLATION
==============================================================================
--------------------
Groupe d’images Windows Vista x64
--------------------
Nom : Windows Vista x64
déploiement Windows
Sécurité :
8. Les services de
✂ O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI;
✂ FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)
Nombre d’images : 2
-----------------------------
Informations sur les images :
-----------------------------
343
Chapitre 8 Les services de déploiement Windows
✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80
8. Les services de
✂ -1688844526-3235337491-1375791646-891369040-3692469510)
Fichier d’installation sans assistance présent : Non
État : Activé
*****************************************************************************
--------------------
Groupe d’images Windows Vista x86
--------------------
Nom : Windows Vista x86
Sécurité :
✂ O:BAG:DUD:(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)(A;OICI;
✂ FA;;;S-1-5-80-1688844526-3235337491-1375791646-891369040-3692469510)
344
WDSUTIL
Nombre d’images : 2
-----------------------------
Informations sur les images :
-----------------------------
déploiement Windows
Type HAL : acpiapic
8. Les services de
Heure de création : jeudi 2 novembre 2006 13:37:02
Dernière modification : dimanche 4 février 2007 14:20:03
Langue par défaut : Français (France)
Autres langues :
Version du système d’exploitation : MicrosoftT WindowsT Operating System,
✂ 6.0.6000
Niveau de Service pack : 16386
Filtre utilisateur :
✂ O:BAG:DUD:(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;AU)(A;;FA;;;S-1-5-80-
✂ 1688844526-3235337491-1375791646-891369040-3692469510)
Fichier d’installation sans assistance présent : Non
État : Activé
345
Chapitre 8 Les services de déploiement Windows
******************************************************************************
==============================================================================
--------
Résumé :
--------
Nombre total de groupes d’images d’installation : 2
Nombre total d’images d’installation : 4
--------
--------
Résumé :
--------
Nombre total de groupes d’images non natives : 0
Nombre total d’images non natives : 0
--------
[----------------------------------------------------------------------------]
------------------------------
RÉSUMÉ GLOBAL SUR LES IMAGES :
------------------------------
Nombre total de magasins d’images de démarrage : 3
Nombre total d’images de démarrage : 4
Nombre total de groupes d’images d’installation : 2
Nombre total d’images d’installation : 4
Nombre total de groupes d’images non natives : 0
Nombre total d’images non natives : 0
------------------------------
procédez ainsi :
1. Sélectionnez le menu Démarrer/Tous les programmes/Accessoires, cliquez avec le
bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant
qu’administrateur.
2. Dans la fenêtre d’Invite de commandes, tapez wdsutil /start−server.
C:\Documents and Settings\Administrateur>wdsutil /start-server
346
En résumé
8.12. En résumé
Dans ce chapitre, nous avons vu que Windows Server 2003 possède à présent deux
services de déploiement : le serveur RIS en natif depuis l’arrivée de Windows
Server 2003 et les services de déploiement Windows. Ces nouveaux services de
déploiement permettent de continuer à déployer les anciennes images présentes dans
votre système d’informations, mais également les images de Windows Vista. Pour
assurer la compatibilité, ce serveur peut fonctionner selon trois modes.
déploiement Windows
8. Les services de
de WDS, l’administration et l’exploitation des serveurs sont classées en trois catégories,
connues sous le nom de "modes serveurs".
j Le mode compatible WDS est fonctionnellement équivalent à RIS. Les binaires de
WDS se comportent comme RIS. Dans ce mode, seul OSChooser sera présent
comme système d’exploitation d’amorçage. Cependant, seules les images RISETUP
et RIPREP sont prises en charge. Les nouveaux outils d’administration de WDS ne
sont pas utilisés. Les anciens utilitaires RIS sont les seuls moyens pour administrer
le serveur. Le mode compatible WDS ne peut fonctionner que sur Windows
Server 2003.
347
Chapitre 8 Les services de déploiement Windows
j Le mode mixte de WDS décrit un état serveur ou les deux images d’amorçage,
OSChooser et Windows PE, sont disponibles. Dans ce mode, l’accès aux anciens
types d’images RISETUP et RIPREP est possible via OSChooser. En outre, il est
possible d’exploiter le nouveau format WIM via une image d’amorçage
Windows PE. Du côté poste client, un menu d’amorçage permettra de choisir entre
RIS et Windows PE. L’administrateur pourra exploiter les anciens outils pour gérer
les images RISETUP et RIPREP, et utiliser les nouveaux outils WDS pour gérer
toutes les facettes du serveur aussi bien que les images WIM. Le mode mixte WDS
ne peut fonctionner que sur Windows Server 2003.
Ces différents modes permettent une transition en douceur entre les fonctionnalités
RIS existantes et les nouvelles de WDS qui seront les seules à exister dans Windows
Server 2008.
348
En résumé
Le passage d’une exploitation RIS à WDS en mode compatible (binaires WDS mais
fonctionnalités RIS) s’effectue lorsqu’un serveur RIS existant est mis à jour vers WDS.
À partir de cet instant, l’utilisation des outils d’administration WDS (tels que MMC et
l’interface à la ligne de commandes) pour initialiser le serveur fait passer WDS en mode
mixte. Le passage en mode natif s’effectue lorsque les images anciennes sont converties
au format WIM et que la fonctionnalité OSChooser est inhibée (via la commande
/forceNative).
Pour conclure ce chapitre, ce qu’il faut retenir est que ce nouveau service de
déploiement a pour objectif d’unifier les anciens modes de déploiement tel que RIS et
les nouveaux modes de déploiement de type WIM. Le service fonctionne avec trois
niveaux de compatibilité. Ce service demande quelques prérequis tel que le Service Pack
1 de Windows Server 2003 ou encore le Framework .Net. Le grand avantage proposé par
le service de déploiement est qu’il est quasiment administrable en ligne de commandes.
déploiement Windows
8. Les services de
349
Chapitre 9
L’intégration de
Windows Vista dans
l’infrastructure
9.1 L’intégration dans le domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . 353
9.2 Les stratégies de groupe avec Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . 362
9.3 La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active
Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
9.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
L’intégration dans le domaine Active Directory
D ans le monde des entreprises, les services informatiques mettent en œuvre, font
évoluer et modifient les infrastructures systèmes leur permettant de mieux
l’infrastructure
l’infrastructure qui permet une administration centralisée des ressources s’appelle
Active Directory.
Windows Vista remplace Windows XP dans le contexte d’entreprise. Windows Vista est
taillé pour répondre aux exigences, de plus en plus grandes, d’amélioration de la
productivité des utilisateurs en entreprise.
Windows Vista arrive dans les entreprises et ces dernières disposent toutes d’un système
d’information existant. Que ce soit la petite PME avec cinq ou six postes ou la grande
entreprise avec plus de 2000 utilisateurs. Windows Vista va devoir cohabiter avec les
différentes versions de systèmes d’exploitation existants dans l’entreprise et surtout,
Windows Vista va devoir cohabiter au sein de l’infrastructure système et réseau de
l’entreprise. Dans le cadre des systèmes d’exploitation Microsoft, Windows Vista devra
cohabiter au sein des forêts et domaines Active Directory.
Il en va de même pour Windows Vista. Il s’intègre bien dans les forêts et les domaines
Active Directory existants, mais nous en tirerons tout le potentiel uniquement lorsque le
successeur de Windows Server 2003 (connu sous le nom actuel de Windows Server
Longhorn) sera sorti et que l’infrastructure Active Directory sera mise à niveau,
c’est-à-dire pas avant fin 2007.
Prenons l’exemple d’une société fictive pour étayer nos démonstrations. Cette société se
compose d’un domaine, lui-même composé de stations de travail Windows XP
Professionnel. Aujourd’hui, cette entreprise installe des ordinateurs Windows Vista
pour répondre aux besoins d’une certaine population de l’entreprise et souhaite les
intégrer au domaine existant.
Ces ordinateurs Windows Vista ont déjà été installés selon la procédure adéquate. Voici
comment procéder pour les intégrer au domaine…
353
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
L’interface graphique
Windows Vista dans
9. L’intégration de
2. Cliquez sur le logo Windows pour ouvrir le menu de démarrage, puis cliquez avec le
bouton droit de la souris de la souris sur Ordinateur.
354
L’intégration dans le domaine Active Directory
355
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
l’infrastructure
7. Validez, puis tapez l’identifiant d’un compte du domaine possédant les droits pour
ajouter un ordinateur au domaine. Cliquez sur OK.
Figure 9.6 : Fenêtre d’identification d’un compte du domaine possédant les droits
d’ajouter un ordinateur au domaine
356
L’intégration dans le domaine Active Directory
Si tout se passe bien, vous verrez apparaître un message de bienvenue dans votre
domaine. Vous devrez, comme dans toutes les versions précédentes de Windows,
l’infrastructure
Figure 9.7 : Vous devez redémarrer pour que vos changements prennent effet
357
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
l’infrastructure
Regardons maintenant de plus près comment ce nouvel ordinateur apparaît sous Active
Directory Windows Server 2003. Pour cela, connectez-vous à un contrôleur de domaine
ou un serveur Windows Server 2003 ou encore à une station de travail comprenant les
outils d’administration permettant de lancer l’outil Utilisateurs et Ordinateurs Active
Directory (cette dernière méthode est la plus sécurisée). Nous considérons que vous
êtes administrateur de l’infrastructure Active Directory de l’entreprise.
358
L’intégration dans le domaine Active Directory
L’interface graphique
l’infrastructure
Ordinateurs Active Directory en cliquant sur Démarrer/Programmes/Outils
d’administration et Utilisateurs et Ordinateurs Active Directory.
3. Cliquez deux fois sur le compte d’ordinateur WTLSCPVI01. La fenêtre des propriétés
du compte s’ouvre. Cliquez sur l’onglet Système d’Exploitation.
359
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
Figure 9.12 :
Onglet Système
Windows Vista dans
9. L’intégration de
d’Exploitation de la
l’infrastructure
fenêtre Propriétés du
compte d’ordinateur
WTLSCPVI01
Toutefois, nous vous recommandons de bien isoler tous les comptes d’ordinateurs de
machines Windows Vista en les sortant du conteneur Computers et en les mettant à part,
soit dans une unité d’organisation spécifique commune à l’infrastructure, soit dans une
sous-unité d’organisation spécifique à chaque unité d’organisation représentant un
service de l’entreprise. Vous simplifierez ainsi votre vision du parc informatique et
l’administration centralisée des machines.
Prenons l’exemple d’une unité d’organisation spécifique à toutes les stations de travail
Windows Vista de l’entreprise.
1. Créez une unité d’organisation appelée Ordinateurs Vista.
2. Par glisser-déposer, placez le compte d’ordinateur WTLSCPVI01 dans la nouvelle
unité d’organisation. Le compte d’ordinateur est plus facilement identifiable et
administrable.
360
L’intégration dans le domaine Active Directory
Figure 9.13 :
Une unité d’organisation
l’infrastructure
ordinateurs Windows
Vista
Votre ordinateur Windows Vista est prêt à être administré de façon centralisée via les
stratégies de groupe.
Attention tout de même : si vous éteignez l’ordinateur alors qu’un autre utilisateur a des
programmes en cours d’exécution, ses fichiers non enregistrés seront perdus.
361
Windows Vista dans Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
9. L’intégration de
l’infrastructure
Windows Vista renforce la notion des stratégies de groupe, bien connues depuis
Windows 2000, afin de toujours améliorer et simplifier les opérations d’administration.
Ces nouveautés des stratégies de groupe vont tendre vers une administration du parc
informatique toujours plus centralisée.
362
Les stratégies de groupe avec Windows Vista
l’infrastructure
groupe locales, c’est-à-dire configurables et applicables localement à l’ordinateur, et des
stratégies de groupe d’infrastructure, c’est-à-dire configurables via Active Directory soit
au niveau de l’unité d’organisation, soit au niveau du site ou du domaine et applicables
en même temps sur tout le spectre d’ordinateurs et d’utilisateurs concernés (par
exemple tous les ordinateurs et les utilisateurs d’une même unité d’organisation). Ces
dernières, au contraire des stratégies de groupe locales, permettent de configurer de
façon centralisée une seule stratégie de groupe applicable potentiellement sur tous les
utilisateurs et les ordinateurs d’un domaine ou d’une unité d’organisation ou d’un site.
Au sein d’une stratégie de groupe, de très nombreux paramètres peuvent être modifiés :
que ce soit au niveau de l’ordinateur (icônes du Bureau, longueur des mots de passe,
etc.) ou au niveau de l’utilisateur (personnalisation d’Internet Explorer, redirection de
dossiers, etc.). Sous Windows XP près de 1500 paramètres sont configurables. Sachez
que sous Windows Vista, près de 3000 paramètres sont configurables, c’est-à-dire le
double.
Vous trouverez dans les chapitres suivants de ce volume tout ce qu’il faut savoir sur
Active Directory. Le tome II, quant à lui, détaillera les stratégies de groupe, entre
autres.
Voici les principales nouveautés apportées par les stratégies de groupes sous Windows
Vista…
Ouvrez une stratégie de groupe créée auparavant par l’infrastructure Active Directory
Windows Server 2003 R2 de corp.puzzmania.com à l’aide de la GPMC (console de
gestion de stratégie de groupe), téléchargeable à partir du site de Microsoft.
363
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
2. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L’utilisateur suivant,
tapez CORP\Administrateur comme nom d’utilisateur, puis le mot de passe
Windows Vista dans
9. L’intégration de
Figure 9.15 : Édition d’une stratégie de groupe avec la console de gestion des stratégies
de groupe
Figure 9.16 : Édition d’une stratégie de groupe placée sur une unité d’organisation
364
Les stratégies de groupe avec Windows Vista
l’infrastructure
Figure 9.17 : Fenêtre de sélection des fichiers ADM
6. Sélectionnez un fichier ADM (les fichiers sont souvent classés selon leur rôle,
Windows Media Player par exemple). Une fois sélectionné, vous pouvez configurer
les paramètres que vous souhaitez en fonction du modèle ADM.
Les fichiers ADM modifient des paramètres de la base de Registre. En employant les
fichiers ADM sous Windows 2000, Windows Server 2003 et Windows XP, les
utilisateurs et Microsoft se sont aperçus de deux inconvénients :
j Le format ADM n’est pas standard.
j Tous les fichiers ADM sont dupliqués pour chaque stratégie de groupe
d’infrastructure, alourdissant ainsi son application.
Windows Vista introduit les fichiers ADMX, une collection de fichiers ayant la même
fonction que les fichiers ADM, mais qui ont la particularité d’être des fichiers standards
XML : il est possible de créer un répertoire de stockage central où toutes les stratégies
de groupe du domaine viendront lire les informations dont elles ont besoin. Ce nouveau
format permet de résoudre les inconvénients détectés au préalable avec le format ADM.
Les fichiers ADMX permettent également la gestion unifiée des langues prises en
charge avec l’introduction des fichiers ADML qui donnent la possibilité d’ajuster les
paramètres des stratégies de groupe avec des langues différentes, selon les applications
par exemple.
365
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
Le format ADMX étant une nouveauté Windows Vista, seul Windows Vista
l’infrastructure
aujourd’hui est capable d’en tirer les bénéfices. Les nouvelles options de
paramétrages de Windows Vista sont uniquement accessibles dans un fichier ADMX,
donc invisibles des outils d’administration Windows XP ou Server 2003. Le format
n’est pas rétrocompatible avec les versions antérieures de Windows. Par contre, qui
peut le plus, peut le moins : un ordinateur Windows Vista sait parfaitement gérer les
fichiers ADM des versions antérieures de Windows.
Pour mettre en œuvre les fichiers ADMX, considérons deux cas : le cas simple de la
stratégie locale, puis le cas de l’implémentation des fichiers ADMX dans un
environnement Active Directory existant.
L’éditeur de stratégies de groupe que vous venez de lancer va lire automatiquement les
fichiers de configuration au format ADMX.
3. Vous pouvez développer l’arborescence, éditer et modifier un paramètre (voir
fig. 9.19).
Sous Windows Vista, les fichiers ADMX sont localisés sous %systemroot%
\PolicyDefinitions\. Par défaut %systemroot% correspond à C:\WINDOWS. En
comparaison, les fichiers ADM se trouvaient sous %systemroot% \inf\. Et les fichiers
ADML sont localisés sous %systemroot%\PolicyDefinitions\fr-FR pour la France.
366
Les stratégies de groupe avec Windows Vista
367
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
Il existe, à la base, 132 fichiers ADMX. Autrement dit, contrairement aux versions
antérieures de Windows et aux fichiers ADM, à peu près tous les paramètres sont
Windows Vista dans
9. L’intégration de
Éditons un fichier ADMX pour constater qu’il est bien au format XML standard.
Cliquez deux fois sur un fichier ADMX. Prenons l’exemple du fichier
AddRemovePrograms.admx ; il contient les éléments suivants :
<?xml version="1.0" encoding="utf-8"?>
<!-- (c) 2006 Microsoft Corporation -->
<policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0"
✂ schemaVersion="1.0"
✂ xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
<policyNamespaces>
<target prefix="addremoveprograms" namespace="Microsoft.Policies
✂ .AddRemovePrograms" />
<using prefix="windows" namespace="Microsoft.Policies.Windows" />
</policyNamespaces>
<resources minRequiredRevision="1.0" />
<categories>
<category name="Arp" displayName="$(string.Arp)">
<parentCategory ref="windows:ControlPanel" />
</category>
</categories>
<policies>
<policy name="DefaultCategory" class="User" displayName="$(string
✂ .DefaultCategory)" explainText="$(string.DefaultCategory_Help)"
✂ presentation="$(presentation.DefaultCategory)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
<elements>
<text id="DefaultCategoryBox" valueName="DefaultCategory" required="true"
✂ />
</elements>
</policy>
<policy name="NoAddFromCDorFloppy" class="User" displayName="$(string
✂ .NoAddFromCDorFloppy)" explainText="$(string.NoAddFromCDorFloppy_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoAddFromCDorFloppy">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoAddFromInternet" class="User" displayName="$(string
✂ .NoAddFromInternet)" explainText="$(string.NoAddFromInternet_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoAddFromInternet">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
368
Les stratégies de groupe avec Windows Vista
9. L’intégration de
l’infrastructure
✂ valueName="NoAddFromNetwork">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoAddPage" class="User" displayName="$(string.NoAddPage)"
✂ explainText="$(string.NoAddPage_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoAddPage">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoAddRemovePrograms" class="User" displayName="$(string
✂ .NoAddRemovePrograms)" explainText="$(string.NoAddRemovePrograms_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoAddRemovePrograms">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoChooseProgramsPage" class="User" displayName="$(string
✂ .NoChooseProgramsPage)" explainText="$(string.NoChooseProgramsPage_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoChooseProgramsPage">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoRemovePage" class="User" displayName="$(string.NoRemovePage)"
✂ explainText="$(string.NoRemovePage_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoRemovePage">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoServices" class="User" displayName="$(string.NoServices)"
✂ explainText="$(string.NoServices_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoServices">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoSupportInfo" class="User" displayName="$(string
✂ .NoSupportInfo)" explainText="$(string.NoSupportInfo_Help)"
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoSupportInfo">
<parentCategory ref="Arp" />
<supportedOn ref="windows:SUPPORTED_WindowsPreVista" />
</policy>
<policy name="NoWindowsSetupPage" class="User" displayName="$(string
✂ .NoWindowsSetupPage)" explainText="$(string.NoWindowsSetupPage_Help)"
369
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
✂ key="Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall"
✂ valueName="NoWindowsSetupPage">
Windows Vista dans
l’infrastructure
Vous remarquez que les paramètres sont traduits en français. C’est possible grâce au
fichier AddRemovePrograms.adml correspondant qui fait le lien entre les paramètres
définis en anglais et une traduction française. Voici un tout petit extrait du contenu du
fichier ADML sur un seul paramètre :
<?xml version="1.0" encoding="utf-8"?>
<!-- (c) 2006 Microsoft Corporation -->
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
✂ xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0"
✂ schemaVersion="1.0"
✂ xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
<displayName>tapez le nom complet ici</displayName>
<description>tapez la description ici</description>
370
Les stratégies de groupe avec Windows Vista
<resources>
<stringTable>
9. L’intégration de
l’infrastructure
<string id="DefaultCategory">Spécifie la catégorie par défaut pour Ajouter
✂ de nouveaux programmes</string>
<string id="DefaultCategory_Help">Spécifie la catégorie des programmes qui
✂ apparaît quand les utilisateurs ouvrent la page "Ajouter de nouveaux
✂ programmes".
Pour utiliser ce paramètre, tapez le nom d’une catégorie dans la zone Catégorie
✂ pour ce paramètre. Vous devez entrer une catégorie qui est déjà définie dans
✂ Ajouter ou supprimer des programmes. Pour définir une catégorie, utilisez
✂ Installation de logiciel.
Vous pouvez utiliser ce paramètre pour diriger les utilisateurs vers les
✂ programmes dont ils auront certainement besoin.
371
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
3. Une fenêtre s’ouvre pointant sur le sous-répertoire Policies dans Sysvol. Vous
remarquez les répertoires représentant les identifiants uniques des stratégies de
Windows Vista dans
9. L’intégration de
PolicyDefinitions.
Figure 9.23 : Les fichiers ADMX et ADML sont copiés dans le répertoire
PolicyDefinitions du Sysvol
Pour tirer parti de ce répertoire central, vous allez créer une stratégie de groupe afin de
contrôler les paramètres de tous les ordinateurs Windows Vista contenus dans l’unité
d’organisation Ordinateurs Vista.
Attention, cette stratégie de groupe sera créée dans un domaine Active Directory
Windows Server 2003 pour contrôler des ordinateurs Windows Vista. La condition sine
372
Les stratégies de groupe avec Windows Vista
qua non pour que cela fonctionne est qu’il faut que cette stratégie de groupe soit créée
à partir d’un ordinateur Windows Vista. Pour cela, Windows Vista intègre par défaut la
l’infrastructure
1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez.
La console de gestion des stratégies de groupe s’ouvre.
2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe.
3. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe. Un menu
déroulant apparaît. Cliquez sur Nouveau.
4. Donnez un nom à votre stratégie de groupe, par exemple param ordi vista.
373
Windows Vista dans Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
9. L’intégration de
l’infrastructure
5. Cliquez avec le bouton droit de la souris sur l’objet Stratégie de groupe. Dans le menu
déroulant, cliquez sur Modifier. La stratégie de groupe param ordi vista s’ouvre.
Vous n’avez qu’à modifier les paramètres que vous souhaitez. Automatiquement, la
stratégie de groupe lira les fichiers ADMX localisés dans le répertoire de stockage
central.
6. Liez la stratégie de groupe à l’unité d’organisation Ordinateurs Vista. Pour cela, dans
l’interface de la GPMC, glissez la stratégie de groupe param ordi vista du conteneur
Objets de stratégie de groupe vers l’unité d’organisation Ordinateurs Vista.
374
Les stratégies de groupe avec Windows Vista
9. L’intégration de
l’infrastructure
sauvegarde des stratégies de groupe afin d’anticiper toute éventualité de sinistre. Grâce
à la GPMC intégrée à Windows Vista, vous avez l’occasion de réaliser la sauvegarde de
toutes les stratégies de groupe et être sûr que ses sauvegardes prendront en compte les
nouveautés apportées par Windows Vista.
375
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
Figure 9.29 :
Description de
Windows Vista dans
9. L’intégration de
sauvegarde de GPO
l’infrastructure
Figure 9.30 :
Fin de l’opération de
sauvegarde
376
Les stratégies de groupe avec Windows Vista
Deux options s’offrent à vous. Pour restaurer une version précédente d’un objet de
stratégie de groupe existant, procédez comme suit :
377
Windows Vista dans Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
9. L’intégration de
l’infrastructure
378
Les stratégies de groupe avec Windows Vista
l’infrastructure
la configuration de l’utilisateur (le fond d’écran, Internet Explorer, etc.) et/ou liés à la
configuration de l’ordinateur (les droits d’accès à l’ordinateur, par exemple). Dans les
versions antérieures de Windows, une seule stratégie de groupe locale existait. Cela peut
paraître normal : une seule stratégie locale pour contrôler soit les paramètres
d’ordinateur, soit les paramètres d’utilisateur. Dans certains cas cependant, le fait qu’il
n’y ait qu’une stratégie de groupe locale peut entraîner certaines limitations. En effet, si
vous utilisez votre ordinateur Windows, hors domaine, comme kiosque ou borne d’accès
en libre-service, vous allez configurer la stratégie de groupe locale afin de répondre à vos
besoins, c’est-à-dire pour sécuriser et simplifier son accès. Mais, lorsque vous agissez
ainsi, vous appliquez la stratégie locale à tous les utilisateurs qui se loguent sur cet
ordinateur, y compris l’administrateur, entraînant alors des difficultés d’administration.
Pour créer et configurer plusieurs stratégies locales sous Windows Vista, suivez cette
procédure :
1. Cliquez sur le logo Windows de la barre des tâches, puis tapez mmc et validez. La
console MMC s’ouvre. Windows Vista en propose la version 3.
379
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
l’infrastructure
380
Les stratégies de groupe avec Windows Vista
5. Une fenêtre s’ouvre afin que vous choisissiez une stratégie de groupe. Cliquez sur
l’onglet Utilisateurs.
Figure 9.38 :
Onglet Utilisateurs
6. Choisissez l’utilisateur local ou le groupe local que vous souhaitez configurer. Vous
ne voyez pas tous vos groupes locaux sur la liste, mais uniquement deux catégories :
les administrateurs et les non-administrateurs. Validez, puis cliquez sur OK.
381
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
Répétez cette opération pour tous les utilisateurs que vous souhaitez configurer.
Vous obtenez la console de configuration suivante :
Windows Vista dans
9. L’intégration de
l’infrastructure
Vous avez là plusieurs stratégies de groupe locales basées sur des utilisateurs locaux ou
sur des catégories d’utilisateurs locaux : les administrateurs ou les non-administrateurs.
382
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
intégration des machines Windows Vista dans votre infrastructure. Une partie de ces
améliorations reste tout de même applicable aux ordinateurs Windows XP, ce qui est un
l’infrastructure
Les nouveaux paramètres de stratégie de groupe apportent un support avancé pour les
ordinateurs Windows Vista en ce qui concerne la gestion des réseaux filaires Ethernet
IEEE 802.3, la gestion des réseaux sans fil Ethernet IEEE 802.11 et la prise en charge de
la fonctionnalité de cryptage fort de la partition du disque dur : Bitlocker. C’est sur la
prise en compte de ces nouveaux paramètres que vous allez pouvoir modifier le schéma
de votre infrastructure Active Directory existante afin de tirer parti de ces améliorations
au plus tôt, sans attendre Windows Server Longhorn.
Dans une infrastructure Active Directory existante de niveau Windows Server 2003 ou
Windows Server 2003 R2, vous pouvez étendre le schéma Active Directory pour que vos
ordinateurs Windows Vista profitent de ces paramètres. L’exercice consiste à ajouter les
attributs suivants dans Active Directory :
j ms−net−ieee−8023−GP−PolicyGUID : identificateur unique pour la gestion des
réseaux filaires dans les objets de stratégie de groupe.
j ms−net−ieee−8023−GP−PolicyData : inclut les valeurs des paramètres pour la
gestion des réseaux filaires dans les objets de stratégie de groupe.
j ms−net−ieee−8023−GP−PolicyReserved : réservé à un usage futur.
383
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/default.mspx.
l’infrastructure
dn: CN=ms-net-ieee-8023-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-8023-GP-PolicyData
adminDisplayName: ms-net-ieee-8023-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which
✂ comprise a group policy configuration for 802.3 wired networks.
attributeId: 1.2.840.113556.1.4.1955
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
384
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
systemOnly: FALSE
searchFlags: 0
l’infrastructure
schemaIdGuid:: i5SYg1d0kU29TY1+1mnJ9w==
showInAdvancedViewOnly: TRUE
systemFlags: 16
dn: CN=ms-net-ieee-8023-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-8023-GP-PolicyReserved
adminDisplayName: ms-net-ieee-8023-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1956
attributeSyntax: 2.5.5.10
omSyntax: 4
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1048576
schemaIdGuid:: xyfF0wYm602M/RhCb+7Izg==
showInAdvancedViewOnly: TRUE
systemFlags: 16
# -----------------------------------------------------------
✂ # Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
-
# -----------------------------------------------------------
# define schemas for the parent class:
#ms-net-ieee-8023-GroupPolicy
# -----------------------------------------------------------
dn: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: classSchema
ldapDisplayName: ms-net-ieee-8023-GroupPolicy
adminDisplayName: ms-net-ieee-8023-GroupPolicy
adminDescription: This class represents an 802.3 wired network group policy
✂ object. This class contains identifiers and configuration data relevant
✂ to an 802.3 wired network.
governsId: 1.2.840.113556.1.5.252
objectClassCategory: 1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemMayContain: 1.2.840.113556.1.4.1956
systemMayContain: 1.2.840.113556.1.4.1955
systemMayContain: 1.2.840.113556.1.4.1954
385
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
systemPossSuperiors: 1.2.840.113556.1.3.30
systemPossSuperiors: 1.2.840.113556.1.3.23
Windows Vista dans
9. L’intégration de
systemPossSuperiors: 2.5.6.6
l’infrastructure
schemaIdGuid:: ajqgmRmrRkSTUAy4eO0tmw==
defaultSecurityDescriptor:
✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
✂ (A;;RPLCLORC;;;AU)
showInAdvancedViewOnly: TRUE
defaultHidingValue: TRUE
systemOnly: FALSE
defaultObjectCategory:
✂ CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# -----------------------------------------------------------
# Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
Le schéma est modifié. Il ne vous reste plus qu’à créer ou ouvrir une stratégie de groupe
existante, à partir d’un ordinateur Windows Vista :
1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez.
La console de gestion des stratégies de groupe s’ouvre.
2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe.
386
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
3. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous
souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier.
Vous pouvez étendre le schéma Active Directory pour que vos ordinateurs Windows
Vista puissent profiter de ces paramètres. L’exercice consiste à ajouter les attributs
suivants dans Active Directory…
j ms−net−ieee−80211−GP−PolicyGUID : identificateur unique pour la gestion des
réseaux sans fil dans les objets de stratégie de groupe.
j ms−net−ieee−80211−GP−PolicyData : inclut les valeurs des paramètres pour la
gestion des réseaux sans fil dans les objets de stratégie de groupe.
j ms−net−ieee−80211−GP−PolicyReserved : réservé pour un usage futur.
387
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
ainsi :
l’infrastructure
1. Sur le contrôleur de domaine approprié (par expérience, celui qui détient le rôle de
maître de schéma), ouvrez le Bloc-notes et copiez le script suivant :
# -----------------------------------------------------------
# Copyright (c) 2006 Microsoft Corporation
#
# MODULE: 802.11Schema.ldf
# -----------------------------------------------------------
# -----------------------------------------------------------
# define schemas for these attributes:
#ms-net-ieee-80211-GP-PolicyGUID
#ms-net-ieee-80211-GP-PolicyData
#ms-net-ieee-80211-GP-PolicyReserved
# -----------------------------------------------------------
dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDescription: This attribute contains a GUID which identifies a specific
✂ 802.11 group policy object on the domain.
attributeId: 1.2.840.113556.1.4.1951
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g==
showInAdvancedViewOnly: TRUE
systemFlags: 16
dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which
✂ comprise a group policy configuration for 802.11 wireless networks.
attributeId: 1.2.840.113556.1.4.1952
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ==
showInAdvancedViewOnly: TRUE
388
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
systemFlags: 16
l’infrastructure
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1953
attributeSyntax: 2.5.5.10
omSyntax: 4
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg==
showInAdvancedViewOnly: TRUE
systemFlags: 16
# -----------------------------------------------------------
# Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
-
# -----------------------------------------------------------
# define schemas for the parent class:
#ms-net-ieee-80211-GroupPolicy
# -----------------------------------------------------------
dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: classSchema
ldapDisplayName: ms-net-ieee-80211-GroupPolicy
adminDisplayName: ms-net-ieee-80211-GroupPolicy
adminDescription: This class represents an 802.11 wireless network group
✂ policy object. This class contains identifiers and configuration data
✂ relevant to an 802.11 wireless network.
governsId: 1.2.840.113556.1.5.251
objectClassCategory: 1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemMayContain: 1.2.840.113556.1.4.1953
systemMayContain: 1.2.840.113556.1.4.1952
systemMayContain: 1.2.840.113556.1.4.1951
systemPossSuperiors: 1.2.840.113556.1.3.30
systemPossSuperiors: 1.2.840.113556.1.3.23
systemPossSuperiors: 2.5.6.6
schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==
389
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
defaultSecurityDescriptor:
✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
Windows Vista dans
✂ (A;;RPLCLORC;;;AU)
9. L’intégration de
l’infrastructure
showInAdvancedViewOnly: TRUE
defaultHidingValue: TRUE
systemOnly: FALSE
defaultObjectCategory:
✂ CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# -----------------------------------------------------------
# Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
Le schéma est maintenant modifié. Il ne vous reste plus qu’à créer ou à ouvrir une
stratégie de groupe existante, à partir d’un ordinateur Windows Vista :
1. Cliquez sur le logo Windows de la barre des tâches, puis tapez gpmc.msc et validez.
La console de gestion des stratégies de groupe s’ouvre.
2. Développez l’arborescence jusqu’au conteneur Objets de stratégie de groupe.
3. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous
souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier.
390
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
l’infrastructure
5. Cliquez sur Créer une nouvelle stratégie Windows Vista. La fenêtre des propriétés
s’ouvre.
6. Vous pouvez entrer un nom et une description. Vous pouvez entrer la liste des SSID
autorisés. Cliquez sur l’onglet Permissions réseau. Vous pouvez ajuster vos
paramètres d’authentification que tous les adaptateurs réseau sans fil affectés par
cette stratégie de groupe appliqueront.
Vous pouvez également créer une stratégie sans fil pour Windows XP, comme cela
existait déjà avec une infrastructure Active Directory Windows Server 2003 et
Windows XP.
1. Cliquez avec le bouton droit de la souris sur la stratégie de groupe que vous
souhaitez éditer. Dans le menu déroulant, cliquez sur Modifier.
2. Développez les rubriques Configuration ordinateur, Paramètres Windows, puis
Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur Stratégie de
réseau sans fil (IEEE 802.11).
3. Cliquez sur Créer une nouvelle stratégie Windows XP. La fenêtre des propriétés
s’ouvre.
4. Vous pouvez entrer un nom, une description et configurer vos préférences. Les
possibilités sont moins étendues que sous Windows Vista.
Gérer Bitlocker
Lorsque vous activez Bitlocker sur un ordinateur Windows Vista vous chiffrez de façon
forte la partition de votre disque dur. La fonctionnalité Bitlocker s’appuie sur une puce
matérielle appelée TPM, ce qui rend encore plus fort son chiffrement.
Pour pouvoir crypter et décrypter les données, vous avez besoin de gérer les clés
Bitlocker ainsi que les mots de passe TPM. Active Directory vous donne l’occasion de
les sauvegarder de façon centralisée, à condition que vous mettiez à niveau le schéma.
Sauvegarder le mot de passe de récupération pour chaque volume Bitlocker activé ainsi
que le mot de passe TPM permet aux administrateurs d’accéder et de récupérer des
données de volumes verrouillés. Ce qui assure aux administrateurs de l’entreprise de
garantir l’accès aux données cryptées à l’utilisateur, même si celui-ci a perdu la clé
Bitlocker et le mot de passe.
391
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
392
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
schemaIdGuid:: vAlp93jmoEews/hqAETAbQ==
showInAdvancedViewOnly: TRUE
l’infrastructure
# ms-FVE-RecoveryPassword
#
dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: attributeSchema
ldapDisplayName: msFVE-RecoveryPassword
adminDisplayName: FVE-RecoveryPassword
adminDescription: This attribute contains the password required to recover a
✂ Full Volume Encryption (FVE) volume.
attributeId: 1.2.840.113556.1.4.1964
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
searchFlags: 136
schemaIdGuid:: wRoGQ63IzEy3hSv6wg/GCg==
showInAdvancedViewOnly: TRUE
#=============================================================================
# Attributes - Schema Update
#=============================================================================
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
#=============================================================================
# BitLocker Recovery Information - Class
#=============================================================================
#
# ms-FVE-RecoveryInformation
#
dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: classSchema
ldapDisplayName: msFVE-RecoveryInformation
adminDisplayName: FVE-RecoveryInformation
adminDescription: This class contains a Full Volume Encryption recovery
✂ password with its associated GUID.
governsID: 1.2.840.113556.1.5.253
objectClassCategory: 1
subClassOf: top
systemMustContain: msFVE-RecoveryGuid
systemMustContain: msFVE-RecoveryPassword
systemPossSuperiors: computer
schemaIdGUID:: MF1x6lOP0EC9HmEJGG14LA==
defaultSecurityDescriptor:
✂ D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
defaultHidingValue: TRUE
defaultObjectCategory:
✂ CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
393
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
#=============================================================================
# Classes - Schema Update
Windows Vista dans
9. L’intégration de
#=============================================================================
l’infrastructure
dn: CN=computer,CN=Schema,CN=Configuration,DC=X
#changetype: ntdsSchemaModify
changetype: modify
add: mayContain
mayContain: msTPM-OwnerInformation
-
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
#=============================================================================
# Bitlocker Recovery Information - Additional Attributes
#=============================================================================
#
# ms-FVE-VolumeGuid
#
dn: CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: attributeSchema
ldapDisplayName: msFVE-VolumeGuid
adminDisplayName: FVE-VolumeGuid
adminDescription: This attribute contains the GUID associated with a
✂ BitLocker-supported disk volume. Full Volume Encryption (FVE) was the
✂ pre-release name for BitLocker Drive Encryption.
attributeID: 1.2.840.113556.1.4.1998
attributeSyntax: 2.5.5.10
omSyntax: 4
isSingleValued: TRUE
searchFlags: 27
schemaIdGuid:: z6Xlhe7cdUCc/aydtqLyRQ==
showInAdvancedViewOnly: TRUE
isMemberOfPartialAttributeSet: TRUE
rangeUpper: 128
#
# ms-FVE-KeyPackage
#
dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: attributeSchema
ldapDisplayName: msFVE-KeyPackage
adminDisplayName: FVE-KeyPackage
adminDescription: This attribute contains a volume’s BitLocker encryption key
✂ secured by the corresponding recovery password. Full Volume Encryption
✂ (FVE) was the pre-release name for BitLocker Drive Encryption.
attributeId: 1.2.840.113556.1.4.1999
attributeSyntax: 2.5.5.10
394
La compatibilité des nouvelles fonctionnalités de Windows Vista dans Active Directory
omSyntax: 4
isSingleValued: TRUE
l’infrastructure
schemaIdGuid:: qF7VH6eI3EeBKQ2qlxhqVA==
showInAdvancedViewOnly: TRUE
isMemberOfPartialAttributeSet: FALSE
rangeUpper: 102400
#=============================================================================
# Additional Attributes - Schema Update
#=============================================================================
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-
#=============================================================================
# Updates to BitLocker Recovery Information Class
#=============================================================================
dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: adminDescription
adminDescription: This class contains BitLocker recovery information
✂ including GUIDs, recovery passwords, and keys. Full Volume Encryption
✂ (FVE) was the pre-release name for BitLocker Drive Encryption.
-
dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: mayContain
mayContain: msFVE-VolumeGuid
mayContain: msFVE-KeyPackage
-
#=============================================================================
# Updates to pre-RC1 Attributes
#=============================================================================
#
# Updates to ms-TPM-OwnerInformation
#
dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: searchFlags
searchFlags: 152
-
dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: rangeUpper
rangeUpper: 128
-
#
395
Chapitre 9 L’intégration de Windows Vista dans l’infrastructure
# Updates to ms-FVE-RecoveryGuid
#
Windows Vista dans
9. L’intégration de
dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X
l’infrastructure
changetype: modify
replace: adminDescription
adminDescription: This attribute contains the GUID associated with a
✂ BitLocker recovery password. Full Volume Encryption (FVE) was the
✂ pre-release name for BitLocker Drive Encryption.
-
dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: searchFlags
searchFlags: 27
-
dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: rangeUpper
rangeUpper: 128
-
dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: isMemberOfPartialAttributeSet
isMemberOfPartialAttributeSet: TRUE
-
#
# Updates to ms-FVE-RecoveryPassword
#
dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: adminDescription
adminDescription: This attribute contains a password that can recover a
✂ BitLocker-encrypted volume. Full Volume Encryption (FVE) was the
✂ pre-release name for BitLocker Drive Encryption.
-
dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: searchFlags
searchFlags: 152
-
dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: rangeUpper
rangeUpper: 256
-
#
# Reload the schema cache to pick up updated attributes
#
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
396
En résumé
l’infrastructure
3. Cliquez sur Démarrer, puis Exécuter. Tapez cmd.
4. Dans l’Invite de commandes, tapez ldifde −i −v −k −f
BitLockerTPMSchemaExtension.ldf −c DC=X Nom_LDAP_complet_du_domaine.
9.4. En résumé
Microsoft fait tout pour que Windows Vista s’intègre le mieux possible à un domaine
existant, et c’est normal : il y va de l’adoption du produit par les entreprises.
397
Chapitre 10
Windows
PowerShell
10.1 Présentation de Windows PowerShell . . . . . . .... . . . . . . . . . . . . . . . . . . 401
10.2 Installer Windows PowerShell . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 402
10.3 Exécuter Windows PowerShell . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 403
10.4 Les applets de commande Windows PowerShell ... . . . . . . . . . . . . . . . . . . 404
10.5 Le traitement d’objets . . . . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 410
10.6 L’interaction et les scripts . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 413
10.7 Utiliser Windows PowerShell . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 415
10.8 Naviguer dans Windows PowerShell . . . . . . . .... . . . . . . . . . . . . . . . . . . 424
10.9 PowerShell et Active Directory . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 427
10.10 En résumé . . . . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . 428
Présentation de Windows PowerShell
Même si Windows PowerShell n’est pas natif dans Windows Server 2003 ou dans
10. Windows
PowerShell
Windows Vista, il y a fort à parier qu’il va occuper une place importante dans
l’administration de postes utilisateurs et des serveurs dans les années à venir.
Windows PowerShell peut être utilisé également sur Windows XP ainsi que
Windows Server 2003. Le seul prérequis pour qu’il puisse fonctionner est la présence de
l’environnement .NET Framework 2.0.
Windows PowerShell est en cela très différent des utilitaires disponibles aujourd’hui.
j Windows PowerShell ne traite pas de texte, mais des objets basés sur la plateforme
.NET.
401
Chapitre 10 Windows PowerShell
Mieux, vous n’avez pas à abandonner les outils auxquels vous êtes habitué. Vous pouvez
10. Windows
toujours utiliser les outils Windows traditionnels, tels que net, sc et reg.exe dans Windows
PowerShell
PowerShell.
Windows PowerShell utilise son propre langage au lieu de réutiliser un langage existant,
parce que Windows PowerShell avait besoin d’un langage pour la gestion des objets
.NET qui permette de fournir un environnement cohérent d’utilisation des applets de
commande qui permette la prise en charge de tâches complexes, sans compliquer les
tâches simples et qui permette enfin une cohérence avec les langages de niveau
supérieur utilisés en programmation .NET, comme C#.
Windows PowerShell
Windows PowerShell n’est pas fourni à la base. Vous pouvez le télécharger à l’adresse
www.microsoft.com/windowsserver2003/technologies/management/powershell/download
.mspx. Choisissez alors la version que vous souhaitez en adéquation avec le système
d’exploitation.
402
Exécuter Windows PowerShell
Figure 10.1 :
Installation de Windows
PowerShell
10. Windows
PowerShell
Vous avez la possibilité de procéder à l’installation de façon silencieuse depuis un
partage réseau.
3. Une fois que vous avez recopié le fichier d’installation sur le partage réseau
souhaité, ouvrez une Invite en ligne de commande, accédez au partage réseau, puis
tapez <Nom_fichier_exe_PowerShell> /quiet.
403
Chapitre 10 Windows PowerShell
10. Windows
PowerShell
Vous remarquez que l’invite PowerShell commence par les deux lettres PS.
Les applets sont identifiables au format de leur nom : un verbe et un substantif anglais,
séparés par un tiret, comme Get−Help, Get−Process et Start−Service. L’abréviation
donnée à ces applets de commande est Cmdlet.
Voici la liste des applets de commande ainsi que leur description (ce tableau pourra
vous servir de référence lorsque vous devrez administrer sous Windows PowerShell) :
Tableau 10.1 : Toutes les applets de commande utilisables dans Windows PowerShell
Applet de commande Description
Add−Content Ajoute le contenu aux éléments spécifiés.
Add−History Ajoute des entrées à l’historique de la session.
Add−Member Ajoute un membre personnalisé défini par l’utilisateur à une instance d’un
objet Windows PowerShell.
Add−PSSnapin Ajoute un ou plusieurs composants logiciels enfichables Windows PowerShell
à la console actuelle.
Clear−Content Supprime le contenu d’un élément, par exemple le texte d’un fichier, mais ne
supprime pas l’élément.
Clear−Item Supprime le contenu d’un élément, mais ne supprime pas l’élément.
Clear−ItemProperty Supprime la valeur d’une propriété, mais ne supprime pas la propriété.
Clear−Variable Supprime la valeur d’une variable.
Compare−Object Compare deux jeux d’objets.
ConvertFrom−SecureString Convertit une chaîne sécurisée en chaîne standard chiffrée.
404
Les applets de commande Windows PowerShell
10. Windows
PowerShell
Copy−Item Copie un élément d’un emplacement vers un autre dans un espace de noms.
Copy−ItemProperty Copie une propriété et une valeur d’un emplacement spécifié vers un autre
emplacement.
Export−Alias Exporte vers un fichier les informations sur les alias actuellement définis.
Export−Clixml Crée une représentation XML d’un ou de plusieurs objets et la stocke dans un
fichier.
Export−Console Exporte la configuration de la console actuelle vers un fichier afin que vous
puissiez la réutiliser ou la partager.
Export−Csv Crée un fichier de valeurs séparées par des virgules (CSV) qui représente les
objets d’entrée.
ForEach−Object Exécute une opération en fonction de chacun des jeux d’objets d’entrée.
Format−Custom Utilise un affichage personnalisé pour mettre en forme la sortie.
Format−List Met en forme la sortie en tant que liste de propriétés sur laquelle chaque
propriété apparaît sur une nouvelle ligne.
Format−Table Met en forme la sortie en tant que tableau.
Format−Wide Met en forme les objets en tant que large table qui affiche une seule propriété
de chaque objet.
Get−Acl Obtient le descripteur de sécurité d’une ressource, comme un fichier ou une
clé de Registre.
Get−Alias Obtient les alias pour la session active.
Get−AuthenticodeSignature Obtient les informations relatives à la signature Authenticode d’un fichier.
Get−ChildItem Obtient les éléments et les éléments enfants à un ou à plusieurs
emplacements spécifiés.
Get−Command Obtient des informations de base sur les applets de commande et sur d’autres
éléments des commandes Windows PowerShell.
Get−Content Obtient le contenu de l’élément à l’emplacement spécifié.
Get−Credential Obtient un objet credential (informations d’identification) basé sur le
nom et le mot de passe d’un utilisateur.
Get−Culture Obtient des informations à propos des paramètres régionaux sur un
ordinateur.
Get−Date Obtient l’heure et la date actuelles.
405
Chapitre 10 Windows PowerShell
Get−History
Get−Host Obtient une référence à l’objet hôte de la console actuelle. Affiche la version
Windows PowerShell et les informations régionales par défaut.
Get−Item Obtient l’élément à l’emplacement spécifié.
Get−ItemProperty Récupère les propriétés de l’élément spécifié.
Get−Location Obtient des informations à propos de l’emplacement de travail actif.
Get−Member Obtient des informations sur les objets ou les collections d’objets.
Get−PfxCertificate Obtient des informations sur les fichiers de certificat .pfx de l’ordinateur.
Get−Process Obtient les processus qui s’exécutent sur l’ordinateur local.
Get−PSDrive Obtient des informations à propos des lecteurs Windows PowerShell.
Get−PSProvider Obtient des informations se rapportant au fournisseur de Windows PowerShell
spécifié.
Get−PSSnapin Obtient les composants logiciels enfichables Windows PowerShell situés sur
l’ordinateur.
Get−Service Obtient les services sur l’ordinateur local.
Get−TraceSource Obtient les composants Windows PowerShell qui sont instrumentés pour le
traçage.
Get−UICulture Obtient des informations sur la culture de l’interface utilisateur actuelle pour
Windows PowerShell.
Get−Unique Retourne les éléments uniques sur une liste triée.
Get−Variable Obtient les variables dans la console actuelle.
Get−WmiObject Obtient des instances de classes WMI ou des informations à propos des
classes disponibles.
Group−Object Regroupe les objets qui contiennent la même valeur pour les propriétés
spécifiées.
Import−Alias Importe une liste d’alias à partir d’un fichier.
Import−Clixml Importe un fichier CLIXML et crée des objets correspondants dans Windows
PowerShell.
Import−Csv Importe des fichiers de valeurs séparées par des virgules (CSV) dans le
format produit par l’applet de commande Export−Csv et retourne des
objets qui correspondent aux objets représentés dans ce fichier CSV.
Invoke−Expression Exécute une expression Windows PowerShell qui est fournie sous la forme
d’une chaîne.
406
Les applets de commande Windows PowerShell
10. Windows
commande.
PowerShell
Measure−Object Mesure les caractéristiques des objets et leurs propriétés.
Move−Item Déplace un élément d’un emplacement à un autre.
Move−ItemProperty Déplace une propriété d’un emplacement à un autre.
New−Alias Crée un alias.
New−Item Crée un nouvel élément dans un espace de noms.
New−ItemProperty Définit une nouvelle propriété d’élément à un emplacement.
New−Object Crée une instance d’un objet .NET ou COM.
New−PSDrive Installe un nouveau lecteur Windows PowerShell.
New−Service Crée une entrée pour un service Windows dans le Registre et dans la base de
données de services.
New−TimeSpan Crée un objet TimeSpan.
New−Variable Crée une variable.
Out−Default Envoyez la sortie au formateur par défaut et à l’applet de commande de sortie
par défaut. Cette applet de commande n’a aucun effet sur la mise en forme ou
la sortie. C’est un espace réservé qui vous permet d’écrire votre propre
fonction Out−Default ou une applet de commande.
Out−File Envoie la sortie à un fichier.
Out−Host Envoie la sortie à la ligne de commande.
Out−Null Supprime la sortie au lieu de l’envoyer à la console.
Out−Printer Envoie la sortie à une imprimante.
Out−String Envoie des objets à l’hôte en tant que série de chaînes.
Pop−Location Définit l’emplacement actuel sur le dernier emplacement placé sur la pile à
l’aide d’une opération push. Vous pouvez extraire l’emplacement à partir de
la pile par défaut ou d’une pile créée à l’aide de Push−Location.
Push−Location Exécute une opération push qui place l’emplacement actuel sur la pile.
Read−Host Lit une ligne d’entrée à partir de la console.
Remove−Item Supprime les éléments spécifiés.
Remove−ItemProperty Supprime la propriété et sa valeur d’un élément.
Remove−PSDrive Supprime un lecteur Windows PowerShell de son emplacement.
Remove−PSSnapin Supprime les composants logiciels enfichables Windows PowerShell de la
console actuelle.
407
Chapitre 10 Windows PowerShell
contenu de ce dernier.
PowerShell
408
Les applets de commande Windows PowerShell
10. Windows
Arrête un ou plusieurs services en cours d’exécution.
PowerShell
Stop−Service
Stop−Transcript Arrête une transcription.
Suspend−Service Interrompt (suspend) un ou plusieurs services en cours d’exécution.
Tee−Object Dirige l’entrée d’objet vers un fichier ou une variable, puis passe l’entrée le
long du pipeline.
Test−Path Détermine si tous les éléments d’un chemin d’accès existent.
Trace−Command L’applet de commande Trace−Command configure et démarre une trace
de l’expression ou de la commande spécifiée.
Update−FormatData Met à jour et ajoute les fichiers de données de mise en forme.
Update−TypeData Met à jour la configuration de type étendu actuelle en rechargeant en mémoire
les fichiers *.types.ps1xml.
Where−Object Crée un filtre qui contrôle les objets qui seront passés le long d’un pipeline de
commandes.
Write−Debug Écrit un message de débogage pour l’affichage hôte.
Write−Error Écrit un objet au pipeline d’erreur.
Write−Host Affiche des objets à l’aide de l’interface utilisateur hôte
Write−Output Écrit des objets au pipeline de succès.
Write−Progress Affiche une barre de progression dans une fenêtre de commande Windows
PowerShell.
Write−Verbose Écrit une chaîne pour l’affichage commenté de l’hôte.
Write−Warning Écrit un message d’avertissement.
Dans Windows PowerShell, la plupart des applets de commande sont très simples et
conçues pour une utilisation en association avec d’autres applets de commande. Par
exemple, les applets de commande get ne font que récupérer des données, les applets
de commande set permettent uniquement de définir ou de modifier des données, les
applets de commande format servent exclusivement à la mise en forme de données et
les applets de commande out seulement à diriger la sortie vers une destination spécifiée.
Chaque applet de commande est assortie d’un fichier d’aide auquel vous pouvez accéder
en tapant get−help <nom_applet_commande> −detailed.
409
Chapitre 10 Windows PowerShell
Par exemple, lorsque vous obtenez un service dans Windows PowerShell, vous obtenez
en réalité un objet qui représente le service. Lorsque vous consultez des informations
sur un service, vous consultez les propriétés de son objet service. Et lorsque vous
démarrez un service, c’est-à-dire lorsque vous affectez à la propriété Status du service
la valeur started, vous utilisez une méthode de l’objet service.
Tous les objets du même type ont les mêmes propriétés et méthodes, mais chaque
instance d’un objet peut avoir des valeurs différentes pour les propriétés. Pour
déterminer le type d’objet obtenu par une applet de commande, utilisez un opérateur de
pipeline | afin d’envoyer les résultats d’une commande get à la commande
Get−Member. Par exemple, la commande get−service | get−member envoie les
objets récupérés par une commande Get−Service à Get−Member.
PS C:\Documents and Settings\Administrateur> get-service | get-member
TypeName: System.ServiceProcess.ServiceController
410
Le traitement d’objets
10. Windows
PowerShell
Dispose Method System.Void Dispose()
Equals Method System.Boolean Equals(Object obj)
ExecuteCommand Method System.Void ExecuteCommand(Int32 command)
GetHashCode Method System.Int32 GetHashCode()
GetLifetimeService Method System.Object GetLifetimeService()
GetType Method System.Type GetType()
get_CanPauseAndContinue Method System.Boolean get_CanPauseAndContinue()
get_CanShutdown Method System.Boolean get_CanShutdown()
get_CanStop Method System.Boolean get_CanStop()
get_Container Method System.ComponentModel.IContainer
✂ get_Container()
get_DependentServices Method System.ServiceProcess.ServiceController[]
✂ get_DependentServices()
get_DisplayName Method System.String get_DisplayName()
get_MachineName Method System.String get_MachineName()
get_ServiceHandle Method System.Runtime.InteropServices.SafeHandle
✂ get_ServiceHandle()
get_ServiceName Method System.String get_ServiceName()
get_ServicesDependedOn Method System.ServiceProcess.ServiceController[]
✂ get_ServicesDependedOn()
get_ServiceType Method System.ServiceProcess.ServiceType
✂ get_ServiceType()
get_Site Method System.ComponentModel.ISite get_Site()
get_Status Method System.ServiceProcess
✂ .ServiceControllerStatus get_Status()
InitializeLifetimeService Method System.Object InitializeLifetimeService()
Pause Method System.Void Pause()
Refresh Method System.Void Refresh()
remove_Disposed Method System.Void remove_Disposed(EventHandler
✂ value)
set_DisplayName Method System.Void set_DisplayName(String value)
set_MachineName Method System.Void set_MachineName(String value)
set_ServiceName Method System.Void set_ServiceName(String value)
set_Site Method System.Void set_Site(ISite value)
Start Method System.Void Start(), System.Void
✂ Start(String[] args)
Stop Method System.Void Stop()
ToString Method System.String ToString()
WaitForStatus Method System.Void
✂ WaitForStatus(ServiceControllerStatus desiredStatus), System.Void
✂ WaitForStatus(ServiceControllerStatus desiredStatus, TimeSpan timeout)
CanPauseAndContinue Property System.Boolean CanPauseAndContinue {get;}
CanShutdown Property System.Boolean CanShutdown {get;}
411
Chapitre 10 Windows PowerShell
Get−Member affiche des informations sur l’objet service, y compris le nom de type
(TypeName) de l’objet et une liste de ses propriétés et méthodes.
Pour rechercher les valeurs de toutes les propriétés d’un objet particulier, utilisez un
opérateur de pipeline afin d’envoyer les résultats d’une commande get à une
commande Format−List ou Format−Table. Utilisez le paramètre Property des
applets de commande Format avec une valeur visant à tout inclure. Par exemple, pour
rechercher toutes les propriétés du service Planification du système, tapez
get−service schedule | format−list −property *.
412
L’interaction et les scripts
chaînes afin de convertir la sortie d’un format en un autre et de supprimer des titres et
des en-têtes de colonnes.
Windows PowerShell fournit un nouveau modèle interactif basé sur les objets, plutôt
que sur du texte. L’applet de commande qui reçoit un objet peut agir directement sur ses
propriétés et méthodes sans la moindre conversion ou manipulation. Les utilisateurs
peuvent faire référence aux propriétés et méthodes de l’objet par nom, plutôt que
d’avoir à calculer la position des données dans la sortie.
10. Windows
PowerShell
Prenons un exemple : le résultat d’une commande IpConfig est passé à une commande
Findstr. L’opérateur de pipeline envoie le résultat de la commande située à sa gauche
à la commande située à sa droite.
Vous devez spécifier le chemin d’accès complet au fichier de script, même si le script se
trouve dans le répertoire actif. Pour indiquer le répertoire actif, tapez son nom ou
utilisez un point (.) pour le représenter, par exemple .\testscript.ps1.
Windows PowerShell inclut également un langage de script très élaboré qui vous permet
de créer des scripts des plus simples aux plus complexes. Il prend en charge des
413
Chapitre 10 Windows PowerShell
La stratégie d’exécution
Bien que les scripts soient extrêmement utiles, voire essentiels, dans certaines
entreprises, ils peuvent être utilisés pour diffuser du code malveillant. En conséquence,
10. Windows
permet de déterminer si des scripts peuvent s’exécuter et s’ils doivent inclure une
signature numérique. Pour éliminer un risque évident, aucune des stratégies d’exécution
de Windows PowerShell ne vous permet d’exécuter un script par un double-clic sur son
icône.
414
Utiliser Windows PowerShell
Restricted est la stratégie la plus sûre. C’est la valeur par défaut. Elle autorise
l’exécution de commandes individuelles, mais pas celle de scripts.
10. Windows
PowerShell
vous en changiez de nouveau. Seuls les administrateurs sont autorisés à changer de
stratégie.
Figure 10.6 :
Résultat de la
commande
Get-ExecutionPolicy
L’importance de l’aide
L’applet de commande Get−Help est un outil pratique pour en apprendre davantage sur
Windows PowerShell. En lisant les descriptions des applets de commande, en étudiant
les concepts et en explorant les rubriques liées au langage, vous pouvez commencer à
comprendre comment utiliser Windows PowerShell. La première rubrique d’intérêt est
donc le système d’aide.
j Pour afficher des informations sur le système d’aide de Windows PowerShell, tapez
get−help.
415
Chapitre 10 Windows PowerShell
10. Windows
PowerShell
Pour commencer à utiliser Windows PowerShell, vous souhaiterez donc en savoir plus
sur quelques applets de commande de base, telles que Get−Command, Get−Process,
Get−Service, Get−Eventlog, etc.
j Pour afficher la forme la plus simple de l’aide d’une applet de commande, tapez
get−help, suivi du nom de l’applet de commande en question. Par exemple, pour
obtenir de l’aide sur Get−Command, tapez get−help get−command.
j Pour afficher l’aide détaillée d’une applet de commande, qui inclut la description
des paramètres et des exemples, utilisez le paramètre Detailed de Get−Help. Par
exemple, pour obtenir l’aide détaillée relative à l’applet de commande
Get−Command, tapez get−help get−command −detailed.
j Pour afficher l’intégralité de l’aide disponible pour une applet de commande, y
compris des informations techniques sur cette applet de commande et ses
paramètres, utilisez le paramètre Full. Par exemple, pour obtenir l’intégralité de
l’aide relative à l’applet de commande Get−Command, tapez get−help
get−command −full.
416
Utiliser Windows PowerShell
j Vous pouvez aussi afficher des parties sélectionnées du fichier d’aide. Pour
consulter uniquement les exemples, utilisez le paramètre Examples. Par exemple,
pour afficher les exemples de l’applet de commande Get−Command, tapez get−help
get−command −examples.
j Pour consulter uniquement des descriptions détaillées de paramètres, utilisez le
paramètre Parameter de Get−Help. Vous pouvez spécifier le nom d’un paramètre
ou utiliser le caractère générique * pour spécifier tous les paramètres. Par exemple,
10. Windows
pour consulter une description du paramètre TotalCount de Get−Command, tapez
PowerShell
get−help get−command −parameter totalcount. Pour consulter tous les
paramètres de l’applet de commande Get−Command, tapez get−help
get−command −parameter *.
Vous pouvez également utiliser l’une des fonctions de Windows PowerShell qui
appellent Get−Help. La fonction Help affiche un écran d’aide complet à la fois. La
fonction Man affiche une aide qui ressemble aux pages Man sous Unix (tiens ?…).
j Pour utiliser les fonctions Help et Man afin d’afficher l’aide de l’applet de commande
Get−Command, tapez man get−command ou help get−command.
Lorsque vous demandez une rubrique d’aide particulière, Get−Help affiche le contenu
de la rubrique. Mais lorsque vous utilisez des caractères génériques pour demander
plusieurs rubriques, Get−Help affiche une liste de rubriques. Par exemple, pour
consulter la liste des rubriques d’aide relatives aux applets de commande Get, tapez
get−help get−*.
L’aide sur les concepts de Windows PowerShell commence par about_. Pour afficher de
l’aide sur un concept Windows PowerShell, tapez get−help, suivi du nom du concept
qui vous intéresse. Par exemple, pour obtenir de l’aide sur les caractères génériques,
tapez get−help about_wildcard. Pour afficher une liste de toutes les rubriques
conceptuelles de Windows PowerShell, tapez get−help about_*.
417
Chapitre 10 Windows PowerShell
La lecture des rubriques d’aide et l’essai des exemples vous permettront de vous
familiariser avec le fonctionnement de Windows PowerShell et la manière dont vous
pouvez l’utiliser dans votre rôle d’administrateur.
Figure 10.9 :
Exemple de commande
get-date
Voici un exemple qui répertorie les fichiers exécutables disponibles dans Windows
PowerShell en utilisant Get−Command, l’image correspondante ne montre qu’une petite
partie du résultat :
Dans cet exemple, lorsqu’il s’agit d’afficher la liste des fichiers exécutables, la colonne
Definition contient le chemin d’accès complet au fichier exécutable.
418
Utiliser Windows PowerShell
applets de commande de type Get− simples, essayez-en une plus intéressante, comme
Get−WmiObject. Cette applet de commande vous permet d’afficher et de modifier les
composants d’ordinateurs distants. Par exemple, la commande get−wmiobject
win32_bios −computername srv−dc−01 obtient des informations sur le BIOS du
serveur SRV−DC−01.
10. Windows
PowerShell
Mettre en forme la sortie des commandes
Dans Windows PowerShell, vous avez la possibilité de faire appel à des applets de
commande qui mettent en forme la sortie de la commande que vous voulez exécuter. Ce
sont les applets de commande format :
j Format−List ;
j Format−Custom ;
j Format−Table ;
j Format−Wide.
Aucune autre applet de commande ne met en forme la sortie. Lorsque vous exécutez
une commande, Windows PowerShell appelle le formateur par défaut, déterminé par le
type des données affichées. Le formateur détermine les propriétés de la sortie à afficher
et si elles doivent être affichées sous forme de liste ou de tableau.
Par exemple, lorsque vous utilisez l’applet de commande Get−Service, l’affichage par
défaut est un tableau à trois colonnes comme dans l’image suivante (qui ne contient
qu’une petite partie du résultat) :
Figure 10.11 :
Une partie des résultats
de get-service
419
Chapitre 10 Windows PowerShell
10. Windows
PowerShell
Dans ce format, non seulement les données apparaissent dans une liste au lieu d’un
tableau, mais les informations sur chaque service sont plus nombreuses. Au lieu de trois
colonnes de données pour chaque service, il y a neuf lignes de données. Format−List
n’a pas récupéré les informations de service supplémentaires. Les données étaient
présentes avec les objets récupérés par Get−Service, mais Format−Table, le
formateur par défaut, les a omises car il ne pouvait pas afficher plus de trois colonnes sur
la largeur de l’écran.
Windows PowerShell inclut de nombreux alias intégrés et vous pouvez créer les vôtres.
Les alias que vous créez sont valides uniquement dans la session active. Voici la liste des
alias intégrés à la base dans PowerShell :
420
Utiliser Windows PowerShell
10. Windows
PowerShell
cat Get−Content
cd Set−Location
chdir Set−Location
clc Clear−Content
clear Clear−Host
cli Clear−Item
clp Clear−ItemProperty
cls Clear−Host
clv Clear−Variable
copy Copy−Item
cp Copy−Item
cpi Copy−Item
cpp Copy−ItemProperty
cvpa Convert−Path
del Remove−Item
diff Compare−Object
dir Get−ChildItem
echo Write−Output
epal Export−Alias
epcsv Export−Csv
erase Remove−Item
fc Format−Custom
fl Format−List
foreach ForEach−Object
ft Format−Table
fw Format−Wide
gal Get−Alias
gc Get−Content
gci Get−ChildItem
421
Chapitre 10 Windows PowerShell
gm Get−Member
gp Get−ItemProperty
gps Get−Process
group Group−Object
gsnp Get−PSSnapin
gsv Get−Service
gu Get−Unique
gv Get−Variable
gwmi Get−WmiObject
h Get−History
history Get−History
iex Invoke−Expression
ihy Invoke−History
ii Invoke−Item
ipal Import−Alias
ipcsv Import−Csv
kill Stop−Process
lp Out−Printer
ls Get−ChildItem
mi Move−Item
mount New−PSDrive
move Move−Item
mp Move−ItemProperty
mv Move−Item
nal New−Alias
ndr New−PSDrive
ni New−Item
nv New−Variable
oh Out−Host
422
Utiliser Windows PowerShell
10. Windows
PowerShell
rd Remove−Item
rdr Remove−PSDrive
ren Rename−Item
ri Remove−Item
rm Remove−Item
rmdir Remove−Item
rni Rename−Item
rnp Rename−ItemProperty
rp Remove−ItemProperty
rsnp Remove−PSSnapin
rv Remove−Variable
rvpa Resolve−Path
sal Set−Alias
sasv Start−Service
sc Set−Content
select Select−Object
set Set−Variable
si Set−Item
sl Set−Location
sleep Start−Sleep
sort Sort−Object
sp Set−ItemProperty
spps Stop−Process
spsv Stop−Service
sv Set−Variable
tee Tee−Object
type Get−Content
where Where−Object
write Write−Output
423
Chapitre 10 Windows PowerShell
Dans ces alias, vous en remarquerez des biens connus d’Unix/Linux comme ls, rm, etc.
Créer un alias
Pour créer des alias pour les applets de commande et les commandes dans Windows
PowerShell, utilisez l’applet de commande Set−Alias. Par exemple, pour créer l’alias
gh pour l’applet de commande Get−Help, tapez set−alias gh get−help.
10. Windows
PowerShell
Supprimer un alias
Pour supprimer un alias, utilisez l’applet de commande Remove−Item. Par exemple,
pour supprimer l’alias ls, tapez remove−item alias:ls.
Windows PowerShell est livré avec plusieurs lecteurs pratiques, pris en charge par les
fournisseurs de Windows PowerShell.
424
Naviguer dans Windows PowerShell
deux-points et les éléments parents sont séparés des éléments enfants par des barres
obliques inversées (\), comme lorsque vous tapez C:\windows, ou des barres obliques
(/).
10. Windows
PowerShell
j Des variables intégrées représentent votre répertoire de base $home et le répertoire
d’installation de Windows PowerShell $pshome.
425
Chapitre 10 Windows PowerShell
Vous ne rencontrerez que peu de différences de navigation jusqu’à l’accès aux entrées
du Registre. Les entrées d’une clé de Registre sont considérées comme étant les
propriétés de la clé sous laquelle elles se trouvent. Comme telles, vous pouvez les
récupérer au moyen de l’applet de commande Get−ItemProperty.
426
PowerShell et Active Directory
10. Windows
PowerShell
Figure 10.17 : Exemple de navigation dans le magasin de certificat
427
Chapitre 10 Windows PowerShell
✂ $objItem.DSPrimaryDomainControllerFlag
write-host "DS Time Service Flag: " $objItem.DSTimeServiceFlag
write-host "DS Writable Flag: " $objItem.DSWritableFlag
write-host "Installation Date: " $objItem.InstallDate
write-host "Name: " $objItem.Name
write-host "Name Format: " $objItem.NameFormat
write-host "Primary Owner Contact: " $objItem.PrimaryOwnerContact
write-host "Primary Owner Name: " $objItem.PrimaryOwnerName
write-host "Roles: " $objItem.Roles
write-host "Status: " $objItem.Status
write-host
10.10. En résumé
Windows PowerShell est un noyau et, au moins pour ce qui nous concerne, vous pouvez
comparer un noyau à un interpréteur de ligne de commande. Bien que VBScript puisse
s’exécuter à partir de la ligne de commande, un fichier VBScript ne peut pas être
exécuté ligne par la ligne. Un script Windows PowerShell, par contre, peut être
immédiatement créé comme une série de commandes individuelles. De plus, Windows
PowerShell dispose de fonctions dont le comportement s’apparente beaucoup à des
sous-routines VBScript, ce qui peut être créé en temps réel au niveau de l’invite de
commande de Windows PowerShell.
Encore mieux, Windows PowerShell est construit sur Microsoft .NET Framework,
tandis que VBScript se base sur la technologie COM plus ancienne. Cela signifie que la
vaste quantité de code .NET produite aujourd’hui peut être directement utilisée à partir
de Windows PowerShell.
Pour conclure, avec Windows PowerShell, vous avez une prise en charge complète du
script et un mode interactif, tout en un. Cependant, même si PowerShell doit s’imposer
comme standard dans les années à venir, il n’en reste pas moins qu’il sera nécessaire de
convertir les milliers de lignes de VBScript existantes.
428
Chapitre 11
La maintenance
des serveurs
11.1 Préparer l’administration d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
11.2 Analyser les performances du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
11.3 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Préparer l’administration d’un serveur
L a surveillance et la gestion des serveurs ne sont pas des activités qui supportent les
approximations. Elles doivent être planifiées correctement.
Cette leçon présente les tâches, les outils et les droits requis pour administrer un
serveur. Ces informations sont essentielles à la bonne marche de votre travail
d’administrateur système. Ce chapitre décrit les conditions d’emploi et les fonctions des
outils que vous utilisez pour administrer un serveur. Il explique également les concepts
d’administration d’un serveur local ou distant.
11. La maintenance
des serveurs
Cette section met en avant tous les outils et techniques que doit maîtriser un
administrateur afin de se connecter de façon sécurisée au serveur qu’il doit administrer.
Cela comprend l’utilisation de l’appartenance aux groupes, la fonction Exécuter en tant
que, l’outil Gestion de l’ordinateur et le Bureau à distance.
La liste ci-après présente les groupes locaux de domaine intégrés et le niveau prédéfini
de leurs autorisations respectives.
j Administrateurs : les membres du groupe Administrateurs peuvent effectuer toutes
les tâches prises en charge par le système d’exploitation. Les administrateurs
peuvent s’attribuer n’importe quel droit d’utilisateur dont ils ne disposent pas par
défaut. L’appartenance au groupe local Administrateurs doit être limitée aux seuls
utilisateurs qui ont besoin d’un accès total au système. Connectez-vous en tant
qu’administrateur uniquement lorsque c’est nécessaire. Soyez très prudent lorsque
vous ajoutez d’autres utilisateurs au groupe Administrateurs. Par exemple, si le
personnel d’assistance technique est responsable des imprimantes de votre
431
Chapitre 11 La maintenance des serveurs
partages réseau, démarrer et arrêter des services, formater le disque dur du serveur
des serveurs
432
Préparer l’administration d’un serveur
Lorsque vous effectuez des tâches sur un ordinateur en tant que membre du groupe
Administrateurs, le système devient vulnérable aux attaques de type chevaux de Troie ou
à tout autre risque en termes de sécurité. Le simple fait de consulter un site Internet ou
11. La maintenance
d’ouvrir la pièce jointe d’un courrier électronique risque d’endommager le système car
des serveurs
une pièce jointe ou un site Internet inconnu peuvent contenir un programme malveillant
qui peut être téléchargé vers le système puis exécuté.
Deux comptes d’utilisateurs sont requis. En effet, pour employer la commande Exécuter
en tant que dans le cadre de l’exécution de tâches administratives, les administrateurs
système doivent posséder deux comptes d’utilisateurs : un compte normal disposant des
privilèges de base et un compte administratif. Les administrateurs peuvent posséder
chacun un compte administratif différent ou partager le même compte administratif.
Pour les tâches qui ne peuvent être réalisées avec la commande Exécuter en tant que,
telles que la mise à niveau du système d’exploitation ou la configuration des paramètres
système, fermez la session ouverte avec le compte d’utilisateur, puis ouvrez une nouvelle
session avec le compte d’administrateur.
Utilisez la commande Exécuter en tant que pour ouvrir les composants logiciels
enfichables personnalisés. En effet, pour administrer des ordinateurs locaux ou distants,
vous pouvez utiliser la commande Exécuter en tant que afin d’ouvrir les consoles
personnalisées que vous avez créées. L’utilisation de cette commande vous donne accès
433
Chapitre 11 La maintenance des serveurs
aux services et aux outils d’administration inclus dans la console et vous fait bénéficier
des autorisations appropriées pour intervenir sur les composants administrés par la
console.
Tout utilisateur peut employer la commande Exécuter en tant que. Bien que la
commande Exécuter en tant que soit avant tout destinée aux administrateurs système,
n’importe quel utilisateur disposant de plusieurs comptes peut employer cette
commande pour lancer des programmes avec différents comptes sans pour autant
fermer de session.
434
Préparer l’administration d’un serveur
Figure 11.3 :
Lancement de l’outil de
gestion de l’ordinateur de
la commande runas
11. La maintenance
des serveurs
Figure 11.4 : Invite de commandes pour l’authentification de la commande Exécuter en tant
que
Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associés à la
commande Exécuter en tant que, vers les outils d’administration que vous utilisez le plus
souvent. Pour configurer un raccourci associé à la commande Exécuter en tant que vers
l’outil Performances :
1. Cliquez du bouton droit de la souris sur le Bureau, pointez sur Nouveau, puis cliquez
sur Raccourci.
2. Sur la page Création d’un raccourci, tapez runas /user:corp\administrateur
"mmc %windir%\system32\perfmon.msc" dans le champ Entrez l’emplacement de
l’élément, puis cliquez sur Suivant.
435
Chapitre 11 La maintenance des serveurs
Figure 11.5 :
Création du raccourci
avec la commande runas
11. La maintenance
des serveurs
3. Dans la page Sélection d’un titre pour le programme, tapez Performances dans le
champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer.
4. Sur le Bureau, double-cliquez sur l’icône Performances, puis choisissez Gestion de
l’ordinateur, Gestionnaire de périphériques ou Gestion des disques.
5. Saisissez votre mot de passe.
Figure 11.6 :
Propriété du raccourci
permon
436
Préparer l’administration d’un serveur
11. La maintenance
MMC runas /user:corp\administrateur mmc
des serveurs
Invite de commandes runas /user:corp\administrateur cmd
Pour utiliser la commande Exécuter en tant que à partir du menu Démarrer, procédez
comme suit :
1. Dans le menu Démarrer, cliquez du bouton droit de la souris sur le fichier
exécutable du programme de votre choix.
2. Cliquez sur Exécuter en tant que (voir fig. 11.17).
3. Cliquez sur L’utilisateur suivant.
4. Dans les champs Nom d’utilisateur et Mot de passe, saisissez le nom et le mot de passe
du compte.
437
Chapitre 11 La maintenance des serveurs
11. La maintenance
des serveurs
438
Préparer l’administration d’un serveur
11. La maintenance
des serveurs
Figure 11.9 : La commande Exécuter en tant que à partir de l’Invite de commandes
439
Chapitre 11 La maintenance des serveurs
j Les outils système : ils sont destinés à la gestion des événements système et des
des serveurs
performances de l’ordinateur.
− L’Observateur d’événements : utilisez cet outil pour gérer et afficher les
événements enregistrés dans le journal des applications, le journal de sécurité et
le journal système. Vous pouvez analyser les journaux pour suivre les
événements de sécurité et identifier d’éventuels problèmes liés aux logiciels, au
matériel ou au système.
− Les Dossiers partagés : utilisez cet outil pour visualiser les connexions et les
ressources en cours d’utilisation sur l’ordinateur. Vous pouvez créer, afficher et
gérer les ressources partagées, afficher les sessions et les fichiers ouverts, fermer
les fichiers et déconnecter les sessions.
− Les Utilisateurs et groupes locaux : utilisez cet outil pour créer et gérer les
groupes et comptes d’utilisateurs locaux.
− Les Journaux et alertes de performance : utilisez cet outil pour analyser et
collecter les données relatives aux performances de l’ordinateur.
− Le Gestionnaire de périphériques : utilisez cet outil pour afficher les
périphériques matériels installés sur l’ordinateur, mettre à jour les pilotes de
périphériques, modifier les paramètres matériels et résoudre les conflits de
périphériques.
j Le stockage : les outils de stockage sont destinés à la gestion des propriétés des
périphériques de stockage.
− Le Stockage amovible : utilisez cet outil pour assurer le suivi des supports de
stockage amovibles et gérer les bibliothèques ou les systèmes de stockage de
données les contenant.
− Le Défragmenteur de disque : utilisez cet outil pour analyser et défragmenter des
volumes sur les disques durs.
− La Gestion des disques : utilisez cet outil pour effectuer les tâches liées au
disque, telles que la conversion de disques ou la création et le formatage de
volumes. L’outil Gestion des disques vous aide à gérer les disques durs ainsi que
les partitions ou les volumes qu’ils contiennent.
440
Préparer l’administration d’un serveur
11. La maintenance
d’index.
des serveurs
Figure 11.10 : La console Gestion de l’ordinateur
441
Chapitre 11 La maintenance des serveurs
Figure 11.11 :
Gestion de d’un
ordinateur à distance
11. La maintenance
des serveurs
Les administrateurs système doivent souvent travailler en dehors du site. Ainsi, en tant
qu’administrateur, vous pouvez vous trouver sur un site et devoir effectuer la
maintenance d’un serveur sur un autre site. Dans ce cas, vous pouvez utiliser la console
MMC pour gérer le serveur à distance. Par exemple, vous pouvez démarrer ou arrêter
des services sur un serveur distant, consulter le journal des événements et gérer les
partages ou les disques.
442
Préparer l’administration d’un serveur
Pour configurer la console MMC afin de gérer un serveur à distance, procédez comme
suit :
1. Ouvrez la console MMC en cliquant sur Démarrer, puis sur Exécuter. Tapez mmc et
validez.
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable, puis cliquez sur Ajouter.
3. Sur la liste des composants logiciels enfichables, cliquez sur Gestion de l’ordinateur,
puis sur Ajouter.
4. À l’invite, sélectionnez l’ordinateur local ou distant que vous souhaitez gérer à l’aide
11. La maintenance
de ce composant logiciel enfichable, puis cliquez sur Terminer.
des serveurs
5. Cliquez sur Fermer, puis sur OK.
Le Bureau à distance
À l’aide de l’outil Bureau à distance pour administration, vous pouvez gérer un ou
plusieurs ordinateurs distants à partir d’un seul emplacement. Dans une grande
entreprise, vous pouvez avoir recours à l’administration à distance pour centraliser la
gestion de plusieurs ordinateurs situés dans d’autres bâtiments, voire dans d’autres
villes. Dans une petite entreprise, vous pouvez avoir recours à l’administration à
distance pour gérer un seul serveur situé dans un bureau voisin ou dans un autre site.
L’outil Bureau à distance pour administration fournit un accès au serveur à partir d’un
ordinateur situé sur un autre site, à l’aide du protocole RDP (Remote Desktop Protocol).
Ce protocole transmet l’interface utilisateur à la session cliente. De même, il transmet
les manipulations sur le clavier et les clics de souris du client vers le serveur.
Vous pouvez créer jusqu’à deux connexions distantes simultanées. Chaque session que
vous ouvrez est indépendante des autres sessions clientes et de celle de la console du
serveur. Lorsque vous utilisez l’outil Bureau à distance pour administration afin d’ouvrir
une session sur un serveur distant, la connexion est établie comme s’il s’agissait de
l’ouverture d’une session sur le serveur local.
443
Chapitre 11 La maintenance des serveurs
Figure 11.13 :
11. La maintenance
Configuration de
des serveurs
l’assistance à distance
pour l’administration du
serveur
444
Préparer l’administration d’un serveur
Admettons que vous choisissiez d’autoriser l’accès au disque dur local depuis le Bureau
11. La maintenance
distant. Cette autorisation vous permet de facilement copier des fichiers depuis ou vers
des serveurs
le Bureau distant, mais elle signifie également que le Bureau distant dispose d’un accès
au contenu du disque dur local. Si cet accès n’est pas approprié, vous pouvez décocher
la case correspondante afin d’empêcher que le disque dur local ou toute autre ressource
ne soient redirigés vers le Bureau distant.
j Utilisez l’onglet Programmes pour spécifier un programme à démarrer lors de la
connexion au serveur distant.
j Utilisez l’onglet Avancé pour améliorer la performance de la connexion au serveur
distant en autorisant l’affichage de certaines caractéristiques de la session Windows
distante, telles que l’arrière-plan du Bureau, comme si elles étaient activées sur
l’ordinateur distant. Pour optimiser les performances de la connexion, sélectionnez
une vitesse de connexion plus rapide. La vitesse de connexion par défaut, de
56 kbits/s, offre de bonnes performances pour la plupart des réseaux. Mais vous
pouvez utiliser des paramètres de vitesse supérieurs pour activer des fonctions
graphiques plus performantes, telles que le papier peint du Bureau et l’affichage ou
le masquage des menus.
Pour vous connecter à un serveur distant à l’aide de l’outil Connexion Bureau à distance,
procédez ainsi :
1. Sur l’ordinateur client, cliquez sur Démarrer, puis choisissez Tous les programmes/
Accessoires/Communications. Cliquez sur Connexion Bureau à distance.
2. Dans la zone Ordinateur, tapez le nom d’un ordinateur ou l’adresse IP du serveur
exécutant Windows Server 2003 et sur lequel le service de Bureau à distance est
installé.
445
Chapitre 11 La maintenance des serveurs
Figure 11.14 :
Connexion de Bureau à
distance
11. La maintenance
des serveurs
3. Lorsque vous avez terminé de travailler sur la session distante, dans le menu
Démarrer, cliquez sur Fermer la session.
446
Préparer l’administration d’un serveur
11. La maintenance
des serveurs
Figure 11.16 : Bureau à distance
447
Chapitre 11 La maintenance des serveurs
Figure 11.18 :
Activer le mode Se
connecter en mode
Console
11. La maintenance
des serveurs
6. Lorsque vous avez terminé de travailler sur la session distante, dans le menu
Démarrer, cliquez sur Fermer la session.
Pour vous connecter à la session de la console sur un serveur distant à l’aide de l’outil de
ligne de commandes mstsc :
1. Dans le menu Démarrer, cliquez sur Exécuter, tapez cmd, puis cliquez sur OK.
448
Préparer l’administration d’un serveur
11. La maintenance
mstsc
des serveurs
3. Connectez-vous au serveur distant.
L’utilisation des paramètres de délai peut vous aider à gérer les ressources du serveur.
Après avoir défini les limites des connexions de session, vous pouvez administrer le
serveur plus efficacement.
Pour configurer un paramètre de délai pour une connexion distante, procédez comme
suit :
1. Cliquez sur Démarrer, puis sur Outils d’administration. Cliquez sur Configuration
des services Terminal Server.
2. Dans le volet d’informations, cliquez du bouton droit de la souris sur RDP-Tcp, puis
cliquez sur Propriétés (voir fig. 11.22).
3. Sous l’onglet Sessions, activez la première option Remplacer les paramètres de
l’utilisateur.
449
Chapitre 11 La maintenance des serveurs
Figure 11.22 :
Propriété de RDP-Tcp
11. La maintenance
des serveurs
4. Modifiez les paramètres appropriés : Fin d’une session déconnectée, Limite de session
active ou Limite de session inactive.
Nombre de connexions
En mode Administration à distance, le nombre de connexions est limité à deux.
Figure 11.23 :
Nombre de connexions
en mode Administration
à distance
450
Analyser les performances du serveur
11. La maintenance
L’analyse des performances est indispensable à la maintenance du serveur. Effectuée de
des serveurs
façon quotidienne, hebdomadaire ou mensuelle, elle permet de définir les performances
de base du serveur. Grâce à cette analyse, vous obtenez des données sur les
performances qui facilitent le diagnostic des problèmes du serveur.
Les données sur les performances permettent :
j de comprendre pourquoi la charge de travail d’un serveur augmente soudainement ;
j d’observer les modifications et les tendances de l’utilisation des ressources afin de
planifier les mises à niveau matérielles ultérieures ;
j de tester les changements de configuration ou tout autre effort de réglage des
performances en analysant les résultats ;
j de diagnostiquer les problèmes et d’identifier les composants ou les processus pour
optimiser les performances.
Les causes d’un engorgement sont diverses et peuvent être les suivantes :
j Les sous-systèmes sont insuffisants, et des composants supplémentaires ou mis à
niveau sont alors requis (par exemple, les goulets d’étranglement sont souvent dus à
une mémoire insuffisante).
j Les sous-systèmes ne partagent pas les charges de travail de façon équitable et un
équilibrage est nécessaire (par exemple, une ancienne carte réseau est installée sur
un nouveau serveur).
451
Chapitre 11 La maintenance des serveurs
100 Mbit/s).
des serveurs
Postulat de base : relever des échantillons de valeurs des compteurs toutes les 30 à
45 minutes pendant une semaine, lors de niveaux d’exploitation élevés, normaux et
faibles. Les principales étapes de création d’une ligne de base sont :
j l’identification des ressources ;
j la capture des données ;
j l’enregistrement des données.
Les quatre principales ressources système pour les lignes de base des performances
sont :
j la mémoire ;
j le processeur ;
j le disque physique ;
j le réseau.
452
Analyser les performances du serveur
11. La maintenance
des serveurs
La console Performances
Windows Server 2003 fournit les outils suivants qui font partie de la console
Performances et permettent d’analyser l’utilisation des ressources sur votre ordinateur :
j le Moniteur système ;
j les Journaux et alertes de performance.
L’affichage graphique
Il permet d’analyser en temps réel tous les processus d’un système.
Les données des compteurs d’une période définie sont présentées sous forme de
graphique linéaire.
L’histogramme
Il permet de détecter les goulets d’étranglement au niveau du processeur.
Les données de compteurs sont présentées sous forme de diagramme en bâtons (une
valeur par instance de compteur).
Le rapport
Il permet d’analyser les valeurs numériques de chaque compteur.
Les données de compteurs sont présentées dans un tableau (une valeur par instance de
compteur).
453
Chapitre 11 La maintenance des serveurs
Pour effectuer une analyse en temps réel avec la console Performances, procédez ainsi :
11. La maintenance
d’administration/Performances.
454
Analyser les performances du serveur
ou l’option Choisir les compteurs dans la liste si vous souhaitez choisir les compteurs
pour l’objet de performance sélectionné. Pour analyser les instances du compteur
sélectionné, sélectionnez l’option Toutes les instances si vous souhaitez analyser
toutes les instances des compteurs sélectionnés ou l’option Choisir les instances si
vous souhaitez analyser les instances choisies dans la liste des compteurs
sélectionnés.
Figure 11.25 :
Ajouter des compteurs
11. La maintenance
des serveurs
5. Cliquez sur Ajouter.
455
Chapitre 11 La maintenance des serveurs
Cas particuliers
Certains types d’objets possèdent plusieurs instances. Par exemple, si un serveur
possède plusieurs processeurs, le type d’objet Processeur dispose de plusieurs
instances. Si un système contient deux disques, le type d’objet Disque physique
possède deux instances. Certains objets, tels que ceux de la mémoire ou du serveur, ne
disposent que d’une seule instance. Si un type d’objet a plusieurs instances, vous
pouvez ajouter des compteurs pour réaliser le suivi statistique de chaque instance ou,
dans de nombreux cas, de toutes les instances à la fois.
L’analyse programmée
L’analyse programmée consiste à récupérer et conserver des données sur une période
définie pour les analyser ultérieurement. Cela permet d’établir une ligne de base, de
détecter les goulets d’étranglement et de déterminer si des modifications du système se
456
Analyser les performances du serveur
11. La maintenance
des serveurs
Figure 11.28 : Journaux et alertes
3. Cliquez du bouton droit de la souris sur Journaux de compteur, puis sur Nouveaux
paramètres de journal.
4. Dans la boîte de dialogue qui apparaît, indiquez le nom du journal, puis cliquez sur
OK.
Figure 11.29 :
Nom du nouveau fichier
journal
457
Chapitre 11 La maintenance des serveurs
Figure 11.30 :
Sélection des objets et
compteurs
11. La maintenance
des serveurs
458
Analyser les performances du serveur
Figure 11.32 :
Planification du
démarrage et de l’arrêt
du journal
11. La maintenance
des serveurs
10. Si un message vous invite à créer un dossier de journal, cliquez sur Oui.
459
Chapitre 11 La maintenance des serveurs
Le Gestionnaire des tâches peut permettre d’analyser les indicateurs clés des
performances de votre ordinateur :
j Vous pouvez afficher l’état des programmes en cours d’exécution et terminer ceux
qui ne répondent plus.
j L’activité des processus en cours peut être évaluée en utilisant jusqu’à
15 paramètres, et des graphiques ainsi que des données concernant l’utilisation du
processeur et de la mémoire peuvent être affichés.
j Si vous êtes connecté à un réseau, vous avez la possibilité d’afficher l’état de ce
réseau.
11. La maintenance
j Si plusieurs utilisateurs sont connectés à votre ordinateur, vous pouvez savoir qui ils
sont, quels fichiers sont utilisés et leur envoyer un message. Le Gestionnaire des
des serveurs
tâches propose cinq onglets qui permettent d’effectuer l’ensemble de ces actions.
Figure 11.34 :
Le gestionnaire des
tâches
460
Analyser les performances du serveur
11. La maintenance
distant
des serveurs
4. Dans Objet de performance, sélectionnez les objets à analyser. Pour chaque objet de
performance, sélectionnez les compteurs correspondants sur la liste. Cliquez sur
Ajouter après chaque sélection de compteur, puis cliquez sur Fermer.
461
Chapitre 11 La maintenance des serveurs
Les journaux
Windows Server 2003 peut récupérer des données concernant les ressources disque, la
mémoire, les processeurs et les composants réseau. De plus, certaines applications, par
exemple Exchange Server, peuvent également récupérer des données. Celles-ci
constituent des objets de performances et leur nom est généralement celui du
composant qui les génère. L’objet Processeur représente un ensemble de données de
performances relatives aux processeurs du serveur.
Les journaux sont des compteurs qui indiquent les données enregistrées dans le fichier
journal. Les journaux de compteur permettent de sélectionner les compteurs pour
récupérer les données sur les performances.
11. La maintenance
des serveurs
Tous les journaux de compteur existants apparaissent dans le volet des informations.
L’icône verte indique qu’un journal est en cours et l’icône rouge signale l’arrêt du
journal.
3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations,
puis cliquez sur Nouveaux paramètres de journal.
4. Dans la zone de texte Nom, tapez le nom du journal, puis cliquez sur OK.
5. Sous l’onglet Général, cliquez sur Ajouter des compteurs pour sélectionner les
compteurs à enregistrer.
6. Si vous souhaitez modifier le fichier par défaut et planifier des informations, utilisez
les onglets Fichiers journaux et Planification.
7. Pour enregistrer les paramètres d’un journal de compteur, cliquez du bouton droit
de la souris sur celui-ci dans le volet situé à droite dans la console Performances,
puis cliquez sur Enregistrer les paramètres sous. Vous pouvez indiquer le fichier
.htm dans lequel enregistrer les paramètres.
8. Pour réutiliser les paramètres enregistrés avec un autre journal de compteur,
cliquez du bouton droit de la souris dans le volet situé à droite, puis cliquez sur
Nouveaux paramètres de journalisation issus de. Cela permet de générer
facilement de nouveaux paramètres à partir de la configuration d’un journal de
compteur. Vous pouvez également ouvrir le fichier HTML dans Internet Explorer
pour afficher un graphique du Moniteur système.
462
Analyser les performances du serveur
conseillé d’établir une ligne de base une fois par semaine et de supprimer les journaux
ayant plus de 30 jours.
11. La maintenance
des serveurs
Figure 11.37 : Suppression d’un journal
463
Chapitre 11 La maintenance des serveurs
Pour définir les paramètres de fichier d’un journal de compteur, procédez ainsi :
1. Pour lancer la console Performances, cliquez sur Démarrer/Outils
d’administration/Performances.
2. Double-cliquez sur Journaux et alertes de performance.
3. Pour définir les propriétés de fichier d’un journal de compteur, double-cliquez sur
Journaux de compteur.
4. Dans le volet des informations, double-cliquez sur le journal.
5. Passez sous l’onglet Fichiers journaux.
6. Sur la liste Type de fichier journal, sélectionnez le format souhaité pour ce fichier
journal, paramétrez les options, puis cliquez sur le bouton Configurer.
7. Dans la zone Configurer, déterminez les paramètres de configuration à l’aide des
options Configurer les fichiers journaux ou Configurer les journaux SQL, selon le type
de fichier journal choisi sur la liste correspondante.
8. Activez l’option Terminer les noms de fichiers avec, puis, sur la liste, cliquez sur le
style de suffixe souhaité. Utilisez cette option pour distinguer les fichiers journaux
464
Analyser les performances du serveur
11. La maintenance
des serveurs
11. Dans la boîte de dialogue Configurer les fichiers journaux, sous la rubrique Taille
du fichier journal, activez l’option Limite maximale pour que les données soient
récupérées de façon continue dans un fichier journal jusqu’à ce que sa taille limite
définie par les quotas de disque ou le système d’exploitation soit atteinte. Pour les
journaux SQL, les données sont récupérées dans une base de données jusqu’à ce que
sa taille limite définie par le nombre d’enregistrements effectués soit atteinte.
Choisissez Limite de et indiquez la taille limite du fichier journal. Pour les journaux
de compteur et de traçage, indiquez la taille maximale en mégaoctets. Pour les
journaux SQL, indiquez la taille maximale dans les enregistrements (voir fig. 11.39).
Pour définir les paramètres de début et de fin d’un journal de compteur, procédez ainsi :
1. Pour lancer la console Performances, cliquez sur Démarrer/Outils
d’administration/Performances.
2. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Journaux de
compteur.
465
Chapitre 11 La maintenance des serveurs
Figure 11.39 :
Limiter la taille du
fichier journal
11. La maintenance
des serveurs
466
Analyser les performances du serveur
6. Dans la zone Quand un fichier journal est fermé, sélectionnez l’option appropriée :
j Si vous souhaitez configurer un journal de compteur circulaire (continu,
automatique), sélectionnez l’option Commencer un nouveau fichier journal.
j Pour exécuter un programme après l’arrêt du fichier journal (par exemple, si
vous souhaitez utiliser la commande copy pour transférer les journaux terminés
vers un site d’archive), sélectionnez Exécuter cette commande. Tapez le chemin
11. La maintenance
d’accès et le nom du fichier du programme à exécuter ou cliquez sur Parcourir
des serveurs
pour rechercher l’emplacement du programme.
467
Chapitre 11 La maintenance des serveurs
Les alertes
Grâce à la fonction d’alerte, vous pouvez définir une valeur de compteur qui déclenche
des actions, telles que l’envoi d’un message réseau, l’exécution d’un programme ou le
démarrage d’un journal. Les alertes sont utiles si vous n’analysez pas de façon active une
valeur seuil d’un compteur particulier mais que vous souhaitiez être informé lorsqu’elle
est supérieure ou inférieure à un paramètre spécifié, afin de pouvoir rechercher l’origine
de ce changement.
Alertes
Une alerte est une fonction qui détecte à quel moment une valeur de compteur
11. La maintenance
d’alerte.
Vous pouvez définir une alerte pour un compteur afin d’effectuer les actions suivantes :
j créer une entrée dans le journal des événements de l’application pour, notamment,
enregistrer tous les événements ayant provoqué une alerte ;
j commencer un journal lorsque la valeur de compteur sélectionnée est supérieure ou
inférieure au seuil d’alerte ;
j envoyer un message pour être prévenu lorsqu’un événement spécifique se produit ;
j exécuter un programme pour lancer un programme lorsqu’un événement se produit
(par exemple, le serveur peut s’arrêter si le disque dur est plein).
Toutes les alertes existantes apparaissent dans le volet des informations. L’icône verte
indique que l’alerte est en cours et l’icône rouge signale l’arrêt de l’alerte.
3. Cliquez du bouton droit de la souris sur une zone vierge du volet des informations,
puis sur Nouveaux paramètres d’alerte.
4. Dans la zone de texte Nom, tapez le nom de l’alerte, puis cliquez sur OK.
Figure 11.42 :
Nouveaux paramètres
d’alerte
468
Analyser les performances du serveur
5. Dans la fenêtre d’alerte portant le nom du fichier que vous venez de donner,
paramétrez les différents onglets :
j Sous l’onglet Général, vous pouvez ajouter un commentaire pour votre alerte,
ainsi que des compteurs, des seuils d’alerte et des intervalles d’échantillonnage.
Figure 11.43 :
L’onglet Général
11. La maintenance
des serveurs
j Sous l’onglet Action, définissez les actions à réaliser lorsque des données de
compteur génèrent une alerte.
Figure 11.44 :
L’onglet Action d’une
alerte
469
Chapitre 11 La maintenance des serveurs
Si vous avez choisi d’envoyer un message réseau, vous recevrez ce type de message :
Si vous avez choisi d’enregistrer un événement dans le journal des événements, voici ce
que vous obtiendrez :
Figure 11.47 :
Message d’alerte
enregistré dans le journal
d’événements
470
Analyser les performances du serveur
11. La maintenance
des serveurs
Figure 11.48 : Suppression d’une alerte
La mémoire
La mémoire du serveur est le sous-système ayant la plus grande incidence sur les
performances générales du serveur. Si le serveur ne dispose pas de mémoire suffisante
pour contenir les données qui lui sont nécessaires, il doit temporairement stocker ces
données sur le disque (on dit qu’il swappe). L’accès au disque est beaucoup plus lent que
l’accès à la mémoire RAM. Par conséquent, tout stockage de données sur le disque
altère les performances du serveur de façon importante. Par rebond, si les performances
du serveur sont altérées, les applications qu’il fait tourner le sont aussi, logiquement.
471
Chapitre 11 La maintenance des serveurs
4. Bien que les compteurs suivants ne soient pas explicitement des compteurs d’objets
mémoire, ils sont également utiles à l’analyse de la mémoire :
j Fichier d’échange\Pourcentage d’utilisation ;
j Cache\% Présence des données mappées ;
j Serveur\Octets de réserve paginée et Serveur\Octets de réserve non paginée.
472
Analyser les performances du serveur
Figure 11.49 :
Sélection des compteurs
et objets pour l’analyse
de la mémoire
11. La maintenance
des serveurs
5. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez
les opérations nécessaires à la résolution du problème de mémoire.
473
Chapitre 11 La maintenance des serveurs
Le processeur
L’aspect le plus important concernant les performances du processeur est le niveau
d’utilisation de ce dernier. Lorsqu’une application ou un autre logiciel utilise plus que sa
part du cycle du processeur, tous les autres programmes en cours d’exécution sont
ralentis.
processeur
des serveurs
Les disques
La vitesse d’accès du disque dur physique peut fortement ralentir les applications et le
chargement des données. De plus, l’espace de stockage sur le disque doit être suffisant
pour permettre l’installation des applications, ainsi que le stockage des données et du
fichier d’échange.
Il est important d’analyser les disques pour maintenir le bon fonctionnement de vos
systèmes.
474
Analyser les performances du serveur
11. La maintenance
Disque, octets Ligne de base ou Haute Mettre à niveau le sous-système disque
transfert moyen supérieure
des serveurs
Octets disque/s Ligne de base ou Haute Mettre à niveau le sous-système disque
supérieure
4. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez
les opérations nécessaires à la résolution des éventuels problèmes de disque.
Le réseau
Les performances du réseau dépendent de la vitesse du matériel de l’infrastructure de
votre réseau et de celle des logiciels en cours d’exécution sur les serveurs et clients.
475
Chapitre 11 La maintenance des serveurs
11.3. En résumé
La maintenance de vos serveurs Windows Server 2003 est, évidemment, une partie très
importante du travail d’un administrateur. C’est même une des parties qui vous suivra
une fois le projet d’implémentation d’Active Directory terminé.
Comme nous pouvons le constater, Windows Server 2003 est suffisamment bien équipé
en standard pour vous proposer de maintenir et d’analyser les performances afin de
résoudre des problèmes ou réaliser des prévisions sur les évolutions matérielles du
serveur. Sachez tirer parti de tous les outils mis à votre disposition.
476
Chapitre 12
Windows
Server 2008
12.1 Les prérequis à l’installation de Windows Server 2008 . . . . . . . . . . . . . . . . . 479
12.2 Qu’est-ce que la version Server Core ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
12.3 Les groupes et utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
12.4 Les services par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
12.5 Gérer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
12.6 Les rôles et les fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
12.7 Les améliorations liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
12.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Les prérequis à l’installation de Windows Server 2008
C inq ans après l’arrivée de Windows Server 2003, Windows Server 2008 est le
successeur d’un système d’exploitation fiable et robuste qui a fait toutes ces
preuves. Mais alors qu’apporte Windows Server 2008 ? Tout d’abord, il a été conçu pour
fournir aux entreprises la plateforme la plus productive pour virtualiser des charges de
travail, alimenter des applications et protéger des réseaux. Il propose une plateforme
sécurisée et facile à gérer servant à développer et à héberger de façon fiable des
applications et des services web. Polyvalent, du groupe de travail au centre de données,
Windows Server 2008 propose des fonctionnalités nouvelles et extrêmement utiles, ainsi
que des améliorations importantes au système d’exploitation de base.
12. Windows
Server 2008
nécessaire de définir son besoin au préalable en vérifiant les points suivants :
j définir l’utilisation de son serveur pour choisir la version Standard, Entreprise,
Datacenter ou Web ;
j vérifier que l’on répond bien aux prérequis matériels de l’installation CPU, RAM,
disques, etc. ;
j choisir la version que l’on souhaite installer, complète ou Core.
Voici les prérequis d’installation de demande Windows Server 2008, que cela soit dans
les versions Core ou complètes…
Le processeur
j Minimum : 1 GHz.
j Recommandé : 2 GHz.
j Optimal : 3 GHz ou plus.
L’espace disque
j Espace disque requis au minimum : 8 Go.
j Recommandé : 40 Go (installation complète) ou 10 Go (installation Server Core).
j Optimal : 80 Go (installation complète) ou 40 Go (installation Server Core) ou plus.
La mémoire
j Mémoire minimale : 512 Mo de RAM.
j Recommandé : 1 Go de RAM.
479
Chapitre 12 Windows Server 2008
Les périphériques
j Un lecteur de DVD-Rom ;
j un moniteur Super VGA (800 x 600) ou d’une résolution supérieure ;
j un clavier et une souris.
12. Windows
Server 2008
480
Qu’est-ce que la version Server Core ?
12. Windows
Server 2008
Figure 12.1 : Sélection de l’installation d’un serveur Core ou d’un serveur en version
complète
j Une surface d’attaque réduite : étant donné qu’il y a moins de fichiers installés et
exécutés sur le serveur, il y a moins de vecteurs d’attaque exposés au réseau. Par
conséquent, la surface d’attaque est réduite. Les administrateurs peuvent installer
uniquement les services spécifiques nécessaires à un serveur donné, en maintenant
le risque d’exposition à un minimum absolu.
j Moins de redémarrages et un espace disque réduit : avec une installation minimale
de Server Core, moins de composants installés auront besoin d’être mis à jour ou
corrigés et le nombre de redémarrages requis sera réduit. Une installation Server
Core installe les fichiers minimaux nécessaires pour les fonctionnalités requises, et
l’espace disque utilisé sur le serveur sera donc réduit. En choisissant d’utiliser
l’option d’installation Server Core sur un serveur, les administrateurs peuvent
réduire les exigences en matière de gestion et mise à jour logicielle pour un serveur,
tout en réduisant les risques liés à la sécurité.
481
Chapitre 12 Windows Server 2008
Ils utilisent tous les deux le principe des images WIM. Pour installer Windows
Server 2008, procédez de la manière suivante :
1. Insérez le DVD de Windows Server 2008 et redémarrez votre serveur à partir de
votre lecteur de DVD.
Une première fenêtre s’ouvre et vous propose de choisir les options suivantes :
j langues à installer ;
j format de l’heure et de la monnaie ;
j clavier ou méthode d’entrée.
2. Une fois vos choix réalisés, cliquez sur Suivant.
12. Windows
Server 2008
482
Qu’est-ce que la version Server Core ?
12. Windows
Server 2008
Figure 12.3 : À partir de cettee fenêtre, vous avez la possibilité d’installer ou réparer
Windows Server 2008
4. Dans la fenêtre Entrez votre clé de produit pour activation, dans le champ Clé de
produit, saisissez votre clé de produit et cliquez sur Suivant.
Figure 12.4 : Saisie de la clé produit qui débloque la version de Windows Server 2008
(Standard, Entreprise…)
483
Chapitre 12 Windows Server 2008
La partie Sélectionnez le système d’exploitation que vous voulez installer est une étape
importante et structurante. C’est ici, que vous allez choisir l’installation d’un serveur
complet ou l’installation d’un serveur Core.
5. Dans notre exemple, sélectionnez Windows Server 2008 Enterprise (Installation
complète), puis cliquez sur Suivant.
Server Core
Pour rappel, Server Core est une version de serveur sans interface graphique pour
l’administration. Sa configuration se fait en ligne de commandes. Le Serveur Core ne
possède pas la totalité des rôles que propose la version complète de Windows
Server 2008.
Les rôles proposés par le serveur Core sont les suivants :
j
Server 2008
j serveur de fichiers ;
j services d’annuaire Active Directory (AD DS) ;
j Active Directory Lightweight Directory Services (AD LDS) ;
j services Windows Media ;
j gestion de l’impression.
6. Dans la fenêtre Veuillez lire le contrat de licence, cliquez sur la case à cocher
J’accepte les termes du contrat de licence et cliquez sur Suivant.
484
Qu’est-ce que la version Server Core ?
12. Windows
Server 2008
Figure 12.6 : C’est à cette étape que vous avez le choix de mettre votre système à niveau
ou de personnaliser une installation
485
Chapitre 12 Windows Server 2008
9. Une fois l’installation terminée, Windows Server 2008 redémarre et vous demande
de changer de mot de passe.
12. Windows
Server 2008
486
Les services par défaut
12. Windows
Server 2008
12.4. Les services par défaut
Lors du premier démarrage Windows Server 2008 exécute un certain nombre de
services avec des profils différents. Le tableau suivant vous les présente :
Tableau 12.1 : Services démarrés par défaut dans Windows Server 2008 Entreprise
Nom Statut Type de démarrage Système pour l’ouverture de
session
Application Experience Started Automatic Local System
Background Intelligent Transfer Started Automatic (Delayed Start) Local System
Service
Base Filtering Engine Started Automatic Local Service
COM+ Event System Started Automatic Local Service
Cryptographic Services Started Automatic Network Service
DCOM Server Process Started Automatic Local System
Launcher
Desktop Window Manager Started Automatic Local System
Session Manager
DHCP Client Started Automatic Local Service
Diagnostic Policy Service Started Automatic Local Service
Diagnostic System Host Started Manual Local System
Distributed Link Tracking Client Started Automatic Local System
487
Chapitre 12 Windows Server 2008
488
Gérer le serveur
12. Windows
Server 2008
12.5. Gérer le serveur
De la rationalisation de la configuration de nouveaux serveurs à l’automatisation des
tâches de gestion répétitives, la simplification des complexités quotidiennes de
l’administration des serveurs est un thème clé dans un grand nombre des améliorations
incluses dans Windows Server 2008. Des outils de gestion centralisés, des interfaces
intuitives et des fonctionnalités d’automatisation permettent aux professionnels de
l’informatique de gérer plus facilement les serveurs, les services et les imprimantes
réseau, aussi bien dans le réseau central que dans les sites distants comme les
succursales.
489
Chapitre 12 Windows Server 2008
12. Windows
Server 2008
490
Gérer le serveur
12. Windows
Server 2008
Figure 12.10 : La console Gestionnaire de serveur
Figure 12.11 :
Le volet Hiérarchie de la console
Gestionnaire de serveur
491
Chapitre 12 Windows Server 2008
492
Les rôles et les fonctionnalités
12. Windows
Server 2008
pour qu’ils fonctionnent ensemble.
j Serveur Web IIS : il fournit une infrastructure web par le biais d’un ensemble de
composants.
j Services AD LDS (Active Directory Lightweight Directory Services) : ils fournissent un
magasin pour les données spécifiques de l’application, pour les applications Active
Directory qui ne nécessitent pas l’infrastructure des services de domaine Active
Directory. Il peut avoir plusieurs instances AD LDS sur un seul serveur, chacune
d’entre elles disposant de son propre schéma.
j Services AD RMS (Active Directory Rights Management Services) : ils permettent de
protéger les informations contre une utilisation non autorisée. Les services AD
RMS établissent l’identité des utilisateurs et fournissent aux utilisateurs autorisés
des licences pour les informations protégées.
j Services ADFS (Active Directory Federation Services) : ils intègrent des
fonctionnalités de fédération des identités sécurisée et simplifiées d’authentification
unique via le Web. AD FS inclut un service de fédération via le Web basé sur un
navigateur, un proxy du service de fédération pour personnaliser l’environnement
au client et protéger les ressources internes et des agents web utilisés pour fournir
aux utilisateurs fédérés l’accès aux applications hébergés en interne.
j Services d’impression : ils permettent de partager des imprimantes sur un réseau,
ainsi que de centraliser des tâches de gestion de serveur d’impression et
d’imprimantes réseau. Ils permettent également de migrer des serveurs
d’impression et de déployer des connexions d’imprimante à l’aide de la stratégie de
groupe.
j Services de certificats Active Directory : ils permettent de créer des autorités de
certification et des services de rôle associés pour émettre et gérer les certificats
utilisés dans diverses applications.
493
Chapitre 12 Windows Server 2008
Il y a 36 fonctionnalités :
j assistance à distance ;
j base de données interne Windows ;
j chiffrement de lecteur Bitlocker ;
j client d’impression Internet ;
j client Telnet ;
j client TFTP ;
j clustering avec basculement ;
j compression différentielle à distance ;
j disque de récupération de données ;
494
Les rôles et les fonctionnalités
12. Windows
Server 2008
j moniteur de port LPR ;
j MPIO (Multhipath I/O) ;
j outils d’administration de serveur à distance ;
j protocole de résolution de noms d’homologues ;
j proxy RPC sur HTTP ;
j serveur ISSN (Internet Storage Name Server) ;
j serveur SMTP ;
j serveur Telnet ;
j serveur WINS ;
j service d’activation de processus Windows ;
j service de réseau local sans fil ;
j services SMNP ;
j services TCP/IP simplifiés ;
j sous-systèmes pour les applications Unix ;
j Windows PowerShell.
495
Chapitre 12 Windows Server 2008
12. Windows
Server 2008
496
Les rôles et les fonctionnalités
3. Dans le volet de droite, sélectionnez Ajouter des rôles. Dans la fenêtre Sélectionnez
des rôles de serveurs, cochez la case du rôle que vous souhaitez installer et cliquez
sur Suivant.
12. Windows
Server 2008
Figure 12.15 : Sélection d’un rôle
497
Chapitre 12 Windows Server 2008
5. Dans la fenêtre suivante, l’assistant vous expliquez les fonctionnalités du rôle et vous
propose des informations complémentaires liées au rôle. Cliquez sur Suivant pour
poursuivre l’installation.
12. Windows
Server 2008
6. Un rôle représente bien souvent plusieurs services. Dans la fenêtre Sélectionner les
services de Rôle, sélectionnez uniquement les services utiles à votre besoin et
cliquez sur Suivant.
498
Les rôles et les fonctionnalités
12. Windows
Server 2008
Figure 12.19 : La fenêtre de confirmation d’installation du rôle
499
Chapitre 12 Windows Server 2008
La fenêtre de rôle présente le nouveau rôle installé, il s’agit ici du serveur web Internet
Information Server 7.
12. Windows
Server 2008
500
Les améliorations liées à la sécurité
12. Windows
Server 2008
Les fonctionnalités de sécurité avancée du pare-feu Windows
Le pare-feu de Windows Server 2008 est avant tout la plateforme Windows Filtering
platform. Elle se compose des éléments suivants :
j Un ensemble d’API, destiné avant tout aux éditeurs tiers, leur permet de venir
inclure leur moteur de filtrage et de disposer ainsi d’un filtrage beaucoup plus
évolué.
j Des fonctionnalités de filtrage avancées :
− communications authentifiées ;
− configuration dynamique et robuste du pare-feu avec les appels WinSock ;
− fondation de pare-feu Windows et IPSec ;
− fonctionnement avec du trafic chiffré (par exemple, RPC dans Windows
Server 2008).
j Le système de Hooking – passage dans la pile (stack) – est mieux documenté, ce qui
réduit considérablement les risques d’incompatibilité.
Windows Filtering Platform utilise le Filtering Engine qui est placé dans le kernel de
Windows. Lorsqu’on utilise une application pare-feu et une application antivirus, elles
font toutes deux appel aux API de Windows Filtering Platform. Elles vont pouvoir être
501
Chapitre 12 Windows Server 2008
contrôlées depuis le BFE (Base Filtering Engine). Il y a plusieurs niveaux comme IPSec,
ALE (Application Layer Enforcement), etc. Toutes les applications d’éditeurs tiers vont
donc venir s’inclure dans le système sous forme de Callout. Par l’intermédiaire des API,
Windows Filtering Platform va faire appel de manière standard aux différents
composants quel que soit leur éditeur.
Voici un petit comparatif entre le pare-feu de Windows Server 2003 et celui de Windows
Server 2008 :
Le nouveau pare-feu, dans ses fonctions avancées, vous permet de créer des règles selon
les critères de filtrage suivants :
j groupe utilisateurs/machine Active Directory ;
j IP source et destination (individuelle ou plage) ;
j ports TCP/UDP source et destination ;
j liste des ports délimités par des points-virgules ;
j numéro de protocole IP ;
j type d’interface (filaire, sans-fil, VPN/RAS) ;
j type/code ICMP ;
j service.
502
Les améliorations liées à la sécurité
12. Windows
Server 2008
Dans les versions antérieures de Windows Server, le pare-feu Windows et IPSec étaient
configurés séparément. Étant donné qu’un pare-feu basé sur l’hôte et IPSec dans
Windows peuvent bloquer ou autoriser le trafic entrant, il est possible de créer des
exceptions de pare-feu et des règles IPSec contradictoires ou qui se chevauchent. Le
nouveau pare-feu Windows de Windows Server 2008 a associé la configuration des
services réseau avec les mêmes commandes d’interface graphique et de ligne de
commande. Cette intégration de paramètres de pare-feu et IPSec simplifie la
configuration du pare-feu et IPSec, et contribue à empêcher les chevauchements de
stratégies et les paramètres contradictoires.
La protection : NAP
NAP (Network Access Protection) empêche les ordinateurs non intègres d’accéder au
réseau d’une organisation et de le compromettre. NAP est utilisée pour configurer et
mettre en place des exigences en matière de santé client et mettre à jour, ou corriger, des
ordinateurs clients non conformes afin qu’ils puissent être connectés au réseau de
l’entreprise. Avec NAP, les administrateurs peuvent configurer des stratégies de santé
qui définissent des éléments tels que la configuration logicielle requise, les mises à jour
de sécurité requises et les paramètres de configuration requis pour les ordinateurs se
connectant au réseau de l’organisation.
NAP permet d’appliquer les exigences en matière de santé en évaluant la santé des
ordinateurs clients et en limitant l’accès réseau lorsque les ordinateurs clients ne sont
pas conformes. Les composants clients et serveurs participent à la correction des
ordinateurs clients non conformes, pour qu’ils puissent obtenir un accès réseau illimité.
Si un ordinateur client est déterminé non conforme, il peut se voir refuser l’accès au
réseau ou être réparé immédiatement pour devenir conforme.
503
Chapitre 12 Windows Server 2008
Enterprise PKI
Il existe un certain nombre d’améliorations de l’infrastructure de clé publique (PKI)
dans les systèmes d’exploitation Windows Server 2008 et Windows Vista. La gestion a
été facilitée dans tous les aspects de PKI Windows, les services de révocation ont été
retravaillés et la surface d’attaque pour l’inscription a diminué. Voici quelques-unes des
améliorations de la PKI…
j Enterprise PKI (PKIView) : PKIView, qui faisait partie à l’origine du kit de
ressources Microsoft Windows Server 2003 et s’appelait "l’outil PKI Health", est
maintenant un composant logiciel enfichable MMC (Microsoft Management
Console) pour Windows Server 2008. Il est utilisé pour analyser l’état de santé des
autorités de certification et pour afficher des détails sur les certificats générés par
l’autorité de certification et publiés dans AD CS.
j Protocole OCSP (Online Certificate Status Protocol) : un répondeur en ligne basé sur
le protocole OCSP (Online Certificate Status Protocol) peut être utilisé pour gérer et
distribuer des informations sur l’état de révocation dans les cas où l’utilisation de
CRL conventionnelles ne serait pas une solution optimale. Des répondeurs en ligne
peuvent être configurés sur un seul ordinateur ou dans un tableau de répondeurs en
ligne.
504
Les améliorations liées à la sécurité
j Service NDES (Network Device Enrollment Service) : dans Windows Server 2008, le
service NDES est l’implémentation Microsoft du protocole SCEP (Simple
Certificate Enrollment Protocol), un protocole de communication qui permet aux
logiciels exécutés sur des périphériques réseau, tels que les routeurs et les
commutateurs qui ne peuvent pas être authentifiés autrement sur le réseau,
d’obtenir des certificats x509 auprès d’une autorité de certification.
j Web Enrollment : le nouveau contrôle Web Enrollment (inscription par le Web) est
plus sûr, plus facile à rédiger en script et plus facile à mettre à jour que sa version
antérieure.
j Stratégie de groupe et PKI : des paramètres de certificat dans la stratégie de groupe
permettent aux administrateurs de gérer les paramètres de certificat à partir d’un
emplacement central pour tous les ordinateurs du domaine.
12. Windows
Server 2008
aux professionnels de l’informatique de créer, de mettre à jour et d’utiliser des
algorithmes cryptographiques personnalisés dans des applications à caractère
cryptographique, telles qu’AD CS (Active Directory Certificate Services), SSL (Secure
Sockets Layer) et IPSec (Internet Protocol Security). CNG implémente les algorithmes
cryptographiques de la Suite B du gouvernement américain, qui incluent des
algorithmes pour le chiffrement, les signatures numériques, l’échange de clés et le
hachage.
CNG propose une série d’API qui sont utilisées pour exécuter des opérations
cryptographiques fondamentales, telles que la création, le stockage et la récupération de
clés cryptographiques. Elle prend également en charge l’installation et l’utilisation de
fournisseurs cryptographiques supplémentaires. CNG permet aux organisations et aux
développeurs d’utiliser leurs propres algorithmes cryptographiques ou des
implémentations d’algorithmes cryptographiques standards.
505
Chapitre 12 Windows Server 2008
En dehors des mots de passe des comptes, le RODC renferme tous les objets et attributs
des services de domaine Active Directory (AD DS) de Microsoft qu’un contrôleur de
domaine réinscriptible renferme. Cependant, les clients ne peuvent pas inscrire de
modifications directement dans un RODC. Comme les modifications ne peuvent pas
être inscrites directement dans le RODC et que, par conséquent, leur source n’est pas
locale, les contrôleurs de domaine réinscriptibles qui sont des partenaires de réplication
n’ont pas besoin d’extraire des modifications du RODC. La séparation des rôles
d’administrateur spécifie que n’importe quel utilisateur de domaine peut être délégué
pour être l’administrateur local d’un RODC sans que cet utilisateur ne bénéficie de
droits d’utilisateur pour le domaine lui-même ou d’autres contrôleurs de domaine.
Cet isolement empêche les ordinateurs et programmes non autorisés d’obtenir un accès
abusif aux ressources. Les demandes provenant d’ordinateurs qui ne font pas partie du
réseau isolé sont ignorées. L’isolation du serveur et du domaine permet de protéger les
serveurs et les données spécifiques de grande valeur, ainsi que les ordinateurs gérés des
ordinateurs et des utilisateurs non gérés ou non autorisés.
506
En résumé
12.8. En résumé
Windows Server 2008 représente la nouvelle génération de Windows Server. Il offre un
contrôle accru de l’infrastructure serveur et réseau. Il augmente la sécurité en
renforçant le système d’exploitation et en protégeant l’environnement réseau. Il permet
également d’être flexible en accélérant le déploiement et la maintenance des systèmes
informatiques, facilitant la consolidation et la virtualisation des serveurs et applications
et en fournissant des outils d’administration intuitifs.
12. Windows
Server 2008
507
Partie
B
Active Directory
Partie
B Active Directory
Introduction à
LDAP et Active
Directory
13.1 Généralités sur l’annuaire et LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
13.2 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
13.3 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Généralités sur l’annuaire et LDAP
C e chapitre a pour premier objectif d’introduire les principes de base des annuaires,
mais également de présenter le protocole LDAP, jusqu’à sa version 3, qui constitue
une norme ouverte pour les annuaires.
En effet, le standard LDAP et l’annuaire qu’il soit LDAP ou non sont deux choses
différentes.
Le premier définit l’interface d’accès à un annuaire et le second est une sorte de base de
données permettant de retrouver facilement des personnes ou des ressources comme
des imprimantes, des ordinateurs et des applications.
C’est parce que les annuaires présentent certains besoins caractéristiques que leur accès
13. Introduction à
nécessite de définir un standard. Les annuaires ne sont pas que des bases de données. Ils
LDAP et Active
doivent également offrir des services particuliers comme la recherche, le classement ou
Directory
l’organisation des informations. C’est ce que la suite de ce chapitre va s’efforcer de vous
démontrer.
Ils sont tous destinés à faciliter la localisation d’une personne ou d’une entreprise à
partir de différents critères de recherche comme le nom, le code postal, voire la fonction
pour les personnes ou le type de service rendu pour les entreprises. Le résultat des
recherches est un numéro de téléphone, une adresse postale complète, une adresse de
site web, une adresse de messagerie électronique, etc.
Ils doivent donc offrir des critères de recherche puissants, pragmatiques et simples à
utiliser.
Un annuaire est d’autant plus utile qu’il est simple à employer, notamment lorsque vous
devez effectuer une recherche avec très peu d’informations. À l’extrême, cette
recherche peut n’être qu’une vague formulation ; par exemple : « Je veux trouver un
restaurant. » D’ailleurs, si vous tapez cette phrase dans la zone de recherche du site
513
Chapitre 13 Introduction à LDAP et Active Directory
Internet des pages jaunes (www.pagesjaunes.fr), vous retrouverez les services relatifs à la
restauration et aux établissements de la restauration.
Les annuaires électroniques et en ligne ont la même vocation que les annuaires papier,
mais ils apportent en plus les avantages suivants : ils sont dynamiques, flexibles,
sécurisés et personnalisables.
En fait, X.500 est constitué d’un ensemble de protocoles standards, tous issus des
travaux de l’ISO. Pour vous donner un bref aperçu de l’étendue des services offerts par
le standard X.500, voici un rappel de ses différentes recommandations et protocoles…
j Spécification X.501 : description des concepts X.500.
j Spécification X.509 : descriptions des mécanismes d’authentification X.500.
j Spécification X.511 : description des fonctions de recherche et de manipulation
13. Introduction à
d’objets.
LDAP et Active
Directory
Comme vous pouvez le constater, le protocole X.500 a été conçu dès le départ pour
offrir aux services d’annuaires des services complets et sophistiqués. Annuaire du
monde OSI, il repose sur les services de la couche 7 (application) du modèle ISO de
l’OSI. Cependant, ce cahier des charges énorme et sa complexité de mise en œuvre
seront les causes des nombreux problèmes de fonctionnement et de performance des
premières versions d’annuaire X.500. En raison de son coût, il sera réservé aux grands
comptes exigeants, comme les opérateurs de télécommunication, pour lesquels il a été
initialement conçu. Malgré une couverture fonctionnelle complète, il n’aura pas connu
le succès escompté.
De plus, le principal inconvénient viendra du fait que seuls les protocoles ISO étaient
reconnus. Au commencement de l’Internet, certains disaient même que le rêve secret
des architectes de l’OSI aurait été que X.500 supplante TCP/IP ! En fait, cela n’arrivera
jamais et, bien au contraire, les implémentations X.500 les plus modernes seront petit à
petit adaptées pour prendre en charge TCP/IP.
514
Généralités sur l’annuaire et LDAP
13. Introduction à
LDAP et Active
− La découverte des fonctionnalités et du schéma disponible : les serveurs
Directory
LDAPv3 disposent d’une nouvelle entrée dans l’annuaire appelée
"RootDSE" (Root Directory Server Specific Entry). Ce nouvel élément permet la
publication de nombreuses informations spécifiques, par exemple les
informations de schéma ou les contrôles disponibles. Cette fonctionnalité
permet aux clients LDAP de mieux négocier les fonctionnalités et les services
disponibles par tel ou tel serveur d’annuaires LDAP.
− Une meilleure gestion des authentifications : LDAPv3 implémente le support
de SASL (Simple Authentification and Security Layer) et de TLS (Transport Layer
Security).
− La gestion des références : LDAPv3 implémente un mécanisme de gestion des
références qui permet aux serveurs LDAP de renvoyer des références vers
d’autres serveurs LDAP.
− Le support des jeux de caractères Unicode : le support du jeu de caractères
UTF-8 permet au protocole LDAP de manipuler des données quel que soit le
langage utilisé.
515
Chapitre 13 Introduction à LDAP et Active Directory
Le standard LDAP v3
Le standard LDAP v3 est constitué de plusieurs spécifications dont certaines sont à
l’état de standard proposé (première étape avant de devenir un standard Internet à part
entière), d’autres sont à l’état expérimental ou ont un simple statut d’information. Vous
trouverez dans le tableau suivant les principales spécifications existant à ce jour ainsi
que leurs états respectifs :
13. Introduction à
LDAP et Active
516
Généralités sur l’annuaire et LDAP
13. Introduction à
LDAP et Active
LDAP as a attributs et des classes d’objets
Directory
Network LDAP et NIS. Rappelons que NIS
Information est une sorte d’annuaire de
Service ressources, implémenté dans la
majorité des systèmes Unix.
RFC 2587 Internet .X509 Ce document décrit les attributs Juin 1999 Standard
Public Key et les objets requis pour gérer proposé
Infrastructure dans un annuaire LDAP des
LDAP v2 certificats X509.
Schema
RFC 2589 Lightweight Ce document décrit une extension Mai 1999 Standard
Directory du protocole LDAP permettant de proposé
Access gérer des données volatiles (ou
Protocol (v3) dynamiques) dans l’annuaire. Par
exemple une adresse IP attribuée
dynamiquement par un réseau à
un utilisateur peut être
sauvegardée dans l’annuaire et
être rattaché à l’entrée qui décrit
cet utilisateur. Mais elle a une
durée de vie limitée, et change
chaque fois que l’utilisateur se
reconnecte au réseau.
517
Chapitre 13 Introduction à LDAP et Active Directory
Objects in LDAP.
Directory
LDAP
Directory
RFC 2714 Schema for Ce document définit des classes Octobre 1999 Information
Representing d’objets permettant de décrire
CORBA des objets CORBA dans un
Object annuaire LDAP.
References in
an LDAP
Directory
Notons enfin que ce standard est actuellement adopté par la majorité des acteurs du
marché, et qu’il est d’ores et déjà intégré dans leurs produits. Citons à titre d’exemple
Novell, IBM, Oracle, Microsoft, iPlanet, Lotus, HP, etc.
Comme vous pouvez le constater dans la liste des spécifications du standard LDAP v3,
ce standard évolue constamment. Aucune version 4 n’est prévue pour le moment, car la
518
Généralités sur l’annuaire et LDAP
plupart des évolutions sont soit des modifications du schéma, soit de nouveaux services
qu’il est possible de solliciter à travers les extensions LDAP. On entend par extensions,
de nouvelles fonctions offertes à travers une opération particulière prévue dans le
standard LDAP v3, permettant d’exécuter des traitements dans un serveur d’annuaire,
qui ne font pas partis du standard lui-même. Un groupe de travail de l’IETF, nommé
LDAPEXT, œuvre à normaliser ces extensions.
13. Introduction à
LDAP et Active
implémenté par Microsoft respecte le standard ! Par contre, le schéma utilisé est, quant
Directory
à lui, propriétaire, ce qui pose certains problèmes d’intégration avec d’autres
environnements. Il existe cependant des produits permettant de résoudre ce problème.
Windows Server 2003 reprend les bases apportées par Windows 2000 Server et apporte
de nouvelles fonctionnalités qui peuvent aussi bien intéresser les développeurs que les
ingénieurs ou bien les architectes système. Il est important de noter que toutes ces
nouvelles fonctionnalités font l’objet de RFC. En voici un bref récapitulatif des
fonctionnalités les plus importantes…
j Support des entrées dynamiques : l’annuaire Active Directory peut stocker les
valeurs d’entrées dynamiques en leur assignant une durée de vie (TTL). De cette
manière, ces valeurs peuvent être automatiquement détruites lors de l’expiration du
TTL.
j Support du protocole TLS (Transport Layer Security) : les connexions vers l’Active
Directory via le protocole LDAP peuvent être désormais cryptées et authentifiées à
l’aide du support TLS.
j Support des authentifications DIGEST-MD5 : les connexions vers l’Active
Directory via le protocole LDAP peuvent désormais être authentifiées à l’aide du
mécanisme d’authentification SASL-DIGEST-MD5 (SASL, Simple Authentication
and Security Layer). L’interface Windows Digest SSPI (Security Support Provider
Interface) permet d’utiliser des authentifications de type DIGEST-MD5 en tant que
méthode de type SASL.
519
Chapitre 13 Introduction à LDAP et Active Directory
j Support des vues virtuelles : il s’agit d’une optimisation du traitement des réponses
aux requêtes LDAP. Par exemple, lorsqu’une requête doit retourner vers le client
un résultat trop volumineux, l’idée consiste à lui retourner seulement le contenu
d’une fenêtre de valeurs plutôt que l’intégralité de la réponse. De cette manière, le
client voit le résultat instantanément et la surcharge sur le réseau est contenue.
j Bind LDAP multiples : cette fonctionnalité permet à un client de réaliser plusieurs
Bind LDAP au travers de la même connexion pour pouvoir authentifier les
utilisateurs.
Le tableau suivant liste les différentes RFC LDAP reconnues par l’implémentation de
l’annuaire Active Directory de Windows 2000 Server.
Tableau 13.2 : Principales RFC LDAP prises en charge par l’annuaire Active Directory
Windows 2000 Server
RFC RFC LDAP principaux État des RFC
2251 Lightweight Directory Access Protocol (v3) Proposé
2252 Lightweight Directory Access Protocol (v3) : Attribute Proposé
Syntax Definitions
Attention, certaines syntaxes Unix ne sont pas reconnues à ce
jour !
13. Introduction à
LDAP et Active
Le tableau suivant liste les différentes RFC LDAP additionnelles reconnues par
l’implémentation de l’annuaire Active Directory de Windows 2000 Server.
Tableau 13.3 : RFC LDAP additionnelles prises en charge par l’annuaire Active Directory
Windows 2000 Server
RFC RFC LDAP additionnels État des RFC
2696 LDAP Control Extension for Simple Paged Results Proposé
Manipulation
2247 Using Domains in LDAP/X.500 Distinguished Names Proposé
520
Généralités sur l’annuaire et LDAP
Le tableau suivant liste les différentes RFC LDAP reconnues par l’implémentation de
l’annuaire Active Directory de Windows Server 2003.
Tableau 13.4 : RFC LDAP additionnelles prises en charge par l’annuaire Active Directory
Windows Server 2003
RFC RFC LDAP additionnels État des RFC
2589 LDAP Protocol (v3) : Extension for Dynamic Directory Proposé
Services
2798 Definition of the InetOrgPerson LDAP Object Class Proposé
2831 Using Digest Authentication as an SASL Mechanism Proposé
2891 LDAP Control extension for Server Side Sorting of Proposé
Search Results
2589 LDAP Protocol (v3) : Extensions for Dynamic Directory Proposé
Services
13. Introduction à
LDAP et Active
Directory
Cependant, tout le monde le sait, les technologies passent par des étapes intermédiaires
nécessaires, lesquelles génèrent souvent des problèmes de compatibilité. C’est le cas
avec les problèmes générés par la classe InetOrgPerson définie dans la RFC 2798.
Active Directory, dans sa version Windows Server 2003, a donc été modifié afin de
prendre en charge la classe InetOrgPerson et, avec l’ajout de la définition de classe
Utilisateur, vous pouvez désormais créer la classe InetOrgPerson comme entité de
sécurité dans Active Directory. Cela optimise les possibilités de migration des comptes
d’utilisateur de répertoires tiers (provenant de programmes tiers qui utilisent Active
Directory comme méthode d’authentification) vers Active Directory.
521
Chapitre 13 Introduction à LDAP et Active Directory
Finalement, nous pourrions en conclure que cette classe a toujours été reconnue sous
Windows 2000 Server, mais qu’elle n’a réellement été intégrée à la base que sous
Windows Server 2003.
522
Active Directory
L’évolutivité
Le service d’annuaire doit être également en mesure de faire face à la croissance du
réseau sans qu’il soit trop surchargé. Cela implique que l’on puisse partitionner la base
de données d’annuaire de façon à ce qu’elle n’augmente pas au point de devenir
13. Introduction à
LDAP et Active
instable. Rassurez-vous, cela ne sera jamais le cas pour un très grand nombre de petites
Directory
et moyennes entreprises, particulièrement en France. Pour information, Microsoft
supporte des bases de données pouvant aller jusqu’à 1 million d’objets et des tests avec
plusieurs dizaines de millions d’objets ont déjà été réalisés avec succès.
La standardisation
Le service d’annuaire doit aussi permettre l’accès à ses données via des normes ouvertes.
Cela garantit que d’autres applications pourront utiliser les ressources de l’annuaire au
lieu de gérer des annuaires spécifiques. Active Directory repose sur des protocoles
d’accès standardisés comme LDAP version 3 et NSPI (Name Service Provider Interface).
À noter que le protocole NSPI, qui est exploité par les clients Microsoft Exchange
Server 5.x, est pris en charge par Active Directory, ce qui permet la compatibilité avec
l’annuaire Exchange.
L’extensibilité
Le service d’annuaire doit permettre aux administrateurs et aux applications d’ajouter
toutes sortes de données en fonction des besoins de l’entreprise.
523
Chapitre 13 Introduction à LDAP et Active Directory
La sécurité
Le service d’annuaire pourrait permettre à un intrus de tout savoir sur l’entreprise. Il est
donc impératif que le service d’annuaire dispose de moyens pour sécuriser le stockage.
Pour y répondre, Active Directory est intégré à la sécurité de Windows Server 2003, et
il est possible de définir un contrôle d’accès pour tout objet de l’annuaire et pour chaque
propriété des objets. Il est possible d’appliquer des stratégies de sécurité localement ou
à l’échelle d’un site, d’un domaine ou d’une unité organisationnelle.
Le trafic LDAP est signé et crypté. Par défaut, les outils Active Directory de Windows
Server 2003 signent et cryptent tout le trafic LDAP. Cela garantit que les données
proviennent d’une source connue et qu’elles n’ont pas subi d’altérations.
Directory permet également de mettre en place des groupes de sécurité qui s’étendent
Directory
Les objets
Dans Active Directory, les ressources sont stockées sous forme d’objets. L’objet étant le
composant d’Active Directory le plus facile à décrire puisqu’il représente en général une
ressource concrète.
Dans Active Directory, les objets sont stockés dans une structure hiérarchique de
conteneurs et de sous-conteneurs qui facilite l’administration. Il serait simple de
comparer cela au système de dossiers dans Windows. Il est possible de tailler cette
structure sur mesure pour pouvoir répondre aux besoins de l’entreprise, mais aussi pour
qu’elle s’adapte aux différentes évolutions sans trop de contraintes.
j Les classes d’objets : un objet n’est en fait qu’une collection d’attributs. Ainsi un
objet utilisateur est fait d’attributs du genre nom, mot de passe, appartenance de
groupe, etc. Les attributs d’un objet sont définis via une classe d’objets. La classe
utilisateur, par exemple, spécifie les attributs constituant l’objet utilisateur.
Les classes d’objets permettent de regrouper les objets en fonction de leurs
524
Active Directory
similitudes. Ainsi, tous les objets utilisateur sont définis par la classe d’objet
utilisateur. Quand vous créez un nouvel objet, il hérite automatiquement des
attributs de sa classe. Microsoft définit un ensemble basique de classes d’objets avec
leurs attributs utilisés par Active Directory sous Windows Server 2003. Active
Directory étant extensible, les administrateurs et les applications peuvent
naturellement modifier les classes d’objet ainsi que les attributs définis par ces
classes.
j Le schéma Active Directory : les classes et les attributs qu’elles définissent sont
désignés collectivement par l’appellation de "schéma Active Directory" (dans la
terminologie des bases de données, le schéma est la structure des tables et des
champs avec leurs interrelations). Vous pouvez vous représenter Active Directory
comme un ensemble de données (classes d’objets) qui définissent la façon selon
laquelle les données réelles de l’annuaire (attributs des objets) sont structurées et
stockées.
Presque tout dans Active Directory est un objet, y compris le schéma lui-même. À
l’instar de tous les autres objets, le schéma est protégé par des listes de contrôles d’accès
(ACL) administrées par le sous-système de sécurité de Windows Server 2003. Les
utilisateurs et les applications munis de permissions appropriées peuvent lire le schéma,
voire le modifier.
13. Introduction à
LDAP et Active
Les domaines
Directory
Un domaine est une partition dans une forêt Active Directory. Le partitionnement des
données permet aux organisations de répliquer des données uniquement là où elles sont
requises. De cette manière, l’annuaire peut s’étendre globalement sur un réseau qui
possède une bande passante limitée. En outre le domaine prend en charge un certain
nombre d’autres fonctions centrales liées à l’administration, dont…
j L’identité d’utilisateur de niveau réseau : les domaines permettent de créer des
identités d’utilisateurs une fois, puis de le référencer sur n’importe quel ordinateur
joint à la forêt dans laquelle le domaine se trouve. Les contrôleurs de domaine qui
constituent un domaine sont utilisés pour stocker de manière sécurisée les comptes
d’utilisateurs et les informations d’authentification comme les mots de passe ou les
certificats.
j L’authentification : les contrôleurs de domaine offrent des services
d’authentification pour les utilisateurs et fournissent des données d’autorisation
supplémentaires, comme des appartenances de groupes d’utilisateurs, qui peuvent
être utilisées pour contrôler l’accès aux ressources sur le réseau.
j La relation d’approbation : les domaines peuvent étendre les services
d’authentification aux utilisateurs dans des domaines en dehors de leur propre forêt
grâce à des relations d’approbation.
j La réplication : le domaine définit une partition de l’annuaire contenant
suffisamment de données pour fournir des services de domaine et les répliquer
525
Chapitre 13 Introduction à LDAP et Active Directory
L’arbre
Les domaines sont organisés en une structure hiérarchique appelée "arbre". Même avec
un seul domaine, il y a un arbre. Le premier domaine créé dans un arbre est le domaine
racine. Le domaine suivant sera un domaine enfant de la forêt. Cette extensibilité,
permet d’avoir une multitude de domaines dans un arbre.
13. Introduction à
LDAP et Active
Directory
Ce schéma d’exemple vous montre la représentation d’un arbre. Dans cet exemple,
puzmmania.com a été le premier domaine créé dans Active Directory, ce qui en fait le
domaine racine.
526
Active Directory
Tous les domaines d’un arbre se partagent le même schéma et un espace de noms
connexe. Dans l’exemple du schéma d’arbre, tous les domaines situés sous le domaine
racine puzzmania.com se partagent l’espace de noms puzzmania.com. Posséder un
seul arbre peut être bien si l’entreprise emploie le même espace de noms DNS. Par
contre, pour une entreprise utilisant plusieurs espaces de noms DNS, le modèle doit
pouvoir s’étaler sur plusieurs arbres… Ce qui nous donne l’occasion de passer au
concept de forêt.
Les forêts
Une forêt représente un groupe d’arbres qui ne forment pas un espace de noms
connexe, mais qui peuvent se partager un même schéma et un même catalogue global. Il
y a toujours au moins une forêt dans une infrastructure Active Directory et elle est créée
lors de l’installation du premier contrôleur de domaine Active Directory sur le réseau.
13. Introduction à
LDAP et Active
Directory
Figure 13.2 : Schéma d’une forêt
527
Chapitre 13 Introduction à LDAP et Active Directory
les objets qu’elle contient est déterminé par des listes de contrôle d’accès (ACL, Access
Control Lists) associées à l’unité organisationnelle et aux objets qu’elle contient.
Figure 13.3 :
Schéma d’OU
13. Introduction à
LDAP et Active
Directory
De manière plus simple, en partant du principe que les domaines sont les briques
fondamentales de l’infrastructure, il est judicieux de partitionner l’annuaire selon les
frontières du domaine. Chaque domaine contient une partition de l’annuaire qui
renferme les informations relatives aux objets de ce domaine. Chaque domaine ne
528
Active Directory
contient qu’une et une seule partition d’annuaire. La combinaison des partitions des
différents domaines de la forêt représente l’intégralité d’Active Directory.
Quel pourrait être le ou les avantages à partitionner l’annuaire ? L’un des avantages est
que vous pouvez ajouter de nouveaux domaines à une forêt sans surcharger de manière
injustifiée les domaines existants. La raison en est que lorsque l’on crée une partition
pour un nouveau domaine, ce sont les nouveaux contrôleurs de domaine qui font la
plupart des tâches impliquées par l’administration de la nouvelle partition.
Les sites
Par définition, un site est une combinaison d’un ou plusieurs sous-réseaux IP reliés par
une liaison fiable et rapide permettant de localiser autant de trafic réseau que possible.
En règle générale, un site présente les mêmes limites qu’un réseau local (LAN).
Lorsque vous regroupez des sous réseaux de votre réseau, vous ne devez combiner entre
13. Introduction à
LDAP et Active
eux que des sous-réseaux équipés de connexions rapides. On peut considérer comme
Directory
rapides les connexions qui s’effectuent au moins à 512 kbits/s.
Avec Active Directory, les sites ne font pas partie de l’espace de noms. Lorsque vous
parcourez l’espace de noms logique, vous ne voyez pas de sites. Vous ne voyez que les
utilisateurs et les ordinateurs regroupés en domaine et en OU.
Figure 13.4 :
Site dans Active Directory
Les sites ne contiennent que les objets ordinateurs et connexions utilisés pour configurer
la réplication entre les sites.
529
Chapitre 13 Introduction à LDAP et Active Directory
Figure 13.5 :
Objets ordinateur et connexion
Les sites servent surtout à contrôler le trafic de réplication. Les contrôleurs de domaine
d’un site disposent d’une grande latitude pour répliquer les modifications apportées à la
base de données Active Directory chaque fois qu’il y a des modifications. Les
contrôleurs de domaine situés sur des sites différents compressent le trafic de
réplication et opèrent selon une planification prédéfinie, tout cela afin de réduire le
trafic réseau. Cette réplication peut être planifiée par défaut (c’est-à-dire toutes les
3 heures) ou bien être planifiée par l’administrateur selon ses besoins.
13. Introduction à
LDAP et Active
Directory
Pour plus d’informations sur les sites et la topologie de site, reportez-vous au chapitre
La conception de la topologie des sites.
530
Active Directory
13. Introduction à
LDAP et Active
Directory
Pour plus d’informations sur la répartition des rôles maîtres, reportez-vous au
chapitre La conception de la topologie des sites.
531
Chapitre 13 Introduction à LDAP et Active Directory
Le catalogue global
Directory
Le catalogue global est une réplique partielle des attributs le plus souvent recherchés de
tous les objets de tous les domaines de la forêt. L’objectif du catalogue global est
d’augmenter la rapidité des recherches émises sur Active Directory, en particulier les
requêtes concernant la forêt entière et les tentatives d’ouvertures de sessions
interdomaines. Le catalogue global réside sur un ou plusieurs contrôleurs de domaine
d’un site ou d’un domaine. Un serveur qui contient le catalogue global est appelé
serveur de catalogue global. Les serveurs de catalogue global contiennent les objets
Active Directory suivants :
j La réplique complète de tous les objets de leur propre domaine ;
j la réplique partielle de tous les objets de la forêt de tous les contextes de nommage.
532
Active Directory
Pour cela, Windows Server 2003 emploie un modèle de réplication, appelé "réplication
multimaître", dans lequel toutes les répliques de la base de données sont considérées
comme égales. Vous pouvez modifier la base de données sur n’importe quel contrôleur
de domaine, et les modifications seront propagées juste après vers l’ensemble des
contrôleurs du domaine.
Lorsqu’il se produit une modification sur l’un des contrôleurs de domaine du même site,
celui-ci informe ces partenaires de réplication. Les partenaires réclament alors les
modifications. Il y a donc réplication. Deux types de réplications sont possibles…
j La réplication intrasite : elle envoie le trafic de réplication sous forme non
compressée dans la mesure où tous les contrôleurs de domaine du même site sont
reliés par des liaisons à haut débit. La réplication fonctionne alors avec un
mécanisme de notifications. Cela veut dire plus simplement qu’en cas de
13. Introduction à
modifications faites sur le domaine, celles-ci sont rapidement répliquées vers les
LDAP et Active
autres contrôleurs de domaine du même site.
Directory
j La réplication intersite : elle compresse tout le trafic de réplication car celui-ci
transite à travers les liens WAN. Il est possible de planifier la réplication intersite
pour que celle-ci réplique aux heures les plus justes ou simplement laisser les
paramètres par défaut, c’est-à-dire toutes les 3 heures.
Figure 13.7 :
plages horaires de
réplication
533
Chapitre 13 Introduction à LDAP et Active Directory
13.3. En résumé
Ce chapitre vous a présenté les bases et les définitions du protocole LDAP et surtout
d’Active Directory. Tout cela vous sera très utile pour la suite et plus particulièrement
dans votre activité professionnelle. Prenez le temps d’aller sur Internet et de lire les
RFC si vous souhaitez approfondir le sujet. Cela vous permettra d’aborder les
problématiques d’annuaire avec un certain recul et un regard avisé.
Maintenant que vous avez les bases, mettez tout cela en pratique en attaquant la
conception de l’infrastructure d’annuaire de la société Puzzmania.
13. Introduction à
LDAP et Active
Directory
534
Chapitre 14
La planification
d’un projet Active
Directory
14.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
14.2 Le processus de conception d’Active Directory . . . . . . . . . . . . . . . . . . . . . . 538
14.3 Le processus de planification d’un projet Active Directory . . . . . . . . . . . . . . . 539
14.4 Les définitions communes dans un projet Active Directory . . . . . . . . . . . . . . . 541
14.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Vue d’ensemble
Cette vision globale vous permettra d’aborder aussi bien un projet Active Directory
Windows Server 2003 que Windows Server 2008.
14. La planification
d’un projet Active
planification, vous pouvez décider de modifier le nombre de serveurs afin de répondre
aux besoins de l’entreprise.
Directory
Après avoir implémenté Active Directory, vous devez gérer et assurer la maintenance
d’Active Directory afin de garantir disponibilité, fiabilité et sécurité du réseau.
537
Chapitre 14 La planification d’un projet Active Directory
j Collecte d’informations sur l’entreprise : cette première tâche définit les besoins en
Directory
538
Le processus de planification d’un projet Active Directory
14. La planification
d’un projet Active
sera le domaine racine pour chaque forêt et la hiérarchie des domaines si la
Directory
conception comporte plusieurs domaines. La conception du domaine inclut
également le nom DNS pour chaque domaine et les relations d’approbation entre
domaines.
j La conception de l’unité d’organisation : elle indique comment vous créerez les
unités d’organisation pour chaque domaine dans la forêt. Incluez une description de
l’autorité d’administration qui sera appliquée à chaque unité d’organisation, et à qui
cette même autorité sera déléguée. Pour finir, incluez la stratégie utilisée pour
appliquer la stratégie de groupe à la structure de l’unité d’organisation.
j La conception du site : elle spécifie le nombre et l’emplacement des sites dans
l’organisation, les liens requis pour relier les sites et le coût de ces liens.
539
Chapitre 14 La planification d’un projet Active Directory
peut, par exemple, spécifier si les mises à niveau de logiciels sont obligatoires ou
facultatives.
j Plan de placement des serveurs : il spécifie le placement des contrôleurs de
domaine, des serveurs de catalogue global, des serveurs DNS intégrés à Active
Directory et des maîtres d’opérations. Il spécifie également si vous activerez la mise
en cache des appartenances à un groupe universel pour les sites ne possédant pas de
serveur de catalogue global.
Lorsque tous les plans de composant sont terminés, vous devez les combiner pour
former le plan complet d’implémentation d’Active Directory. Si la taille de votre
entreprise ne nécessite pas des documents distincts pour tous ces plans, vous ne pouvez
créer qu’un seul et unique document qui combine les différents plans en chapitres du
même document maître.
Une fois le plan d’implémentation d’Active Directory en place, vous pouvez commencer
à implémenter Active Directory conformément à votre plan de conception.
Vous devez exécuter les tâches suivantes pour implémenter Active Directory…
540
Les définitions communes dans un projet Active Directory
14. La planification
d’un projet Active
Pour vous aider à rédiger votre documentation de planification projet Active Directory,
ou pour vous donner des arguments supplémentaires à faire valoir dans votre projet,
Directory
voici une série de définitions standards que vous pourrez utiliser.
541
Chapitre 14 La planification d’un projet Active Directory
Définition du schéma
Le schéma Active Directory définit les genres d’objets, les types d’informations
concernant ces objets, et la configuration de sécurité par défaut pour les objets pouvant
14. La planification
d’un projet Active
être stockés dans Active Directory. Le schéma Active Directory contient les définitions
de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stockés dans
Directory
Le schéma possède deux types de définitions : les classes d’objets et les attributs. Les
classes d’objets, comme utilisateur, ordinateur et imprimante, décrivent les
objets d’annuaire possibles que vous pouvez créer. Chaque classe d’objet est un
ensemble d’attributs. Les attributs sont définis séparément des classes d’objets. Chaque
attribut n’est défini qu’une seule fois et peut être utilisé dans plusieurs classes d’objets.
Par exemple, l’attribut Description est utilisé dans de nombreuses classes d’objets,
mais il n’est défini qu’une seule fois dans le schéma afin de préserver la cohérence.
Vous pouvez créer de nouveaux types d’objets dans Active Directory en développant le
schéma. Par exemple, pour une application de serveur de messagerie comme Exchange,
vous pouvez développer la classe d’utilisateur dans Active Directory en lui ajoutant de
nouveaux attributs stockant des informations supplémentaires, telles que les adresses de
messagerie des utilisateurs. On appelle cela "étendre le schéma".
542
Les définitions communes dans un projet Active Directory
Sur les contrôleurs de domaine Windows Server 2003, vous pouvez annuler des
modifications apportées à un schéma en les désactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalités d’extensibilité d’Active Directory
(ce n’était pas le cas sous Windows 2000). Vous pouvez également redéfinir une classe
ou un attribut de schéma.
14. La planification
d’un projet Active
j un sous-ensemble d’attributs par défaut pour chaque type d’objet ;
Directory
j les autorisations d’accès pour chaque objet et attribut stocké dans le catalogue
global. Si vous recherchez un objet pour lequel vous ne possédez pas les
autorisations de visualisation requises, cet objet n’apparaîtra pas dans les résultats
de la recherche. Les autorisations d’accès garantissent que les utilisateurs ne
pourront trouver que les objets pour lesquels ils possèdent un droit d’accès.
Un serveur de catalogue global est un contrôleur de domaine qui traite efficacement les
requêtes intraforêts dans le catalogue global. Le premier contrôleur de domaine que
vous créez dans Active Directory devient automatiquement un serveur de catalogue
global. Vous pouvez configurer des serveurs de catalogue global supplémentaires pour
équilibrer le trafic lié aux authentifications de connexion et aux requêtes.
543
Chapitre 14 La planification d’un projet Active Directory
Le protocole LDAP utilise un nom représentant un objet Active Directory par une série
de composants concernant la structure logique. Cette représentation, appelée nom
unique de l’objet, identifie le domaine dans lequel se trouve l’objet ainsi que le chemin
complet permettant d’accéder à celui-ci. Un nom de ce type ne peut être qu’unique dans
une forêt Active Directory.
Le nom unique relatif d’un objet identifie l’objet de manière unique dans son conteneur.
Deux objets situés dans un même conteneur ne peuvent porter le même nom. Le nom
unique relatif est toujours le premier composant du nom unique, mais il n’est pas
toujours un nom usuel.
valeurs d’OU peuvent exister si l’objet se trouve dans une unité d’organisation
d’un projet Active
imbriquée.
Directory
Les composants de domaine du nom unique sont basés sur le DNS. Dans l’exemple
suivant, Ventes est le nom unique relatif d’une unité d’organisation représentée par le
chemin LDAP suivant : OU=Ventes,DC=corp,DC=puzzmania,DC=com.
14.5. En résumé
L’implémentation d’Active Directory, dans toute entreprise, sera considérée comme un
projet à part entière. Il est donc intéressant d’avoir les éléments en main pour savoir
comment gérer, mettre en place et démarrer rapidement un projet autour d’Active
Directory.
544
Chapitre 15
La conception de
l’infrastructure logique
Active Directory
15.1 Du projet d’entreprise à la conception d’Active Directory . . . . . . . . . . . . . . . 547
15.2 Les modèles de forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
15.3 Principe de conception des forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
15.4 Les modèles de domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
15.5 Choisir le domaine racine de la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
15.6 Conception de domaine et sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
15.7 Principe de conception des domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
15.8 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Du projet d’entreprise à la conception d’Active Directory
R eprenons le cours de notre étude de cas Puzzmania. Comme vous l’avez suivi, la
direction et le service informatique de Puzzmania ont décidé d’implémenter une
forêt puzzmania.com selon un modèle de racine vide avec les domaines fils corp
.puzzmania.com et rd.puzzmania.com. Ce choix découle d’un historique, d’un besoin
et d’une orientation stratégique d’entreprise.
Une infrastructure logique Active Directory bien choisie est celle qui répond le mieux à
l’entreprise, en termes de besoins et d’évolution. Suivez toujours les quelques conseils
suivants avant de sélectionner votre modèle de forêt ou de domaine :
j Faites en sorte que les besoins de l’entreprise déterminent la conception. Une
conception d’Active Directory appropriée doit satisfaire les exigences initiales. La
conception du service d’annuaire doit être élaborée en fonction de ces besoins, et
non en fonction de la technologie du service d’annuaire.
j Traitez le processus de conception d’Active Directory au fur et à mesure que vous
recevez des informations. En effet, vous analyserez de nouveau vos décisions de
conception lorsque vous recevrez de nouvelles informations (par exemple, l’ajout de
l’infrastructure logique
15. La conception de
pare-feu entre des sites distants). Étant donné que votre conception est susceptible
Active Directory
de changer au cours du processus, il est important de rester flexible jusqu’à ce que
tous les besoins de l’entreprise aient été considérés.
j Commencez par la conception la plus simple possible, soit une forêt avec un seul
domaine et un site unique. Définissez ensuite le critère lié à l’introduction
d’éléments plus complexes. Tout nouvel élément que vous souhaitez ajouter, une
forêt, un domaine, un site ou une unité d’organisation, doit avoir un objectif défini
spécifique car la quantité d’objets augmente les coûts d’infrastructure et
d’administration de l’implémentation.
j Considérez les compromis comme faisant partie intégrante de la conception de
l’infrastructure logique d’Active Directory. L’objectif est de créer une structure
Active Directory qui répond à tous les besoins. Toutefois, ces derniers pourront
547
Chapitre 15 La conception de l’infrastructure logique Active Directory
entraîner des conflits de conception qui vous conduiront à prendre des décisions et
à trouver des compromis : ils font partie du jeu et vous devez les inclure tout au long
de l’évolution de la conception.
MSF
Si vous souhaitez mettre en place un projet tel que la conception et l’implémentation
d’Active Directory au sein de votre entreprise, sachez que Microsoft a mis au point
une méthode très performante pour créer des solutions professionnelles dans les
limites temporelles et budgétaires fixées. Cette méthode s’appelle MSF (Microsoft
Solutions Framework). C’est une approche posée et structurée pour mener à bien des
projets technologiques. MSF couplé à MOF (Microsoft Operations Framework)
s’apparente à une méthodologie proche de celle décrite dans le référentiel ITIL.
Pour en savoir plus, rendez-vous à l’adresse
www.microsoft.com/technet/itsolutions/msf/default.mspx.
La suite du chapitre présente les différents modèles d’infrastructures afin que vous vous
posiez les bonnes questions quant à votre projet d’entreprise et que vous déterminiez le
modèle le mieux adapté.
Active Directory
Dans ce modèle, une forêt (ou plusieurs selon le contexte) permet de gérer les comptes
d’utilisateurs et les ressources. Chaque solution Active Directory comprend au moins
une forêt basée sur l’organisation.
Si, pour une raison ou une autre, plusieurs forêts sont utilisées, des relations
d’approbation peuvent permettre aux utilisateurs d’une forêt d’accéder aux ressources
d’une autre forêt.
548
Les modèles de forêts
l’infrastructure logique
15. La conception de
directement ensemble ou qui est obligée de maintenir un état élevé de disponibilité.
Active Directory
549
Chapitre 15 La conception de l’infrastructure logique Active Directory
Dans ce modèle, aucune relation d’approbation n’est utilisée car les utilisateurs des
autres réseaux ne doivent pas pouvoir accéder aux données. De plus, les utilisateurs qui
ont besoin d’accéder aux données de plusieurs forêts doivent posséder un compte
d’utilisateur dans chacune de ces forêts. Dans les situations où l’intégrité et la
confidentialité des données doivent être préservées à tout prix, la forêt d’accès aux
ressources peut être placée sur un réseau complètement isolé du reste. Les utilisateurs
qui doivent accéder aux données de la forêt à accès restreint disposent d’une station de
travail distincte connectée au réseau dédié isolé. Vu les contraintes que cela impose, ce
modèle ultra-sécurisé sera utilisé uniquement dans des cas bien précis.
l’infrastructure logique
15. La conception de
Active Directory
550
Principe de conception des forêts
Quand vous concevrez votre forêt, commencez par prendre en compte les besoins de
votre entreprise en matière d’isolation d’un service ou de données particulières.
D’ailleurs, ces deux principes d’isolation (service ou données) sont des éléments
déterminants lors de la conception d’une forêt.
Après l’analyse de l’existant, si votre conception de forêt doit comprendre une stratégie
d’isolation d’un service, suivez ces étapes :
l’infrastructure logique
15. La conception de
1. Créez une forêt supplémentaire basée sur l’organisation ou une forêt de ressources
Active Directory
pour permettre l’isolation du service.
2. Établissez un pare-feu entre la forêt basée sur l’organisation et les autres forêts afin
de limiter l’accès d’administrateurs extérieurs aux informations contenues dans la
forêt.
3. Configurez les forêts qui sont créées pour assurer l’isolation du service de telle sorte
qu’elles approuvent des domaines appartenant à d’autres forêts. Assurez-vous que
les utilisateurs d’autres forêts ne sont pas membres des groupes d’administrateurs
dans les forêts isolées pour éviter de compromettre la sécurité de ces dernières.
4. Protégez vos contrôleurs de domaine contre les attaques potentielles. En ce qui
concerne la protection physique, placez les contrôleurs de domaine dans une salle
informatique avec accès sécurisé. Pour ce qui est de la protection logique, placez les
contrôleurs de domaine sur un réseau sécurisé avec limitation d’accès.
551
Chapitre 15 La conception de l’infrastructure logique Active Directory
Si, après l’analyse de l’existant, votre conception de forêt doit comprendre une stratégie
d’isolation des données, suivez ces étapes :
1. Créez une forêt supplémentaire basée sur l’organisation ou une forêt à accès
restreint pour assurer l’isolation des données.
2. Si vous utilisez une forêt basée sur l’organisation, configurez-la de telle sorte qu’elle
approuve des domaines appartenant à d’autres forêts. Pour garantir que la sécurité
de la forêt isolée n’est pas compromise, vérifiez que les utilisateurs d’autres forêts ne
peuvent pas être membres des groupes ayant des droits élevés sur les serveurs sur
lesquels sont placées les données.
3. Configurez d’autres forêts pour qu’elles approuvent la forêt basée sur l’organisation
afin que les utilisateurs de la forêt isolée puissent accéder aux ressources de ces
autres forêts (si nécessaire).
4. Établissez un pare-feu entre la forêt basée sur l’organisation et les autres forêts afin
de limiter l’accès des utilisateurs aux informations situées hors de leur forêt.
Si vous utilisez un modèle de forêt à accès restreint pour l’isolation des données, faites
en sorte qu’elle n’approuve pas d’autres forêts ou domaines. Par ailleurs, limitez l’accès
au réseau hébergeant les contrôleurs de domaine et les ordinateurs dans la forêt à accès
restreint.
Si nécessaire, et si vous en avez les moyens et les besoins, vous pouvez maintenir les
données protégées de la forêt à accès restreint sur un réseau indépendant qui n’est pas
connecté physiquement à un autre réseau de votre entreprise.
552
Les modèles de domaines
Figure 15.4 :
Modèle de domaine
unique
Le modèle de domaine unique répond à peu près à tous les besoins des petites
entreprises. La raison qui motiverait la création d’un domaine supplémentaire au sein
d’une forêt pourrait être le nombre excessif d’utilisateurs au sein d’un domaine. Mais en
fait, il n’en est rien car, comme le montre le tableau qui suit (tiré des informations
données par Microsoft), le nombre maximal d’utilisateurs dans un seul domaine est très
élevé. Seul le trafic de réplication sur les liaisons distantes (WAN) influe sur le nombre
maximal d’utilisateurs dans un domaine.
l’infrastructure logique
15. La conception de
Active Directory
Tableau 15.1 : Nombre maximal recommandé d’utilisateurs dans un seul domaine
Liaison la plus lente Nombre maximal Nombre maximal Nombre maximal
connectant un contrôleur d’utilisateurs si 1 % de d’utilisateurs si 5 % de d’utilisateurs si 10 % de
de domaine (kbit/s) la bande passante est la bande passante sont la bande passante sont
disponible disponibles disponibles
28,8 10 000 25 000 40 000
32 10 000 25 000 50 000
56 10 000 50 000 100 000
64 10 000 50 000 100 000
128 25 000 100 000 100 000
256 50 000 100 000 100 000
512 80 000 100 000 100 000
1 500 100 000 100 000 100 000
553
Chapitre 15 La conception de l’infrastructure logique Active Directory
554
Choisir le domaine racine de la forêt
bien. Ce n’est pas parce qu’il convient à l’étude de cas Puzzmania qu’il représente
forcément la meilleure solution pour vous.
l’infrastructure logique
15. La conception de
Active Directory
Des choix s’offrent à vous quant au design de ce domaine racine. Tout dépend du
modèle de domaine sélectionné.
555
Chapitre 15 La conception de l’infrastructure logique Active Directory
Active Directory
556
Choisir le domaine racine de la forêt
l’infrastructure logique
15. La conception de
Active Directory
557
Chapitre 15 La conception de l’infrastructure logique Active Directory
j Vous pouvez utiliser un des domaines régionaux en tant que domaine racine de la
forêt et faire des domaines régionaux restants les enfants de la racine. Si vous
choisissez cette option, sélectionnez comme racine de la forêt un domaine régional
de situation centrale. Cette méthode s’applique également aux domaines basés sur
les entités de l’entreprise.
l’infrastructure logique
15. La conception de
Active Directory
La méthode qui consiste à créer un domaine racine vide, puis des domaines enfants
basés sur l’organisation de l’entreprise, a été adoptée par Puzzmania. Pourquoi une
racine vide ? En voici les avantages.
558
Conception de domaine et sécurité
l’infrastructure logique
racine de la forêt
15. La conception de
Active Directory
L’utilisation d’un domaine régional ou basé sur une entité de l’entreprise en tant que
domaine racine de la forêt peut également présenter un avantage. Cela vous permet
d’éviter la surcharge administrative liée à la gestion d’un domaine racine vide
supplémentaire.
Active Directory comprend des fonctionnalités de sécurité qui sont définies par deux
composants.
559
Chapitre 15 La conception de l’infrastructure logique Active Directory
système d’exploitation ;
Active Directory
Toutes ces éventualités d’attaque doivent être prises en compte, notamment dans le
choix du nombre de domaines (ou forêts) et de l’emplacement des contrôleurs de
domaine par exemple. La réflexion autour de la conception d’Active Directory doit tenir
compte de la sécurité.
560
En résumé
15.8. En résumé
En exposant les différents modèles de forêts et de domaines, nous avons posé les briques
fondamentales de la conception d’Active Directory. Les besoins de l’entreprise, ses
contraintes et son activité sont très importants car ils vont orienter la conception de
l’infrastructure logique d’Active Directory. Il n’y a pas de recette toute faite indiquant
d’appliquer tel modèle en fonction de l’activité de l’entreprise. Chaque cas est différent.
Les grandes lignes de la conception sont maintenant posées : c’est à vous de jouer !
l’infrastructure logique
15. La conception de
Active Directory
561
Chapitre 16
La conception de
la topologie de
sites
16.1 Les mécanismes de conception : définitions . . . . . . . . . . . . . . . . . . . . . . . . 565
16.2 Collecter les informations sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
16.3 Prévoir l’emplacement des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . 581
16.4 Concevoir des sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
16.5 Concevoir les liens de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
16.6 Concevoir les ponts de liaison de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
16.7 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Les mécanismes de conception : définitions
En outre, elle permet une meilleure visibilité sur le projet de déploiement d’Active
Directory. Une conception de topologie de sites réussie permet aussi d’avoir les idées
claires avant d’aborder des aspects plus techniques. Une réflexion sur les aspects
concrets que sont la structure physique du réseau et l’objectif d’entreprise dans ce projet
est cruciale : c’est le moyen d’éviter les ennuis techniques par la suite. Bien que ce
chapitre soit plus théorique que pratique, notamment en ce qui concerne la mise en
place d’Active Directory chez Puzzmania, il est indispensable d’aborder ce sujet au
préalable afin d’éviter de prendre une mauvaise direction.
16. La conception de la
topologie de sites
Figure 16.1 : Processus de conception de la topologie de sites
Avant d’examiner chaque point, familiarisez-vous avec les concepts relatifs aux sites.
565
Chapitre 16 La conception de la topologie de sites
mauvaise opinion de la nouvelle infrastructure si vous ne maîtrisez pas les concepts qui
vont suivre et si vous ne concevez pas une topologie de sites adéquate.
Routage de la réplication
Active Directory utilise un modèle de réplication multimaître afin de répliquer d’un
contrôleur de domaine à un autre. Cela signifie qu’un contrôleur de domaine
communique les modifications de l’annuaire à un deuxième contrôleur, qui les
communique à un troisième, et ainsi de suite, jusqu’à ce que tous les contrôleurs de
domaine soient informés des modifications. Afin d’obtenir le meilleur équilibre possible
entre la réduction de la latence de réplication et la réduction du trafic, la topologie des
sites contrôle la réplication Active Directory en distinguant la réplication qui intervient
au sein d’un site et celle qui intervient entre les sites distants. À l’intérieur d’un même
site, la réplication, dite réplication intrasite, est optimisée en termes de vitesse.
Figure 16.2 :
Boîte de dialogue d’un
objet de connexion de
réplication intrasite du
composant logiciel
enfichable Sites et
services Active Directory
16. La conception de la
topologie de sites
566
Les mécanismes de conception : définitions
Une mise à jour de données d’annuaire, la création d’un compte par exemple, déclenche
la réplication et les données sont transmises non compressées aux autres contrôleurs de
domaine. À l’inverse, on compresse les données dans le cadre d’une réplication entre
des sites distants afin de minimiser le coût de transmission sur les liens distants. Lorsque
la réplication intervient entre des sites, un unique contrôleur par domaine sur chaque
site collecte et stocke les modifications de l’annuaire et les communique à intervalles
planifiés à un contrôleur de domaine d’un autre site.
16. La conception de la
topologie de sites
Figure 16.3 : Structure des sites vue par le composant logiciel enfichable Sites et services
Active Directory
567
Chapitre 16 La conception de la topologie de sites
Réplication Sysvol
Le volume système Sysvol est une arborescence de dossiers qui se trouve sur chaque
contrôleur de domaine. Les dossiers Sysvol fournissent un emplacement Active
Directory par défaut pour les fichiers qui doivent être répliqués dans un domaine,
c’est-à-dire les objets de stratégie de groupe, les scripts de démarrage et de fermeture
ainsi que les scripts d’ouverture et de fermeture de session.
Figure 16.4 :
Vue du partage Sysvol du
domaine
puzzmania.com
Windows Server 2003 utilise le service de réplication de fichiers (FRS, File Replication
Service) pour répliquer les modifications apportées au contenu de Sysvol d’un contrôleur
de domaine vers un autre. Le service FRS réplique ces modifications en fonction de la
planification que vous créez durant la conception de la topologie des sites.
16. La conception de la
topologie de sites
568
Les mécanismes de conception : définitions
Localisation de services
En publiant des services comme les services de fichiers et d’impression dans Active
Directory, vous permettrez aux clients de localiser les services qu’ils requièrent dans leur
propre site ou dans le site le plus proche. Les services d’impression, par exemple,
utilisent l’attribut d’emplacement stocké dans Active Directory pour permettre aux
utilisateurs de parcourir le réseau à la recherche d’imprimantes en fonction de leur
emplacement, même s’ils ne le connaissent pas exactement. Il suffit de lancer une
recherche en remplissant le champ Emplacement et les imprimantes configurées pour ce
site apparaissent en résultat.
Figure 16.5 :
Recherche
d’imprimantes par
emplacement
16. La conception de la
topologie de sites
j la partition de la configuration ;
j la partition du domaine ;
j la partition d’application.
La partition d’annuaire
Chaque partition est une unité de réplication et possède sa propre topologie de
réplication. La réplication est exécutée entre les réplicas des partitions d’annuaire. Tous
les contrôleurs de domaine de la même forêt ont au moins deux partitions d’annuaire en
commun : celles du schéma et de la configuration. De plus, ils partagent une partition de
domaine commune.
569
Chapitre 16 La conception de la topologie de sites
Figure 16.6 :
Définition des partitions
d’annuaire
La partition de schéma
Chaque forêt possède une seule partition de schéma. Cette partition de schéma est
stockée dans tous les contrôleurs de domaine de la même forêt. Elle contient les
définitions de tous les objets et attributs créés dans l’annuaire, ainsi que les règles qui
permettent de les créer et de les manipuler. Les données du schéma sont répliquées dans
tous les contrôleurs de domaine de la forêt. C’est pourquoi les objets doivent être
conformes aux définitions d’objet et d’attribut du schéma.
La partition de la configuration
Chaque forêt possède une seule partition de configuration. Stockée dans tous les
contrôleurs de domaine de la même forêt, la partition de configuration contient les
données sur la structure Active Directory de l’ensemble de la forêt, telles que les
domaines et les sites existants, les contrôleurs de domaine existants dans chaque forêt et
les services disponibles. Les données de la configuration sont répliquées dans tous les
contrôleurs de domaine de la forêt.
La partition de domaine
Chaque forêt peut avoir plusieurs partitions de domaine. Elles sont stockées dans
16. La conception de la
chaque contrôleur de domaine d’un domaine donné. Une partition de domaine contient
topologie de sites
les données sur tous les objets propres au domaine et créés dans ce domaine, tels que les
utilisateurs, les groupes, les ordinateurs et les unités d’organisation. Une partition de
domaine est répliquée dans tous les contrôleurs de domaine du domaine considéré.
Tous les objets de chaque partition de domaine d’une forêt sont stockés dans le
catalogue global avec un seul sous-ensemble de leurs valeurs d’attribut.
La partition d’application
Les partitions d’application stockent les données sur les applications dans Active
Directory. Chaque application détermine comment elle stocke, classe et utilise ses
propres données. Pour éviter toute réplication inutile des partitions d’application, vous
pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la
570
Les mécanismes de conception : définitions
différence d’une partition de domaine, une partition d’application ne peut pas stocker
les principaux objets de sécurité, tels que les comptes d’utilisateur. De plus, les données
contenues dans une partition d’application ne sont pas stockées dans le catalogue global.
Par exemple, si vous utilisez le système DNS intégré à Active Directory, vous avez deux
partitions d’application pour les zones DNS : ForestDNSZones et DomainDNSZones.
j ForestDNSZones fait partie d’une forêt : tous les contrôleurs de domaine et les
serveurs DNS d’une forêt reçoivent un réplica de cette partition. Une partition
d’application d’une forêt entière stocke les données de la zone de la forêt.
j DomainDNSZones est unique pour chaque domaine : tous les contrôleurs de
domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette
partition. Les partitions d’application stockent la zone DNS du domaine dans
DomainDNSZones <nom_domaine>.
Chaque domaine possède une partition DomainDNSZones, mais il n’existe qu’une
partition ForestDNSZones. Aucune donnée DNS n’est répliquée sur le serveur de
catalogue global.
16. La conception de la
l’USN du contrôleur de domaine en question. Chaque contrôleur de domaine possède
topologie de sites
également une copie du dernier USN reçu par les autres contrôleurs. Grâce à cette
technique, les mises à jour sont plus directes. Prenons l’exemple de Puzzmania : lorsque
le contrôleur de domaine racine de la forêt SNCERCDC01 sollicite du contrôleur de
domaine SNCERCDC02 la réplication des modifications de ce dernier (création
d’utilisateurs), il extrait de sa table de référence interne l’USN de SNCERCDC02 le plus
récent reçu et ne réclame que les changements intervenus depuis ce numéro. La
simplicité de cette opération garantit la justesse du processus.
L’intégrité de la réplication est garantie car l’incrémentation d’un USN est dépendante
de la réussite d’une mise à jour. Si un problème vient entraver un cycle de réplication, le
récepteur concerné recherche toujours une mise à jour à partir de l’USN approprié.
571
Chapitre 16 La conception de la topologie de sites
Il est inutile de vous inquiéter des risques éventuels d’épuisement de la réserve d’USN.
Les 64 bits de ce nombre lui permettent de prendre en compte jusqu’à
18 446 744 073 709 551 616 changements par contrôleur de domaine.
La collision de réplication
Même avec le mécanisme de numéro de séquence de mise à jour, la collision est
possible. Par exemple, si un administrateur du domaine racine de la forêt puzzmania
.com réinitialise un mot de passe sur SNCERCDC01 et qu’un autre administrateur
réinitialise le même mot de passe sur SNCERCDC02 avant que SNCERCDC01 n’ait eu
l’occasion de distribuer sa modification, il y a inévitablement collision.
L’objet connexion
Un objet connexion est un objet Active Directory qui représente une connexion de
réplication d’un contrôleur de domaine à un autre. Un contrôleur de domaine est un
membre d’un unique site et est représenté dans le site par un objet serveur dans Active
Directory. Chaque objet serveur possède un objet NTDS Settings enfant qui
représente le contrôleur de domaine répliquant dans le site.
16. La conception de la
topologie de sites
Figure 16.7 : Objet serveur de type contrôleur de domaine et objet NTDS Settings vus par le
composant logiciel enfichable Sites et services Active Directory
572
Les mécanismes de conception : définitions
Le KCC
Le KCC (Knowledge Consistency Checker) est un processus intégré qui s’exécute sur tous
les contrôleurs de domaine et génère la topologie de réplication pour la forêt. Il crée des
topologies de réplications intrasite et intersite séparées. Le KCC ajuste dynamiquement
16. La conception de la
la topologie afin de tenir compte des contrôleurs de domaine qui sont nouveaux, ou
topologie de sites
temporairement indisponibles ou encore qui se sont déplacés d’un site à un autre, des
modifications de coûts, des planifications.
KCC et ISTG
Le KCC crée des objets de connexion afin de relier les contrôleurs de domaine au sein
d’une topologie commune. Il comprend deux composants : un contrôleur intrasite
KCC, qui se charge de la réplication à l’intérieur d’un site, et le générateur de
topologie intersite, ou ISTG (Intersite Topology Generator), qui crée les objets de
connexion entre sites.
573
Chapitre 16 La conception de la topologie de sites
Dans Windows Server 2003, ISTG a été amélioré et peut maintenant gérer jusqu’à
5000 sites. Toutefois, vous ne pourrez bénéficier des améliorations apportées à ISTG
que lorsque le niveau fonctionnel de la forêt sera passé en mode Windows
Server 2003.
Fonctionnalité de basculement
Les sites garantissent que les données de réplication sont routées même en cas de
pannes réseau et de pannes des contrôleurs de domaine. Le KCC s’exécute à des
intervalles spécifiés afin d’ajuster la topologie de réplication pour l’adapter aux
modifications qui interviennent dans Active Directory (par exemple, en cas
d’extension de la société, lorsque de nouveaux contrôleurs de domaine sont ajoutés ou
lorsque de nouveaux sites sont créés). Le KCC vérifie le statut de réplication des
connexions existantes afin de déterminer si des connexions ont cessé de fonctionner.
Si une connexion ne fonctionne pas à cause d’un contrôleur de domaine en panne, le
KCC construit automatiquement des connexions temporaires vers les autres
partenaires de réplication (s’il en existe) afin de s’assurer que la réplication peut
s’opérer. Si tous les contrôleurs de domaine dans un site sont indisponibles, le KCC
crée automatiquement des connexions de réplication avec les contrôleurs de domaine
d’un autre site.
Le sous-réseau
Un sous-réseau est un segment d’un réseau TCP/IP auquel un ensemble d’adresses IP
logiques est attribué. Les sous-réseaux regroupent des ordinateurs en fonction de leur
16. La conception de la
D’un point de vue Active Directory, les objets de sous-réseau identifient les adresses
réseau qui sont utilisées pour mettre en correspondance les ordinateurs avec les
sites.
574
Les mécanismes de conception : définitions
Figure 16.8 : Les sous-réseaux vus par le composant logiciel enfichable Sites et services
Active Directory
Les sites
Les sites correspondent à un ou plusieurs sous-réseaux TCP/IP dotés de connexions
réseau fiables et rapides. Les informations de site permettent aux administrateurs de
configurer l’accès et la réplication Active Directory afin d’optimiser l’utilisation du
réseau physique. Les sites sont représentés dans Active Directory sous la forme d’objets
de site. Les objets de site sont des ensembles de sous-réseaux et chaque contrôleur de
domaine dans la forêt est associé à un site Active Directory en fonction de son
adresse IP. Les sites peuvent héberger des contrôleurs de domaine de plusieurs
domaines et un domaine peut être représenté dans plusieurs sites.
16. La conception de la
topologie de sites
Figure 16.9 : Les sites vus par le composant logiciel enfichable Sites et services Active Directory
575
Chapitre 16 La conception de la topologie de sites
Lien de sites
Les liens de sites sont les chemins logiques que le KCC utilise pour établir une
connexion pour la réplication Active Directory. Ils sont stockés dans Active Directory
sous la forme d’objets de lien de sites. Un tel objet représente un ensemble de sites qui
peuvent communiquer à coût uniforme via un transport intersite spécifié.
Figure 16.10 : Les liens de sites vus par le composant logiciel enfichable Sites et services
Active Directory
Tous les sites contenus dans un lien sont considérés comme connectés au sein d’un
même type de réseau. On relie manuellement les sites en utilisant des liens de sorte que
16. La conception de la
l’annuaire vers les contrôleurs de domaine d’un autre site. Étant donné que les liens de
sites ne correspondent pas au chemin effectif pris par les paquets réseau sur le réseau
physique durant la réplication, vous n’avez pas besoin de créer des liens redondants pour
améliorer l’efficacité de la réplication Active Directory.
Lorsque deux sites sont connectés par un lien, le système de réplication crée
automatiquement des connexions entre des contrôleurs de domaine spécifiques dans
chaque site, appelés "serveurs tête de pont". Dans Windows Server 2003, le KCC peut
désigner plusieurs contrôleurs de domaine par site hébergeant la même partition
d’annuaire comme candidat au rôle de serveur tête de pont. Les connexions de
réplication créées par le KCC sont aléatoirement réparties entre tous les serveurs tête
576
Les mécanismes de conception : définitions
de pont candidats dans un site afin que la charge de réplication soit partagée. Par défaut,
le processus de sélection aléatoire a lieu uniquement lorsque de nouveaux objets de
connexion sont ajoutés au site.
Toutefois, vous pouvez exécuter Adlb.exe, un nouvel outil du kit de ressources Windows
Server 2003 appelé "ADLB" (Active Directory Load Balancing) pour rééquilibrer la
charge à chaque fois qu’une modification intervient dans la topologie des sites ou que le
nombre de contrôleurs de domaine du site varie. En outre, ADLB peut échelonner les
planifications de manière que la charge de réplication sortante pour chaque contrôleur
de domaine soit répartie de façon égale au fil du temps. Interrogez l’aide de l’utilitaire
ADLB afin d’obtenir ses différentes options.
En pratique, vous pourrez créer un pont de liaison de sites dans le composant logiciel
enfichable Sites et services Active Directory en déployant le conteneur Inter-Site
Transports, en sélectionnant le protocole de transport souhaité, puis en cliquant sur
Action et Nouveau pont entre liens de sites.
Figure 16.11 :
Création d’un pont de
liaison de sites à l’aide
du composant logiciel
enfichable Sites et
services Active Directory
16. La conception de la
topologie de sites
Par défaut, le KCC peut former un itinéraire transitif via les liens de sites qui possèdent
certains sites en commun. Si ce comportement est désactivé, chaque lien de sites
577
Chapitre 16 La conception de la topologie de sites
représente son propre réseau distinct isolé. Les ensembles de liens de sites qui peuvent
être traités comme un unique itinéraire sont représentés sous la forme de ponts de
liaison de sites. Chaque pont représente un environnement de communication isolé
pour le trafic réseau.
Le pont crée une connexion logique entre deux liens de sites déconnectés, qui fournit un
chemin transitif via un site intérimaire. Pour les besoins du générateur de topologie
intersite (ISTG, Intersite Topology Generator), le pont n’implique pas qu’un contrôleur
de domaine dans le site intérimaire fournisse le chemin de réplication. Toutefois, ce
serait le cas si le site intérimaire contenait un contrôleur de domaine qui hébergeait la
partition d’annuaire à répliquer ; un pont ne serait alors pas requis.
Le coût de chaque lien de sites est additionné jusqu’à former une somme totale pour le
chemin résultant. Le pont serait utilisé si le site intérimaire ne contenait pas un
contrôleur hébergeant la partition d’annuaire et s’il n’existait aucun lien de coût plus
faible. Si le site intérimaire contenait un contrôleur qui héberge la partition d’annuaire,
deux sites déconnectés configureraient des connexions de réplication pour le contrôleur
de domaine intermédiaire et n’utiliseraient pas le pont.
En général, pour un réseau complètement routé, vous n’avez pas besoin de créer de
ponts, à moins de vouloir contrôler le flot des changements de réplication. Tous les liens
de sites pour un transport spécifique appartiennent implicitement à un unique pont. La
mise en pont par défaut des liens de sites survient automatiquement et aucun autre objet
Active Directory ne représente ce pont. Le paramètre Relier tous les liens du site
578
Les mécanismes de conception : définitions
Il est possible de configurer le contrôleur qui sera serveur de catalogue global à l’aide du
composant logiciel enfichable Sites et services et des propriétés de l’objet NTDS
Settings de l’objet contrôleur de domaine.
Figure 16.12 :
Configuration du serveur
de catalogue global à
l’aide du composant
logiciel enfichable Sites
et services Active
Directory
16. La conception de la
topologie de sites
Mise en cache de l’appartenance aux groupes universels
Un contrôleur de domaine peut mettre en cache les informations d’appartenance aux
groupes universels. Sur les contrôleurs de domaine exécutant Windows Server 2003,
vous pouvez activer cette fonctionnalité à l’aide du composant logiciel enfichable Sites
et services Active Directory, via les propriétés de l’objet NTDS Settings du site.
579
Chapitre 16 La conception de la topologie de sites
Figure 16.13 :
Configuration de la mise
en cache de
l’appartenance aux
groupes universels à
l’aide du composant
logiciel enfichable Sites
et services Active
Directory
j Créer une carte des emplacements : il s’agit de lister les sites géographiques et les
groupes d’ordinateurs sur un réseau local dans le but de schématiser son
infrastructure.
j Lister les liens de communication et la bande passante : cela vous permettra
d’attirer l’attention sur les sites reliés par des lignes bas débit, par exemple.
j Lister les sous-réseaux IP à chaque emplacement : il s’agit de relever les
sous-réseaux IP et les masques associés afin de déterminer la configuration des sites
dans Active Directory.
580
Prévoir l’emplacement des contrôleurs de domaine
Tableau 16.1 : Liste des sous-réseaux affectés aux sites géographiques de Nice, Paris,
Toulouse, Londres et Nice R&D pour Puzzmania
Site Numéro de Adresse du sous- Adresses IP des Adresse de broadcast
géographique sous-réseau réseau machines
Nice 1 172.100.0.0 172.100.0.1 à 172.100.15.255
172.100.15.254
Toulouse 2 172.100.16.0 172.100.16.1 à 172.100.31.255
172.100.31.254
Paris 3 172.100.32.0 172.100.32.1 à 172.100.47.255
172.100.47.254
Londres 4 172.100.48.0 172.100.48.1 à 172.100.63.255
172.100.63.254
Nice R&D 5 172.100.64.0 172.100.64.1 à 172.100.79.255
172.100.79.254
L’association des informations sur les sous-réseaux IP, la bande passante et les
emplacements va déterminer la configuration de réplication.
16. La conception de la
Pour planifier correctement les emplacements, vous devez vous focaliser sur les quatre
topologie de sites
grands rôles dévolus aux contrôleurs de domaine :
j les contrôleurs de domaine racine de la forêt ;
j les contrôleurs de domaine régionaux (les contrôleurs de domaine des domaines
enfants) ;
j les contrôleurs de domaine qui sont aussi serveurs de catalogue global ;
j les contrôleurs de domaine ayant des rôles maîtres d’opération particuliers.
D’une manière générale, ne choisissez pas un emplacement sur lequel vous ne pouvez
pas garantir sa sécurité physique.
581
Chapitre 16 La conception de la topologie de sites
Les contrôleurs de domaine racine de la forêt doivent être placés sur un site
géographique qui possède des liens distants suffisamment rapides pour répliquer
correctement les données d’annuaire vers les autres sites. Les lignes d’accès distants vers
les contrôleurs de domaine racine de la forêt doivent être les plus stables possibles.
Les administrateurs de l’infrastructure de Puzzmania décident donc, d’après ces
caractéristiques, de placer les contrôleurs de domaine racine de la forêt puzzmania.com
sur le site géographique de Nice. C’est à cet endroit que se trouvent les personnes les plus
compétentes et aussi les locaux les plus sécurisés, notamment en raison de l’activité de
recherche et de développement. Le site de Nice est en outre un point névralgique du
réseau. Les contrôleurs de domaine en question s’appellent SNCERCDC01 et SNCERCDC02.
Figure 16.14 :
Schéma de
représentation de la forêt
puzzmania.com
16. La conception de la
topologie de sites
582
Prévoir l’emplacement des contrôleurs de domaine
16. La conception de la
topologie de sites
583
Chapitre 16 La conception de la topologie de sites
Pour des emplacements qui incluent moins de cent utilisateurs et peu d’utilisateurs
itinérants ou d’applications qui requièrent un serveur de catalogue global, vous pouvez
activer la mise en cache de l’appartenance aux groupes universels. Assurez-vous que les
serveurs de catalogue global ne se trouvent pas à plus d’un saut de réplication du
contrôleur de domaine sur lequel la mise en cache de l’appartenance aux groupes
universels est activée, de manière que les informations de groupe universel dans le cache
puissent être actualisées.
16. La conception de la
Afin de déterminer à quel emplacement vous devez mettre vos serveurs de catalogue
topologie de sites
584
Prévoir l’emplacement des contrôleurs de domaine
16. La conception de la
topologie de sites
Figure 16.16 : Prévoir l’emplacement des serveurs de catalogue global
585
Chapitre 16 La conception de la topologie de sites
Server et toutes les mises à jour de mots de passe pour les clients qui n’exécutent pas
le logiciel client Active Directory (Windows 95 par exemple).
j Le maître d’ID relatifs alloue des ID relatifs à tous les contrôleurs de domaine pour
garantir que tous les principaux de sécurité (les identifiants de sécurité) possèdent
un identifiant unique.
j Le maître d’infrastructure d’un domaine conserve une liste des principaux de
sécurité d’autres domaines qui sont membres de groupes dans son propre domaine.
Maître de schéma
Avant d’ouvrir le composant logiciel enfichable Schéma Active Directory, qui permet
d’attribuer le rôle maître de schéma, n’oubliez pas d’enregistrer la DLL schmmgmt
.dll de la façon suivante : cliquez sur Démarrer/Exécuter, saisissez regsvr32
schmmgmt.dll, puis validez. Ensuite, vous pourrez ouvrir le composant logiciel
enfichable Schéma Active Directory à condition d’avoir les droits nécessaires.
Les détenteurs des rôles maîtres d’opération sont désignés automatiquement lorsque le
premier contrôleur de domaine dans un domaine est créé. Les deux rôles de niveau forêt
sont attribués au premier contrôleur de domaine créé dans la forêt et les trois rôles de
niveau domaine sont attribués au premier contrôleur de domaine créé dans le domaine.
Désignez ces contrôleurs de domaine, puis ceux qui seront maîtres d’opération
remplaçants. Assurez-vous que le maître d’opérations remplaçant est un partenaire de
réplication direct du maître d’opération titulaire.
Dans un modèle de forêt comprenant des domaines père et fils, veillez à ce que le
contrôleur maître d’infrastructure ne soit pas également serveur de catalogue global.
Une pratique courante est de placer, dans un domaine donné, tous les rôles maîtres
16. La conception de la
secours comme serveur de catalogue global. C’est un choix possible. Dans un modèle à
domaine unique, laissez le rôle maître d’infrastructure au premier contrôleur de
domaine et configurez tous les autres, même le premier, comme serveurs de catalogue
global. En effet, le rôle de maître d’infrastructure est sans importance dans un modèle à
domaine unique parce que les principaux de sécurité des autres domaines n’existent pas.
La répartition des maîtres d’opération est intéressante chez Puzzmania. Elle tient
compte des serveurs de catalogue global, de l’équilibre de charge et des bonnes
coutumes de placement des maîtres d’opération. Voici un tableau synthétisant les rôles
tenus par les contrôleurs de domaine de la forêt puzzmania.com.
586
Concevoir des sites
16. La conception de la
C’est à l’aide du composant logiciel enfichable Sites et services Active Directory que
topologie de sites
vous créerez les sites.
Pour plus d’informations sur les opérations pratiques à réaliser à l’aide du composant
logiciel enfichable Sites et services Active Directory, consultez le chapitre L’administration
et la gestion des sites dans le volume II de la bible Windows Server 2003.
La configuration appliquée à Puzzmania est très simple : les sites Nice, Toulouse, Paris,
Londres, Nice R&D sont créés. Même s’il n’y a aucun contrôleur de domaine à Londres,
cela ne coûte pas grand-chose d’anticiper l’avenir.
587
Chapitre 16 La conception de la topologie de sites
Tableau 16.3 : Tableau des valeurs de coût en fonction de la bande passante disponible
Bande passante disponible (Ko/s) Coût
9,6 1042
19,2 798
16. La conception de la
38,4 644
topologie de sites
56 586
64 567
128 486
256 425
512 378
1024 340
2048 309
4096 283
588
Concevoir les liens de sites
Figure 16.17 :
Affectation du coût d’un
lien de sites à l’aide du
composant logiciel
enfichable Sites et
services Active Directory
Des liens de sites sont donc créés entre les différents sites de l’infrastructure Puzzmania.
En correspondance avec le schéma réseau, un coût de 283 est paramétré sur les liens
Nice-Paris et Nice-Toulouse. Un coût de 309 est paramétré sur le lien Toulouse-Paris.
L’étape logique qui vient après la détermination du coût du lien de sites est la
planification des horaires de réplication entre les deux sites reliés. Vous avez la
possibilité de déterminer les heures auxquelles la réplication va se dérouler en fonction
de la qualité du lien de sites (et par extension, de la qualité du lien de communication).
Pour régler ces horaires, utilisez le composant logiciel enfichable Sites et services Active
Directory.
Figure 16.18 :
16. La conception de la
Réglage des horaires de
topologie de sites
réplication à l’aide du
composant logiciel
enfichable Sites et
services Active Directory
589
Chapitre 16 La conception de la topologie de sites
En fonction des heures travaillées, il est plus judicieux, dans le contexte de Puzzmania,
de suspendre la réplication de 7 heures à 12 heures et de 14 heures à 20 heures. Cela
permettra de réserver le WAN à d’autres usages.
Par défaut, tous les liens de sites sont transitifs. Le paramètre Relier tous les liens du site
est en effet activé par défaut. Créer un pont correspond à désactiver cette option pour
certains liens de sites et à activer la transitivité pour les liens de sites que l’on
sélectionne.
590
En résumé
Dans cet exemple, ce pont empêchera la réplication des contrôleurs de domaine des
sites A, C et D vers le reste du réseau en cas de panne du contrôleur du site B.
16.7. En résumé
Ce chapitre aborde les aspects théoriques de la conception de la topologie de sites. Il
présente des définitions, une méthodologie mais également des règles incontournables
de bon fonctionnement. Si vous respectez cette méthodologie et ces règles, les
utilisateurs seront satisfaits des performances de votre infrastructure, notamment en ce
qui concerne la réplication des informations d’annuaire entre les sites distants.
16. La conception de la
topologie de sites
591
Chapitre 17
La conception et
l’implémentation de la
structure des unités
d’organisation
17.1 Planifier la structure administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
17.2 Concevoir une structure d’unités d’organisation – les modèles de structure
d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
17.3 Implémenter la structure d’unités d’organisation . . . . . . . . . . . . . . . . . . . . . 601
17.4 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Planifier la structure administrative
l’implémentation de la
service d’annuaire Active Directory que vous utilisez pour placer des utilisateurs,
17. La conception et
structure des UO
des groupes, des ordinateurs et d’autres unités d’organisation. Du fait de la grande
flexibilité dans la création des unités d’organisation et de leur imbrication, ces
conteneurs peuvent refléter une structure organisée et, par extension, les structures
hiérarchique et logique de votre entreprise.
Vous pouvez gérer la configuration et l’utilisation de comptes et de ressources en
fonction de votre modèle d’organisation. Vous êtes libre, par exemple, d’utiliser les
unités d’organisation pour appliquer automatiquement des stratégies de groupe
définissant des paramètres pour les comptes d’ordinateur et d’utilisateur dans Active
Directory en accord avec la politique d’entreprise (sécurité, applications, droits).
Le cycle de vie des unités d’organisation inclut quatre phases :
j La planification : durant cette phase, vous déterminez quelles unités d’organisation
vous allez créer et comment vous en déléguerez le contrôle administratif.
j Le déploiement : vous créez la structure d’unités d’organisation en fonction de leur plan.
j La maintenance : après avoir créé la structure, vous pouvez renommer, déplacer ou
modifier les unités d’organisation créées en fonction des besoins de l’organisation.
j La suppression : dans Active Directory, tous les objets, y compris les unités
d’organisation, occupent de l’espace sur le contrôleur de domaine qui les héberge.
Lorsque des unités d’organisation ne sont plus requises, vous devez les supprimer.
L’un des points-clés concerne la conception d’une structure d’unités d’organisation. Par
exemple, une structure d’unités d’organisation bien conçue permet aux administrateurs
de déléguer leur autorité, ce qui allège leur charge de travail par rapport à une
administration centralisée. Mais cette délégation n’est possible que si le découpage de
l’administration des objets est en adéquation avec les rôles et les responsabilités de la
personne à qui l’on délègue cette administration.
595
Chapitre 17 La conception et l’implémentation de la structure des UO
aidera à concevoir une structure administrative en adéquation avec vos besoins. Utilisez
les données fournies en réponse aux questions suivantes pour votre réflexion.
j Quelles sont les raisons qui justifient la structure d’annuaire actuelle ? Par exemple,
quels sont les liens avec le découpage en sites physiques ? Avec l’enjeu
d’entreprise ?
j La structure d’annuaire est-elle évolutive ?
j Quelles personnes administrent actuellement la forêt et les domaines ? Leurs rôles
doivent-ils être maintenus ?
j Qui sont les administrateurs de service actuels ? Le nombre de personnes
remplissant ce rôle est-il suffisant ? Les responsabilités de ces personnes
doivent-elles rester les mêmes ?
Prenez en compte les informations suivantes sur les ressources de votre organisation :
j Le matériel : identifiez les serveurs, les ordinateurs, les portables, les
imprimantes, etc. Veillez à inclure la fonction de chaque équipement, son
emplacement physique et la quantité de chaque équipement. Consignez certains
détails importants sur les équipements. Pour des imprimantes par exemple, indiquez
si elles sont locales ou reliées au réseau.
j Les rôles professionnels : consignez tous les rôles professionnels (par exemple,
commercial) et décrivez les tâches associées à chacun d’entre eux. Déterminez quels
rôles présentent des exigences particulières en matière d’administration.
j Les groupes : identifiez tous les groupes et décrivez-les.
596
Planifier la structure administrative
l’implémentation de la
17. La conception et
Parmi les rôles suivants, déterminez ceux qui existent actuellement dans votre
structure des UO
organisation :
j Les administrateurs de rôles : administrateurs du support technique,
administrateurs des services, administrateurs des données.
j Les administrateurs de groupes fonctionnels : administrateurs de serveurs,
d’imprimantes, de bureaux.
j Les administrateurs d’emplacements : administrateurs de sites distants.
597
Chapitre 17 La conception et l’implémentation de la structure des UO
qui répond le mieux aux besoins de chacun d’entre eux. Il peut se composer de plusieurs
groupes d’administrateurs informatiques avec des objectifs et des besoins divers. Pour
chaque mise à jour ou installation majeure affectant toute l’entreprise, par exemple la
mise en place de la messagerie à l’échelle de l’entreprise, les groupes d’administrateurs
informatiques doivent travailler ensemble pour implémenter les modifications.
598
Concevoir une structure d’unités d’organisation – les modèles de structure d’unités d’organisation
Avantage
l’implémentation de la
17. La conception et
structure des UO
j Résiste aux réorganisations de l’entreprise.
j Accepte les fusions et les expansions.
Inconvénient
j Risque éventuel pour la sécurité : si un emplacement inclut plusieurs divisions ou
services, une personne ou un groupe possédant l’autorité administrative sur un
domaine ou une unité d’organisation peut également posséder cette autorité sur les
domaines ou les unités d’organisation enfants.
j Nécessite des administrateurs réseau à chaque emplacement.
Description
Vous pouvez organiser les unités d’organisation des niveaux supérieurs de
l’arborescence par département ou par service de l’entreprise (par exemple, le service
des ressources humaines) pour que chaque service ait son propre groupe informatique.
Avantage
j Conserve l’autonomie des services de l’entreprise.
j Accepte les fusions, les acquisitions et les expansions de l’entreprise.
Inconvénient
j Impact possible sur la réplication d’Active Directory.
j Ne résiste pas aux réorganisations de l’entreprise.
Description
Vous pouvez organiser les unités d’organisation des niveaux supérieurs de
l’arborescence par fonction, si le service informatique est décentralisé mais s’il base ses
modèles administratifs sur les fonctions professionnelles au sein de l’entreprise. Ce
modèle est idéal pour les petites entreprises où les responsabilités professionnelles
couvrent plusieurs domaines de compétence de l’entreprise.
599
Chapitre 17 La conception et l’implémentation de la structure des UO
structure des UO
Avantage
j Insensible aux réorganisations de l’entreprise.
Inconvénient
j Impact possible sur la réplication d’Active Directory.
j Il peut être nécessaire de créer des couches supplémentaires dans la hiérarchie des
unités d’organisation pour prendre en charge l’administration des utilisateurs, des
imprimantes, des serveurs et des partages réseau.
Description
Vous pouvez organiser les unités d’organisation situées aux niveaux supérieurs de la
hiérarchie selon leur emplacement, puis organiser les unités d’organisation situées plus
bas dans la hiérarchie selon l’organisation.
Avantage
j Permet d’envisager la croissance des services de l’entreprise.
j Permet de définir des limites de sécurité distinctes en fonction des sites.
Inconvénient
j Nécessite une nouvelle conception si le service informatique se retrouve
décentralisé.
j Nécessite une coopération entre les administrateurs informatiques si ces derniers
sont situés au même emplacement, mais appartiennent à des départements
différents.
600
Implémenter la structure d’unités d’organisation
l’implémentation de la
17. La conception et
l’emplacement
structure des UO
Description
Vous pouvez organiser les unités d’organisation situées aux niveaux supérieurs de la
hiérarchie selon l’organisation, puis organiser les unités d’organisation situées plus bas
dans la hiérarchie selon leur emplacement.
Avantage
j Permet une sécurité robuste entre les services de l’entreprise, tout en autorisant la
délégation d’administration basée sur l’emplacement physique.
Inconvénient
j Ne résiste pas aux réorganisations de l’entreprise.
601
Chapitre 17 La conception et l’implémentation de la structure des UO
structure des UO
les composants fournis par les interfaces ADSI (Active Directory Service Interfaces).
602
Implémenter la structure d’unités d’organisation
4. Dans la zone Nom de la boîte de dialogue Nouvel objet – Unité d’organisation, saisissez
l’implémentation de la
le nom de l’unité d’organisation, puis cliquez sur OK.
17. La conception et
structure des UO
Les opérations de suppression et de modification sont aussi très simples : cliquez du
bouton droit sur l’unité d’organisation et sélectionnez la bonne commande.
DSADD
Ajoute des types d’objets spécifiques à l’annuaire.
dsadd computer Ajoute un ordinateur à l’annuaire.
dsadd contact Ajoute un contact à l’annuaire.
dsadd group Ajoute un groupe à l’annuaire.
dsadd ou Ajoute une unité d’organisation à l’annuaire.
dsadd user Ajoute un utilisateur à l’annuaire.
dsadd quota Ajoute une spécification de quota à une partition d’annuaire.
Parmi tous les éléments, c’est le commutateur ou qui nous intéresse le plus. En voici la
description :
DSADD OU
Ajoute des unités d’organisation à l’annuaire.
603
Chapitre 17 La conception et l’implémentation de la structure des UO
structure des UO
NU_Unité_
Organisation Nom unique de l’unité d’organisation que vous désirez ajouter.
−desc Description Description de l’unité d’organisation que vous désirez ajouter.
−s Serveur Contrôleur de domaine auquel l’ordinateur se connecte.
−d Domaine Domaine auquel l’ordinateur se connecte. Par défaut, l’ordinateur
est connecté au contrôleur de domaine du domaine sur lequel il a
ouvert une session.
−u Nom
_Utilisateur Nom d’utilisateur permettant de se connecter à un serveur distant.
Par défaut, le nom de l’utilisateur connecté est utilisé. Vous pouvez
spécifier un nom d’utilisateur selon l’un des formats suivants : nom
d’utilisateur (par exemple, Bob), domaine\nom d’utilisateur (par
exemple, corp\Bob) ou nom d’utilisateur principal (UPN, User
Principal Name, par exemple Bob@corp.puzzmania.com).
−p Mot_de_Passe Mot de passe à utiliser pour ouvrir une session sur un serveur distant.
Si vous saisissez * (astérisque), un mot de passe sera demandé.
−q Mode silencieux : supprime tout affichage sur la sortie standard.
Chez Puzzmania, il s’agit de créer des unités d’organisation pour le domaine corp
.puzzmania.com. Suite à la conception de la structure d’unités d’organisation,
commencez par créer les unités d’organisation hiérarchiques relatives aux sites
géographiques de Nice, Toulouse et Paris. Procédez comme suit :
1. Ouvrez une session sur le contrôleur de domaine SNCECPDC01. Ouvrez une Invite de
commandes en cliquant sur Démarrer/Exécuter et en saisissant cmd.
2. Saisissez la commande dsadd ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com −desc "OU de niveau hiérarchique du site de Toulouse" et
validez.
Dans cet exemple, la commande est lancée à partir d’un contrôleur de domaine. Si ce
n’avait pas été le cas, vous auriez utilisé les commutateurs donnant les droits nécessaires
à la création d’unités d’organisation sur le domaine.
604
Implémenter la structure d’unités d’organisation
l’implémentation de la
17. La conception et
structure des UO
Figure 17.2 : Création d’une unité d’organisation avec Dsadd
Commande Dsadd
Si vous ne saisissez pas le nom distinctif de l’objet que vous créez, il est lu sur l’entrée
standard (STDIN), c’est-à-dire via le clavier, dans un fichier redirigé ou une sortie de
canal provenant d’une autre commande. Utilisez [Ctrl]+[Z] pour indiquer le caractère
de fin de fichier pour STDIN.
DSMOD
Modifie des types d’objets spécifiques à l’annuaire.
dsmod computer Modifie un ordinateur existant dans l’annuaire.
dsmod contact Modifie un contact existant dans l’annuaire.
dsmod group Modifie un groupe existant dans l’annuaire.
dsmod ou Modifie une unité d’organisation existant dans l’annuaire.
dsmod server Modifie un contrôleur de domaine existant dans l’annuaire.
dsmod user Modifie un utilisateur existant dans l’annuaire.
605
Chapitre 17 La conception et l’implémentation de la structure des UO
Parmi tous les éléments, c’est le commutateur ou qui nous intéresse. En voici la
description :
DSMOD OU
Modifie des unités d’organisation de l’annuaire.
606
Implémenter la structure d’unités d’organisation
Les paramètres transmis à la commande dsmod sont les mêmes que ceux de dsadd.
l’implémentation de la
17. La conception et
Pour transmettre une nouvelle description via le paramètre desc, procédez comme suit :
structure des UO
1. Ouvrez une session sur le contrôleur de domaine SNCECPDC01. Ouvrez une Invite de
commandes en cliquant sur Démarrer/Exécuter et en saisissant cmd.
2. Saisissez la commande dsmod ou OU=Toulouse,DC=corp,DC=puzzmania,
DC=com −desc "OU de niveau hiérarchique du site géographique de
Toulouse" et validez.
DSRM
Supprime des objets de l’annuaire.
607
Chapitre 17 La conception et l’implémentation de la structure des UO
−subtree
structure des UO
Les paramètres transmis à la commande dsrm sont les mêmes que ceux de la commande
dsadd. Par contre, vous pouvez utiliser les paramètres supplémentaires suivants avec
dsrm :
j subtree supprime l’objet ainsi que tous les objets contenus dans la
sous-arborescence située sous cet objet.
608
Implémenter la structure d’unités d’organisation
l’implémentation de la
NU_Unité_Organisation lorsque vous supprimez la sous-arborescence située
17. La conception et
structure des UO
au-dessous. Par défaut, seul l’objet de base spécifié est supprimé. Le paramètre
exclude ne peut être spécifié qu’avec le paramètre subtree.
L’outil Ldifde
L’outil en ligne de commandes Ldifde vous permet de créer, de modifier et de
supprimer des unités d’organisation et de définir des hiérarchies d’unités d’organisation.
L’outil se base sur un fichier d’entrée qui indique les actions à exécuter. La première
étape consiste donc à créer le fichier d’entrée à utiliser. Après avoir créé ce fichier,
exécutez la commande Ldifde.
Procédez comme suit pour créer des unités d’organisation (ici pour le domaine corp
.puzzmania.com) à l’aide de l’outil en ligne de commandes Ldifde :
609
Chapitre 17 La conception et l’implémentation de la structure des UO
dn: OU=Toulouse,DC=corp,DC=puzzmania,DC=com
structure des UO
changetype: add
objectClass: organizationalUnit
610
En résumé
Procédez comme suit pour créer une unité d’organisation à l’aide de l’environnement
l’implémentation de la
d’exécution de scripts Windows :
17. La conception et
structure des UO
1. À l’aide du Bloc-notes, créez un fichier texte portant l’extension .vbs. Insérez les
opérations à effectuer dans ce fichier de la façon suivante :
2. Commencez par vous connecter au domaine dans lequel vous souhaitez créer l’unité
d’organisation en saisissant Set objDom = GetObject("LDAP://dc=corp,
dc=puzzmania,dc=com").
3. Créez ensuite l’unité d’organisation en spécifiant OrganizationalUnit comme
type d’objet Active Directory à créer et le nom de l’unité d’organisation en saisissant
Set objOU = objDom.Create("OrganizationalUnit", "ou=Toulouse").
4. Enregistrez ces informations dans la base de données Active Directory en saisissant
la commande objOU.SetInfo.
5. Enregistrez le fichier sous le nom script.vbs par exemple.
6. Pour exécuter les commandes de ce fichier, saisissez à l’Invite de commandes
wscript script.vbs.
17.4. En résumé
Le plus remarquable, quand on travaille avec les unités d’organisation, notamment dans
la phase de conception, c’est de voir à quel point on peut faire refléter la vie du service
informatique et, par extension, la vie de l’entreprise, au travers d’une technologie telle
que les conteneurs d’Active Directory.
Au-delà des possibilités techniques, vous devez vous attacher à mettre l’implémentation
de la structure d’unités d’organisation (la technologie) au service de l’organisation
informatique de l’entreprise (le besoin). C’est la clé de la réussite de l’implémentation
en entreprise, quel que soit le contexte. Profitez de l’expérience des unités
d’organisation, où c’est facilement visible et appréhendable, pour le mettre en œuvre
dans tous les domaines informatiques de l’entreprise.
611
Chapitre 18
L’implémentation
des serveurs
d’infrastructure Active
Directory
18.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . 615
18.2 Déployer le domaine racine de la forêt puzzmania.com . . . . .... . . . . . . . . 619
18.3 Après l’installation du premier contrôleur de domaine . . . . . .... . . . . . . . . 641
18.4 Déployer le deuxième contrôleur de domaine sur le même site ... . . . . . . . . 649
18.5 Déployer les domaines enfants . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . 655
18.6 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... . . . . . . . . 658
Vue d’ensemble
18. L’implémentation
conditions requises pour son installation. Ensuite, il sera question de la mise en place de
d’infrastructure AD
la forêt et de ses domaines. Pour cela, nous verrons les différentes installations possibles
des serveurs
d’Active Directory. Une fois le ou les domaines implémentés, nous vérifierons
l’installation des contrôleurs de domaine et regarderons les objets créés par défaut après
l’installation du premier contrôleur de domaine. Au besoin, nous supprimerons ou
rétrograderons un contrôleur de domaine.
Pour l’implémentation des domaines et de la forêt, nous adopterons une vision plutôt
globale. La aussi, plusieurs méthodes de fonctionnement s’offrent à vous (plusieurs
forêts, plusieurs domaines ou pas de domaine racine). Il n’existe pas ou peu de
mauvaises solutions tant qu’elles répondent pleinement à vos contraintes d’entreprise
(par exemple, le nombre de sites et de personnes par site, les contraintes de bande
passante…).
Pour répondre à ses besoins et contraintes, comme vous l’avez dans les chapitres
précédents, Puzzmania a choisi de séparer la partie recherche et développement de la
partie plus classique appelée Corp. Pour que ces domaines restent unifiés et évolutifs,
Puzzmania a choisi de mettre en place un domaine racine.
Pour en savoir plus sur les besoins et les contraintes de Puzzmania, lisez les chapitres
Une étude de cas et La conception de l’infrastructure logique d’Active Directory.
615
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
Forêt multidomaine
Dans le cas d’une conception multidomaine, le domaine racine de la forêt peut être
une racine dédiée, utilisée uniquement pour l’administration de la forêt ou, au
contraire, contenir des utilisateurs, des groupes et des ressources en plus des comptes
d’administration de la forêt. Une fois le domaine racine de la forêt déployée, le
propriétaire de la forêt crée un ou plusieurs domaines enfants pour terminer la
18. L’implémentation
d’infrastructure AD
hiérarchie de la forêt Active Directory. Les domaines enfants peuvent être créés soit en
des serveurs
Maintenant que les grandes lignes de l’implémentation ont été brossées, entrons dans le
vif du sujet.
616
Vue d’ensemble
Notez qu’un processeur à 1,6 GHz peut remplacer deux processeurs cadencés à
18. L’implémentation
d’infrastructure AD
850 MHz. Un processeur à 3 GHz peut remplacer quatre processeurs cadencés à
des serveurs
850 MHz.
L’analyse des besoins d’un contrôleur en matière d’espace disque, comme les besoins en
matière de processeur, dépend surtout du nombre d’utilisateurs dans le domaine. Tenez
compte des éléments suivants pour analyser l’espace disque nécessaire :
j Le lecteur qui contient la base de données Active Directory (NTDS.dit) exige au
moins 400 Mo pour chaque bloc d’utilisateurs. Cela englobe l’espace requis pour la
partition DNS.
j Le lecteur qui contient les journaux de transactions Active Directory exige au moins
500 Mo.
j Le lecteur qui contient le dossier SYSVOL exige lui aussi au moins 500 Mo.
j Le lecteur qui contient les fichiers du système d’exploitation Windows Server 2003
exige environ 2 Go d’espace disque.
L’analyse des besoins en matière de mémoire dépend une fois de plus du nombre
d’utilisateurs :
j Pour 500 utilisateurs, le contrôleur de domaine n’aura besoin que de 512 Mo de
mémoire.
j Entre 500 et 1500 utilisateurs, le contrôleur de domaine aura comme exigence 1 Go
de mémoire.
j S’il y a plus de 1500 utilisateurs, le contrôleur de domaine aura alors besoin de 2 Go
de mémoire.
617
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
Toute configuration de serveur à l’heure actuelle peut faire face et répondre aux besoins
de la quasi-totalité des moyennes et grandes entreprises, ce qui laisse des marges de
manœuvre et de la souplesse dans la configuration. C’est pourquoi il n’est pas toujours
nécessaire de placer des machines neuves ou puissantes pour les contrôleurs de domaine
du domaine racine par exemple. Cela dit, n’hypothéquez pas l’avenir en plaçant des
machines dont la maintenance est trop compliquée.
18. L’implémentation
d’infrastructure AD
des serveurs
Le serveur DNS qui fait autorité pour le domaine DNS doit prendre en charge les
conditions suivantes :
618
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
données DNS, ce qui réduit les tâches administratives. Si vous
d’infrastructure AD
utilisez un logiciel DNS qui prend en charge des enregistrements
des serveurs
de ressources SRV, mais pas le protocole de mise à jour
dynamique, vous devez entrer les enregistrements de ressources
SRV manuellement dans la base de données DNS.
Transferts de zones Dans un transfert de zone incrémentiel, les modifications
incrémentiels (facultatives) apportées à une zone d’un serveur DNS maître doivent être
répliquées sur les serveurs DNS secondaires. Les transferts de
zone incrémentiels sont facultatifs. Ils sont toutefois
recommandés car ils permettent d’économiser de la bande
passante réseau. En effet, seuls les enregistrements de
ressources nouveaux ou modifiés sont répliqués entre des
serveurs DNS, au lieu du fichier entier de base de données de la
zone.
Dans la plupart des cas, dans les PME et PMI, ces questions ne se posent pas car le
serveur Windows Server 2003 lui-même gère le DNS.
619
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
Active Directory
Pour avoir une vue d’ensemble d’Active Directory, rendez-vous à l’adresse
http://support.microsoft.com/default.aspx?scid=kb;fr;196464.
Vous trouverez des informations sur l’architecture Active Directory à l’adresse
www.microsoft.com/france/technet/produits/win2000s/info/info.asp?mar/france/technet
/produits/win2000s/info/adarch.html.
620
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
− partition d’annuaire de domaine ;
d’infrastructure AD
des serveurs
− zone DNS de la forêt ;
− partition de la zone DNS du domaine.
621
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
trouve dans la plage d’adresses d’un sous-réseau donné défini dans Active
des serveurs
Pour plus d’informations sur les sites sous Windows Server 2003, lisez le chapitre La
conception de la topologie des sites du volume I et le chapitre L’administration et la
gestion des sites du volume II de cet ouvrage.
Objet serveur
Si un objet serveur pour ce domaine existe déjà dans le conteneur Servers du site dans
lequel vous ajoutez le contrôleur de domaine, l’assistant le supprime, puis le recrée
car il suppose que vous réinstallez Active Directory.
622
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
d’infrastructure AD
premier contrôleur de domaine dans un domaine, vous pouvez autoriser l’assistant à
des serveurs
installer et à configurer automatiquement le service DNS intégré à Active Directory.
Même s’il reste quand même certains réglages à effectuer manuellement par la suite,
l’assistant permet de gagner du temps et d’éviter des erreurs de configuration.
623
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
18. L’implémentation
d’infrastructure AD
des serveurs
2. Dans l’Assistant Gérer votre serveur, cliquez sur Ajouter ou supprimer un rôle.
3. L’Assistant Configurer votre serveur se lance. Cliquez sur Suivant. L’assistant
inspecte votre configuration afin d’y trouver les rôles déjà installés sur votre serveur.
4. Une fois l’inspection terminée, cliquez sur Configuration personnalisée.
5. L’assistant ouvre la fenêtre Rôle du serveur dans laquelle se trouve l’ensemble des
rôles configurés ou non. Sélectionnez Contrôleur de domaine (Active Directory), puis
cliquez sur Suivant.
Figure 18.2 : Assistant Configurer votre serveur – Rôle Contrôleur de domaine (Active
Directory)
624
Déployer le domaine racine de la forêt puzzmania.com
6. L’assistant ouvre une fenêtre Aperçu des sélections dans laquelle se trouve un
résumé. Dans ce résumé doit figurer la mention "Exécuter l’Assistant Installation
d’Active Directory pour configurer ce serveur en tant que contrôleur de domaine".
Cliquez sur Suivant.
7. La fenêtre Assistant Installation Active Directory démarre. Cliquez sur Suivant.
Figure 18.3 :
18. L’implémentation
d’infrastructure AD
Assistant Installation
des serveurs
d’Active Directory
625
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
10. Sur la page Créer un nouveau domaine, sélectionnez l’option Domaine dans une
nouvelle forêt, puis cliquez sur Suivant.
Figure 18.5 :
Créer un nouveau
domaine
18. L’implémentation
d’infrastructure AD
des serveurs
11. Sur la page Installer ou configurer le service DNS, sélectionnez Non, je veux installer
et configurer le service DNS sur cet ordinateur. Cliquez sur suivant.
12. Sur la page Nouveau nom de domaine, saisissez le nom du domaine puzzmania.com
dans la zone Nom DNS complet pour le nouveau domaine, puis cliquez sur Suivant.
Figure 18.6 :
Nom de domaine DNS
pour le domaine
626
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
d’infrastructure AD
des serveurs
14. Sur la page Dossiers de la base de données et du journal, saisissez le chemin de
l’emplacement de la base de données Active Directory dans la zone Dossier de la
base de données. Saisissez le chemin de l’emplacement du journal dans la zone
Dossier du journal. Cliquez sur Suivant.
Figure 18.8 :
Dossiers de la base de
données et du journal
627
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
15. Sur la page Volume système partagé, saisissez l’emplacement du dossier SYSVOL.
Le volume système partagé doit se trouver sur une partition ou un volume formatés
NTFS. Cliquez sur Suivant. Il est préférable pour de moyennes entreprises de
garder SYSVOL à son emplacement d’origine.
16. Sur la page Autorisations, sélectionnez les permissions par défaut des objets
utilisateur et groupe, et cliquez sur Suivant.
18. L’implémentation
d’infrastructure AD
Figure 18.9 :
des serveurs
Autorisations
17. Sur la page Mot de passe administrateur de restauration des services d’annuaire,
saisissez de mot de passe que vous souhaitez affecter à ce compte d’administrateur sur
le serveur pour le cas où il serait nécessaire de démarrer l’ordinateur en mode
Restauration des services d’annuaire. Confirmez le mot de passe et cliquez sur Suivant.
Figure 18.10 :
Mot de passe
administrateur de
restauration des services
d’annuaire
628
Déployer le domaine racine de la forêt puzzmania.com
18. Sur la page Résumé, les options que vous avez sélectionnées apparaissent. Revoyez
le contenu de cette page avant de cliquer sur Suivant. L’assistant met quelques
minutes à configurer les composants Active Directory. Si vous n’avez pas configuré
l’adresse IP statique pour le serveur, vous serez invité à le faire à ce moment-là.
Figure 18.11 :
18. L’implémentation
Résumé
d’infrastructure AD
des serveurs
Voici le résumé de l’installation du contrôleur de domaine que nous venons d’installer.
Configurer ce serveur en tant que premier contrôleur de domaine
d’une nouvelle forêt d’arborescences de domaines.
19. Lorsque la page Fin de l’Assistant Installation de Active Directory apparaît, cliquez
sur Terminer, puis sur Redémarrer maintenant.
629
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
Figure 18.12 :
Fin d’installation
18. L’implémentation
d’infrastructure AD
des serveurs
Une fois que le serveur a redémarré, la fenêtre Gérer votre serveur indique qu’il a été
configuré avec les rôles contrôleur de domaine (Active Directory) et serveur DNS.
Vous devez vérifier que la structure de dossiers SYSVOL et que les dossiers partagés
nécessaires ont été créés. Si le dossier SYSVOL n’a pas été créé correctement, ses
données (stratégie de groupe et scripts, par exemple) ne seront pas répliquées entre les
contrôleurs de domaine.
630
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
d’infrastructure AD
L’Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit réunir les
des serveurs
sous-dossiers domain, staging, staging areas et sysvol.
631
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
632
Déployer le domaine racine de la forêt puzzmania.com
Nous aborderons plus en détail les objets créés par Active Directory un peu plus loin
dans ce chapitre.
18. L’implémentation
automatiquement, et si votre installation prend en charge les mises à jour dynamiques,
d’infrastructure AD
le service Netlogon enregistre un certain nombre d’inscriptions de ressources SRV par
des serveurs
défaut sur le serveur DNS. Bien que la capture d’image suivante montre l’ensemble des
trois domaines, il est possible de voir les inscriptions DNS qui sont nécessaires aux
clients pour localiser les hôtes qui fournissent les services qu’ils sollicitent.
Le service Netlogon crée un fichier journal qui contient les inscriptions de ressources
SRV. Ce fichier est stocké dans %systemroot%\system32\config\Netlogon.dns.
633
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
18. L’implémentation
d’infrastructure AD
des serveurs
634
Déployer le domaine racine de la forêt puzzmania.com
Figure 18.19 :
Données enregistrées
dans Active Directory
18. L’implémentation
d’infrastructure AD
des serveurs
4. Dans l’arborescence de la console, cliquez du bouton droit de la souris sur le serveur
DNS et choisissez Propriétés dans le menu contextuel. Une boîte de dialogue
apparaît.
5. Sous l’onglet Avancé, vérifiez que, dans la zone intitulée Charger les données de zone
au démarrage, l’option À partir d’Active Directory et du registre est activée. Cliquez sur
OK.
635
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
d’infrastructure AD
Directory car le service est déconnecté et la vérification de compte ne peut avoir lieu.
C’est la base de compte SAM qui intervient pour le contrôle des accès à Active
Directory sur l’ordinateur pendant que ce dernier est déconnecté.
5. Un message vous avertit que Windows fonctionne en mode sans échec. Cliquez sur
OK pour démarrer le contrôleur de domaine en mode sans échec.
6. Pour retourner au fonctionnement normal d’Active Directory, redémarrez votre
serveur.
636
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
d’infrastructure AD
le moment dans le domaine racine, est automatiquement considéré par les autres
des serveurs
contrôleurs de domaine du même domaine comme la source de temps à utiliser pour la
synchronisation.
Les postes clients Windows 2000 ou XP et les serveurs membres Windows 2000 ou 2003
se synchronisent automatiquement avec un contrôleur du domaine auquel ils
appartiennent. Les postes clients antérieurs à Windows 2000 ou XP et les serveurs
membres antérieurs à Windows 2000 ou 2003 devront être synchronisés avec la
commande Net Time ou le service horaire présent dans les ressources kit respectif.
Il n’y a aucune action à prévoir dans l’architecture Active Directory pour que les serveurs et
les postes conservent en permanence leurs horloges synchronisées. Le seul contrôleur sur
lequel il est nécessaire d’intervenir, si l’on souhaite que l’heure système soit exacte est
l’émulateur PDC du domaine racine de la forêt. Pour cela, il faut indiquer une référence
externe accessible via le protocole NTP sur Internet ou sur une source interne…
j Sur Internet via le protocole NTP : dans ce cas, il faut permettre à l’émulateur PDC
de résoudre les noms DNS vers Internet et faire en sorte qu’il puisse dialoguer avec
un serveur NTP externe via le port TCP/IP 123.
j Sur une source interne via le protocole NTP : il faudra dans ce cas permettre à
l’émulateur PDC de résoudre le nom DNS de la référence externe et faire en sorte
qu’il puisse dialoguer avec le serveur NTP interne via le port TCP/IP 123.
Il est possible de synchroniser l’heure de l’émulateur PDC avec celle d’un serveur
externe en exécutant la commande net time conformément à la syntaxe net time
\\NomServeur /setsntp:SourceHeure. Cela permet à tous les ordinateurs de la forêt
qui exécutent Windows Server 2003, Windows 2000 ou Windows XP d’être à la même
heure, à quelques secondes près.
637
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
j HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
\Config
Tableau 18.3 : Configuration du service de temps Windows pour utiliser une horloge
matérielle interne
Paramètre Valeur Observation
18. L’implémentation
d’infrastructure AD
Définir l’AnnounceFlags
j HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
\Config
Activer NTPServer
j HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
\TimeProviders
638
Déployer le domaine racine de la forêt puzzmania.com
18. L’implémentation
d’infrastructure AD
fin de chaque nom DNS.
des serveurs
Sélectionner l’intervalle d’interrogation
j HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
\TimeProviders\NtpClient
639
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
640
Après l’installation du premier contrôleur de domaine…
18. L’implémentation
conteneurs, des utilisateurs, des ordinateurs, des groupes et des unités d’organisation.
d’infrastructure AD
Affichez ces objets par défaut à l’aide du composant logiciel enfichable Utilisateurs et
des serveurs
ordinateurs Active Directory. Le tableau suivant présente la fonction de certains de ces
objets par défaut :
Tableau 18.10 : Objets créés par défaut dans un domaine Active Directory
Objet Type d’objet Empla- Fonction
cement
Builtin Domaine intégré Racine du Conteneur par défaut des groupes qui
domaine permettent d’administrer le serveur
Computers Conteneur Racine du Conteneur par défaut des comptes
domaine d’ordinateur
Users Conteneur Racine du Conteneur par défaut des comptes
domaine d’utilisateur
Contrôleur de Unité Racine du Conteneur par défaut des contrôleurs de
domaine organisationnelle domaine domaine Windows Server 2003
(OU)
Opérateurs Groupe de sécurité Interne Personnes pouvant administrer les
– local prédéfini groupes utilisateurs/les groupes du
domaine
Administrateurs Groupe de sécurité Interne Personne pouvant administrer
– local prédéfini l’ordinateur/le domaine
Opérateurs de Groupe de sécurité Interne Personnes pouvant passer outre les
sauvegarde – local prédéfini permissions de fichiers pour faire des
sauvegardes
Invités Groupe de sécurité Interne Personnes pouvant accéder à
– local prédéfini l’ordinateur/ au domaine avec des
privilèges très limités
Opérateurs Groupe de sécurité Interne Personnes pouvant administrer les
d’impression – local prédéfini imprimantes du domaine
Duplicateurs Groupe de sécurité Interne Gère la réplication de fichiers dans un
– local prédéfini domaine
Opérateurs de Groupe de sécurité Interne Personnes pouvant administrer les
serveurs – local prédéfini serveurs du domaine
Utilisateurs Groupe de sécurité Interne Utilisateurs ordinaires
– local prédéfini
Utilisateurs DHCP Groupe de sécurité Conteneur Personnes pouvant accéder en lecture
– local au domaine Users seule au serveur DHCP
DnsAdmins Groupe de sécurité Conteneur Administrateurs DNS
– local au domaine Users
641
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
d’infrastructure AD
DnsUpdateProxy Groupe de sécurité Conteneur Clients DNS pouvant faire des mises à
– Global Users jour dynamiques pour le compte d’autres
clients (serveurs DHCP par exemple)
Admins du domaine Groupe de sécurité Conteneur Administrateurs du domaine
– global Users
Ordinateurs du Groupe de sécurité Conteneur Stations et serveurs, membres du
domaine – global Users domaine
Contrôleurs de Groupe de sécurité Conteneur Contrôleurs du domaine
domaine – global Users
Invités du domaine Groupe de sécurité Conteneur Tous les invités du domaine
– global Users
Utilisa. du domaine Groupe de sécurité Conteneur Tous les utilisateurs du domaine
– global Users
Administrateurs de Groupe de sécurité Conteneur Administrateurs désignés de l’entreprise
l’entreprise – global Users
Administrateurs du Groupe de sécurité Conteneur Administrateurs désignés du schéma
schéma – global Users
Administrateur Utilisateur Conteneur Compte prédéfini pour l’administration de
Users l’ordinateur/du domaine
Invité Utilisateur Conteneur Compte prédéfini pour les accès du type
Users Invité à l’ordinateur/au domaine
IUSR_xxx Utilisateur Conteneur Compte prédéfini pour les accès
Users anonymes à IIS (Internet Information
Services)
IWAM_xxx Utilisateur Conteneur Compte prédéfini pour les accès
Users anonymes aux applications IIS Out-of-
process
Krbtgt Utilisateur Conteneur Compte du service KDC
Users
642
Après l’installation du premier contrôleur de domaine…
êtes susceptible de rencontrer lors de l’installation d’Active Directory, ainsi que les
stratégies permettant de les résoudre :
18. L’implémentation
Accès refusé lors de Fermez la session, puis ouvrez-la de nouveau à l’aide d’un
d’infrastructure AD
l’installation ou de l’ajout de compte appartenant au groupe Administrateurs local.
des serveurs
contrôleurs de domaine Fournissez les informations d’identification d’un compte
d’utilisateur membre des groupes Admins du domaine et
Administrateurs de l’entreprise.
Les noms de domaine DNS ou Modifiez le nom de sorte qu’il soit unique.
NetBIOS ne sont pas uniques
Le domaine ne peut pas être Assurez-vous que la connexion réseau est effective entre le
contacté serveur que vous souhaitez promouvoir au titre de contrôleur de
domaine et au moins l’un des contrôleurs de domaine du
domaine. Utilisez la commande ping à partir de l’Invite de
commandes. Pour tester la connexion à un contrôleur de
domaine du domaine, vérifiez que le système DNS fournit une
résolution de noms à au moins un contrôleur du domaine en
vous connectant à un contrôleur de domaine à l’aide de son
nom DNS. Pour cela, à l’Invite de commandes, saisissez le nom
de domaine pleinement qualifié (FQDN, Fully Qualified
Domain Name) du contrôleur de domaine. Si le système DNS
est configuré correctement, vous pourrez vous connecter au
contrôleur de domaine.
Vous pouvez également vous assurer que le système DNS a été
configuré correctement en vérifiant les enregistrements A que les
contrôleurs de domaine enregistrent dans la base de données
DNS.
Espace disque insuffisant Augmentez la taille de la partition ou installez la base de données
et les fichiers journaux Active Directory sur des partitions
distinctes.
Windows Server 2003 propose un ensemble d’outils pour diagnostiquer et résoudre les
problèmes susceptibles de survenir durant l’installation d’Active Directory :
j Le journal du service d’annuaire.
j Netdiag.exe : cet utilitaire permet de tester la connectivité réseau. Exécutez netdiag
.exe chaque fois qu’un ordinateur rencontre un problème sur le réseau. Cet utilitaire
essaiera de diagnostiquer le problème. Il peut même baliser les zones
problématiques pour une inspection plus approfondie. Il est capable de remédier à
des problèmes de DNS simples grâce à son commutateur /fix.
643
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
18. L’implémentation
d’infrastructure AD
des serveurs
j Dcdiag.exe : cet outil permet d’examiner les contrôleurs de domaine. Il analyse l’état
des contrôleurs de domaine de la forêt ou d’une entreprise et décrit les problèmes
éventuels. Dcdiag.exe lance une série de tests pour vérifier différentes fonctions
d’Active Directory. Saisissez la commande dcdiag /s:mon_controleur_domaine
/test:connectivity depuis une Invite de commandes pour tester la connectivité
à un autre contrôleur de domaine.
Saisissez un nom d’utilitaire suivi de /? pour en savoir plus à son sujet. Ces outils sont
puissants et complets. Avant d’utiliser certains d’entre eux, il faut installer les supports
tools qui se trouvent dans la partie Support\tools\suptools.msi du CD-Rom d’installation
de Windows Server 2003.
644
Après l’installation du premier contrôleur de domaine…
18. L’implémentation
d’infrastructure AD
du domaine est défini sur Windows Server 2003.
des serveurs
Pour renommer un contrôleur de domaine, procédez ainsi :
1. Dans le Panneau de configuration, double-cliquez sur l’icône Système.
2. Dans la boîte de dialogue Propriétés Système, sous l’onglet Nom de l’ordinateur,
cliquez sur Modifier.
Figure 18.23 :
Modifier le nom d’un
contrôleur de domaine
3. Lorsque vous y êtes invité, confirmez que vous souhaitez renommer le contrôleur de
domaine.
4. Entrez le nom complet de l’ordinateur (notamment le suffixe DNS principal), puis
cliquez sur OK.
Indisponibilité du contrôleur
Le fait de renommer un contrôleur de domaine risque de le rendre provisoirement
indisponible : ni les utilisateurs ni les ordinateurs ne pourront y accéder.
Lorsque vous renommez un contrôleur de domaine, vous pouvez modifier son suffixe
DNS principal. Cependant, cette modification ne permet pas de déplacer le contrôleur
de domaine vers un nouveau domaine Active Directory. Par exemple, si vous renommez
le serveur stlsrcdc01.corp.puzzmania.com en sncercdc04.puzzmania.com,
l’ordinateur reste un contrôleur de domaine pour le domaine corp.puzzmania.com,
même si le suffixe DNS principal est puzzmania.com. Pour déplacer un contrôleur de
645
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
d’infrastructure AD
domaine qui n’est plus nécessaire ou qui a été endommagé. S’il s’agit du dernier
contrôleur de domaine, le domaine va être supprimé de la forêt lors du retrait du
contrôleur. Si ce domaine est le dernier de la forêt, celle-ci sera également supprimée.
646
Après l’installation du premier contrôleur de domaine…
18. L’implémentation
d’infrastructure AD
pour la suppression du
des serveurs
contrôleur de domaine
4. Sur la page Résumé, passez en revue le résumé, cliquez sur Suivant, puis sur
Terminer.
Une fois redémarré, le serveur sera toujours dans le domaine, mais il sera un simple
serveur membre du domaine.
647
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
d’infrastructure AD
11. Maintenant que vous avez le domaine et le site, il faut vous rapprocher du serveur.
Pour trouver le numéro du serveur, saisissez list servers for domain in site,
puis appuyez sur [Ä].
648
Déployer le deuxième contrôleur de domaine sur le même site
12. Une fois les serveurs listés, sélectionnez le contrôleur de domaine en saisissant
select server 2 puisque SCNERCDC03 est le troisième contrôleur de domaine.
Appuyez sur [Ä].
13. À présent, le contrôleur de domaine du site choisi est sélectionné. Saisissez quit
pour revenir à l’Invite de commandes metadata cleanup.
14. Saisissez remove selected server et appuyez sur [Ä]. Deux boîtes de dialogue
18. L’implémentation
d’infrastructure AD
d’avertissement demandent de confirmer votre choix. Confirmez et le serveur est
des serveurs
supprimé.
Ntdsutil
Si vous effectuez les mêmes manipulations au niveau du domaine et que vous
saisissiez remove selected domain, après confirmation dans les boîtes de dialogue,
votre domaine part en fumée.
649
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
Installation d’Active Directory avec l’option /adv, choisissez sur la page Copie des
d’infrastructure AD
650
Déployer le deuxième contrôleur de domaine sur le même site
18. L’implémentation
d’infrastructure AD
des serveurs
Domaine et fichiers de sauvegarde
Pour copier les informations de domaine à partir de fichiers de sauvegarde, vous
devez d’abord sauvegarder l’état du système (System State) d’un contrôleur de
domaine appartenant au domaine dans lequel le nouveau serveur deviendra
contrôleur de domaine supplémentaire. Ensuite, restaurez la sauvegarde de l’état du
système localement sur le serveur que vous vous apprêtez à promouvoir. Pour cela,
recourez à l’utilitaire de sauvegarde Windows Server 2003, choisissez l’option
Restaurez vers : Autre emplacement. Si le contrôleur de domaine à partir duquel vous
avez restauré l’état du système était également un catalogue global, l’Assistant
Installation d’Active Directory vous demande si vous souhaitez que ce contrôleur de
domaine devienne également un catalogue global.
651
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
d’infrastructure AD
des serveurs
Voici un script issu du script center qui vous permet de lister les partenaires de
réplications :
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\MicrosoftActiveDirectory")
652
Déployer le deuxième contrôleur de domaine sur le même site
18. L’implémentation
d’infrastructure AD
Activez le vieillissement et le nettoyage sur deux contrôleurs de domaine Windows
des serveurs
Server 2003 exécutant le service Serveur DNS, afin d’autoriser le nettoyage automatique
et la suppression des enregistrements de ressources obsolètes, qui peuvent s’accumuler
dans les zones au cours du temps.
Avec la mise à jour dynamique, les enregistrements de ressources sont
automatiquement ajoutés aux zones lorsque des ordinateurs sont introduits sur le
réseau. Toutefois, dans certains cas, ces enregistrements ne sont pas automatiquement
supprimés lorsque les ordinateurs quittent le réseau. Par exemple, si un ordinateur
enregistre son propre enregistrement d’hôte (A) au démarrage et se trouve par la suite
incorrectement déconnecté du réseau, son enregistrement (A) peut ne pas être
supprimé. Si votre réseau possède des utilisateurs et ordinateurs mobiles, cette situation
peut se présenter fréquemment.
Lorsqu’ils ne sont pas gérés, les enregistrements de ressources obsolètes peuvent causer
des problèmes, notamment :
j Les enregistrements de ressources obsolètes peuvent consommer l’espace disque du
serveur et générer des temps de transfert de zones inutilement longs.
j Les serveurs DNS chargeant des zones avec des enregistrements de ressources
obsolètes risquent d’utiliser des informations qui ne sont pas à jour pour répondre
aux requêtes clients, ce qui peut générer des problèmes de résolution de noms pour
les clients sur le réseau.
j L’accumulation d’enregistrements de ressources obsolètes sur le serveur DNS peut
dégrader ses performances et sa réactivité.
Vieillissement et nettoyage
Par défaut, le mécanisme de vieillissement et de nettoyage du service Serveur DNS est
désactivé. Ne l’activez qu’après en avoir compris tous les paramètres. Sans cela, le
serveur pourrait accidentellement supprimer des enregistrements de ressources qui ne
doivent pas l’être. Si un enregistrement de ressource est accidentellement supprimé,
les utilisateurs ne parviendront plus à obtenir une réponse à leurs requêtes pour cet
enregistrement de ressource ; tout utilisateur pourra en outre créer l’enregistrement de
ressource et en devenir le propriétaire, même sur des zones configurées pour les mises
à jour dynamiques sécurisées.
Pour plus d’informations concernant la manière de configurer le vieillissement et le
nettoyage, consultez la page de présentation du vieillissement du nettoyage du centre
d’aide et de support de Windows Server 2003.
653
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
DNS. Lorsque des propriétés de zone sont définies pour une zone sélectionnée, ces
d’infrastructure AD
654
Déployer les domaines enfants
Figure 18.30 :
Vieillissement de
serveur/Confirmation de
nettoyage
18. L’implémentation
d’infrastructure AD
des serveurs
Définir les propriétés de vieillissement et de nettoyage pour une zone
Pour définir les propriétés de vieillissement et de nettoyage pour une zone, procédez ainsi :
1. Connectez-vous à l’ordinateur qui exécute le service Serveur DNS avec un compte
membre du groupe local Administrateur.
2. Dans l’arborescence de la console DNS, cliquez du bouton droit de la souris sur le
serveur DNS approprié, puis choisissez Propriétés.
3. Sous l’onglet Général, cliquez sur Vieillissement et sélectionnez la case à cocher
Nettoyer les enregistrements de ressources obsolètes.
4. Modifiez les autres propriétés de vieillissement et de nettoyage comme requis.
655
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
d’infrastructure AD
Commande Exécuter en
des serveurs
tant que
3. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L’utilisateur suivant,
saisissez un nom d’utilisateur puzzmania\administrateur et le mot de passe, puis
cliquez sur OK.
4. À l’Invite de commandes, saisissez dcpromo et appuyez sur [Ä].
5. Sur la page Assistant Installation d’Active Directory, cliquez sur Suivant.
6. Sur la page Compatibilité du système d’exploitation, cliquez sur Suivant.
7. Sur la page Type de contrôleur de domaine, cliquez sur Contrôleur de domaine pour
un nouveau domaine, puis cliquez sur Suivant.
8. Sur la page Créer un nouveau domaine, cliquez sur Domaine enfant dans une
arborescence de domaine existante, puis sur Suivant.
Figure 18.32 :
Création d’un domaine
enfant dans une
arborescence existante
656
Déployer les domaines enfants
18. L’implémentation
d’infrastructure AD
Figure 18.33 :
des serveurs
Création du domaine
enfant rd
11. Sur la page Nom de domaine NetBIOS, vérifiez que le nom NetBIOS est RD, puis
cliquez sur Suivant.
12. Sur la page Dossier de la base de données et du journal, acceptez la sélection par
défaut, puis cliquez sur Suivant.
13. Sur la page Volume système partagé, acceptez l’emplacement par défaut
d’installation du dossier SYSVOL, puis cliquez sur Suivant.
14. Sur la page Diagnostics des inscriptions DNS, assurez-vous que les paramètres de
configuration DNS sont exacts, puis cliquez sur Suivant.
15. Sur la page Autorisations, cliquez sur Autorisations compatibles uniquement avec les
systèmes d’exploitation Windows 2000 ou Windows Server 2003, puis cliquez sur
Suivant.
16. Sur la page Mot de passe administrateur de restauration des services d’annuaire,
saisissez et confirmez le mot de passe et cliquez sur Suivant.
17. Passez en revue la page Résumé, cliquez sur Suivant pour commencer l’installation,
puis sur Terminer.
18. Redémarrez le serveur.
657
Chapitre 18 L’implémentation des serveurs d’infrastructure AD
19. Vous pouvez maintenant installer les deuxièmes contrôleurs de domaine de chaque
domaine sur leurs sites respectifs.
20. Testez la réplication à l’aide de la commande repadmin /showrepl pour vous
assurer que les réplications fonctionnent correctement entre les contrôleurs de
domaine. En cas de problème, vous pouvez dans un premier temps utiliser la
commande netdiag /fix.
18. L’implémentation
d’infrastructure AD
des serveurs
18.6. En résumé
Pour résumer et clore ce chapitre, Active directory est en quelque sorte la colonne
vertébrale de votre organisation. Il bénéficie d’une grande souplesse lui permettant de
prendre en compte dans son implémentation les notions logiques pour les domaines, par
exemple, et les notions physiques telle que les sites. Le mode de réplication multimaître
permet à Active Directory de fonctionner de manière désynchronisée durant quelque
temps.
Nous avons vu qu’Active Directory devait répondre à quelque prérequis pour son bon
fonctionnement. Ce qui peut amener à poser la question suivante : "Active Directory
est-il tributaire de la configuration du serveur pour pouvoir bénéficier de bonnes
performances ?"
Lors de l’installation du domaine racine de forêt, nous avons pu constater que l’on
pouvait installer Active Directory de plusieurs manières. Combien existe-t-il méthodes
pour installer Active Directory sur un contrôleur de domaine ?
658
En résumé
Après l’installation d’Active Directory sur les contrôleurs de domaine, il est nécessaire
de vérifier et de reconfigurer certains paramètres.
Que se passe-t-il une fois que le premier contrôleur de domaine est installé ? Un
ensemble d’utilisateurs et de groupes prédéfinis est installé. Le contrôleur possède
automatiquement le catalogue global, mais aussi l’ensemble des rôles maître
d’opérations.
18. L’implémentation
d’infrastructure AD
des serveurs
L’évolution de la puissance des processeurs fait qu’aujourd’hui la plupart des
contrôleurs de domaine restent sous-exploités. La virtualisation permet d’optimiser et
de consolider les contrôleurs de domaines de plusieurs domaines d’un même site sur le
même serveur physique. Cependant, il n’est pas recommandé à ce jour de virtualiser
l’ensemble des contrôleurs de domaine d’un même domaine. À ce titre, Microsoft met à
disposition sur son site un document de 70 pages sur les recommandations de la
virtualisation des contrôleurs de domaine. Ce qu’il est important de garder à l’esprit,
c’est que les performances d’Active Directory résident dans la puissance processeur,
mais également dans la capacité à charger la base de données en mémoire.
659
Chapitre 19
B ien qu’essentiels mais peu utilisés par les administrateurs, nous allons aborder les
rôles maîtres d’opération, apporter des explications par le biais de quelques
définitions ou travaux pratiques. Nous aborderons également la mise en place de
relations d’approbation afin de pouvoir continuer à utiliser des ressources des domaines
existants. Afin d’exploiter au mieux les nouvelles fonctionnalités apportées par
Windows Server 2003, nous décrirons les niveaux fonctionnels aux niveaux des
domaines et de la forêt.
Directory
Même si de façon générale sous Active Directory aucun contrôleur de domaine installé
n’est plus important que l’autre, il existe quand même quelques exceptions pour les
contrôleurs de domaines qui hébergent les rôles maîtres d’opérations. Par défaut,
l’ensemble des rôles maîtres d’opérations appelés aussi FSMO (Flexible Single Master of
Operation) sont installés sur le premier contrôleur de domaine et, par conséquent, le
premier contrôleur de la forêt. Ce contrôleur de domaine possède donc l’ensemble de
cinq FSMO. De plus, ces rôles maîtres sont installés sur le contrôleur de domaine
possédant le catalogue global. À ce stade de l’implémentation, cela ne pose aucun
problème, mais au fur et à mesure que l’implémentation du service d’annuaire évolue, et
une fois encore selon les besoins de l’entreprise, il pourra être judicieux et parfois même
obligatoire de déplacer certains rôles maîtres, nous allons voir pourquoi.
Le contrôleur de schéma
Le schéma Active Directory définit les types d’objets et les types d’informations qui s’y
rapportent pouvant être stockés dans Active Directory. Active Directory stocke ces
définitions sous forme d’objets. Active Directory gère les objets du schéma à l’aide des
mêmes opérations de gestion d’objet que celles qu’il utilise pour gérer les autres objets
de l’annuaire.
663
Chapitre 19 Les fonctions et les rôles dans Active Directory
j Il contient la liste principale des classes d’objets et des attributs utilisés pour la
création de tous les objets Active Directory.
j Il réplique les mises à jour apportées au schéma Active Directory sur tous les
contrôleurs de domaine de la forêt en utilisant la réplication de la partition de
schéma.
j Il autorise uniquement les membres du groupe Administrateurs du schéma à
modifier le schéma. Chaque forêt possède un seul contrôleur de schéma. Cela
permet d’éviter les conflits qu’entraîneraient des tentatives de mise à jour
simultanées du schéma par plusieurs contrôleurs de domaine. Si le contrôleur de
schéma n’est pas disponible, vous ne pouvez pas modifier le schéma ou installer des
19. Les fonctions et les
Ces rôles au niveau de la forêt doivent être uniques c’est-à-dire qu’il ne peut exister
qu’un seul maître contrôleur de schéma et qu’un seul maître d’attribution de noms de
domaine par forêt. C’est pour cela que, pour l’organisation, ces rôles maîtres seront
placés sur l’un des contrôleurs de domaine du domaine racine (puzzmania.com) sur le
contrôleur de domaine sncercdc02.
664
Configurer les rôles maîtres d’opération
Directory
de domaine est impossible. L’utilitaire de diagnostic du contrôleur de domaine
(commande dcdiag) vous permet d’afficher l’attribution de réserve
d’identificateurs relatifs.
j Déplacement d’objets : lorsque vous déplacez un objet d’un domaine à l’autre, le
déplacement est initié sur le maître RID qui contient l’objet. De cette façon, il n’y a
pas de duplication des objets. Si vous déplaciez un objet sans qu’un seul maître
conserve cette information, vous pourriez déplacer l’objet vers plusieurs domaines
sans savoir qu’un déplacement précédent a déjà eu lieu.
Suppression
Lors d’un déplacement d’un domaine à un autre, le maître RID supprime l’objet du
domaine d’origine.
L’émulateur PDC
L’émulateur PDC agit comme un contrôleur de domaine principal Microsoft
Windows NT pour prendre en charge les contrôleurs secondaires de domaine exécutant
Windows NT dans un domaine en mode mixte. À la création d’un domaine, Active
Directory attribue le rôle d’émulateur PDC au premier contrôleur de domaine du
nouveau domaine.
665
Chapitre 19 Les fonctions et les rôles dans Active Directory
j Il gère les modifications de mot de passe des ordinateurs exécutant Windows NT,
Microsoft Windows 95 ou Windows 98. Active Directory inscrit directement les
modifications de mot de passe dans l’émulateur PDC.
j Il minimise la latence de réplication des modifications de mot de passe. Le délai
nécessaire pour qu’un contrôleur de domaine reçoive une modification apportée à
un autre contrôleur de domaine est appelé"latence de réplication". Lorsque le mot
de passe d’un ordinateur client exécutant Windows 2000 ou une version ultérieure
est modifié sur un contrôleur de domaine, ce dernier transmet immédiatement la
modification à l’émulateur PDC. Si une authentification de connexion échoue sur
un autre contrôleur de domaine du fait d’un mauvais mot de passe, ce contrôleur de
19. Les fonctions et les
Le maître d’infrastructure
Le maître d’infrastructure est un contrôleur de domaine qui met à jour les références
des objets de son domaine qui pointent vers les objets d’un autre domaine. La référence
contient l’identificateur global unique (GUID, Globally Unique IDentifier) de l’objet, son
nom unique et éventuellement un identificateur de sécurité (SID). Active Directory met
régulièrement à jour le nom unique et l’identificateur de sécurité afin de refléter les
modifications apportées à l’objet, par exemple lorsqu’un objet a été déplacé au sein d’un
domaine ou entre des domaines, ou qu’il a été supprimé.
666
Configurer les rôles maîtres d’opération
Directory
d’informations obsolètes sur les appartenances aux groupes.
667
Chapitre 19 Les fonctions et les rôles dans Active Directory
Ce qui nous amène à aborder le transfert de rôles des maîtres d’opérations. Une
question légitime pour se poser : "Mais s’il n’y a qu’un seul maître d’opérations pour la
forêt ou le domaine ! Que le contrôleur de domaine tombe en panne, comment vais-je
faire pour transférer mon rôle maître ? Que va-t-il se passer ?"
19. Les fonctions et les
rôles dans Active
En fait, dans ce cas, il ne sera plus question de transférer un rôle maître, mais plutôt
d’effectuer une prise de ce rôle. Cela comporte un certain nombre de recommandations.
Directory
Pour déterminer en lignes de commandes quel serveur est le maître actuel du schéma,
tapez dans une fenêtre d’Invite de commandes : Dsquery server –hasfsmo schema.
Pour déterminer en mode graphique quel serveur est le contrôleur de schéma, procédez
comme suit :
1. Enregistrez le composant logiciel enfichable Schéma Active Directory en exécutant la
commande suivante : regsvr32.exe %systemroot%\system32\schmmgmt.dll.
Figure 19.2 :
Enregistrement de la
DLL schmmgmt.dll
668
Configurer les rôles maîtres d’opération
3. Cliquez sur Spécifiez un nom, entrez le nom du contrôleur de domaine auquel vous
souhaitez transférer le rôle de contrôleur de schéma (scerddc02), puis cliquez sur
OK.
4. Dans l’arborescence de la console, cliquez avec le bouton droit sur Schéma Active
Directory, puis cliquez sur Maître d’opérations.
Figure 19.4 :
Transfert du rôle maître
de schéma
669
Chapitre 19 Les fonctions et les rôles dans Active Directory
Pour déterminer en mode graphique quel serveur est le maître d’attribution de noms de
domaine actuel, procédez comme suit :
1. Ouvrez Domaines et approbations Active Directory.
670
Configurer les rôles maîtres d’opération
2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis
cliquez sur Maître d’opérations.
3. Dans la boîte de dialogue Modifier le maître d’opérations, examinez le nom de
l’actuel maître d’attribution de noms de domaine scncercdc01 (premier contrôleur
par défaut de la forêt).
Directory
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et
approbations Active Directory, puis cliquez sur Se connecter au contrôleur de
domaine.
3. Sur la liste, sélectionnez un contrôleur de domaine disponible, cliquez sur le
contrôleur de domaine qui deviendra le nouveau maître d’attribution de noms de
domaine scncercdc02, puis sur OK.
4. Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et
approbations Active Directory, puis cliquez sur Maître d’opérations.
Figure 19.7 :
Transfert du rôle maître
d’attribution de noms
5. Lorsque le nom du contrôleur de domaine apparaît, cliquez sur Modifier, puis sur
Oui.
Figure 19.8 :
Message de validation
du transfert
671
Chapitre 19 Les fonctions et les rôles dans Active Directory
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le domaine pour
lequel vous souhaitez afficher les maîtres d’opérations, puis cliquez sur Maîtres
d’opérations.
3. Sous les onglets RID, CDP et Infrastructure, sous la rubrique Maîtres d’opérations,
visualisez le nom de l’actuel Maître d’opérations.
672
Configurer les rôles maîtres d’opération
Figure 19.10 :
Maîtres d’opérations de
domaine
673
Chapitre 19 Les fonctions et les rôles dans Active Directory
Figure 19.11 :
Transfert du rôle maître
d’infrastructure
19. Les fonctions et les
rôles dans Active
Directory
5. Sous les onglets RID, CDP et Infrastructure, sous Maîtres d’opérations, visualisez,
cliquez sur Modifier, puis sur Oui.
Le catalogue global est le référentiel central des informations concernant les objets
d’une forêt dans Active Directory. La mise en cache de l’appartenance au groupe
universel dans Windows Server 2003 réduit le trafic et améliore le temps de connexion
entre des liaisons lentes de réseau étendu (WAN, Wide Area Network). Vous devez
comprendre les serveurs de catalogue global et la mise en cache de l’appartenance au
groupe universel pour planifier le placement de contrôleurs de domaine dans votre
réseau.
674
Configurer le catalogue global
675
Chapitre 19 Les fonctions et les rôles dans Active Directory
Figure 19.13 :
Activer le catalogue
global
19. Les fonctions et les
rôles dans Active
Directory
676
Configurer le catalogue global
Trafic de réplications
L’activation d’un serveur de catalogue global peut entraîner un trafic de réplications
supplémentaire pendant que le serveur récupère une copie initiale complète de tout le
catalogue global. Le contrôleur de domaine ne s’annonce pas comme serveur de
catalogue global avant d’avoir reçu les informations du catalogue global via la
réplication.
Directory
Windows Server 2003, le contrôleur de domaine qui traite la demande de connexion de
l’utilisateur refuse la requête, et l’utilisateur ne peut pas ouvrir de session.
Outre les fonctionnalités de base d’Active Directory sur les contrôleurs de domaine
individuels, de nouvelles fonctionnalités Active Directory étendues à la forêt et au
domaine sont disponibles lorsque certaines conditions sont satisfaites.
677
Chapitre 19 Les fonctions et les rôles dans Active Directory
Pour obtenir une liste exhaustive des fonctionnalités activées pour chaque niveau
fonctionnel de la forêt ou du domaine, reportez-vous à la rubrique Fonctionnalité des
domaines et des forêts, en ligne, dans Aide et Support.
Attention, il n’est pas possible de réduire le niveau fonctionnel d’un domaine après
l’avoir élevé !
Voici les différents niveaux fonctionnels de domaine de Windows Server 2003 et les
contrôleurs de domaine pris en charge pour chaque niveau :
678
Configurer le catalogue global
Directory
Groupes de sécurité : de sécurité et de de sécurité et de
non distribution distribution
Imbrication de groupes Groupes de Oui Oui
distribution : oui ; Autorise une Autorise une
Groupes de sécurité : imbrication totale des imbrication totale des
non (toutefois les groupes groupes
groupes de sécurité du
domaine local peuvent
avoir des groupes
globaux comme
membres)
Conversion de groupes Non Oui Oui
Aucune conversion de Autorise la conversion Autorise la conversion
groupe n’est autorisée entre les groupes de entre les groupes de
sécurité et les groupes sécurité et les groupes
de distribution de distribution
Historique SID Non Oui Oui
Autorise les principaux Autorise les principaux
de sécurité à migrer de sécurité à migrer
d’un domaine à un d’un domaine à un
autre autre
Au niveau de la forêt
Par définition la fonctionnalité de forêt active les fonctionnalités à travers tous les
domaines de votre forêt. Deux niveaux fonctionnels de forêt sont disponibles : Windows
2000 et Windows Server 2003. Par défaut, les forêts opèrent au niveau fonctionnel
Windows 2000. Vous pouvez élever le niveau fonctionnel de la forêt vers Windows
Server 2003 afin d’activer des fonctionnalités qui ne sont pas disponibles au niveau
fonctionnel Windows 2000, notamment :
j les approbations de forêt ;
j une réplication accrue.
679
Chapitre 19 Les fonctions et les rôles dans Active Directory
Attention, il n’est pas possible de réduire le niveau fonctionnel d’une forêt après l’avoir
élevé !
Tout comme pour l’élévation de niveau fonctionnel de domaine, ne peut pas élever qui
veut le niveau fonctionnel de forêt. Il est important de rappeler qu’élever ce niveau
19. Les fonctions et les
fonctionnel aura un impact sur toute la forêt. Pour pouvoir effectuer cette manipulation,
rôles dans Active
Pour activer les nouvelles fonctionnalités étendues à la forêt, tous les contrôleurs de
domaine de la forêt doivent exécuter Windows Server 2003, et le niveau fonctionnel de
la forêt doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez être un
administrateur d’entreprise.
Voici les différents niveaux fonctionnels de forêt de Windows Server 2003 et les
contrôleurs de domaine pris en charge pour chaque niveau :
680
Élever les niveaux fonctionnels
Directory
objectClass
681
Chapitre 19 Les fonctions et les rôles dans Active Directory
Pour activer les nouvelles fonctionnalités étendues au domaine, tous les contrôleurs de
domaine du domaine doivent exécuter Windows Server 2003, et le niveau fonctionnel
du domaine doit être élevé au niveau Windows Server 2003. Pour ce faire, vous devez
être un administrateur de domaine.
Figure 19.16 :
Augmenter le niveau
Directory
fonctionnel du domaine
3. Sélectionnez le niveau désiré sur la liste déroulante. Seuls les niveaux possibles
apparaissent. Cliquez sur Augmenter. Une boîte de confirmation apparaît.
Prudence
Vous ne pourrez plus revenir en arrière sans un gros travail de restauration du
domaine des sauvegardes Active Directory. Soyez prudent !
682
Élever les niveaux fonctionnels
Directory
administrateur d’entreprise.
683
Chapitre 19 Les fonctions et les rôles dans Active Directory
Une fois l’implémentation et la nouvelle organisation mises en place, c’est par les
relations d’approbation avec les différents domaines de l’entreprise que puzzmania
pourra continuer à accéder aux ressources des domaines en productions.
Sous Windows Server 2003, plusieurs types de relations d’approbation existent. En voici
quelques explications…
19. Les fonctions et les
rôles dans Active
visualiser tous les domaines de la forêt, de gérer les relations d’approbation entre
domaines, de modifier le mode opératoire d’un domaine, de configurer les suffixes de
noms principaux d’utilisateurs pour la forêt et enfin d’accéder à l’outil d’administration
Utilisateurs et ordinateurs Active Directory.
Pour rappel, qu’est-ce qu’une relation d’approbation ? C’est tout simplement un canal
sécurisé entre des domaines, des arborescences ou de forêts. Les approbations
permettent aux utilisateurs d’un domaine d’être authentifiés par un contrôleur de
domaine présent dans d’autres domaines et, par nature, elles peuvent représenter des
liaisons transitives, unidirectionnelles ou bidirectionnelles.
Les domaines Windows 2003 Server sont plus simples à gérer que les domaines NT4 car
les approbations transitives bidirectionnelles sont établies automatiquement entre les
domaines parents et enfants dans une arborescence de domaine et entre les domaines
racines des arborescences d’une forêt. Cependant, il faut savoir que ces approbations ne
sont transitives que lorsque vous avez passé vos domaines au niveau fonctionnel
Windows 2000 natif ; autrement dit, lorsqu’il ne reste plus aucun BDC NT.
684
Les relations d’approbation
685
Chapitre 19 Les fonctions et les rôles dans Active Directory
Approbation raccourcie
Directory
Il s’agit tout simplement d’approbations externes créées pour raccourcir le chemin entre
deux domaines d’une même forêt lorsque les utilisateurs de l’un ou des domaines ont
besoin d’un accès fréquent aux ressources de l’autre domaine.
En créant une approbation raccourcie entre deux domaines d’une forêt, le processus
d’authentification Kerberos, par lequel un accès à des ressources dans deux domaines
différents est accordé à des utilisateurs, est considérablement plus court d’un point de
vue du nombre de domaine à traverser, réduisant d’autant le trafic d’authentification et
accélérant le processus le processus d’authentification interdomaine. Ce type de
relations d’approbations reste utile uniquement pour les organisations possédant
plusieurs niveaux de domaines.
686
Les relations d’approbation
Approbation externe
Également appelé "approbation à sens unique", ce type d’approbation est
unidirectionnel et non transitif (similaire à NT) et doit être créé explicitement à l’aide
de la console Domaines et approbations Active Directory. Dans une approbation
externe le domaine approuvant approuve le domaine approuvé et les utilisateurs du
domaine approuvé peuvent accéder aux ressources du domaine approuvant, à condition
qu’ils disposent des autorisations adéquates sur les ressources auxquelles ils essaient
d’accéder.
Vous pouvez établir explicitement une approbation externe entre un domaine Windows
Server 2003 et un autre domaine Windows Server 2003, un domaine Windows 2000
Server ou un domaine NT. Vous pouvez également créer une approbation
bidirectionnelle non transitive entre deux domaines en créant deux approbations
unidirectionnelles dans des sens opposés.
687
Chapitre 19 Les fonctions et les rôles dans Active Directory
forêts ne fonctionnent qu’entre deux forêts. Autrement dit, si une approbation de forêt
rôles dans Active
l’approbation.
688
Les relations d’approbation
Lorsqu’un utilisateur du domaine approuvé tente d’accéder aux ressources d’un autre
domaine, son ordinateur contacte d’abord le contrôleur de domaine de son domaine
afin d’obtenir l’authentification pour la ressource. Si la ressource ne se trouve pas dans
le domaine de l’utilisateur, le contrôleur de domaine utilise la relation d’approbation
avec son parent et renvoie l’ordinateur de l’utilisateur vers un contrôleur de domaine de
son domaine parent.
Directory
Windows Server 2003 prend en charge les approbations entre forêts, qui permettent aux
utilisateurs d’accéder aux ressources d’une autre forêt. Lorsqu’un utilisateur tente
d’accéder aux ressources d’une forêt approuvée, Active Directory doit préalablement
rechercher les ressources. Une fois que les ressources ont été localisées, l’utilisateur
peut être authentifié et autorisé à accéder aux ressources. Si vous comprenez bien le
fonctionnement de ce processus, vous serez à même de résoudre les problèmes
susceptibles de survenir avec les approbations entre forêts.
689
Chapitre 19 Les fonctions et les rôles dans Active Directory
.com, le contrôleur de domaine contacte donc son catalogue global pour trouver le
rôles dans Active
690
Les relations d’approbation
j Pour créer une approbation externe, cliquez avec le bouton droit de la souris sur
le nœud de domaine du domaine avec lequel vous souhaitez établir une
approbation, puis cliquez sur Propriétés.
Figure 19.24 :
Propriétés de
corp.puzzmania.com
3. Sous l’onglet Approbation, cliquez sur Nouvelle approbation, puis sur Suivant.
Figure 19.25 :
Assistant de création de
la nouvelle approbation
691
Chapitre 19 Les fonctions et les rôles dans Active Directory
692
En résumé
19.5. En résumé
Directory
Combien y a-t-il de rôles maîtres d’opérations et comment peut-on les administrer ?
Il y a cinq rôles maîtres d’opérations deux pour la forêt et trois par domaine, il est
possible de les administrer depuis la MMC ou en lignes de commandes à l’aide de
NTDSUtil.
Pour la forêt…
j Contrôleur de schéma : schema master (maître du schéma).
j Maître d’attribution de noms de domaine : domain naming master (maître nom
de domaine).
Pour le domaine…
j Maître des ID relatifs : rid master (maître identificateur relatif).
j Émulateur PDC : pdc (émulateur de PDC).
j Maître d’infrastructure : domain naming master (maître nom de domaine).
Nous avons vu également qu’il était possible d’utiliser des fonctionnalités avancées sous
Windows Server 2003.
Autre question : comment est-il possible d’utiliser les fonctions avancées de Windows
Server 2003 ? En élevant les niveaux fonctionnels, de la forêt et des domaines.
Au niveau de la forêt :
j Windows 2000 ;
j Windows Server 2003, version préliminaire ;
j Windows Server 2003, natif.
693
Chapitre 19 Les fonctions et les rôles dans Active Directory
Au niveau du domaine :
j Windows 2000 mixte ;
j Windows 2000 natif ;
j Windows Server 2003, version préliminaire ;
j Windows Server 2003 natif.
j Il n’y a quasiment pas ou peu de mauvaise solution tant que votre implémentation,
aussi bizarre soit-elle, répond à vos besoins. L’un des avantages d’Active Directory
réside dans sa souplesse.
694
Chapitre 20
La maintenance
d’Active Directory
20.1 Sauvegarder Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
20.2 Restaurer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
20.3 Défragmenter et déplacer Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 704
20.4 Prendre les rôles maîtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
20.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Sauvegarder Active Directory
20. La maintenance
d’Active Directory
Que signifie sauvegarder Active Directory ? Cela veut dire sauvegarder tous les fichiers
nécessaires au bon fonctionnement et à la récupération d’Active Directory. Sous
Windows Server 2003, tous ces fichiers sont regroupés dans ce que l’on appelle l’état du
système.
697
Chapitre 20 La maintenance d’Active Directory
− Edb*.log : il s’agit du fichier journal des transactions dont le nom par défaut est
Edb.log et dont la capacité est de 10 Mo environ. Lorsque le fichier Edb.log est
saturé, Active Directory crée un autre fichier dénommé Edbxxxxx.log (où xxxxx
correspond à l’ordre chronologique de création).
− Edb.chk : il s’agit d’un fichier de points de vérification que la base de données
utilise pour garder une trace des données qui ne sont pas encore écrites dans le
fichier Ntds.dit. Le fichier de points de vérification est un pointeur qui conserve
des données de statut entre la mémoire et le fichier Ntds.dit sur le disque. Il
indique le point de début à partir duquel les informations doivent être
récupérées en cas de défaillance.
− Res1.log et Res2.log : il s’agit des fichiers journaux de transactions. La quantité
d’espace disque réservée sur un disque ou dans un dossier pour les journaux de
transactions est de 20 Mo. Cet espace disque offre aux fichiers journaux de
transactions une marge suffisante de fermeture si le reste de l’espace disque est
utilisé.
20. La maintenance
d’Active Directory
Quels sont les outils qui permettent de sauvegarder Active Directory ? Tous les outils
tiers disponibles sur le marché de la sauvegarde sont capables de sauvegarder et de
restaurer Active Directory, et donc l’état du système (par exemple, Backup Exec de
Symantec Veritas ou BrightStor Arcserve Backup de Computer Associates). Windows
Server 2003 propose de sauvegarder de manière simple l’état du système avec l’utilitaire
de sauvegarde (NTBackup), en générant un fichier de sauvegarde au format .bkf. Cet
outil sera utilisé dans ce qui suit.
Utilisation de NTBackup
L’utilitaire de sauvegarde NTBackup permet de sauvegarder ou de restaurer tout type
de fichier, et pas seulement Active Directory. Pour les petites entreprises, il s’agit d’un
outil de sauvegarde et de restauration à part entière.
698
Sauvegarder Active Directory
Par rapport à l’étude de cas, Puzzmania, on a décidé de sauvegarder l’état du système sur
la totalité des contrôleurs de domaine. La société possédant un outil tiers de sauvegarde
centralisé, il est quand même décidé de configurer NTBackup sur tous les contrôleurs de
domaine afin de sauvegarder l’état du système. Cela permet, en cas de panne du logiciel
de sauvegarde centralisé, d’avoir au moins une sauvegarde d’Active Directory qui aura
fonctionné. NTBackup est configuré pour écrire le fichier de sauvegarde .bkf sur le
contrôleur de domaine. Ce fichier sera ensuite sauvegardé ailleurs (soit recopié par
scripts sur un point du réseau, soit sauvegardé par l’outil tiers de sauvegarde), puis
archivé. Les sauvegardes de l’état du système sont réalisées chaque nuit en mode
complet.
20. La maintenance
2. Sur la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant.
d’Active Directory
3. Sur la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des fichiers et des
paramètres, puis sur Suivant.
4. Sur la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les
fichiers à sauvegarder, puis sur Suivant.
5. Sur la page Éléments à sauvegarder, développez la zone Poste de travail, activez la
case à cocher System State, puis cliquez sur Suivant.
699
Chapitre 20 La maintenance d’Active Directory
8. Une fois la sauvegarde terminée, sur la page Sauvegarde en cours, cliquez sur
Fermer.
20. La maintenance
d’Active Directory
700
Restaurer Active Directory
Si d’autres contrôleurs de domaine sur le réseau font vivre Active Directory (création,
20. La maintenance
d’Active Directory
suppression d’objets…) pendant le temps de restauration de l’un des leurs, ils
répliqueront, lors du redémarrage en mode normal, les modifications (entre ce moment
et la dernière sauvegarde) sur le contrôleur de domaine fraîchement restauré. On les dit
autoritaires sur la réplication alors que l’on dit du contrôleur de domaine restauré qu’il
est non autoritaire.
Pour effectuer une restauration non autoritaire d’Active Directory, par exemple sur
SNCERCDC01, procédez ainsi :
1. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu
d’options avancées de Windows, sélectionnez Mode restauration Active Directory,
puis validez.
701
Chapitre 20 La maintenance d’Active Directory
702
Restaurer Active Directory
20. La maintenance
d’Active Directory
autres.
Pour effectuer une restauration forcée, procédez ainsi. Dans cet exemple, nous allons
restaurer de façon autoritaire l’unité d’organisation qui s’appelle Serveurs.
1. Redémarrez le contrôleur de domaine en mode de restauration Active Directory.
2. Restaurez Active Directory dans son emplacement d’origine (procédure de
restauration non autoritaire).
3. Ouvrez une Invite de commandes, saisissez Ntdsutil.
4. À l’invite ntdsutil, saisissez authoritative restore.
5. À l’invite authoritative restore, saisissez restore subtree
ou=serveurs,dc=puzzmania,dc=com et validez.
703
Chapitre 20 La maintenance d’Active Directory
Pour défragmenter une base de données Active Directory hors connexion, exécutez les
étapes suivantes :
1. Sauvegardez les données d’état du système.
2. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu
d’options avancées de Windows, sélectionnez Mode restauration Active Directory,
puis validez.
3. Ouvrez une session à l’aide du mot de passe de restauration indiqué au moment de
l’installation d’Active Directory.
4. Ouvrez une Invite de commandes, saisissez ntdsutil et validez.
5. Saisissez files et validez.
6. À l’invite files, saisissez compact to d:\defrag (où d:\defrag définit le
chemin d’accès) et validez. Cette étape permet de définir un emplacement avec
suffisamment d’espace disque libre pour y stocker la base de données compressée.
Une nouvelle base de données Ntds.dit est créée à l’emplacement spécifié.
704
Défragmenter et déplacer Active Directory
20. La maintenance
d’Active Directory
Figure 20.7 : Défragmentation d’Active Directory
Vous pouvez aussi déplacer les fichiers de la base de données en vue d’effectuer une
opération de maintenance matérielle. Si le disque de stockage des fichiers doit être mis
à niveau ou doit subir une opération de maintenance, vous pouvez déplacer les fichiers
vers un autre emplacement de façon temporaire ou permanente.
705
Chapitre 20 La maintenance d’Active Directory
2. Redémarrez le contrôleur de domaine, appuyez sur [F8] pour afficher le menu Menu
d’options avancées de Windows, sélectionnez Mode restauration Active Directory,
puis validez.
3. Ouvrez une session à l’aide du mot de passe de restauration indiqué au moment de
l’installation d’Active Directory.
4. À l’invite de commandes, saisissez ntdsutil et validez.
5. Saisissez files et validez.
6. À l’invite files, et après avoir défini un emplacement offrant suffisamment
d’espace pour y stocker la base de données, saisissez move DB to d:\newadpath
(où d:\newadpath correspond au chemin d’accès sur l’ordinateur local où vous
voulez placer la base de données), puis validez.
20. La maintenance
d’Active Directory
706
Prendre les rôles maîtres
Pour plus d’informations sur les maîtres d’opération, consultez l’Annexe Les ports et
services Active Directory.
20. La maintenance
d’Active Directory
toutes les contraintes soient étudiées.
En règle générale, la prise du rôle maître d’opération est une étape lourde de
conséquences, que vous devez envisager uniquement si vous êtes sûr que le maître
d’opération actuel ne sera plus disponible. La décision dépend du rôle et du temps
pendant lequel le propriétaire du rôle sera indisponible.
Dans les manipulations qui suivent, nous allons transférer un rôle de SNCERCDC01 vers
SNCERCDC02.
Si le contrôleur de schéma n’est pas disponible pendant un délai trop prolongé, vous
pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à
recevoir le rôle, uniquement lorsque la défaillance du contrôleur de schéma est
définitive.
707
Chapitre 20 La maintenance d’Active Directory
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à
l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.
Si le maître d’attribution de noms de domaine n’est pas disponible pendant un délai trop
prolongé, vous pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous
jugerez apte à recevoir le rôle, uniquement lorsque la défaillance du maître d’attribution
de noms de domaine est définitive.
708
Prendre les rôles maîtres
20. La maintenance
d’Active Directory
Figure 20.10 : Prise du rôle maître d’attribution de noms de domaine
Si le maître des ID relatifs n’est pas disponible pendant un délai trop prolongé, vous
pouvez prendre le rôle et l’attribuer au contrôleur de domaine que vous jugerez apte à
recevoir le rôle, uniquement lorsque la défaillance du maître d’ID relatifs est définitive.
709
Chapitre 20 La maintenance d’Active Directory
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à
l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.
Lorsque le maître d’émulateur PDC d’origine est à nouveau en service, vous pouvez
attribuer à nouveau le rôle au contrôleur de domaine d’origine.
710
Prendre les rôles maîtres
20. La maintenance
d’Active Directory
Figure 20.12 : Prise du rôle maître d’émulateur PDC
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à l’invite
ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.
Si le maître d’infrastructure n’est pas disponible pendant un délai trop prolongé, vous
pouvez prendre le rôle et le transférer à un contrôleur de domaine qui n’est pas un
serveur de catalogue global, mais qui est relié correctement à ce type de serveur (à partir
de n’importe quel domaine) et situé de préférence sur le même site que lui.
711
Chapitre 20 La maintenance d’Active Directory
7. À l’invite fsmo maintenance, saisissez q, puis appuyez sur [Ä] pour accéder à
l’invite ntdsutil. Saisissez q, puis appuyez sur [Ä] pour quitter Ntdsutil.
20.5. En résumé
Ce chapitre décrit quelques opérations de maintenance d’Active Directory.
Pour conclure le sujet des sauvegardes et des restaurations d’Active Directory, notez
que ce que ne dit pas la procédure c’est : comment vous organisez-vous ? Il vous revient
de vous organiser pour conserver les sauvegardes et retrouver la bonne le moment
voulu. Effectivement, la réussite d’une restauration dépend aussi de votre capacité à
712
En résumé
copier les sauvegardes sur un support (chemin réseau, disques durs, bandes…), puis à
les archiver correctement et à ressortir le bon jeu de sauvegardes au moment opportun.
Vous devez inclure la sauvegarde et la restauration d’Active Directory dans votre plan
directeur de sauvegarde.
20. La maintenance
d’Active Directory
713
Chapitre 21
La sécurisation
d’Active Directory
21.1 L’importance de la sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 717
21.2 Identifier les types de menaces pour la sécurité Active Directory . . . . . . . . . . . 717
21.3 Établir des frontières sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
21.4 Sélectionner une structure Active Directory sécurisée . . . . . . . . . . . . . . . . . . 720
21.5 Sécuriser les comptes d’administration des services . . . . . . . . . . . . . . . . . . . 720
21.6 Limiter l’exposition des comptes d’administration des services . . . . . . . . . . . . 721
21.7 Sécuriser les méthodes d’administration des données . . . . . . . . . . . . . . . . . . 723
21.8 Protéger les serveurs DNS et les données DNS . . . . . . . . . . . . . . . . . . . . . . . 728
21.9 Sécuriser les relations interforêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
21.10 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732
Identifier les types de menaces pour la sécurité Active Directory
21. La sécurisation
d’Active Directory
j L’autorisation : lorsque les utilisateurs réseau tentent de se connecter à des serveurs
ou autres périphériques réseau, la procédure d’autorisation peut leur accorder ou
leur refuser l’accès à la ressource.
717
Chapitre 21 La sécurisation d’Active Directory
limitent l’accès utilisateur aux ressources et aux services réseau. Par conséquent, chaque
groupe d’utilisateurs représente une menace potentielle spécifique.
j Utilisateurs anonymes : ce groupe représente l’accès non authentifié au réseau qui
est activé lorsque les paramètres de stratégie de groupe permettent l’accès anonyme
et que les autorisations sur les ressources sont définies pour permettre l’accès à une
ouverture de session anonyme par le biais du groupe Accès compatible
Pré-Windows 2000. Autoriser l’accès à des utilisateurs anonymes peut entraîner une
baisse du niveau de sécurité d’Active Directory parce que l’accès non autorisé aux
informations stockées dans Active Directory peut entraîner la divulgation de ces
informations.
j Utilisateurs authentifiés : ce groupe s’applique à tout utilisateur qui a réussi le
processus d’authentification. Ce processus implique que l’utilisateur a une identité
sur le domaine et a fourni des informations d’identification valides. Par défaut, les
utilisateurs authentifiés peuvent accéder aux informations contenues dans
l’annuaire et sur les contrôleurs de domaine ; ils peuvent également visualiser les
journaux d’événements système sur les contrôleurs de domaine. Pour renforcer la
sécurité d’Active Directory contre la divulgation d’informations, les accès non
nécessaires doivent être supprimés.
j Administrateur de service : il représente les comptes administratifs utilisés
21. La sécurisation
718
Établir des frontières sûres
En comprenant les différentes menaces qui peuvent peser spécifiquement sur votre
environnement réseau, vous pouvez planifier et implémenter des stratégies de sécurité
avancées et efficaces permettant de sécuriser les frontières administratives et les services,
ainsi que les pratiques d’administration des données et les mises en œuvre DNS.
21. La sécurisation
d’Active Directory
La première étape pour établir des frontières sûres consiste à planifier la délégation de
l’administration. Les entreprises peuvent déléguer le contrôle de l’administration des
services et/ou des données. Les deux objectifs de la délégation sont les suivants…
j L’autonomie : elle permet aux administrateurs d’administrer de manière autonome
une partie ou la totalité du service Active Directory ou les données contenues dans
le répertoire ou sur les ordinateurs membres. Elle peut être obtenue en déléguant
l’administration des services ou des données.
j L’isolation : elle permet aux administrateurs d’empêcher d’autres administrateurs
de modifier ou d’accéder à une partie ou à la totalité du service Active Directory ou
aux données contenues dans le répertoire ou sur les ordinateurs membres. Cela
nécessite le déploiement d’une forêt distincte contenant ses administrateurs, ses
utilisateurs et ses ressources.
Avant de choisir un modèle de délégation Active Directory, prenez en compte les points
suivants concernant les rôles administratifs Active Directory :
j Les propriétaires de forêt détiennent le droit de contrôle sur les services au niveau
du domaine et le droit d’accès aux données stockées dans n’importe quel domaine
de la forêt.
j Les propriétaires de domaine détiennent le droit d’accès aux données stockées dans
le domaine ou sur les ordinateurs de ses membres.
j Les propriétaires de domaine, bien qu’opérant indépendamment des propriétaires de
forêt ou des autres propriétaires de domaines, ne peuvent empêcher un propriétaire de
domaine malveillant de contrôler leurs services ou d’accéder à leurs données.
719
Chapitre 21 La sécurisation d’Active Directory
720
Limiter l’exposition des comptes d’administration des services
En raison des privilèges élevés des administrateurs de services, vous devez prendre les
mesures nécessaires pour préserver la sécurité de leurs comptes :
j Sécurisez les comptes d’administration des services pour contrôler comment les
comptes sont utilisés.
j Effectuez les tâches d’administration de services uniquement à partir de stations de
travail spécifiques et sécurisées.
j Évitez de déléguer les opérations sensibles sur le plan de la sécurité.
j Prenez connaissance des fonctionnalités des comptes d’administration des services
par défaut.
j Ne partagez jamais les comptes d’administration des services.
Le partage des mots de passe des comptes d’administration des services est l’un des
problèmes de sécurité auxquels de nombreuses entreprises sont confrontées
régulièrement. Cette pratique doit être fortement découragée dans la mesure où il est
impossible d’identifier l’auteur de modifications si plusieurs administrateurs utilisent le
21. La sécurisation
d’Active Directory
même compte. Le partage des mots de passe peut également poser un problème sécurité
lorsque les administrateurs quittent l’équipe ou l’entreprise.
721
Chapitre 21 La sécurisation d’Active Directory
deux comptes : un compte d’utilisateur normal pour effectuer les tâches standards
quotidiennes et un compte d’administration réservé aux tâches d’administration. Le
compte d’administration ne doit pas être doté d’une messagerie ni être utilisé pour
exécuter des applications à usage quotidien, telles que Microsoft Office, ou pour
surfer sur Internet.
j Masquez le compte d’administrateur de domaine. Un compte nommé
Administrateur est créé dans chaque domaine lors de l’installation d’Active
Directory. Ce compte d’administration par défaut, qui est créé au cours de la
configuration du domaine, permet d’accéder au service d’annuaire et de
l’administrer. Il s’agit d’un compte spécial que le système protège pour faire en sorte
qu’il soit disponible en cas de besoin. Ce compte ne peut être ni désactivé ni
verrouillé. Pour cette raison, vous devez lui donner un nom autre qu’Administrateur.
Lorsque vous renommez ce compte, veillez à modifier également sa description. Par
ailleurs, créez un compte leurre nommé Administrateur qui ne dispose ni
d’autorisations spéciales ni de droits d’utilisateur, puis surveillez les ID d’événement
528, 529 et 534 relatifs à la fois au compte renommé et au compte leurre.
722
Sécuriser les méthodes d’administration des données
21. La sécurisation
modèle de contrôle d’accès discrétionnaire utilisé par Windows Server 2003, le
d’Active Directory
propriétaire d’un objet détient le contrôle total sur cet objet, notamment la
possibilité de modifier les autorisations sur cet objet.
j Réservation de la propriété des objets racine de partition d’annuaire aux
administrateurs de services : assurez-vous que les groupes d’administration de
services appropriés dans chaque domaine sont propriétaires de l’objet racine pour la
partition d’annuaire du domaine. Dans la mesure où les propriétaires de ces objets
racine de partition d’annuaire ont la possibilité de modifier les paramètres de
sécurité de tous les autres objets de la partition par le biais des entrées de contrôle
d’accès pouvant être héritées, il est absolument crucial de s’assurer que l’objet
racine de partition d’annuaire appartient à un groupe d’administration hautement
fiable. La partition d’annuaire du schéma appartient au groupe Administrateurs du
schéma, la partition d’annuaire de configuration appartient au groupe Admins de
l’entreprise et la partition d’annuaire de domaine appartient au groupe
Administrateurs intégrés.
j Définition de quotas pour la propriété des objets :
− Sur les contrôleurs de domaine qui exécutent Windows Server 2003, vous
pouvez définir des quotas qui limitent le nombre d’objets qu’une entité de
sécurité (utilisateur, groupe, ordinateur ou service) peut posséder dans une
partition d’annuaire de domaine, de configuration ou d’application. Par défaut,
l’entité de sécurité qui crée un objet en est le propriétaire, bien que la propriété
puisse être transférée. Les quotas Active Directory éliminent la possibilité de
créer un nombre illimité d’objets dans une partition d’annuaire, lesquels
pourraient être utilisés pour lancer des attaques de déni de service.
723
Chapitre 21 La sécurisation d’Active Directory
− Par défaut, les quotas ne sont pas définis. Par conséquent, le nombre d’objets
qu’une entité de sécurité peut posséder n’est pas limité. Pour chaque partition
d’annuaire cible, vous pouvez définir différentes limites pour différentes entités
de sécurité et/ou définir des limites qui s’appliquent à toutes les entités de
sécurité.
− Vous pouvez définir des quotas pour chaque partition d’annuaire, à l’exception
de la partition d’annuaire schéma, qui ne prend pas en charge les quotas. Vous
pouvez configurer les quotas pour qu’ils s’appliquent aux entités de sécurité
d’une partition d’annuaire en utilisant les commandes en ligne. Les commandes
dsadd, dsmod et dsquery possèdent toutes un commutateur quota qui vous
permet de définir les quotas pour la partition d’annuaire, modifier les quotas
existants, modifier les paramètres de quota par défaut d’une partition et
rechercher l’affectation et l’utilisation des quotas.
DSADD QUOTA
Ajoute une spécification de quota à une partition d’annuaire. Une spécification de
quota détermine le nombre maximal d’objets d’annuaire pouvant appartenir à une
21. La sécurisation
d’Active Directory
724
Sécuriser les méthodes d’administration des données
−desc
<description> Spécifie une description pour la spécification de quota que vous
voulez ajouter.
{−s <serveur>|
−d <domaine>} Connecte l’ordinateur au domaine spécifié ou au serveur spécifié.
Par défaut, l’ordinateur est connecté au contrôleur de domaine dans
le domaine d’ouverture de session.
−u <nom
_utilisateur> Spécifie le nom d’utilisateur avec lequel l’utilisateur va se connecter
au serveur distant. Par défaut, le nom de l’utilisateur connecté est
utilisé. Vous pouvez spécifier un nom d’utilisateur en utilisant l’un
des formats suivants : nom d’utilisateur, domaine\nom d’utilisateur,
nom principal d’utilisateur (UPN).
−p {<mot_passe>
| *} Spécifie l’utilisation d’un mot de passe spécifique ou une * pour se
connecter à un serveur distant. Si vous entrez *, alors un mot de
passe vous sera demandé.
−q Supprime toutes les informations sortantes vers le mode sortant
21. La sécurisation
d’Active Directory
standard (mode silencieux).
{−uc | −uco
| −uci} Spécifie que les données entrantes et sortantes sont formatées en
Unicode. La valeur −uc spécifie un format Unicode pour les
données entrantes ou sortantes vers le canal. La valeur −uco spécifie
un format Unicode pour les données sortantes du canal vers le
fichier. La valeur −uci spécifie un format Unicode pour les données
entrantes du canal ou du fichier.
DSMOD QUOTA
Modifie les attributs d’une ou de plusieurs spécifications de quotas dans le répertoire.
Une spécification de quota détermine le nombre maximal d’objets annuaires qu’une
entité de sécurité donnée peut posséder dans une partition d’annuaire spécifique.
725
Chapitre 21 La sécurisation d’Active Directory
726
Sécuriser les méthodes d’administration des données
DSQUERY QUOTA
Spécifications de quotas dans l’annuaire correspondant au critère de recherche spécifié.
Une spécification de quota détermine le nombre maximal d’objets annuaires pouvant
appartenir à une entité de sécurité dans une partition d’annuaire spécifique.
21. La sécurisation
d’Active Directory
racine du domaine pour spécifier la racine du domaine actuel.
−o {dn | rdn} Spécifie le format de sortie. Le format par défaut est le nom unique
(DN).
−acct <nom> Recherche les spécifications de quota assignés à l’entité de sécurité
(utilisateur, groupe, ordinateur, InetOrgPerson) tel que
représenté par <nom>. L’option −acct peut être indiquée au
format du nom unique de l’entité de sécurité ou au format
domaine\nom_compte_SAM de l’entité de sécurité.
−qlimit
<filtre> Recherche les spécifications de quota dont la limite correspond au
filtre.
−desc
<description> Recherche les spécifications de quota dont l’attribut de description
correspond à <description>.
{−s <serveur> |
−d <domaine>} Se connecte à un domaine ou à un serveur distant spécifié. Par défaut
l’ordinateur est connecté à un contrôleur de domaine dans le
domaine de connexion.
727
Chapitre 21 La sécurisation d’Active Directory
−u <nom
_utilisateur> Spécifie le nom d’utilisateur avec lequel l’utilisateur se connecte à
un serveur distant. Par défaut, −u utilise le nom d’utilisateur avec
lequel l’utilisateur s’est connecté. Vous pouvez utiliser l’un des
formats suivants pour spécifier un nom d’utilisateur : nom
d’utilisateur, domaine\nom d’utilisateur, nom principal de
l’utilisateur (UPN).
−p {<mot_passe>
| *} Spécifie d’utiliser un mot de passe ou * pour se connecter à un
ordinateur distant. Si vous entrez *, un mot de passe vous sera
demandé.
−q Supprime toutes les données sortantes vers la sortie standard (mode
silencieux).
−r Spécifie que la recherche utilise la récurrence ou suit les références
pendant la recherche. Par défaut, la recherche ne suit pas les
références.
−gc Spécifie que la recherche utilise le catalogue global Active Directory.
21. La sécurisation
−limit <Nb
d’Active Directory
728
Protéger les serveurs DNS et les données DNS
Un autre type d’attaque, le déni de service, tente de neutraliser le serveur DNS afin de
rendre l’infrastructure DNS inaccessible au sein de l’entreprise. Pour protéger vos
serveurs DNS contre ces types d’attaques :
j Surveillez l’activité du réseau. Les attaques de déni de service provoquent
l’inondation d’un serveur DNS par un si grand nombre de demandes client que ce
dernier n’arrive plus à traiter les demandes légitimes et arrête de répondre aux
demandes DNS. Pour prévenir de telles attaques, surveillez les hausses inhabituelles
de trafic et recherchez les anomalies telles qu’un volume élevé provenant du même
emplacement ou un volume élevé de trafic du même type.
j Fermez tous les ports de pare-feu non utilisés. Les pare-feu sont un moyen simple
de se protéger contre les attaques qui proviennent de l’extérieur. Les pare-feu
limitent le nombre de ports disponibles permettant la communication entre
plusieurs points sur votre réseau. Les serveurs DNS utilisent le port UDP 53 pour
communiquer entre eux. Ouvrez le port 53 sur les pare-feu lorsqu’ils séparent les
entités suivantes :
− les serveurs DNS qui effectuent les transferts de zone ;
21. La sécurisation
d’Active Directory
− les serveurs DNS qui délèguent les zones et le serveur de référence de chaque
zone ;
− les clients DNS et leurs serveurs DNS ;
− les redirecteurs et les serveurs DNS qui sont à un niveau supérieur dans la
hiérarchie de l’espace de noms DNS.
729
Chapitre 21 La sécurisation d’Active Directory
logiciel enfichable DNS ou ADSI Edit. Par défaut, les groupes Administrateurs,
Admins du domaine, Admins de l’entreprise et Admins du DNS ont l’accès Contrôle
total à tous les composants du DNS. Les autres groupes ont l’accès en lecture.
j Utilisez un mécanisme de routage adapté à votre environnement :
− des redirecteurs conditionnels pour spécifier le serveur auquel adresser la
demande pour un suffixe donné ;
− des zones secondaires pour fournir la redondance des données de la zone DNS ;
− des indicateurs de racine pour permettre à un client DNS de trouver le serveur
DNS correspondant à un nom contenu dans l’espace de noms en utilisant les
délégations qui commencent dans la zone du domaine racine.
730
Sécuriser les relations interforêts
21. La sécurisation
d’Active Directory
j Avec des approbations sélectives, les administrateurs peuvent prendre des décisions
de contrôle d’accès souples à l’échelle de la forêt pour gérer l’authentification à
travers les frontières de sécurité Active Directory.
Une fois qu’une approbation de forêt avec authentification sélective a été créée et
configurée, les utilisateurs situés dans la forêt approuvée ne peuvent toujours pas
accéder aux ordinateurs de la forêt qui donne l’approbation tant que l’authentification
sélective n’a pas été configurée pour des serveurs spécifiques de la forêt approbatrice.
La forêt approbatrice est celle où se trouvent les ressources.
731
Chapitre 21 La sécurisation d’Active Directory
21.10. En résumé
La sécurisation d’Active Directory est très importante, elle découle d’un certain nombre
de bonnes pratiques exposées ici. Certaines de ces bonnes pratiques peuvent vous
paraître des évidences. Tant mieux, cela veut dire que vous avez la fibre sécuritaire, mais
n’oubliez tout de même pas de les appliquer.
21. La sécurisation
d’Active Directory
732
Chapitre 22
Active Directory
Application Mode et
Active Directory
Federation Services
22.1 Active Directory Application Mode dit ADAM . . . . . . . . . . . . . . . . . . . . . . . . 735
22.2 Active Directory Federation Services (ADFS) . . . . . . . . . . . . . . . . . . . . . . . . 754
22.3 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Active Directory Application Mode dit ADAM
ADAM utilise la même architecture (et la même base de code) qu’Active Directory et
fournit un magasin de données hiérarchique, un composant de service d’annuaire et des
interfaces que les clients peuvent utiliser pour communiquer avec le service d’annuaire.
ADAM ne nécessite ni contrôleur de domaine ni même de serveur DNS.
Le tableau suivant répertorie les composants ADAM de base, ainsi que leurs
contreparties Active Directory :
735
Chapitre 22 ADAM et ADFS
736
Active Directory Application Mode dit ADAM
Le service d’annuaire
Le service d’annuaire ADAM gère le magasin de données d’annuaire. Il répond aux
demandes d’annuaire provenant de clients d’annuaire, ainsi que d’autres services
d’annuaire. Le service d’annuaire ADAM s’exécute dans le contexte de sécurité du
compte qui est spécifié comme compte de service ADAM. Le service d’annuaire ADAM
met en œuvre toutes les fonctions suivantes :
j l’authentification des utilisateurs d’annuaire ;
j la réponse aux demandes de données ;
j la synchronisation des données entre des serveurs d’annuaire (par réplication
multimaître) ;
j la gestion des données.
Le service d’annuaire ADAM autorise ou refuse l’accès aux clients selon les
informations d’identification fournies par ces derniers. ADAM prend en charge les
mêmes méthodes d’authentification ou de liaison qu’Active Directory.
737
Chapitre 22 ADAM et ADFS
Les fonctions suivantes sont nouvelles dans ADAM sous Windows Server 2003 R2 :
j Des utilisateurs peuvent maintenant être créés dans la partition de configuration
afin que les utilisateurs ADAM puissent être administrateurs d’ADAM.
j Un outil, nommé Adaminstall, synchronise des objets d’Active Directory vers une
instance ADAM.
j Les utilisateurs ADAM peuvent se lier à une instance ADAM en utilisant
l’authentification Digest. Cette méthode d’authentification utilise les informations
d’identification des applications serveurs et élimine la nécessité de conserver en
mémoire une version en texte clair du mot de passe de l’application. La liaison
Digest est prise en charge dans LDP.
j Un outil d’analyse de schéma Active Directory, nommé ADSchemaAnalyzer,
simplifie la migration du schéma Active Directory vers ADAM.
j Une nouvelle version de l’outil LDP est livrée avec l’éditeur d’ACL.
ADAM peut maintenant chaîner des demandes de mot de passe d’utilisateur dans
ADAM vers l’objet utilisateur dans Active Directory afin qu’un mot de passe puisse être
changé dans les deux services d’annuaire. Lorsqu’un utilisateur dans ADAM, qui est
également un utilisateur dans Active Directory, tente de changer le mot de passe
22. ADAM et ADFS
738
Active Directory Application Mode dit ADAM
739
Chapitre 22 ADAM et ADFS
Prise en charge de l’installation d’un réplica à partir d’un support Oui Oui
Prise en charge des serveurs 64 bits Oui Oui
Prise en charge de la liaison LDAP concurrente Oui Oui
Implémenter ADAM
Voici les procédures d’implémentation relatives à ADAM :
Installer ADAM
Pour installer ADAM à partir de Windows Server 2003 R2, procédez comme ceci :
1. Dans le Panneau de configuration, activez le lien Ajout/Suppression de programmes.
2. Cliquez sur Ajouter/Supprimer des composants Windows.
3. Sélectionnez Services Active Directory, sous la rubrique Composants, puis cliquez sur
Détails.
4. Activez la case à cocher Active Directory Application Mode (ADAM) sous la rubrique
Sous-composants de Services Active Directory, puis cliquez sur OK.
740
Active Directory Application Mode dit ADAM
Figure 22.2 :
Choix de l’installation
d’ADAM
741
Chapitre 22 ADAM et ADFS
Figure 22.4 :
Options d’installation de
l’instance ADAM
22. ADAM et ADFS
Une instance ADAM consiste en une copie unique du service d’annuaire ADAM, avec
son magasin d’annuaires associé, les ports LDAP et SSL affectés et le journal
d’événements d’application. Vous pouvez exécuter plusieurs instances ADAM
simultanément sur un seul ordinateur. Si vous choisissez d’installer une instance ADAM
unique, l’instance ADAM que vous installez ne fera pas partie d’un jeu de
configurations existant et n’aura pas de partenaires de réplication. Si vous choisissez
d’installer un réplica d’une instance ADAM existante, l’instance ADAM que vous
installez contiendra des copies des partitions d’annuaire de configuration et de schéma
(notamment toutes les extensions du schéma) depuis l’instance à partir de laquelle vous
avez choisi de répliquer.
4. Entrez le nom de l’instance ADAM et cliquez sur Suivant (voir fig. 22.5).
5. Entrez les numéros de port LDAP et SSL associés et cliquez sur Suivant (voir
fig. 22.6).
742
Active Directory Application Mode dit ADAM
Figure 22.5 :
Nom de l’instance
ADAM
Figure 22.6 :
Numéros de ports de
l’instance ADAM
743
Chapitre 22 ADAM et ADFS
Figure 22.7 :
Option de création de
partition de l’annuaire
d’applications de
l’instance ADAM
8. Sélectionnez un compte de services à utiliser et cliquez sur Suivant (voir fig. 22.9).
9. Sélectionnez l’utilisateur ou le groupe auquel vous voulez attribuer le rôle
d’administrateur ADAM et cliquez sur Suivant (voir fig. 22.10).
744
Active Directory Application Mode dit ADAM
Figure 22.9 :
Compte de services de
l’instance ADAM
Figure 22.10 :
Choix de
l’administrateur ADAM
de l’instance ADAM
745
Chapitre 22 ADAM et ADFS
Figure 22.11 :
Importation des fichiers
LDIF de l’instance
ADAM
11. Tout est prêt pour l’installation de la nouvelle instance. Dans la fenêtre de résumé,
cliquez sur Suivant et l’installation s’effectue.
Figure 22.12 :
Installation de l’instance
ADAM
22. ADAM et ADFS
746
Active Directory Application Mode dit ADAM
747
Chapitre 22 ADAM et ADFS
Figure 22.15 : Création d’un nouvel utilisateur dans une instance ADAM
748
Active Directory Application Mode dit ADAM
5. Dans la zone Sélectionner une classe, cliquez sur la classe que vous voulez utiliser
(user, inetOrgPerson, person ou OrganizationalPerson), puis cliquez sur Suivant.
6. Dans le champ Valeur, tapez une valeur pour l’attribut nom commun (CN) du
nouvel utilisateur, puis cliquez sur Suivant.
Figure 22.16 :
Paramètres du nouvel
utilisateur
7. Après avoir défini tout éventuel attribut pour le nouvel utilisateur, cliquez sur
Terminer.
Le script
objUser.SetInfo
749
Chapitre 22 ADAM et ADFS
Le script
1. Dans le Bloc-notes Windows, tapez le script suivant :
On Error Resume Next
22. ADAM et ADFS
Set objDomain =
✂ GetObject("LDAP://localhost:50000/dc=corp,dc=puzzmania,dc=com")
objOU.SetInfo
La maintenance d’ADAM
Comme pour Active Directory, la sauvegarde et la restauration d’ADAM sont
importantes.
Sauvegarder ADAM
Pour sauvegarder une instance ADAM dans un fichier, procédez ainsi :
750
Active Directory Application Mode dit ADAM
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, sur Outils
système, puis cliquez sur Utilitaire de sauvegarde.
2. Dans l’Assistant Sauvegarde ou Restauration, cliquez sur le lien correspondant au
mode avancé.
3. Cliquez sur l’onglet Utilitaire de sauvegarde, puis, dans le menu Tâche, cliquez sur
Nouveau.
4. Pour sélectionner les dossiers d’instance ADAM à sauvegarder, cochez la case
située à gauche des dossiers.
751
Chapitre 22 ADAM et ADFS
Pour synchroniser les données entre Active Directory et une instance ADAM :
1. Ouvrez une Invite de commandes des outils ADAM.
2. Dans la fenêtre d’invite de commandes, tapez adamsync /install
nom_serveur:port nom_fichier_xml.
752
Active Directory Application Mode dit ADAM
adamsync
/l ou /list Affiche toutes les configurations disponibles de l’outil de
synchronisation d’Active Directory vers ADAM.
/d ou /delete
nom_unique
_configuration Supprime la configuration spécifiée.
/i ou /install
fichier _entrée Installe la configuration contenue dans le fichier d’entrée spécifié.
/download
nom_unique
_configuration
fichier_sortie Crée un fichier de sortie au format XML contenant la configuration
spécifiée.
/export nom
_unique
_configuration
fichier_sortie Enregistre la configuration actuelle dans le fichier de sortie spécifié.
/sync nom_unique
_configuration Synchronise la configuration spécifiée.
753
Chapitre 22 ADAM et ADFS
754
Active Directory Federation Services (ADFS)
ADFS est étroitement intégré à Active Directory et extrait des attributs d’utilisateur à
partir d’Active Directory, puis il authentifie les utilisateurs par rapport à Active
Directory. ADFS utilise également l’authentification intégrée à Windows.
ADFS fonctionne avec Active Directory et ADAM. Plus précisément, ADFS fonctionne
avec des déploiements à l’échelle de l’entreprise d’Active Directory ou des instances
d’ADAM. Utilisé avec Active Directory, ADFS peut bénéficier des performances
d’authentification performantes contenues dans Active Directory, y compris Kerberos,
les certificats numériques X.509 et les cartes à puce. Avec ADAM, ADFS utilise la
liaison LDAP pour authentifier des utilisateurs.
Voici la description des rôles de serveurs qui peuvent être utilisés pour fournir une
solution ADFS de gestion fédérée des identités…
755
Chapitre 22 ADAM et ADFS
Les serveurs de fédération hébergent aussi un service de jetons de sécurité qui émet des
jetons reposant sur les informations d’identification (par exemple, le nom d’utilisateur
et le mot de passe) qui lui sont indiquées. Après la vérification des informations
d’identification (effectuée lors de l’ouverture de session de l’utilisateur), les
revendications de l’utilisateur sont collectées par l’examen des attributs de cet
utilisateur, lesquels sont stockés dans Active Directory ou ADAM.
Dans des scénarios SSO de Web fédéré, les revendications peuvent ensuite être
modifiées par des mappages de revendications pour un partenaire de ressources
spécifique. Les revendications sont intégrées dans un jeton qui est envoyé à un serveur
de fédération dans le partenaire de ressources. Dès qu’un serveur de fédération du
partenaire de ressources reçoit les revendications entrantes, il les associe à celles de son
organisation. Les revendications de l’organisation sont ensuite intégrées dans un
nouveau jeton, lequel est envoyé à l’Agent Web ADFS.
Le rôle que joue un serveur de fédération dans l’un ou l’autre des scénarios SSO de Web
fédéré (SSO de Web fédéré ou SSO de Web fédéré avec approbation de forêt) peut
varier selon que votre organisation est définie comme étant le partenaire de comptes ou
le partenaire de ressources :
22. ADAM et ADFS
756
Active Directory Federation Services (ADFS)
Bien que vous puissiez déployer des serveurs distincts pour héberger le composant Proxy
du service de fédération, il n’est pas nécessaire de déployer un serveur différent comme
proxy de serveur de fédération dans la forêt intranet du partenaire de comptes ou du
partenaire de ressources. Le serveur de fédération remplit automatiquement ce rôle.
Le rôle que joue un proxy de serveur de fédération dans votre organisation varie selon
que celle-ci est le partenaire de comptes ou le partenaire de ressources :
j Au niveau du partenaire de comptes, les proxies de serveur de fédération font office
de proxies pour les connexions d’utilisateurs aux serveurs de fédération situés sur
l’intranet. Ils peuvent aussi faire office de proxies pour les jetons de sécurité émis
par le serveur de fédération du partenaire de comptes, aussi bien pour ses propres
jetons que ceux qui sont destinés aux partenaires de ressources.
j Au niveau du partenaire de ressources, les proxies du service de fédération font
office de proxies pour les jetons de sécurité des utilisateurs, qui sont émis à partir
des serveurs de fédération aussi bien au niveau du partenaire de comptes que du
partenaire de ressources, à l’intention des applications web du partenaire de
ressources.
L’Agent Web ADFS prend en charge deux types d’applications : les applications qui
savent reconnaître les revendications et les applications Windows NT à base de jetons.
757
Chapitre 22 ADAM et ADFS
Le service de fédération
Le serveur exécutant le service de fédération doit être configuré avec les composants
suivants :
j Windows Server 2003 R2, Enterprise Edition ;
j IIS 6.0 ;
j ASP.NET 2.0 ;
j .NET Framework 2.0 ;
j un site web par défaut configuré avec TLS/SSL (Transport Layer Security et Secure
Sockets Layer) ;
j un certificat, de signature numérique X.509, pour le service de fédération, utilisé
pour la signature des jetons.
758
Active Directory Federation Services (ADFS)
759
Chapitre 22 ADAM et ADFS
Le navigateur web
Bien que n’importe quel navigateur web actuel compatible JScript puisse faire office de
client ADFS, seuls Internet Explorer 6, Internet Explorer 5 ou 5.5, Mozilla Firefox et
Safari sur Macintosh ont été testés par Microsoft. Pour des raisons de performance, il
est fortement recommandé d’activer JScript. Les cookies doivent être acceptés, ou du
moins approuvés, pour les serveurs de fédération et les applications web auxquels on
accède.
760
Active Directory Federation Services (ADFS)
761
Chapitre 22 ADAM et ADFS
3. Dans Assistant Composants de Windows, cliquez sur Services Active Directory, puis
sur Détails.
4. Dans la boîte de dialogue Services Active Directory, cliquez sur Services de fédération
Active Directory (ADFS), puis cliquez sur Détails.
5. Dans la boîte de dialogue Services de fédération Active Directory (ADFS), cochez la
case Proxy du Service de fédération, puis cliquez sur OK. Si ASP.NET 2.0 n’a pas été
préalablement activé, cliquez sur Oui pour l’activer, puis sur OK.
6. Dans la boîte de dialogue Services Active Directory, cliquez sur OK.
7. Dans l’Assistant Composants de Windows, cliquez sur Suivant.
La terminologie ADFS
Afin de mieux comprendre les différents termes employés dans l’approche ADFS,
aidez-vous du tableau suivant :
Terme Description
Partenaire de comptes Partenaire de fédération approuvé par le service de fédération pour
fournir des jetons de sécurité. Le partenaire de comptes émet ces jetons
de sécurité à ses utilisateurs (les utilisateurs présents dans le domaine
du partenaire de comptes), afin qu’ils puissent accéder à des
applications basées sur le Web dans le partenaire de ressource.
ADFS (Active Composant Windows Server 2003 R2 qui fournit des technologies
Directory Federation d’ouverture de session web unique (SSO) pour authentifier un utilisateur
Services) dans plusieurs applications web, à travers la durée de vie d’une session
en ligne unique. ADFS y parvient en partageant de manière sécurisée
l’identité numérique et les droits accordés, à travers des limites de
sécurité et d’entreprise. ADFS dans Windows Server 2003 R2 prend en
charge WS-F PRP (WS-Federation Passive Requestor Profile).
Revendication Revendication effectuée par un serveur (nom, identité, clé, groupe,
privilège ou fonctionnalité, par exemple) sur un client.
Application compatible Application ASP.NET qui effectue une autorisation basée sur les
avec les revendications revendications présentes dans un jeton de sécurité ADFS.
Fédération Paire de domaines Kerberos ou de domaines ayant établi une
approbation de fédération.
762
Active Directory Federation Services (ADFS)
Terme Description
Service de fédération Service de jeton de sécurité conçu dans Windows Server 2003 R2. Le
service de fédération fournit des jetons en réponse aux demandes de
jetons de sécurité.
Proxy du service de Proxy vers le service de fédération dans le réseau de périmètre
fédération (également appelé "zone démilitarisée" et "sous-réseau filtré"). Le proxy
du service de fédération utilise des produits PRP WS-F pour récupérer
des informations d’identification d’utilisateur à partir de clients de
navigateur et d’applications web, puis envoie les informations au service
de fédération de leur part.
Partenaire de ressource Partenaire de fédération qui approuve le service de fédération pour
émettre des jetons de sécurité basés sur des revendications. Le
partenaire de ressource contient des applications basées sur le Web et
publiées, auxquelles les utilisateurs du partenaire de comptes peuvent
accéder.
Jeton de sécurité Unité de donnée signée et cryptée qui exprime une ou plusieurs
revendications.
Service de jetons de Service web qui émet des jetons de sécurité. Un service de jetons de
sécurité sécurité effectue des assertions basées sur une preuve qu’il approuve et
pour quiconque l’approuve (ou pour des destinataires spécifiques). Pour
communiquer une approbation, un service nécessite une preuve, telle
qu’une signature pour attester de la connaissance d’un jeton de sécurité
ou d’un ensemble de jetons de sécurité. Un service même peut générer
des jetons ou dépendre d’un service de jetons de sécurité pour émettre
un jeton de sécurité avec sa propre déclaration d’approbation. Cela
compose la base de la répartition d’approbation. Dans les services
763
Chapitre 22 ADAM et ADFS
Terme Description
WS-Federation Spécification qui définit un modèle et un ensemble de messages pour la
répartition d’approbation et la fédération d’identité, ainsi que les
informations d’authentification à travers différents modèles Kerberos
d’approbation.
La spécification WS-Federation identifie deux sources d’identité et des
demandes d’authentification à travers des domaines Kerberos
d’approbation : les requêtes actives, telles que les applications
compatibles avec SOAP, ainsi que les requêtes passives, définies en tant
que navigateurs HTTP avec une large prose en charge de HTTP, par
exemple HTTP 1.1.
22.3. En résumé
Active Directory Application Mode (ADAM) est un mode indépendant du service
d’annuaire Active Directory, dépourvu de fonctionnalités d’infrastructure. Il fournit des
services d’annuaire pour les applications et ADFS est un composant de Windows
Server 2003 R2 qui fournit des technologies d’ouverture de session Web unique (SSO)
pour authentifier un utilisateur dans plusieurs applications Web, à travers la durée de
vie d’une session en ligne unique.
22. ADAM et ADFS
764
Partie
C
Sécurités
Partie
C Sécurités
Introduction à la
sécurité
23.1 Qu’est ce que la défense en profondeur . . . .. . . . . . . . . . . . . . . . . . . . . . . 769
23.2 La couche physique . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 770
23.3 La couche Périmètre . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 773
23.4 La couche réseau interne . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 775
23.5 La couche hôte . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 778
23.6 La couche application . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 780
23.7 La couche Données . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 782
23.8 Les notions fondamentales liées à la sécurité . . . . . . . . . . . . . . . . . . . . . . . 784
23.9 Les dix commandements de la sécurité . . . .. . . . . . . . . . . . . . . . . . . . . . . 786
23.10 En résumé . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . 787
Qu’est ce que la défense en profondeur
23. Introduction à la
Pour que les investissements soient rentables et que la sécurité soit efficace devant les
particularités de votre infrastructure, il est nécessaire de catégoriser ses différentes
parties comme la sécurité client/serveur, la sécurité du réseau et des données ou encore
sécurité
celle des postes utilisateurs. Une fois cette liste établie, il vous faudra définir alors pour
chaque catégorie une stratégie de conception avant la phase d’implémentation.
769
Chapitre 23 Introduction à la sécurité
770
La couche physique
Sécurité physique
Le principe de base de la couche Sécurité physique est que toutes les ressources de
l’infrastructure informatique d’une entreprise doivent être sécurisées physiquement.
Ces ressources ne comprennent pas seulement des équipements, mais aussi des
logiciels, des données et des informations professionnelles critiques stockées sur
divers périphériques.
23. Introduction à la
à supprimer des données supposées être sécurisées.
j Si un individu mal intentionné accède physiquement à des systèmes, Il est possible
sécurité
de considérer que celles-ci deviennent les propriétaires de ces systèmes.
771
Chapitre 23 Introduction à la sécurité
j L’accès doit être surveillé à l’aide d’un circuit fermé de télévision et, dans certains
cas, par des gardes. Les enregistrements vidéo peuvent être utilisés pour un audit et
la présence de caméras peut avoir un effet dissuasif contre les accès non autorisés.
j Les ordinateurs portables d’une société peuvent contenir des informations très
utiles à un intrus. Ils doivent toujours être stockés de façon sécurisée lorsqu’ils ne
sont pas utilisés.
j Séparez les serveurs des opérateurs humains et des utilisateurs. Toutes les salles
serveur doivent être fermées à clé. L’accès à ces salles doit être strictement
réglementé et les entrées enregistrées. S’il n’existe pas de salles dédiées aux
serveurs, il convient de sécuriser ces derniers à l’aide de coffrages ou, faute de
mieux, de verrouiller les baies. Comme la plupart des baies de serveur peuvent être
ouvertes à l’aide d’une clé standard, ne faites pas confiance aux verrous prévus par
le fournisseur.
j L’accès physique s’étend aux consoles d’administration à distance en plus des
serveurs. Il n’est pas très utile de sécuriser l’accès aux claviers et aux écrans si l’accès
aux serveurs est possible via des services Terminal Server à partir de tout point du
réseau interne. L’accès administratif à distance doit être sécurisé par des
contre-mesures appropriées, par exemple l’authentification multifactorielle et le
chiffrement des canaux de communication. Cette recommandation s’applique aux
solutions KVM (Keyboard Video Monitor) réseau ainsi qu’au matériel de gestion à
distance.
j Protégez physiquement les sauvegardes de vos données et des configurations de vos
périphériques réseaux. Les copies de sauvegarde peuvent divulguer des
informations sur le réseau susceptible d’être utiles à un intrus. Vous pouvez
également utiliser les sauvegardes pour restaurer rapidement des données ou
rétablir une configuration plus sécurisée d’un périphérique.
j Vérifiez que tout le matériel réseau est protégé physiquement. Les routeurs et les
commutateurs réseau doivent être sécurisés physiquement. Dans le cas contraire, un
23. Introduction à la
réseau doit être contrôlée de façon à ne jamais voir ces équipements utilisés pour
monter une attaque contre l’infrastructure réseau.
j De même, réduire les opportunités pour les individus, bien intentionnés ou autres,
d’infecter ou de mettre en danger un système est important. Supprimez les
périphériques d’entrée de données tels que les lecteurs de disquettes et les lecteurs
de CD-Rom sur les systèmes qui n’en ont pas besoin.
772
La couche Périmètre
Votre périmètre réseau est la pierre angulaire entre le réseau interne de votre entreprise
et les réseaux non approuvés. Beaucoup de personnes pensent que le périmètre
recouvre uniquement la connexion entre le réseau interne et Internet, mais cette
définition est trop limitative. Avec l’approche de défense en profondeur, le périmètre
réseau comprend tous les points où le réseau interne est connecté aux réseaux et hôtes
qui ne sont pas gérés par l’équipe informatique de l’entreprise. Il peut s’agir de
connexions à :
j Internet ;
j des succursales qui ne sont pas gérées par l’équipe informatique de l’entreprise ;
j des partenaires commerciaux ;
23. Introduction à la
j des utilisateurs distants ;
sécurité
j des réseaux sans fil ;
j des applications Internet ;
j d’autres segments réseau internes.
Le périmètre d’un réseau est la zone de ce réseau qui est la plus vulnérable aux attaques
venant de l’extérieur.
773
Chapitre 23 Introduction à la sécurité
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette
couche en prenant en compte les points suivants :
j Lorsque des ordinateurs distants établissent des communications sur un VPN, les
entreprises peuvent examiner ces ordinateurs de plus près afin de s’assurer qu’ils
respectent la stratégie de sécurité prédéterminée. Les systèmes qui veulent se
connecter doivent être mis en quarantaine sur une partie séparée du réseau jusqu’à
ce que les vérifications de sécurité soient terminées. Vous pouvez également mettre
en œuvre la Protection de l’accès au réseau (NAP, Network Access Protection)
comme un moyen de filtrer les clients internes avant d’autoriser l’accès au réseau.
j Les systèmes d’exploitation Microsoft Windows récents facilitent le blocage des
ports de communication superflus afin de limiter la surface d’attaque d’un
774
La couche réseau interne
23. Introduction à la
sécurité
775
Chapitre 23 Introduction à la sécurité
informations d’authentification.
j L’accès aux systèmes internes et aux ressources réseau permet à un intrus d’accéder
sécurité
776
La couche réseau interne
23. Introduction à la
La segmentation de réseau est utile lorsqu’il est impossible d’installer des correctifs
logiciels sur certains systèmes ou de renforcer leur sécurité par des contre-mesures
sécurité
sous peine d’endommager l’application ou les données de l’application. Elle peut
également constituer une réponse à des menaces comme la connexion au réseau
d’utilisateurs dont les ordinateurs portables sont infectés par des virus. Pour ces
systèmes, une segmentation physique supplémentaire utilisant des pare-feu, la
sécurité IPSec ou d’autres mesures doit faire partie de la stratégie de sécurité de
l’organisation.
j Limitez le trafic même s’il est segmenté. Pour les réseaux locaux filaires et sans fil,
utilisez 802.1X pour fournir un accès chiffré et authentifié. Cette solution peut
utiliser des comptes et des mots de passe Active Directory ou des certificats
numériques pour l’authentification. Si vous utilisez des certificats, vous aurez besoin
d’une infrastructure à clé publique (PKI, Public Key Infrastructure) basée sur les
services de certificats Windows ; pour les mots de passe comme pour les certificats,
vous aurez également besoin d’un serveur RADIUS (Remote Authentication Dial-In
User Service) basé sur le service d’authentification Internet (IAS, Internet
777
Chapitre 23 Introduction à la sécurité
Authentication Service). Les Services de certificat et le service IAS sont inclus dans
Windows Server 2003. Pour les organisations de petite taille, il peut s’avérer
avantageux d’utiliser WPA (Wi-Fi Protected Access), un mécanisme qui permet le
chiffrement du trafic sans fil avec changement automatique des clés de chiffrement
(fonction appelée "régénération des clés") soit au bout d’un certain temps, soit après
la transmission du nombre de paquets spécifié. WPA ne requiert pas une
infrastructure complexe comme 802.1X, mais fournit un niveau de sécurité
inférieur.
La couche Hôte contient des systèmes individuels du réseau. Ces systèmes remplissent
souvent des rôles ou des fonctions spécifiques. La prise en charge des fonctionnalités de
sécurité diffère d’un système d’exploitation à l’autre. Les systèmes d’exploitation les plus
courants comme, Windows XP et Windows Vista pour les postes clients ou encore
Windows Server 2003 ou Windows Server 2008 comprennent des fonctionnalités de
sécurité intégrées comme les noms et les mots de passe uniques pour chaque utilisateur,
les listes de contrôle d’accès et l’audit. Les systèmes d’exploitation Microsoft plus
anciens comme Windows 95/98/Me ne comprennent pas les fonctionnalités de base
requises d’un système d’exploitation sécurisé.
Une sécurisation efficace des hôtes implique de parvenir à un équilibre entre le degré de
sécurité et la facilité d’utilisation. Par exemple, si vous activez tous les services d’un
serveur réseau ou si vous autorisez les connexions réseau à partir de n’importe quel
client, le serveur sera facile à utiliser, mais non sécurisé. Inversement, si vous désactivez
778
La couche hôte
23. Introduction à la
afin de compromettre la sécurité du système d’exploitation.
sécurité
Défense de la couche hôte
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette
couche en prenant en compte les points suivants :
j Utilisez des techniques de renforcement de la sécurité sur les systèmes
d’exploitation client et serveur. Le choix de ces techniques dépend du rôle de
l’ordinateur. Dans chaque cas, vous pouvez utiliser les modèles de sécurité et les
modèles d’administration de la stratégie de groupe pour protéger ces systèmes.
j Sur les systèmes client, vous pouvez également utiliser la stratégie de groupe pour
limiter les droits des utilisateurs et pour contrôler l’installation des logiciels. Avec
une stratégie de groupe limitant les applications exécutées par un utilisateur, vous
pouvez empêcher cet utilisateur d’exécuter accidentellement un cheval de Troie.
779
Chapitre 23 Introduction à la sécurité
Bien que Windows XP Service Pack 2 et Windows Vista, côté poste client, ainsi que
Windows Server 2003 Service Pack 2 et Windows Server 2008, côté serveur, augmentent
la sécurité des systèmes d’exploitation hôtes, vous devez faire en sorte que les
applications qui s’exécutent sur les serveurs soient aussi sécurisées que possible. Elle
comprend les applications réseau des clients et des serveurs. Les applications clientes
s’exécutent généralement sur les ordinateurs des utilisateurs finaux, tandis que les
applications serveurs sont hébergées sur des ordinateurs serveurs dédiés. Les
applications réseau permettent aux postes clients d’accéder aux données et de les
manipuler. Elles sont également un point d’accès au serveur sur lequel ces applications
s’exécutent. N’oubliez pas que l’application fournit un service au réseau. La solution de
780
La couche application
sécurité à utiliser ne doit pas empêcher cette application de fonctionner. Recherchez les
problèmes de sécurité pour les applications développées en interne, ainsi que pour les
applications commerciales.
23. Introduction à la
serveur sur le réseau.
sécurité
Défense de la couche application
Toutefois, pour limiter les risques, vous avez la possibilité d’organiser la défense de cette
couche en prenant en compte les points suivants :
j Les installations d’applications ne doivent inclure que les services et les
fonctionnalités requises. En exécutant l’Assistant Configuration de la sécurité,
vérifiez que tous les services non requis par les applications sont désactivés.
j Lorsque de nouvelles applications personnalisées sont développées, utilisez les
méthodes conseillées les plus récentes relatives à l’ingénierie de sécurité lors du
développement des applications.
j Si la sécurité d’une application ou d’un service est compromise, l’intrus peut être en
mesure d’accéder au système avec les mêmes privilèges que ceux qui sont associés à
781
Chapitre 23 Introduction à la sécurité
l’application. C’est pourquoi il faut exécuter les services et les applications avec le
plus faible niveau de privilège possible.
j Les applications qui s’exécutent sur le réseau doivent être installées de façon
sécurisée avec les Service Packs et les correctifs les plus récents.
j Les applications développées en interne doivent être conçues avec un souci
particulier de sécurité et leurs vulnérabilités doivent être continuellement évaluées ;
pour toute vulnérabilité identifiée, des correctifs doivent être développés et
déployés.
j Utilisez des stratégies de restriction logicielle. Les stratégies de restriction logicielle
vous permettent de protéger votre environnement informatique contre le code non
fiable en identifiant et en spécifiant les applications autorisées à s’exécuter. Les
applications peuvent être identifiées dans la stratégie au moyen d’une règle de
hachage, une règle de certificat, une règle de chemin d’accès ou une règle de zone
Internet. Les logiciels peuvent s’exécuter sur deux niveaux : non restreint et non
autorisé.
j Le logiciel antivirus doit s’exécuter afin d’empêcher l’exécution de code malveillant.
Un logiciel antivirus doit être déployé sur les ordinateurs clients, les serveurs et les
pare-feu ou les serveurs proxy par lesquels les données entrent dans le réseau.
782
La couche Données
données Active Directory ou dans des fichiers créés à l’aide de diverses applications. Le
système informatique conserve les données sur des supports de stockage de masse, en
général un disque dur. Toutes les versions récentes de Windows prennent en charge
plusieurs systèmes de fichiers pour le stockage et l’accès aux fichiers sur un disque. Le
système NTFS est pris en charge par Microsoft Windows NT, Windows 2000,
Windows XP et Microsoft Windows Server 2003. Il fournit des autorisations sur les
fichiers et sur les dossiers pour assurer la protection des données. La dernière couche du
modèle de défense en profondeur est la couche Données. Les systèmes informatiques
stockent, traitent et servent des données. Lorsque les données sont traitées sous une
forme qui a du sens, elles deviennent des informations utiles.
23. Introduction à la
données et des documents qui contiennent des informations confidentielles. Ils
peuvent également modifier ou supprimer des informations, ce qui peut poser des
sécurité
problèmes importants à une entreprise.
783
Chapitre 23 Introduction à la sécurité
trouvent dans le bureau. Il convient en outre de conserver des copies de ces bandes
en lieu sûr à l’extérieur du bureau. De plus, les bandes doivent être transportées de
façon sécurisée. L’accès non autorisé aux bandes de sauvegarde est tout aussi
dangereux qu’une violation physique de votre infrastructure.
j Une protection accrue de la couche Données doit combiner chiffrement et listes de
contrôle d’accès. Le chiffrement d’un fichier empêche uniquement une lecture non
autorisée ; il n’empêche pas les actions qui n’impliquent pas la lecture du fichier,
une suppression par exemple. Pour empêcher la suppression de fichiers, utilisez les
listes de contrôle d’accès.
j EFS permet le chiffrement de fichiers lorsqu’ils résident sur le système de fichiers.
Le processus de chiffrement utilise une clé de chiffrement de fichier pour chiffrer le
fichier et une technologie de clé privée/publique pour protéger la clé de chiffrement.
Il est important de comprendre qu’EFS ne chiffre pas les fichiers lorsqu’ils
transitent sur un réseau.
j NTFS fournit également une sécurité au niveau du fichier et au niveau du dossier.
Cela permet la création de listes de contrôle d’accès pour définir qui a accès à un
fichier et avec quel type d’accès.
j Installez les applications et le système d’exploitation à un emplacement autre que
l’emplacement par défaut. Beaucoup de fichiers critiques des systèmes
d’exploitation ont des noms et des emplacements par défaut bien connus. Il est
souvent sage de déplacer ces fichiers pour que les intrus réussissant à accéder à votre
système ne les trouvent pas trop facilement.
j Les listes de contrôle d’accès ne fonctionnent que sur les documents au sein du
système de fichiers pour lesquels ils ont été activés. Une fois les documents copiés à
un autre emplacement (par exemple, le disque dur local d’un utilisateur), il n’y a
plus de contrôle d’accès. Les services RMS (Rights Management Services) fournis
avec Windows Server 2003 déplacent la fonction de contrôle d’accès vers l’objet
lui-même, de sorte que le contrôle d’accès est actif quel que soit l’emplacement de
23. Introduction à la
stockage physique du document. Les services RMS offrent également aux créateurs
de contenu un contrôle supplémentaire sur les actions qu’un poste client peut
sécurité
effectuer ; par exemple, le destinataire d’un document peut être autorisé à le lire,
mais pas à l’imprimer ou à le copier-coller ; pour le courrier envoyé avec Microsoft
Office Outlook 2003, l’expéditeur peut empêcher les destinataires de transférer le
message. Vous pouvez également utiliser S.MIME et PGP pour sécuriser les
messages électroniques pendant qu’ils sont en transit d’un client à un autre.
784
Les notions fondamentales liées à la sécurité
absolues à des ressources, des pertes attendues et des coûts de contrôles. Au lieu de cela,
vous calculez des valeurs relatives. Bien que cela soit considérablement plus rapide
qu’une approche quantitative traditionnelle, l’approche de la gestion des risques de
sécurité fournit toutefois des résultats qui sont plus détaillés et plus faciles à justifier
devant les responsables de l’entreprise. En combinant la simplicité et la clarté de
l’approche qualitative avec une partie de la rigueur de l’approche quantitative, la gestion
des risques de sécurité représente un processus à la fois efficace et facile à utiliser, pour
gérer les risques de sécurité.
23. Introduction à la
tenu de l’évolution de la technologie et des avancées dans la protection contre les
attaques. Comme la gestion des risques de sécurité est un processus continu, le cycle
recommence avec chaque nouvelle évaluation des risques. La fréquence selon
sécurité
laquelle le cycle se reproduit est susceptible de varier d’une organisation à l’autre.
785
Chapitre 23 Introduction à la sécurité
mots de passe vierges. Choisissez toujours un mot de passe complexe. N’utilisez pas
le nom de votre chien ou de votre chat, votre date d’anniversaire ou le nom de
sécurité
786
En résumé
masquées. Mais même masquée, une clé peut être trouvée si elle se trouve sur
l’ordinateur. Lorsque cela est possible, utilisez un stockage hors connexion pour les
clés.
8. Les logiciels antivirus comparent les données stockées sur votre ordinateur à une
série de signatures de virus. Chaque signature correspond à un virus spécifique ;
Lorsque l’antivirus trouve des données qui correspondent à cette signature dans un
fichier, dans un message électronique ou ailleurs, il en conclut qu’il a trouvé un
virus. Cependant, un programme antivirus ne peut détecter que les virus qu’il
connaît. Il est indispensable de tenir le logiciel antivirus à jour dans la mesure où de
nouveaux virus sont créés en permanence.
9. La meilleure façon de protéger des données confidentielles, que ce soit sur Internet
ou dans la vie courante, réside dans votre comportement. Prenez connaissance des
déclarations de confidentialité sur les sites web que vous visitez et ne traitez qu’avec
ceux dont les règles vous conviennent. Si les cookies vous inquiètent, désactivez-les.
Surtout, évitez de naviguer au hasard sur le Web.
10. Une sécurité infaillible requiert un niveau de perfection qui n’existe pas et ne pourra
sans doute jamais exister. Le développement de logiciels est une science imparfaite
et presque tous les logiciels ont des bogues. Certains bogues peuvent être exploités
pour provoquer des violations de la sécurité. Même si les logiciels étaient parfaits,
cela ne résoudrait pas complètement le problème de la sécurité. En effet, la plupart
des attaques impliquent une part plus ou moins importante d’exploitation de la
nature humaine, souvent sous la forme d’ingénierie sociale.
23.10. En résumé
Pour mettre en place la sécurité d’un système d’information, il ne suffit pas d’appliquer
quelques correctifs ou procédure. Il est primordial de mener une véritable réflexion sur
les éléments à protéger et la manière de les sécuriser. Il est également important de
23. Introduction à la
réaliser une défense en profondeur de son système. Il faut garder à l’esprit que votre
système est aussi fort que le plus faible de ses maillons.
sécurité
787
Chapitre 24
La conception de
la sécurité des
serveurs
24.1 Les problématiques de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
24.2 Les concessions en matière de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
24.3 La sécurité de base des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
24.4 La sécurité Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
24.5 Protéger les serveurs membres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
24.6 Protéger les serveurs pour des rôles spécifiques . . . . . . . . . . . . . . . . . . . . . 800
24.7 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
Les problématiques de base
L a sécurité des serveurs dans l’entreprise est un point crucial, et c’est bien parce qu’il y
a plusieurs types de rôles et qu’il est important de prendre en compte les contraintes de
chaque serveur. Vous l’aurez compris, il n’est pas possible d’appliquer les paramètres d’un
serveur IIS à un contrôleur de domaine Active Directory. Cependant, il peut arriver parfois
qu’un serveur endosse plusieurs rôles, c’est pour cela que nous allons aborder dans ce
chapitre la conception de la sécurité en fonction des rôles simples ou mutualisés.
24. La conception de la
sécurité des serveurs
La menace interne ou accidentelle
L’endommagement interne des systèmes, qu’il soit d’origine malveillante ou
accidentelle, représente un pourcentage élevé des attaques. Une attaque est plus facile
à mener si l’intrus a un accès interne au réseau (accès personnel ou à l’aide d’un
complice involontaire ou compromis).
791
Chapitre 24 La conception de la sécurité des serveurs
j L’administration d’un réseau vise à assurer que les utilisateurs peuvent accéder à
toutes les applications et tous les programmes du réseau dont ils ont besoin pour
remplir leurs fonctions.
792
La sécurité de base des serveurs
facilité d’emploi. Le système le plus sécurisé est celui qui n’est pas connecté et qui est
enfermé dans un coffre-fort. Un tel système est parfaitement sécurisé, mais il est
inutilisable.
Un faible coût
Le compromis suivant concerne le coût de la sécurisation. Dans un monde idéal où les
ressources seraient illimitées, tout le monde serait d’accord pour créer des réseaux aussi
sécurisés et faciles d’emploi que possible. Dans la réalité, les considérations de coût
pèsent souvent très lourd quand il s’agit de concilier sécurité et facilité d’emploi. Vous
connaissez peut-être le principe qui consiste à choisir deux seulement des trois
avantages suivants : efficacité, rapidité et moindre coût. Les compromis relatifs à la
sécurité sont établis selon un principe similaire, à ceci près que les trois options sont ici
la sécurité, la facilité d’emploi et le moindre coût. Il est possible de cumuler un niveau de
sécurité élevé et une grande facilité d’emploi, mais moyennant un coût important en
termes d’investissements, de temps et de personnel.
24. La conception de la
sécurité des serveurs
vulnérables.
Une stratégie de groupe est également nécessaire pour renforcer la protection des
serveurs. Vous pouvez utiliser une stratégie de groupe dans les cas suivants :
j Vous voulez désactiver les services qui ne sont pas indispensables. Chaque service
ou application est un point d’attaque potentiel. Par conséquent, désactivez ou
supprimez tous les services inutiles afin de réduire la surface d’attaque.
j Vous voulez mettre en œuvre des stratégies de mots de passe sécurisés. Vous
pouvez renforcer les paramètres de stratégie de mot de passe et de verrouillage des
comptes pour un contrôleur de domaine, un serveur membre ou un serveur
autonome en appliquant les paramètres d’un modèle de sécurité adéquats.
793
Chapitre 24 La conception de la sécurité des serveurs
En plus de ces méthodes de sécurité de base des serveurs, vous pouvez utiliser diverses
méthodes avancées. Ces méthodes avancées de sécurisation des serveurs comprennent
notamment l’application de modèles de sécurité personnalisés et la configuration de
filtres de port IPSec en fonction des rôles remplis par les serveurs.
Quelques recommandations
Voici quelques recommandations à prendre en compte dans le cadre de la sécurité de
vos serveurs.
L’un des premiers points et de renforcer les comptes prédéfinis sur les serveurs. Pour
cela, appliquez les règles suivantes :
24. La conception de la
description. Le fait d’attribuer à ces comptes des noms uniques peut faciliter
l’identification des tentatives d’attaque à leur encontre. Dans presque tous les cas, le
compte Invité doit être désactivé.
j Affectez des mots de passe longs et complexes à ces comptes prédéfinis, ou utilisez
des expressions comme mots de passe.
j Utilisez des scripts ou des utilitaires tiers pour vérifier périodiquement les mots de
passe locaux sur toutes les stations de travail et tous les serveurs de l’entreprise.
j Utilisez pour ces comptes des mots de passe différents sur chaque serveur. Ainsi, si
un intrus réussit à compromettre l’un de ces comptes sur un serveur, il ne sera pas
immédiatement à même de compromettre d’autres serveurs.
794
La sécurité Active Directory
Il est important de limiter le nombre des utilisateurs qui peuvent ouvrir une session
localement sur les serveurs. Pour cela, utilisez la stratégie de groupe pour configurer les
droits de l’utilisateur afin que seuls les administrateurs autorisés puissent ouvrir une
session localement sur les serveurs.
Il est nécessaire d’utiliser des groupes restreints pour limiter le nombre de membres des
groupes d’administration. L’option Groupes restreints du service d’annuaire Active
Directory vous permet de faire en sorte que les groupes d’administration contiennent
uniquement des utilisateurs autorisés.
Vous devez également limiter l’accès au système des comptes prédéfinis et des comptes
de service non liés au système d’exploitation. Configurez manuellement l’attribution des
droits utilisateurs de la manière suivante :
j Refusez l’accès à cet ordinateur à partir du réseau pour les comptes prédéfinis
Administrateur, Support (compte utilisé pour l’assistance à distance) et Invité, ainsi
que pour tous les comptes de service non liés au système d’exploitation.
j Interdisez l’ouverture de session en tant que tâche pour les comptes Support et
Invité.
j Interdisez l’ouverture de session via les services Terminal Server pour les comptes
prédéfinis Administrateur, Support et Invité, ainsi que pour tous les comptes de
service non liés au système d’exploitation.
Il faut éviter autant que possible de configurer un service de sorte qu’il ouvre une session
à l’aide d’un compte de domaine. Chaque fois que c’est possible, utilisez un compte local
pour chaque service. Par ailleurs, n’utilisez pas le même nom de compte d’utilisateur et
le même mot de passe pour un service exécuté sur plusieurs serveurs.
Vous devez utiliser des autorisations NTFS pour sécuriser les fichiers et les dossiers.
Convertissez les volumes FAT ou FAT32 au système NTFS, puis appliquez les
autorisations appropriées aux fichiers et aux dossiers de ces volumes.
24. La conception de la
sécurité des serveurs
Nous allons voir à présent les principaux composants intervenants dans le processus de
sécurisation du service d’annuaire Active Directory. Nous aborderons les étapes
suivantes :
j la planification de la sécurité ;
j l’établissement de frontières de sécurité ;
j le renforcement de la stratégie de domaine ;
j l’établissement d’une stratégie en fonction des rôles.
795
Chapitre 24 La conception de la sécurité des serveurs
Planifier la sécurité
Lorsqu’on parle de la sécurité d’Active Directory, certaines tâches sont primordiales…
Ainsi, vous devez dans un premier temps analyser l’environnement dans lequel vous
prévoyez de déployer Active Directory. L’étendue de l’environnement détermine les
mesures qui devront être prises pour le sécuriser. Trois environnements d’exploitation
sont rencontrés le plus souvent.
j Le centre de données interne : c’est le type d’environnement dans lequel il est le plus
24. La conception de la
sécurité des serveurs
facile de mettre en œuvre la sécurité Active Directory car les membres de l’équipe
informatique se trouvent généralement sur place. L’accès au centre de données et
les tâches administratives peuvent donc être aisément limités à ces personnes. Par
ailleurs, les contrôleurs de domaine sont situés dans des locaux centralisés et
sécurisés. En raison de la présence de composants système centralisés et du
personnel informatique, la surveillance et la résolution des problèmes liés aux
contrôleurs de domaine sont simplifiées et les attaques peuvent être rapidement
détectées et traitées.
j La succursale : c’est dans ce type d’environnement qu’il est le plus difficile de mettre
en œuvre la sécurité Active Directory. En effet, le personnel informatique est
généralement hors site, de sorte qu’il n’est pas facile de restreindre toutes les tâches
796
La sécurité Active Directory
Vous devez également effectuer une analyse des menaces. L’analyse des menaces
comprend les étapes suivantes :
j Identifiez les menaces pour Active Directory. Déterminez d’abord leur type, par
exemple l’usurpation d’identité, la falsification de données, la répudiation, la
divulgation d’informations, le déni de service, l’élévation de privilèges et l’ingénierie
sociale, puis les sources (les utilisateurs anonymes, les utilisateurs authentifiés,
l’administrateur de service, l’administrateur de données et les utilisateurs ayant
physiquement accès aux contrôleurs de domaine).
j Déterminez des mesures de sécurité pour réduire la vulnérabilité exploitée par
chaque type de menace et pour résoudre les problèmes potentiels avant qu’ils ne se
manifestent.
j Établissez des plans de secours contenant des instructions détaillées que le
personnel informatique devra suivre en cas de violation de la sécurité.
24. La conception de la
sécurité des serveurs
domaine, qui constitue l’ultime frontière de sécurité. Pour établir des frontières de
sécurité Active Directory, pensez à appliquer les recommandations suivantes :
j Spécifiez des frontières de sécurité et d’administration basées sur les besoins de
l’organisation en matière de délégation de l’administration.
j Déterminez si la délégation est motivée par des impératifs d’organisation,
d’exploitation ou d’ordre juridique.
j Déterminez si ces impératifs indiquent un besoin d’autonomie, d’isolement ou les
deux.
j Évaluez le niveau de confiance que vous accordez aux administrateurs de service
(propriétaires de forêts et propriétaires de domaines).
797
Chapitre 24 La conception de la sécurité des serveurs
j Concevez une structure Active Directory basée sur les besoins en matière de
délégation.
j Placez les contrôleurs de domaine déployés dans un extranet et orientés vers
l’extérieur dans une forêt distincte.
798
Protéger les serveurs membres
Les unités d’organisation des niveaux inférieurs héritent des paramètres appliqués aux
unités d’organisation des niveaux supérieurs. Ces paramètres de stratégie de sécurité
sont appliqués par l’intermédiaire des objets de stratégie de groupe. Les modèles de
sécurité contiennent des paramètres de configuration de la sécurité qui peuvent être
appliqués aux systèmes. Ils peuvent être importés dans un objet de stratégie de groupe.
24. La conception de la
sécurité des serveurs
j Les paramètres d’options de sécurité : ils servent à activer ou à désactiver des
paramètres de sécurité pour des serveurs, comme la signature numérique de
données, les noms des comptes Administrateur et Invité, l’accès aux lecteurs de
disquette et de CD-Rom, le comportement d’installation des pilotes et les invites
d’ouverture de session.
j Les paramètres du journal des événements : ils spécifient la taille de chaque journal
des événements et les actions à entreprendre lorsqu’il arrive à saturation. Les
événements de sécurité enregistrés sont stockés dans plusieurs journaux dont le
journal des applications, le journal de sécurité et le journal système.
799
Chapitre 24 La conception de la sécurité des serveurs
j Utilisez les zones DNS intégrées à Active Directory. L’intégration Active Directory
fournit une sécurité renforcée : vous pouvez limiter le nombre de personnes
pouvant effectuer des enregistrements DNS, et les données DNS sont stockées et
transmises de façon plus sûre. Les zones DNS exposées à Internet ne doivent jamais
être stockées dans Active Directory.
j À l’aide de filtres IPSec, bloquez tous les ports qui ne sont pas indispensables aux
applications serveurs.
800
Protéger les serveurs pour des rôles spécifiques
24. La conception de la
signature SMB ne sera pas demandée par le serveur d’impression. Si ce paramètre
801
Chapitre 24 La conception de la sécurité des serveurs
j Si possible, mettez à niveau tous vos serveurs web vers Windows Server 2003 et
IIS 6.0. Il n’est pas nécessaire d’exécuter l’outil IIS Lockdown sur les systèmes
IIS 6.0 puisque cette version des services Internet est verrouillée par défaut à
l’installation.
j L’Assistant IIS Lockdown fonctionne en désactivant des fonctionnalités inutiles, ce
qui réduit la surface d’attaque offerte aux intrus. Il vous donne la possibilité de
supprimer ou de désactiver des services IIS comme HTTP, FTP, SMTP et NNTP.
j L’outil IIS Lockdown fournit une fonctionnalité d’annulation qui permet d’inverser
les effets du verrouillage le plus récent.
j Pour assurer la défense en profondeur, URLScan est intégré à l’Assistant IIS
Lockdown avec des modèles personnalisés pour chaque rôle de serveur pris en
charge. Cette intégration permet à l’assistant de fournir la sécurité supplémentaire
appliquée par URLScan sans obliger l’administrateur à concevoir un filtre
URLScan personnalisé pour la configuration et l’application serveur considérées.
j URLScan est un filtre ISAPI (Internet Server Application Programming Interface) qui
analyse les requêtes HTTP (Hypertext Transfer Protocol) à mesure qu’elles sont
reçues par les services Internet. Vous pouvez aussi appliquer les paramètres de
sécurité suivants pour renforcer la protection des serveurs IIS. Ces paramètres
doivent être configurés manuellement sur chaque serveur IIS.
j N’activez que les composants IIS essentiels. Assurez-vous en particulier que seules
les extensions d’applications voulues sont activées. Par sécurité, les services Internet
(IIS) ne sont pas installés par défaut sur Windows Server 2003. Lorsqu’ils sont
installés, de nombreuses fonctionnalités restent désactivées tant qu’elles n’ont pas
été spécifiquement activées. Vous devez activer manuellement chaque service
requis par votre installation IIS.
j Installez IIS et stockez le contenu web sur un volume de disque dédié, distinct du
volume système. Cela réduit la probabilité qu’un intrus réussisse à ouvrir et à
modifier des fichiers de système d’exploitation sur le serveur.
j Configurez des autorisations NTFS pour tous les dossiers renfermant du contenu
web. Appliquez les autorisations minimales requises pour activer la fonctionnalité
de site web nécessaire.
24. La conception de la
j N’activez pas à la fois les autorisations d’exécution et d’écriture sur le même site
sécurité des serveurs
802
En résumé
Tenez compte des méthodes conseillées suivantes lorsque vous renforcez la protection
de serveurs pour des rôles spécifiques :
j Modifiez les modèles selon les besoins pour les serveurs qui assurent plusieurs rôles.
Les serveurs qui assurent plusieurs rôles ont besoin d’un modèle personnalisé qui
configure les paramètres de sécurité du serveur pour lui permettre de remplir ces
rôles. Vous devrez peut-être commencer avec le modèle prédéfini pour l’un des
rôles assurés par le serveur, puis modifier le modèle en question de telle sorte que
les services et les autres paramètres de sécurité requis par les autres rôles soient
correctement configurés.
j Activez uniquement les services requis par le rôle. Tous les services dont le serveur
n’a pas besoin pour remplir le rôle qui lui a été attribué doivent être désactivés.
j Activez l’enregistrement des événements liés aux services pour capturer les
informations pertinentes. Pensez à activer l’enregistrement pour les services
critiques requis par le rôle du serveur. Par exemple, activez l’enregistrement DHCP
pour un serveur DHCP.
j Utilisez des filtres IPSec pour bloquer tous les ports qui ne sont pas requis par le rôle
du serveur. Pour plus d’informations sur les ports spécifiques à autoriser sur un
serveur pour un rôle spécifique, consultez le chapitre correspondant du Windows
Server 2003 Security Guide.
j Sécurisez les comptes de service et les comptes d’utilisateur connus. Sauf nécessité
absolue, ne configurez pas un service de sorte qu’il ouvre une session à l’aide d’un
compte de domaine. Renommez les comptes prédéfinis Administrateur et Invité et
24. La conception de la
sécurité des serveurs
modifiez leur description. Affectez des mots de passe longs et complexes à ces
comptes prédéfinis. Utilisez pour ces comptes des mots de passe différents sur
chaque serveur. Si un intrus réussit ainsi à compromettre l’un de ces comptes sur un
serveur, il ne sera pas immédiatement à même de compromettre d’autres serveurs.
24.7. En résumé
La sécurité des serveurs joue un rôle important dans l’entreprise à condition que celle-ci
soit adaptée au rôle présent sur le serveur. Cela passe forcément par des compromis
entre la sécurité et les fonctionnalités.
803
Chapitre 25
Évaluation de la
sécurité
25.1 Pourquoi réaliser des évaluations de la sécurité ? . . . . . . . . . . . . . . . . . . . . 807
25.2 Planification de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 808
25.3 Le concept de défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
25.4 Définition du cadre de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . 811
25.5 Les objectifs de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 812
25.6 Les types d’évaluations de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
25.7 L’audit de sécurité informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
25.8 Publier les résultats de l’évaluation de sécurité . . . . . . . . . . . . . . . . . . . . . . 818
25.9 Utiliser l’outil MSAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
25.10 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
Pourquoi réaliser des évaluations de la sécurité ?
25. Évaluation de la
configuration courantes ou pour identifier les ordinateurs qui ne disposent pas des
derniers correctifs de sécurité. Vous pouvez effectuer des évaluations de sécurité pour
sécurité
connaître le niveau d’efficacité des mesures de sécurité défensives d’une application
depuis la précédente mise à jour de sécurité. Une évaluation de la sécurité peut
également révéler des faiblesses inattendues de la sécurité de votre organisation.
Une fois les faiblesses découvertes, vous devez rapidement signaler tous les problèmes
identifiés au cours de l’évaluation et y remédier.
807
Chapitre 25 Évaluation de la sécurité
cadre de votre projet. Elle vous offre également l’opportunité de choisir les technologies
et les tâches d’évaluation appropriées, afin de vérifier que vos mesures de sécurité
actuelles sont aussi efficaces que possible.
Lorsque vous évaluez la sécurité de votre organisation, n’oubliez pas que les défaillances
peuvent survenir dans de nombreux domaines. Les défaillances de la sécurité du réseau
ont des origines diverses, y compris les suivantes…
j Le facteur humain : l’homme ; il s’agit d’une source majeure de défaillance de la
sécurité du réseau, si ce n’est la source majeure de défaillance. Voici quelques
exemples de facteurs humains…
− Mots de passe faibles : le moyen le plus couramment utilisé pour introduire des
vulnérabilités dans la sécurité du réseau consiste à créer et à utiliser des mots de
passe faibles.
− Sécurité physique : elle fait référence aux utilisateurs qui ne ferment pas les
portes ou laissent leur ordinateur dans des lieux non protégés.
− Ingénierie sociale : elle fait référence aux utilisateurs amenés par la ruse à révéler
leurs mots de passe ou à autoriser l’accès à des ressources sécurisées.
808
Planification de l’évaluation de sécurité
25. Évaluation de la
administrateur peut également mal configurer un système en ne suivant pas les
bonnes pratiques de sécurité, introduisant ainsi d’autres vulnérabilités exploitables
sécurité
par un intrus.
j Les erreurs de jugement : les administrateurs peuvent avoir une fausse idée du
comportement des utilisateurs, du fonctionnement d’une technologie ou de la
réalisation de certaines tâches. Une simple petite négligence résultant d’un
jugement infondé peut aider un intrus à compromettre un réseau. On appelle cela
"faire la chasse aux faux positifs".
j L’ignorance : souvent, les administrateurs ne sont tout simplement pas conscients
des conséquences de leurs actions ou des menaces que les intrus font peser sur leurs
réseaux.
j L’incapacité à maintenir les systèmes à jour : en effet, il y a une course entre les
administrateurs et les intrus, dès lors qu’une mise à jour de sécurité est publiée. La
sécurité de votre réseau n’est pas meilleure que la dernière mise à jour de sécurité
installée.
809
Chapitre 25 Évaluation de la sécurité
sécurité à différents niveaux au sein de votre réseau, sous forme de différentes couches.
Il est important de comprendre ces couches et comment chacune d’elles peut renforcer
la sécurité globale de votre environnement.
810
Définition du cadre de l’évaluation de sécurité
25. Évaluation de la
sécurité, les mises à jour d’antivirus et la réalisation d’audits efficaces.
sécurité
j Le réseau interne : les risques au niveau des réseaux internes d’une organisation
concernent dans une large mesure les données critiques transmises via les réseaux.
La connectivité requise pour les stations de travail clientes sur ces réseaux internes
présente elle aussi des risques. La sécurité peut être renforcée via la mise en œuvre
de segments réseau et de systèmes de détection d’intrusion réseau (comme NIDS,
Network based Intrusion Detection System, pour les puristes).
j Le périmètre : le réseau de périmètre englobe chaque point où le réseau interne est
connecté à un réseau ou à un hôte qui n’est pas géré par l’équipe informatique de
l’organisation. Cela comprend les connexions à Internet, aux partenaires
commerciaux et aux réseaux privés virtuels ainsi que les connexions d’accès à
distance. Les principaux risques inhérents à cette couche concernent les intrus qui
réussiraient à accéder aux ressources du réseau de périmètre, voire potentiellement
aux couches réseau qui sont connectées. Les défenses du réseau de périmètre
passent par des pare-feu et des routeurs correctement configurés, ainsi que par des
réseaux VPN utilisant des procédures de quarantaine.
j La sécurité physique : les risques inhérents à la couche physique concernent les
intrus qui parviendraient à accéder physiquement à une ressource physique. Cette
couche englobe toutes les couches précédentes, dans la mesure où l’accès physique
à une ressource peut à son tour permettre l’accès à toutes les autres couches du
modèle Défense en profondeur. Les défenses de la sécurité physique passent par le
verrouillage du matériel dans les centres de données accessibles à l’aide d’un badge,
par des gardiens et par des dispositifs de suivi.
j Les stratégies, les procédures et la sensibilisation : les fondations de l’ensemble du
modèle incluent les stratégies et les procédures que votre organisation doit mettre
en place pour répondre aux besoins de chaque couche et l’épauler. Les composants
de ce niveau comprennent des stratégies et des procédures de sécurité, ainsi que des
programmes de sensibilisation à la sécurité.
811
Chapitre 25 Évaluation de la sécurité
j Définir la zone cible : la zone cible peut inclure les types d’analyses suivants,
comprenant des composants tels que le calendrier prévisionnel de l’évaluation…
25. Évaluation de la
hôte ou plusieurs hôtes de même type. Par exemple, vous pouvez analyser tous
les ordinateurs exécutant Windows XP pour rechercher le niveau de mise à jour
de sécurité, les vulnérabilités Windows courantes et les mots de passe faibles.
− L’analyse horizontale : ce type d’analyse recherche une vulnérabilité sur des
types d’hôtes ou d’applications. Par exemple, vous pouvez analyser tous les
périphériques et ordinateurs de votre réseau pour rechercher les vulnérabilités
aux attaques par déni de service.
− L’analyse verticale et horizontale : ce type d’analyse associe les avantages des
analyses verticale et horizontale en recherchant diverses vulnérabilités sur
plusieurs plateformes.
À la fin de cette phase de planification, vous disposez d’une série d’éléments qui
définissent clairement les limites du projet, constituent les fondements de ses objectifs et
guident vos choix technologiques.
Lors de la phase de planification, vous devez définir des objectifs clairs et accessibles
afin que tous les membres de l’équipe comprennent le projet (ses objectifs, son
calendrier prévisionnel, etc.) et que celui-ci ne déraille pas.
En définissant précisément le cadre du projet, vous aurez des bases solides pour en
définir les objectifs. La définition du cadre constitue la première partie de l’objectif, et
la mise en œuvre de parades la deuxième partie. En voici un exemple sous forme de
tableau :
812
Les types d’évaluations de sécurité
25. Évaluation de la
Tous les serveurs Windows Server 2003 sur le sous-réseau R&D de Nice seront analysés pour
sécurité
détecter et résoudre les vulnérabilités suivantes :
Vulnérabilité Parade
Vulnérabilité RPC sur DCOM (MS 03−026) Installer les mises à jour de sécurité Microsoft
03−026 et 03−039
Énumération SAM anonyme Configurer le paramètre
RestrictAnonymous sur 1
Activation du compte Invité Désactivation du compte Invité
Plus de 10 comptes dans le groupe local des Réduire le nombre de compte dans le groupe
administrateurs local des administrateurs de chaque serveur
Les types d’évaluation de sécurité les plus courants sont les suivants…
j L’analyse des vulnérabilités : c’est l’évaluation de sécurité la plus fondamentale,
elle requiert généralement le moins de compétences. Elle analyse un réseau pour y
rechercher des faiblesses potentielles de sécurité, connues et cernées. Elle est
généralement effectuée par un logiciel, mais elle peut également être automatisée
via des scripts personnalisés. La qualité des résultats de l’analyse des vulnérabilités
dépend de celle du logiciel utilisé.
j Le test d’intrusion : le test de pénétration est un type d’évaluation de sécurité plus
sophistiqué, qui requiert des testeurs très qualifiés et dignes de confiance. Il se
concentre sur les faiblesses de sécurité connues et inconnues du réseau et décrit la
façon dont les vulnérabilités sont exploitées ainsi que les faiblesses du personnel et
des processus. Le test de pénétration permet de sensibiliser les administrateurs
réseau, les responsables informatiques et les dirigeants sur les conséquences
possibles d’une intrusion réseau. Parce que seule l’intention distingue un testeur
d’intrusion d’un intrus, vous devez faire preuve de prudence lorsque vous autorisez
des employés ou des experts externes à effectuer des tests d’intrusion. Un test de
813
Chapitre 25 Évaluation de la sécurité
les processus utilisés pour concevoir, mettre en œuvre et gérer la sécurité d’un
réseau. Dans un audit de sécurité informatique, la personne en charge de l’audit,
ainsi que les stratégies et les procédures de sécurité de votre organisation utilisent
une référence de base. Un audit adéquat permettra de déterminer si votre
organisation possède les composants nécessaires pour créer et exploiter un
environnement informatique sécurisé. Les audits de sécurité informatiques sont
également des éléments essentiels pour prouver que la réglementation est
respectée.
814
Les types d’évaluations de sécurité
25. Évaluation de la
− la période de temps pendant laquelle un hôte est resté vulnérable ;
sécurité
− le nombre total de vulnérabilités détectées et résolues.
Le test de pénétration
Les testeurs d’intrusion efficaces tentent rarement de compromettre un réseau en
l’attaquant de façon aléatoire. Une telle action serait inefficace, longue et augmenterait
leurs chances d’être attrapé. En suivant une méthodologie de base, vous améliorez vos
chances de localiser et d’exploiter les faiblesses dans les délais impartis. En outre, vous
disposez d’une infrastructure naturelle pour enregistrer vos résultats, ce qui simplifie la
phase de création de rapports.
Les étapes suivantes constituent une méthodologie de base que vous pouvez utiliser…
j Déterminer la méthode que l’intrus est le plus susceptible d’utiliser pour attaquer un
réseau ou une application : cette étape a très probablement été prise en compte
lorsque vous avez défini le cadre et les objectifs de l’évaluation de sécurité. Le cadre
et les objectifs ont dû déterminer le choix des méthodes et des outils à utiliser pour
mettre en place votre test de pénétration.
j Localiser les zones de faiblesse du réseau ou des défenses applicatives : l’étape suivante
consiste à obtenir des informations sur la cible. Lorsque vous commencez votre test
de pénétration, n’ignorez pas les évidences. Par exemple, après avoir identifié la
plateforme système à exploiter, l’un des premiers endroits où rechercher la liste des
vulnérabilités du produit est le site web du fournisseur.
j Déterminer comment un intrus pourrait exploiter les faiblesses : après avoir
suffisamment inspecté votre cible, catalogué les informations rassemblées et
déterminé comment un intrus pourrait les utiliser pour exploiter le réseau, vous
pouvez procéder au test de pénétration. L’un des principaux objectifs de tout test de
pénétration est d’obtenir un accès administrateur ou système. Une fois ce niveau de
privilège obtenu sur un système, il y a de fortes chances pour que celui-ci concède
d’autres comptes administrateur ou d’autres comptes bénéficiant de privilèges.
j Localiser les ressources qui pourraient être atteintes, modifiées ou détruites : après avoir
obtenu un certain niveau d’accès à votre cible, prenez le temps de noter les
ressources qui pourraient être atteintes, modifiées ou détruites. Plus tard, lors de la
publication de vos conclusions, il sera primordial d’identifier ces ressources et les
parades potentielles à mettre en place.
j Déterminer si l’attaque a été détectée : une fois votre test actif terminé, il est judicieux
d’étudier si tous les éléments du test de pénétration ont été détectés pendant
l’attaque et de comprendre pourquoi ils l’ont été. Ces informations vous
permettront d’approfondir vos compétences et aideront considérablement les
administrateurs réseau à optimiser leurs outils de détection d’intrusion.
815
Chapitre 25 Évaluation de la sécurité
mieux empêcher et de mieux détecter les attaques que vous avez découvertes.
j Faire des recommandations : plus vous communiquerez clairement sur la façon dont
vous avez attaqué un réseau avec succès, mieux les administrateurs réseau pourront
ajuster les paramètres de sécurité. Vous pouvez passer en revue la documentation
détaillée de la méthodologie utilisée lors du test, qu’elle ait permis de compromettre
le réseau ou non, afin d’identifier les domaines que votre organisation doit modifier
pour sécuriser le réseau.
816
L’audit de sécurité informatique
25. Évaluation de la
j La stratégie : la stratégie de sécurité peut être définie comme étant les règles de
sécurité
sécurité des informations de l’organisation. La stratégie de sécurité définit
également la position d’une organisation en matière de sécurité, à savoir la façon
dont elle conçoit et considère les stratégies ainsi que le niveau d’implication de
l’équipe informatique. Il existe trois types de stratégies de sécurité. Chacune d’entre
elles est basée sur sa méthode d’application principale.
− Les stratégies administratives : elles sont appliquées par la direction ou par
l’utilisateur.
− Les stratégies techniques : elles sont appliquées par le système d’exploitation, les
applications ou d’autres contrôles techniques. Les stratégies techniques doivent
avoir des stratégies administratives correspondantes.
− Les stratégies physiques : appliquez les stratégies physiques en implémentant des
contrôles physiques pour empêcher la falsification ou le vol.
j Les processus et les procédures : ils décrivent et prescrivent la façon dont les
administrateurs et les utilisateurs doivent se conformer à la stratégie de sécurité.
j La technologie : elle décrit la méthodologie et les outils utilisés pour appliquer les
processus et procédures d’une stratégie.
j La mise en œuvre : elle décrit le fonctionnement d’une stratégie spécifique sur le
réseau, ce qui comprend l’énumération des paramètres activés ou désactivés.
j La documentation : elle consiste à noter ce qui a été mis en œuvre, y compris la
configuration et les paramètres de sécurité.
j Les opérations : elles fournissent des informations sur l’utilisation et la gestion
précise de la stratégie sur le réseau.
Une infrastructure d’audit de sécurité très simple mais efficace consiste à comparer ces
trois composants. En utilisant ce modèle, vous pouvez vous assurer que la direction (les
propriétaires habituels de la stratégie), les responsables informatiques (les propriétaires
habituels des processus et des procédures) et l’équipe informatique (chargée du
fonctionnement du réseau) ont une position identique en matière de sécurité.
817
Chapitre 25 Évaluation de la sécurité
Une fois votre évaluation de sécurité terminée, vous aurez vraisemblablement beaucoup
sécurité
de données à publier. Pour toutes les vulnérabilités découvertes lors de votre évaluation
de sécurité, vous pouvez organiser les informations comme suit…
j Définir la vulnérabilité : la définition de la vulnérabilité permet de répondre à des
questions telles que "Quels sont l’origine et l’impact potentiel de la vulnérabilité ?"
et "Quelle est la probabilité d’exploitation de la vulnérabilité ?".
j Documenter les plans visant à réduire la vulnérabilité : il est important de présenter
des solutions et des réductions potentielles, ou d’autres suggestions visant à réduire
ou à supprimer la vulnérabilité.
j Identifier les modifications à apporter : documentez tout ce qui doit être modifié.
j Attribuer les responsabilités pour mettre en œuvre les recommandations approuvées :
votre rapport doit mentionner les personnes chargées d’appliquer les
recommandations.
j Prescrire la prochaine date d’évaluation de sécurité : vous devez également prescrire
une date pour la prochaine évaluation de sécurité.
Cette application est destinée à aider les entreprises de moins de 1000 salariés à évaluer
les faiblesses de leur environnement en matière de sécurité informatique. Elle permet,
effectivement, d’identifier les processus, ressources et technologies destinés à favoriser
des pratiques efficaces de planification de la sécurité et d’atténuation des risques au sein
de l’entreprise.
818
Utiliser l’outil MSAT
25. Évaluation de la
3. Passez le message de bienvenue en cliquant sur Start. Vous devez créer un nouveau
sécurité
profil de risque, tapez le nom de votre entreprise.
4. Commencez à répondre aux questions qui vous sont posées. Une fois que vous avez
répondu à une page de questions, cliquez sur Next pour passer à la page suivante.
Ces questions vont servir à qualifier le profil de risque de la société.
819
Chapitre 25 Évaluation de la sécurité
820
En résumé
6. C’est parti pour les questions techniques de l’évaluation à proprement parler. Ces
questions sont classées en différentes sections : tout d’abord des questions
25. Évaluation de la
d’informations de base sur l’entreprise (nom, nombre d’ordinateurs, de serveurs,
pays), puis une série de questions sur la sécurité, à savoir la sécurité de
sécurité
l’infrastructure, des applications, des opérations et du personnel (si vous utilisez une
connexion Internet, si vous utilisez un serveur Exchange, un serveur VPN, etc.). Et
enfin des questions sur l’environnement (activité, nombre d’employés, nombre de
sites, etc.). Une fois que vous avez répondu à une page de questions, cliquez sur
Next pour passer à la page suivante.
25.10. En résumé
L’évaluation de la sécurité est très importante pour analyser la manière dont vous êtes
protégé. Cela peut toucher le cœur du système d’exploitation et, par méconnaissance
sur la sécurité, être parfois fatal à l’entreprise si celle-ci se fait attaquer et dépouiller de
ce qui fait son unicité sur le marché. Les bonnes pratiques décrites ici vont vous aider à
monter une évaluation dans les plus brefs délais. De plus, MSAT peut vous donner un
cadre, voire une évaluation toute faite et pertinente du niveau de sécurité de vôtre
entreprise. C’est gratuit, profitez-en et même si les questions sont plus adaptées à une
société de moins de 1000 employés, vous pourrez toujours vous inspirer de ces questions
si vous travaillez dans une entreprise beaucoup plus grande.
821
Chapitre 26
La sécurisation des
postes de travail
26.1 Gérer les mises à jour des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825
26.2 La sécurité sous Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
26.3 L’antivirus en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
26.4 Implémenter la sécurité des postes de travail à l’aide d’Active Directory . . . . . . 849
26.5 En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
Gérer les mises à jour des logiciels
postes de travail
signatures pour empêcher l’introduction de code malveillant et l’exploitation des
logiciels installés.
j Le pare-feu : installez et configurez un équipement et/ou un logiciel pare-feu.
j L’informatique mobile : implémentez des stratégies et des technologies permettant
de protéger les périphériques mobiles comme les ordinateurs portables et les
ordinateurs de poche (PDA) et de limiter les vulnérabilités possibles lors de la
connexion de ces périphériques aux équipements de l’entreprise.
j La protection des données : protégez les documents et les informations sensibles en
implémentant une stratégie de sauvegarde, en utilisant des technologies de cryptage
et en limitant l’accès au moyen des méthodes d’authentification appropriées.
j La sécurité des applications : réduisez les sources de vulnérabilité des applications
en utilisant des technologies de gestion de configuration telles que la stratégie de
restriction logicielle, la stratégie de groupe et les outils de déploiement.
j Les outils de gestion des clients : utilisez des technologies de gestion de la sécurité
comme Active Directory, les modèles de sécurité, le contrôle de quarantaine pour
l’accès réseau et la stratégie de groupe pour rationaliser le déploiement et
l’application des stratégies de sécurité.
j Les méthodes conseillées pour les mots de passe : sécurisez l’accès aux ordinateurs
clients en utilisant des mots de passe forts et en appliquant les méthodes conseillées
en ce qui concerne l’utilisation des mots de passe en général.
Ces rubriques, aussi évidentes qu’elles puissent paraître, sont plus complexes à mettre
en œuvre en entreprise car l’étendue des ordinateurs à contrôler est beaucoup plus
grande qu’un simple PC à la maison.
Pour les petites entreprises, WSUS (Windows Software Update Services) est la solution
logique. Si vous disposez d’au moins un serveur Windows et un administrateur
825
Chapitre 26 La sécurisation des postes de travail
informatique qualifié, vous avez probablement intérêt à opter pour le service WSUS.
Dans le cas contraire, utilisez Windows Update.
Pour les moyennes ou grandes entreprises, WSUS et SMS (Systems Management Server)
sont les solutions logiques. Si vous avez besoin d’une solution de gestion des mises à jour
simple, choisissez WSUS. Si vous voulez une distribution complète des logiciels
26. La sécurisation des
Les menaces pour la sécurité sont en constante évolution. Or, chacun le sait, la sécurité
est une préoccupation majeure pour les entreprises. S’il doit rester protégé contre les
menaces sur Internet et sur les réseaux sans fil, le système d’exploitation client doit
également évoluer. Par le biais de plusieurs scénarios, vous allez voir comment Windows
Vista améliore la sécurité de manière significative en atténuant les menaces et la
vulnérabilité.
Windows Defender
Windows Defender est un antispyware intégré à Windows Vista et destiné à un usage
domestique. Il faut entendre par "usage domestique" l’absence de fonctionnalités
d’administration.
Windows Defender est le logiciel de Microsoft pour lutter contre les malwares, il est
intégré à Windows Vista. Il rassemble des fonctions de détection, de nettoyage et
blocage en temps réel des spywares. Parmi ces actions, Windows Defender est ainsi
capable de surveiller Internet Explorer et les composants logiciels chargés dans le
navigateur, de vérifier les téléchargements. Windows Defender surveille aussi un certain
nombre de points d’entrée fréquemment utilisés sur la machine par les spywares. Il peut
s’agir par exemple de la clé de registre HKLM\… \RUN qui permet à des logiciels de se
maintenir à chaque redémarrage. La technologie de Windows Defender repose sur neuf
agents de surveillance. Il offre la possibilité de réaliser une analyse du système rapide ou
complète.
826
La sécurité sous Windows Vista
Dans la partie supérieure de la fenêtre Windows Defender, vous voyez les menus
proposés :
j Le menu Accueil affiche l’état général de Windows Defender. Vous y retrouvez la
date de la dernière recherche, l’état de la protection en temps réel et la version des
signatures utilisées par Windows Defender.
j Le menu Analyser analyse l’ordinateur à la recherche de spywares. Différentes
analyses sont proposées (Quick Scan, Full Scan, Custom Scan…).
j Le menu Historique affiche l’historique de toutes les activités de Windows
Defender.
j Le menu Outils regroupe plusieurs paramètres et outils et se décompose en quatre
sections :
− La section Options affiche les paramètres généraux de Windows Defender.
− La section Microsoft SpyNet permet d’échanger de conseils avec la communauté
Spynet.
− La section Eléments en quarantaine contient les éléments qui ont été mis en
quarantaine.
827
Chapitre 26 La sécurisation des postes de travail
828
La sécurité sous Windows Vista
Dans la partie supérieure de la fenêtre Windows Defender, vous retrouvez les sections
de l’outil.
2. Sélectionnez Outils, dans la fenêtre Outils et options, cliquez sur Options sous la
rubrique Paramètres.
3. Vérifiez que la case Analyser automatiquement mon ordinateur (recommandé) est
cochée. C’est impératif pour pouvoir paramétrer les différentes options.
4. Dans Fréquence d’analyse, sélectionnez Mercredi.
5. Dans Heure, choisissez 13:00.
829
Chapitre 26 La sécurisation des postes de travail
830
La sécurité sous Windows Vista
j Analyse complète ;
j Analyser les fichiers et les dossiers sélectionnés.
3. Choisissez une des options d’analyse proposée, puis cliquez sur Analyser
maintenant.
postes de travail
comme suit :
1. Cliquez sur le menu Démarrer, puis sur Panneau de configuration.
2. Sélectionnez l’icône Sécurité.
3. Cliquez sur l’icône Windows Defender.
4. Cliquez sur Outils, puis sur Options.
5. Sous la rubrique Options de protection en temps réel, activez la case à cocher Utiliser
la protection en temps réel (recommandé).
6. Sélectionnez les options voulues. Pour préserver vos données personnelles et
protéger votre ordinateur, il est recommandé de sélectionner toutes les options de
protection en temps réel.
7. Choisissez enfin si Windows Defender doit vous avertir lors de certains événements.
Sélectionnez les options requises, puis cliquez sur Enregistrer.
Consulter l’historique
Vous pouvez si vous le souhaitez connaître l’activité de Windows Defender car il garde
une trace d’un grand nombre d’actions. Pour afficher l’historique de Windows
Defender, procédez de la façon suivante :
1. Sélectionnez le menu Démarrer/Tous les programmes/Windows Defender.
2. Cliquez sur Historique.
3. Pour supprimer tous les éléments de la liste, cliquez sur Effacer l’historique. Si vous
êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez
le mot de passe ou la confirmation.
Informations complémentaires
Vous en saurez plus sur la sécurité de Windows Vista en visitant les sites suivants :
j www.microsoft.com/athome/security/spyware/software/default.mspx ;
j http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID
=1032293588&EventCategory=5&culture=en-US&CountryCode=US ;
j www.microsoft.com/athome/security/spyware/software/support/reportspyware
.mspx ;
831
Chapitre 26 La sécurisation des postes de travail
j www.microsoft.com/athome/security/spyware/software/newsgroups/default
.mspx ;
j www.microsoft.com/athome/security/spyware/spywaresigns.mspx ;
j www.microsoft.com/technet/windowsvista/security/default.mspx ;
26. La sécurisation des
j www.microsoft.com/france/technet/content/produits/windowsvista/wv
postes de travail
_windowsdefender.asx.
Le Centre de sécurité
Bien qu’il soit important de rester informé des dernières mises à jour logicielles, la
gestion des mises à jour peut devenir coûteuse et longue, et perturber les entreprises et
les utilisateurs. Windows Vista répond à ces problèmes en imposant un redémarrage
moins fréquent des ordinateurs, ce qui simplifie le processus de déploiement des mises
à jour, l’utilisation plus efficace de la bande passante, la possibilité pour les
administrateurs de suivre les mises à jour ayant réussi ou échoué, ainsi que des
améliorations de l’agent WUA (Windows Update Agent).
Avec l’arrivée de Redémarrer Managers, les utilisateurs n’ont pas besoin de redémarrer
Windows Vista lors de l’installation ou de la mise à jour d’une application. Certaines
mises à jour peuvent installer une nouvelle version d’un fichier mis à jour même si
l’ancien fichier est en cours d’utilisation par une autre application. Windows Vista
remplace le fichier lors du prochain redémarrage de l’application. L’objectif avec
Redémarrer Manager est de pouvoir diviser le nombre de redémarrages par deux
concernant l’application de correctifs de sécurité.
Freeze Dry est l’un des composants de Redémarrer Managers, il permet à Windows
Vista de déterminer quelle application utilise un fichier devant être mis à jour. Ainsi, si
l’application tire parti des API de notifications d’arrêt et de redémarrage, les données de
l’application seront enregistrées, l’application fermée, les fichiers mis à jour, puis
l’application sera redémarrée. Par conséquent, la plupart des mises à jour ne perturbent
pas le travail des utilisateurs, ce qui permet de ne plus gêner la productivité et ainsi de
réduire les coûts de gestion des mises à jour. Office 12 est l’exemple d’un logiciel qui tire
parti des API de notifications d’arrêt et de redémarrage.
WSUS (Windows Server Update Services) est une nouvelle version de SUS (Software
Update Services). Il permet d’améliorer la gestion des mises à jour. Les administrateurs
peuvent utiliser WSUS pour prendre connaissance plus facilement des nouvelles mises
à jour disponibles et déterminer si ces mises à jour sont nécessaires dans leurs
environnements. Pour les environnements qui utilisent les mises à jour automatiques,
les administrateurs peuvent utiliser WSUS afin de déployer toutes les mises à jour. Dans
les versions antérieures de Windows, seules les mises à jour critiques pouvaient être
déployées à l’aide de la fonctionnalité Mises à jour automatiques.
832
La sécurité sous Windows Vista
L’agent WUA (Windows Update Agent) est désormais une application autonome
pouvant télécharger des mises à jour directement à partir du site de Microsoft ou d’un
serveur WSUS interne. Dans la mesure où WUA offre une interface unique vers les
mises à jour téléchargées à partir du site de Microsoft ou d’un serveur d’entreprise
interne, les utilisateurs n’ont pas à apprendre comment utiliser deux outils distincts.
postes de travail
1. Ouvrez le menu Démarrer et cliquez sur Panneau de configuration.
2. Dans le Panneau de configuration, cliquez sur les liens Sécurité, puis sur Centre de
Sécurité Windows.
Dans la fenêtre Centre de Sécurité Windows, deux nouvelles catégories ont fait leur
apparition :
j La rubrique Protection contre les programmes malveillants comprend les logiciels
antispywares ainsi que l’antivirus.
j La rubrique Autres paramètres de sécurité affiche l’état des paramètres d’Internet
Explorer Paramètres de sécurité Internet et Contrôle du compte utilisateur.
833
Chapitre 26 La sécurisation des postes de travail
Pour découvrir les nouvelles options des mises à jour automatiques (Windows Update) :
1. Dans la partie gauche de la fenêtre, cliquez sur Windows Update. La fenêtre
Windows Update s’ouvre.
26. La sécurisation des
postes de travail
834
La sécurité sous Windows Vista
Le pare-feu personnel
Un grand nombre d’applications potentiellement dangereuses, telles que les
applications clientes de partage poste à poste susceptibles de transmettre des
informations personnelles sur Internet, sont conçues pour ignorer les pare-feu qui
bloquent les connexions entrantes. Le pare-feu de Windows Vista permet aux
postes de travail
les applications devant être autorisées ou bloquées, en leur donnant le contrôle sur les
applications pouvant communiquer sur le réseau.
L’un des moyens les plus importants pour les services informatiques pour atténuer les
risques de sécurité consiste à limiter les applications pouvant accéder au réseau. Le
pare-feu personnel intégré à Windows Vista constitue une part importante de cette
stratégie. Avec le pare-feu personnel, les administrateurs peuvent autoriser l’exécution
locale d’une application sur des ordinateurs, mais l’empêcher de communiquer sur le
réseau. Cela donne aux administrateurs la finesse de contrôle dont ils ont besoin pour
atténuer les risques de sécurité sans compromettre la productivité des utilisateurs.
835
Chapitre 26 La sécurisation des postes de travail
L’onglet Général du pare-feu Windows comporte trois paramètres. Voici ce que vous
pouvez faire avec ces paramètres et quand les utiliser…
L’option Activé
Ce paramètre est sélectionné par défaut. Lorsque le pare-feu Windows est activé, la
communication est bloquée pour la plupart des programmes. Si vous souhaitez
débloquer un programme, vous pouvez l’ajouter à la liste des exceptions (sous l’onglet
Exceptions). Par exemple, vous ne pourrez peut-être pas envoyer des photos à l’aide
d’un programme de messagerie instantanée avant d’avoir ajouté ce programme sur la
liste des exceptions.
836
La sécurité sous Windows Vista
postes de travail
Activer le pare-feu
L’option Désactivé
Évitez d’utiliser ce paramètre à moins qu’un autre pare-feu ne soit exécuté sur votre
ordinateur. La désactivation du pare-feu Windows peut rendre votre ordinateur (et
votre réseau si vous en utilisez un) plus vulnérable à des attaques de pirates
informatiques ou de logiciels malveillants tels que des vers.
837
Chapitre 26 La sécurisation des postes de travail
Figure 26.10 :
Désactiver le pare-feu
26. La sécurisation des
postes de travail
Lorsque vous sélectionnez Bloquer toutes les connexions, vous pouvez quand même
afficher la plupart des pages web, recevoir et envoyer du courrier électronique ainsi que
des messages instantanés.
1. Cliquez sur Démarrer/Panneau de configuration.
2. Sélectionnez Centre de sécurité.
3. Dans le volet gauche de la fenêtre Centre de sécurité Windows, sélectionnez
Pare-feu Windows.
4. Cliquez sur Activer ou Désactiver le pare-feu Windows.
5. Cliquez sur Activé (recommandé), puis sur Bloquer toutes les connexions entrantes et
terminez en cliquant sur OK.
838
La sécurité sous Windows Vista
Figure 26.11 :
Blocage de toutes les
connexions entrantes
839
Chapitre 26 La sécurisation des postes de travail
26. La sécurisation des
postes de travail
Figure 26.12 : Configuration de la MMC pour utiliser les options avancées du pare-feu
de Windows Vista
840
La sécurité sous Windows Vista
À présent, vous allez tester le pare-feu et créer pour cela une règle de restriction
sortante pour le Lecteur Windows Media.
Dans un premier temps, le test consiste à lancer une station de radio sur Internet à partir
du Lecteur Windows Media. Pour ouvrir une radio en ligne à l’aide de Windows Media
Player, procédez comme suit :
postes de travail
Windows Media.
2. Dans le Lecteur Windows Media, appuyez sur les touches [Ctrl]+[U] pour ouvrir la
fenêtre Ouvrir une URL.
3. Dans la fenêtre Ouvrir une URL, taper l’URL de la radio en ligne : http://www
.ouirock.com/player/metafile/windows.asx. Cliquez sur OK. Le Lecteur
Windows Media accède à l’URL indiquée. Par défaut, toutes les applications sont
autorisées à traverser le pare-feu.
URL
Il s’agit ici d’une URL prise à titre d’exemple. Il existe un grand nombre d’autres liens
sur Internet pouvant être utilisés pour cet exercice.
841
Chapitre 26 La sécurisation des postes de travail
Puisque l’accès à la radio fonctionne, il est possible d’en restreindre l’accès en créant une
règle dont les caractéristiques seront les suivantes…
j Nom : Lecteur Windows Media.
j Appliquer à : %ProgramFiles%\Windows Media Player\wmplayer.exe.
26. La sécurisation des
j Action : Block.
postes de travail
Pour créer la règle qui pourra bloquer le Lecteur Windows Media, procédez comme
suit :
1. Dans la MMC, au centre, cliquez sur Règles du trafic sortant situé dans la catégorie
Démarrer. Vous retrouvez dans la partie centrale de la fenêtre toutes les règles
utilisées par le pare-feu pour filtrer le trafic entrant.
2. Dans la partie droite de la fenêtre, cliquez sur Nouvelle règle… pour créer une
nouvelle règle.
3. Dans la fenêtre Assistant Nouvelle règle sortante, dans la section Quel type de règle
voulez-vous créer?, sélectionnez Programme, puis cliquez sur Suivant.
842
La sécurité sous Windows Vista
Dans la section Quels programmes sont concernés par cette règle?, deux choix vous sont
proposés.
j Tous les programmes : la règle s’appliquera à tout le trafic de l’ordinateur.
j Ce programme : cette règle permet de restreindre l’accès à un programme
uniquement en spécifiant son chemin.
4. Sélectionnez Ce Programme et saisissez %ProgramFiles%\Windows Media
Player\wmplayer.exe, puis cliquez sur Suivant.
843
Chapitre 26 La sécurisation des postes de travail
Dans la fenêtre Profil, sous la rubrique Quels profils sont concernés par cette règle?, vous
pouvez définir trois possibilités.
j Domaine : s’applique lors de la connexion d’un ordinateur à son domaine
26. La sécurisation des
d’entreprise.
postes de travail
844
La sécurité sous Windows Vista
Pour terminer, il ne reste plus qu’à tester le bon fonctionnement de la règle Lecteur
Windows Media en ouvrant une radio en ligne à l’aide du Lecteur Windows Media.
Après quelques secondes, un message apparaît indiquant que le fichier n’a pas été
trouvé (le Lecteur Windows Media ne trouve pas). Le Lecteur Windows Media n’est
plus en mesure de contacter la radio en ligne, il ne peut plus traverser le pare-feu.
4. Cliquez sur Fermer.
5. Fermez le Lecteur Windows Media.
6. Fermez la Console Microsoft Management et cliquez sur Non.
845
Chapitre 26 La sécurisation des postes de travail
Informations complémentaires
Vous en saurez plus sur le pare-feu de Windows Vista en visitant les sites suivants :
j www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx
j www.microsoft.com.
26. La sécurisation des
postes de travail
L’objectif d’UAC reste multiple : faciliter la vie des utilisateurs qui ne possèdent pas de
droits d’administrateurs ; protéger le système de l’utilisation d’anciens programmes tout
en gardant une compatibilité (bien souvent, les anciens programmes demandent des
droits d’administrateurs et cette demande est trop souvent liée à un mauvais
développement du programme plutôt qu’à une réelle nécessité). Pour protéger le
système, Windows Vista virtualise le répertoire Program files de façon à ce que
l’utilisateur écrive dans une partie de son profil plutôt que dans le répertoire Program
files lui-même. Cela apporte une certaine isolation qui permet de ne pas polluer les
autres utilisateurs en cas de problème. L’un des autres points sur lequel nous allons nous
attarder un peu plus longuement est l’Admin Approval Mode. Ce principe consiste à
restreindre les droits d’une personne ayant des droits administratifs. Pour cela, sous
Windows Vista, les membres du groupe local administrateurs possèdent deux jetons de
sécurité (token), un jeton complet ainsi qu’un jeton restreint (filtré). Le jeton filtré est le
jeton complet auquel on a retiré tous les privilèges.
Les utilisateurs membres du groupe local administrateur utilisent par défaut le jeton
restreint. Lorsqu’une tâche nécessite un privilège élevé, l’UAC demande la permission
d’utiliser le jeton complet (élévation de privilèges). En fonction du paramétrage de
l’UAC, cela peut être fait de manière transparente, c’est-à-dire sans prompt, par
consentement ou saisie de mot de passe. Le mode par défaut pour les membres du
groupe administrateur est celui du consentement Admin Approval Mode.
Le compte intégré administrateur utilise, quant à lui, son jeton complet, il n’a donc pas
besoin de donner son consentement pour utiliser un autre jeton. L’élévation des
privilèges s’opère donc pour les comptes possédant deux jetons. Un utilisateur standard
n’ayant qu’un jeton restreint, l’UAC ne leur proposera pas d’utiliser un autre jeton et
846
L’antivirus en entreprise
l’utilisateur recevra un Access Denied ou son équivalent en tentant d’exécuter une tache
nécessitant des privilèges plus élevés. Par contre, s’il exécute une application en tant
qu’administrateur ou par un runas, il ne passe pas par le mécanisme UAC. En effet,
cela crée tout d’abord un nouveau jeton d’administration complet qui est alors utilisé
pour lancer l’application CreateProcessAsUser auquel on passe le jeton d’administrateur
en paramètre. C’est pourquoi l’exécution d’une Invite de commandes en tant
postes de travail
avez les privilèges complets.
Informations complémentaires
Vous en saurez plus sur la sécurité de Windows Vista en visitant les sites suivants :
j www.microsoft.com/france/technet/produits/windowsvista/deploy/appcompat
/acshims.mspx ;
j www.microsoft.com/france/events/event.aspx?EventID=118769731 ;
j www.microsoft.com/france/events/event.aspx?EventID=118769729 ;
j www.microsoft.com/france/events/event.aspx?EventID=118769730 ;
j www.microsoft.com/france/technet/produits.
847
Chapitre 26 La sécurisation des postes de travail
Si l’on en croit plusieurs rapports internationaux, les virus informatiques ont un impact
économique mondial qui dépasse les 10 milliards de dollars par an. Pour quelque chose
de familier et de routinier, on s’aperçoit quand même que les virus frappent encore de
nos jours. Il s’agit de coûts aussi bien directs qu’indirects.
Le coût direct d’une attaque de virus correspond aux dépenses nécessaires pour réparer
26. La sécurisation des
les dommages causés. Cette réparation peut demander un effort important à l’équipe
postes de travail
Les coûts indirects d’une attaque virale sont plus difficiles à déterminer. Certaines
organisations ont connu une baisse de productivité et de chiffre d’affaires après avoir été
privées de leur messagerie électronique ou d’un autre système vital pour leur activité
pendant plusieurs semaines à cause d’un virus. Une attaque virale peut provoquer une
perte de données ou compromettre des informations confidentielles. Une attaque virale
réussie peut également nuire à la réputation de l’entreprise en dégradant la confiance
des clients, des investisseurs et des créanciers. Bien que le montant des coûts indirects
soit plus difficile à estimer, il est évident que ces coûts existent et qu’ils sont
considérables. Imaginez les dommages que cela peut causer à une petite entreprise qui
n’a pas forcément les moyens d’investir dans son système d’information.
Les particuliers et les très petites entreprises peuvent acheter des produits antivirus
autonomes et les installer sur chaque ordinateur client.
Les petites et moyennes entreprises peuvent utiliser une stratégie de groupe pour
déployer un logiciel antivirus vers les ordinateurs clients de manière centralisée.
Pour les grandes entreprises, la plupart des fournisseurs de logiciels antivirus proposent
des produits pour l’entreprise qui permettent de déployer ces logiciels de manière
centralisée vers les ordinateurs clients de l’ensemble de l’infrastructure. Vous pouvez
généralement déployer le logiciel antivirus via le service d’annuaire Active Directory ou
par le biais d’une console d’administration proposée par le fournisseur. Les fournisseurs
utilisent des méthodes de distribution propriétaires pour prendre en charge les versions
antérieures de Windows et les systèmes d’exploitation tiers. Ces produits pour
entreprise peuvent répondre aux besoins des organisations de taille moyenne, mais ils
risquent d’être trop complexes ou trop coûteux pour les petites entreprises.
848
Implémenter la sécurité des postes de travail à l’aide d’Active Directory
postes de travail
Pour les ordinateurs de bureau qui sont en permanence connectés au réseau de
l’entreprise, la solution idéale consiste à télécharger les mises à jour des définitions de
virus vers les serveurs du réseau local, puis à les distribuer aux clients à partir de ces
serveurs. La solution de distribution idéale repose sur un modèle d’émission où les
définitions sont immédiatement copiées vers les clients. Malheureusement, bon nombre
de solutions antivirus actuelles doivent prendre en charge des clients hérités et
s’appuient donc sur un modèle de collecte où les clients vérifient les mises à jour à
intervalles réguliers (quelques heures). En règle générale, il n’est pas conseillé de laisser
les utilisateurs télécharger eux-mêmes les mises à jour de leur logiciel antivirus. Il est
préférable que les administrateurs puissent contrôler l’application en masse de ces
paramètres.
Pour les ordinateurs portables, il est également important de prévoir de quelle manière
ils seront mis à jour une fois qu’ils seront déconnectés du réseau d’entreprise. Dans la
mesure où un nouveau virus peut facilement s’introduire dans un ordinateur portable,
via les supports amovibles ou une connexion fugace à Internet, il peut être utile de
télécharger les mises à jour de logiciels antivirus sur les portables à partir du site d’un
fournisseur.
849
Chapitre 26 La sécurisation des postes de travail
les différents systèmes d’exploitation utilisés par les ordinateurs clients. Vous
avez également la possibilité de créer des unités d’organisations distinctes pour
différents types d’ordinateurs clients, par exemple les ordinateurs de bureau et
les ordinateurs portables.
850
Implémenter la sécurité des postes de travail à l’aide d’Active Directory
j Les modèles pour ordinateurs portables (Laptop) : ces modèles contiennent des
paramètres conçus pour résoudre les problèmes de sécurité liés à la portabilité de
ces ordinateurs.
Les ordinateurs clients des environnements à haute sécurité sont ceux qui nécessitent
une sécurité extrêmement forte. Dans ce cas, la fonctionnalité utilisateur est limitée aux
seules fonctions nécessaires à l’exécution de tâches spécifiques. L’accès est limité aux
applications, services et environnements d’infrastructure approuvés.
Vous pouvez utiliser ces modèles tels quels si les paramètres qu’ils contiennent
conviennent à votre environnement réseau. Pour adapter un modèle aux besoins de
votre organisation, utilisez le composant logiciel enfichable Modèles de sécurité. Après
l’avoir correctement configuré, vous pouvez importer un modèle dans un objet de
stratégie de groupe qui s’applique au domaine ou à une unité d’organisation spécifique
de ce domaine. La console de gestion des stratégies de groupe (GPMC, Group Policy
Management Console) permet de modifier des objets de stratégie de groupe et d’y
importer des modèles de sécurité.
Windows Server 2003 est fourni avec un jeu de modèles d’administration qui prend en
charge les ordinateurs exécutant Windows Server 2003, Windows XP Professionnel et
Windows 2000. Ils prennent partiellement en charge Windows Vista. Il faudra créer la
stratégie de groupe à partir de Windows Vista.
851
Chapitre 26 La sécurisation des postes de travail
il se peut que vous deviez configurer manuellement les paramètres de ce modèle que
vous souhaitez utiliser avant de les appliquer aux ordinateurs et utilisateurs de votre
entreprise. Il vous faut bien sûr passer par une phase de retouches pour l’adapter à vos
besoins. Sachez également que les fournisseurs d’applications tiers peuvent inclure
d’autres modèles dans leurs logiciels.
26. La sécurisation des
postes de travail
852
Implémenter la sécurité des postes de travail à l’aide d’Active Directory
Windows Vista et Windows Server 2003. Il spécifie les comptes qui sont membres
d’un groupe et les groupes dont ce groupe est membre.
j Options de sécurité : ce paramètre permet d’activer ou de désactiver un grand
nombre de paramètres de sécurité divers relatifs aux utilisateurs et aux ordinateurs,
notamment la signature numérique des données, les noms des comptes
d’administrateur et d’invité, les méthodes d’authentification pour le contrôle
postes de travail
session.
j Stratégies de restriction logicielle : les stratégies de restriction logicielle permettent de
spécifier quel logiciel peut ou ne peut pas s’exécuter sur un ordinateur client. Elles
utilisent des règles de hachage, de chemin d’accès, de zone et de certificat.
j Services système : ce paramètre définit le mode de démarrage par défaut et la
configuration de sécurité des services, y compris les autorisations d’accès.
j Attribution des droits utilisateur : ce paramètre indique les opérations système que les
utilisateurs et les groupes sont autorisés à effectuer.
853
Chapitre 26 La sécurisation des postes de travail
protocole d’authentification utilisé par les ordinateurs clients ainsi que le niveau négocié
de sécurité de la session. Plusieurs options sont disponibles pour ce paramètre. Nous
vous recommandons de définir le plus fort niveau d’authentification possible pour votre
infrastructure. Dans un environnement d’ordinateurs de type entreprise, il est conseillé
de sélectionner Envoyer uniquement les réponses NTLMv2. Voici les options
disponibles…
26. La sécurisation des
postes de travail
854
Implémenter la sécurité des postes de travail à l’aide d’Active Directory
j Les hachages LM existants sont supprimés lorsque les utilisateurs modifient leurs
mots de passe.
postes de travail
mutuelle qui permet de mettre fin à une attaque de l’intercepteur et l’authentification
des messages qui empêche les attaques par messages actifs. La signature SMB assure
cette authentification en plaçant dans chaque bloc SMB une signature numérique qui
est ensuite vérifiée à la fois par le client et par le serveur.
j Pour utiliser la signature SMB, vous devez l’activer ou la rendre obligatoire sur le
client et le serveur SMB. Si la signature SMB est activée sur un serveur, les clients
qui sont aussi activés pour la signature SMB utilisent le protocole de signature des
paquets pendant toutes les sessions qui suivent. Si la signature SMB est obligatoire
sur un serveur, un client ne peut établir une session que s’il est au moins activé pour
la signature SMB.
j Lorsque cette stratégie est activée, elle exige du client SMB de signer les paquets.
Lorsque cette stratégie est désactivée, le client SMB n’est pas obligé de signer les
paquets.
j Voici les options de signature SMB pour les ordinateurs Windows 2000 et plus
récents, ainsi que leur configuration recommandée dans un environnement de
sécurité de type client d’entreprise : Client réseau Microsoft : Communications
signées numériquement (toujours) prend la valeur Désactivé et Client réseau
Microsoft : Communications signées numériquement (lorsque le serveur l’accepte)
prend la valeur Activé.
855
Chapitre 26 La sécurisation des postes de travail
856
En résumé
postes de travail
Microsoft et contactez vos autres fournisseurs de logiciels pour obtenir des modèles
d’administration supplémentaires. Microsoft fournit des modèles d’administration
pour beaucoup de ses produits, y compris Office et Internet Explorer.
26.5. En résumé
Certes, la sécurité des postes de travail de l’entreprise tient à la bonne configuration des
outils de sécurité tels l’antivirus, le pare-feu, l’antispyware, etc., mais pas seulement. La
sécurité des postes de travail tient pour beaucoup des paramètres qui sont poussés par
les mécanismes de l’infrastructure (les stratégies de groupe dans Active Directory). Tout
est lié. Tout doit être bien harmonieux. Si vous sécurisez l’infrastructure sans vous
soucier de l’antivirus local alors vous êtes vulnérable et inversement.
857
Partie
D
Annexes
Partie
D Annexes
Annexe I - Liste
alphabétique des
commandes
27.1 A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
27.2 B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
27.3 C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
27.4 D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
27.5 E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
27.6 F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
27.7 G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
27.8 L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
27.9 M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
27.10 N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
27.11 P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906
27.12 R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913
27.13 S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916
27.14 T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 922
A
27. Annexe I -
commandes
Ce chapitre a pour objectif de présenter un ensemble de commandes qui n’ont pas été
illustrées au long de cet ouvrage.
27.1. A
ADPREP
(Nouvelle commande sous Windows Server 2003).
j Cet outil en ligne de commandes se trouve dans le dossier \I386 sur le CD-Rom de
Windows Server 2003. adprep dépend de plusieurs fichiers se trouvant dans cd
dossier ; vous ne pouvez donc pas le retirer du CD-Rom et l’exécuter de façon
indépendante.
863
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
j Lorsque vos forêts et domaines ont été préparés par l’exécution de adprep, les
contrôleurs de domaine restants peuvent continuer à fonctionner sous
Windows 2000, jusqu’à ce que vous décidiez de les mettre à niveau.
j Envisagez d’installer les Service Pack 3 sur vos contrôleurs de domaines
Windows 2000 avant d’utiliser adprep. Si des contrôleurs de domaine
Windows 2000 fonctionnent avec le Service Pack 3, il est plus facile de les
administrer à distance depuis Windows XP Professionnel ou depuis des machines
Windows Server 2003 utilisant le jeu des outils d’administration Windows
Server 2003.
AT
La commande AT planifie l’exécution des commandes et programmes sur l’ordinateur à
une date et à une heure spécifiées. Le service Planification doit fonctionner pour utiliser
la commande AT.
864
A
27. Annexe I -
commandes
vous modifiez ensuite les paramètres de la tâche en utilisant tâches planifiées, vous
ne pouvez plus y accéder depuis la ligne de commandes at.
j Vous devez être membre du groupe local Administrateurs pour utiliser cette
commande.
j Le service Planificateur de tâches doit être en cours d’exécution pour utiliser cette
commande. Si nécessaire, employez la console Services pour le démarrer. (Par
défaut, ce service est configuré de manière à se lancer automatiquement au
démarrage du système.)
j Les tâches planifiées sont stockées dans le Registre et ne sont pas perdues si vous
redémarrez le service Planificateur de tâches.
j Le répertoire courant pour l’exécution d’une tâche planifiée est %Systemroot%.
j Les tâches planifiées s’exécutent comme des processus en arrière-plan et aucune
sortie n’est affichée sur l’écran. Vous pouvez rediriger la sortie écran vers un fichier
en utilisant le symbole de redirection (>).
j Si vous modifiez l’heure système d’un ordinateur après avoir planifié l’exécution
d’une tâche sur celui-ci, n’oubliez pas de synchroniser le planificateur de
commandes avec la nouvelle heure lançant at sans options.
j Si une tâche planifiée utilise une lettre de lecteur afin de se connecter à un partage
réseau, n’oubliez pas de planifier une seconde tâche afin de déconnecter le lecteur
lorsque vous ne l’utilisez plus. Sinon, la lettre de lecteur ne sera pas disponible
depuis l’Invite de commandes.
ATTRIB
Affiche ou modifie des attributs de fichier.
865
Chapitre 27 Annexe I - Liste alphabétique des commandes
Syntaxe : ATTRIB [+R | −R] [+A | −A ] [+S | −S] [+H | −H] [[lect:]
[chemin] fichier] [/S [/D]]
+ Définit un attribut.
− Efface un attribut.
R Attribut de fichier en lecture seule.
A Attribut de fichier archive.
S Attribut de fichier système.
Liste alphabétique des
commandes
[Lecteur:]
[Chemin]
[NomFichier] Spécifie le ou les fichiers que ATTRIB doit traiter.
/S Traite les fichiers dans le dossier courant et dans tous les
sous-dossiers.
/D Traite aussi les dossiers.
j Si les attributs System ou Cached sont définis sur un fichier, ils doivent être
supprimés avant de pouvoir modifier tout autre attribut de ce fichier.
j Attrib est également disponible depuis la console de récupération.
27.2. B
BOOTCFG
(Nouvelle commande sous Windows Server 2003).
Cet outil de ligne de commandes peut être utilisé pour configurer, interroger, modifier
ou supprimer les paramètres de l’entrée de démarrage dans le fichier boot.ini.
866
C
27. Annexe I -
commandes
/Addsw Autorise l’utilisateur à ajouter des commutateurs prédéfinis pour
une entrée de démarrage spécifiée.
/Rmsw Autorise l’utilisateur à supprimer des commutateurs prédéfinis pour
une entrée de démarrage spécifiée.
/Dbg1394 Autorise l’utilisateur à configurer le débogage du port 1394 pour une
entrée de démarrage spécifiée.
/? Affiche cet écran d’aide.
Pour cela :
1. Dans le Panneau de configuration, choisissez Système/Avancé/Démarrage et
récupération.
2. Sélectionnez Paramètres et choisissez le système d’exploitation par défaut.
Modifiez le délai de sélection.
3. Cliquez sur Modifier pour éditer Boot.ini.
27.3. C
CACLS
Affiche ou modifie les listes de contrôle d’accès (ACL) des fichiers.
867
Chapitre 27 Annexe I - Liste alphabétique des commandes
/S:SDDL Remplace les listes ACL par celles spécifiées dans SDDL (non valide
27. Annexe I -
commandes
j cacls ne peut être utilisée pour créer des autorisations spéciales, uniquement des
autorisations standards. De ce point de vue, elle est moins fine que l’interface
graphique.
j Vous pouvez spécifier plusieurs fichiers ou utilisateurs dans une commande.
868
C
j cacls ne peut être utilisée pour définir des autorisations sur la racine d’un volume
NTFS monté sur un dossier d’un volume NTFS différent.
j Pour employer cacls dans un fichier de commande, vous devez fournir un moyen
de répondre automatiquement aux invites qu’elle peut générer. Puisque cacls n’a
pas d’option /y, utilisez la commande Echo afin d’envoyer y comme réponse au
message "Êtes-vous sûr ?" que calcs pourrait générer : Echo y | cacls
NomFichier /g NomUtilisateur:autorisation.
j cacls est utile pour ajouter automatiquement le groupe Administrateurs aux ACL
des répertoires d’accueil des utilisateurs. Consultez l’article Q180464 de la Base de
connaissance sur Microsoft TechNet pour voir plusieurs scripts réalisant cette
27. Annexe I -
commandes
CHKDSK
Vérifie un disque et affiche un rapport d’état.
869
Chapitre 27 Annexe I - Liste alphabétique des commandes
j Si vous choisissez de corriger avec CHKDSK /f, il existe une possibilité de perte de
27. Annexe I -
données (en particulier FAT). C’est pourquoi il vous est demandé de confirmer si
commandes
CHKNTFS
Affiche ou modifie la vérification du disque au démarrage.
870
C
27. Annexe I -
commandes
j Vous devez être membre du groupe Administrateur pour utiliser la commande
chkntfs.
j chkntfs vérifie tous les volumes au démarrage.
j Ne fixez pas la durée du compte à rebours à zéro car la vérification du système de
fichiers peut être très longue et l’utilisateur ne sera pas en mesure d’annuler cette
opération. (chkntsf ne peut être stoppé lorsque son exécution est lancée.)
CIPHER
Affiche ou modifie le cryptage de répertoires (fichiers) sur partitions NTFS.
Syntaxe : CIPHER [/E | /D] [/S:répert] [/A] [/I] [/F] [/Q] [/H]
[chemin [...]]
CIPHER /K
CIPHER /R:nom_fich
CIPHER /U [/N]
CIPHER /W:répert
CIPHER /X[:fich_EFS] [nom_fich]
/A Traite les fichiers et les répertoires. Un fichier crypté peut être
décrypté s’il est modifié et que le répertoire parent n’est pas crypté. Il
est recommandé de crypter le fichier et le répertoire parent.
/D Décrypte les répertoires spécifiés. Les répertoires sont marqués afin
que les fichiers ajoutés ultérieurement ne soient pas cryptés.
871
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
exécutant CIPHER. Si cette option est choisie, les autres options sont
ignorées.
/N Cette option ne fonctionne qu’avec /U. Elle empêche les clés d’être
mises à jour. Elle permet de trouver tous les fichiers cryptés sur les
lecteurs locaux.
/Q Signale uniquement les informations les plus importantes.
/R Génère une clé et un certificat d’agent de récupération EFS, et les
enregistre dans un fichier .PFX (contenant la clé privée et le
certificat) et dans un fichier .CER (ne contenant que le certificat). Un
administrateur peut ajouter le contenu du fichier .CER à la stratégie
de récupération EFS afin de créer un agent de récupération pour les
utilisateurs, et importer le fichier .PFX pour récupérer des fichiers
spécifiques.
/S Effectue l’opération spécifiée sur le répertoire donné et tous ses
sous-répertoires.
/U Tente d’atteindre tous les fichiers cryptés sur les lecteurs locaux.
Cette option permet de mettre à jour la clé de cryptage de fichier de
l’utilisateur ou la clé de l’agent de récupération avec les clés en cours
si elles ont été modifiées. Cette option ne fonctionne pas avec les
autres options à l’exception de /N.
/W Supprime les données de l’espace disque inutilisé sur tout le volume.
Si cette option est sélectionnée, les autres options sont ignorées. Le
répertoire spécifié peut se trouver n’importe où dans un volume
local. S’il s’agit d’un ou de plusieurs points de montage vers un
répertoire sur un autre volume, les données sur ce volume seront
supprimées.
872
C
27. Annexe I -
commandes
répertoires.
j Vous ne pouvez pas chiffrer les fichiers système ou compressés.
CLIP
(Nouvelle commande sous Windows Server 2003).
Redirige la sortie des outils de ligne de commandes vers le Presse-papiers. Ce texte peut
ensuite être collé dans d’autres programmes.
Exemples :
DIR | CLIP Copie le contenu du répertoire en cours dans le Presse-papiers
Windows.
CLIP < README
.TXT Copie le contenu du fichier readme.txt dans le Presse-papiers
Windows.
CMD
Démarre une nouvelle instance de l’interpréteur de commandes de Windows.
Syntaxe : CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF]
[/V:ON | /V:OFF] [[/S] [/C | /K] chaîne]
/C Exécute la commande donnée par la chaîne de caractères puis se
termine.
873
Chapitre 27 Annexe I - Liste alphabétique des commandes
Unicode.
27. Annexe I -
commandes
j Utilisez les guillemets pour entourer les commandes contenant des espaces.
j Utilisez $$ pour séparer de multiples commandes entourées de guillemets au sein
d’une ligne de commandes.
j /x est identique à /e :on et /y est identique /e :off, pour des raisons de
compatibilité avec l’interpréteur de commandes de Windows NT.
874
C
CMDKEY
(Nouvelle commande sous Windows Server 2003).
commandes
/user:nom_utilisateur {/pass{:mot_passe}}} |
/delete{:nom_cible | /ras} | /list{:nom_cible}]
Quelques exemples
j Pour répertorier les informations d’identification disponibles :
cmdkey /list
cmdkey /list:nom_cible
j Pour créer des informations d’identification de domaine :
cmdkey /add:nom_cible /user:nom_utilisateur /pass:mot_passe
cmdkey /add:nom_cible /user:nom_utilisateur /pass
cmdkey /add:nom_cible /user:nom_utilisateur
cmdkey /add:nom_cible /smartcard
cmdkey /delete:nom_cible
j Pour supprimer les informations d’identification RAS :
cmdkey /delete /ras
Vous pouvez également gérer les informations d’identification enregistrées depuis
l’interface graphique à l’aide de l’utilitaire Noms et Mots de passe utilisateurs enregistré
du Panneau de configuration.
875
Chapitre 27 Annexe I - Liste alphabétique des commandes
CSVDE
Échange d’annuaires CSV.
−i Active l’importation (l’exportation est activée par défaut).
−f NomFichier Nom de fichier d’entrée ou de sortie.
−s NomServeur Serveur avec lequel effectuer la liaison (par défaut, le contrôleur de
domaine du domaine de l’ordinateur).
Liste alphabétique des
commandes
876
D
−b NomUtilisateur
Domaine [Mot
_passe | *] Méthode de liaison SSPI.
j csvde est utilisé pour créer de multiples comptes utilisateurs. Pour cela :
− Le fichier csv que vous importez doit contenir une première ligne, appelée "ligne
d’attribut" qui spécifie le nom de chaque attribut défini dans le fichier.
− Il doit contenir une ligne supplémentaire pour chaque compte d’utilisateur que
vous souhaitez créer. Les attributs de cette ligne correspondront à ceux de la
ligne d’attributs (la première ligne). Utilisez les guillemets pour inclure des
27. Annexe I -
− Il doit contenir le chemin du compte utilisateur dans Active Directory, le type
commandes
d’objet et le nom d’ouverture de session utilisateur (antérieur à Windows 2000/
2003) pour chaque utilisateur.
− Il doit contenir le nom d’utilisateur principal (UPN) pour chaque utilisateur.
− Il doit spécifier si le compte est activé ou désactivé (par défaut activé).
− Il peut inclure toute information personnelle qui est un attribut d’un compte
d’utilisateur, comme une adresse ou un numéro de téléphone.
j Les mots de passe ne sont pas inclus dans les fichiers de csvde car ce sont des
fichiers texte (fichiers .csv) et ils ne sont donc pas sécurisés. csvde crée de nouveaux
comptes d’utilisateurs et leur attribue un mot de passe vide. C’est pourquoi il est
préférable que ces comptes soient désactivés à leur création car n’importe qui peut
ouvrir une session en utilisant des comptes dont le mot de passe est vide.
j csvde ne peut être utilisé que pour ajouter des objets à Active Directory ; elle ne
peut modifier ou supprimer des objets existants.
j Microsoft Excel est un bon outil pour la création de fichiers csvde car il peut
exporter ces derniers au format de données csv.
27.4. D
DATE
Affiche ou modifie la date.
Entrez DATE sans paramètres pour afficher la date système et être invité à la modifier.
Appuyez sur [Ä] pour conserver la même date.
877
Chapitre 27 Annexe I - Liste alphabétique des commandes
DCGPOFIX
Recrée les objets de stratégie de groupe par défaut d’un domaine.
Liste alphabétique des
commandes
/target:
{Domain | DC |
BOTH} Facultatif. Spécifie l’objet de stratégie de groupe à restaurer : l’objet
de stratégie de groupe de la stratégie de domaine par défaut et/ou
l’objet de stratégie de groupe de la stratégie par défaut des
contrôleurs de domaine.
/ignoreschema Facultatif. Utilisez ce commutateur pour que cet outil ignore la
version de schéma Active Directory. Sinon, cet outil fonctionnera
uniquement sur la même version de schéma que la version Windows
dans laquelle il a été fourni.
j Lorsque vous exécutez dcgpofix, vous perdez toutes les modifications effectuées
aux objets de stratégies de groupes.
j L’option /ignore schéma permet à dcgpofix de fonctionner avec des versions
différentes d’Active Directory, mais assurez-vous d’utiliser la version de dcgpofix
incluse avec votre version courante d’Active Directory.
DEFRAG
(Nouvelle commande sous Windows Server2003)
Défragmente le volume.
878
D
879
Chapitre 27 Annexe I - Liste alphabétique des commandes
/view \\nom_dfs
\partage_dfs
[/partial |
/full | /batch ||
/batchrestore] Afficher tous les volumes du système DFS. Sans arguments, affiche
seulement les noms de volumes. Avec l’option /partial, affiche
également les commentaires. Avec l’option /full, affiche la liste
des serveurs d’un volume. Avec /batch, crée un fichier batch
permettant de recréer le DFS. Avec /batchrestore, crée un
fichier batch permettant de recréer le DFS à l’aide de l’option
Liste alphabétique des
/restore.
/move \\nom_dfs\
27. Annexe I -
commandes
partage_dfs
\chemin1 \\nom
_dfs\partage
_dfs\chemin2
[/force] Déplacer un dossier situé dans le DFS vers un autre chemin d’accès
logique. Si l’option /force est utilisée, les liens existants sont
remplacés si nécessaire.
Les chemins d’accès et les commentaires contenant des espaces doivent être placés
entre guillemets.
j La commande dfscmd peut gérer des arborescences DFS existantes (de domaine ou
autonomes) mais elle ne peut être utilisée pour en créer de nouvelles. Vous devez
utiliser la console Système de fichiers distribués pour créer une nouvelle arborescence
dfs en définissant une nouvelle racine dfs.
j Les chemins qui contiennent des espaces doivent être placés entre guillemets.
DISKPART
(Nouvelle commande sous Windows Server 2003).
880
D
commandes
DETAIL Fournit des détails concernant un objet.
ATTRIBUTES Manipule les attributs de volume.
EXIT Quitte DiskPart.
EXTEND Étend un volume.
GPT Assigne des attributs à la partition GPT sélectionnée.
HELP Imprime une liste de commandes.
IMPORT Importe un groupe de disques.
INACTIVE Marque la partition de base actuelle comme inactive.
LIST Imprime une liste des objets.
ONLINE Indique en ligne un disque actuellement indiqué hors ligne.
REM Ne fait rien. Utilisé pour commenter des scripts.
REMOVE Supprime une lettre de lecteur ou l’assignation à un point de
montage.
REPAIR Répare un volume RAID-5 avec un membre défectueux.
RESCAN Analyse à nouveau l’ordinateur à la recherche de disques et de
volumes.
RETAIN Place une partition nominale sous un volume simple.
SELECT Déplace le focus vers un objet.
j Lorsque des commandes diskpart sont exécutées depuis un script, il est possible de
rediriger la sortie vers un fichier texte afin de consulter ce dernier ultérieurement :
881
Chapitre 27 Annexe I - Liste alphabétique des commandes
− 1 : exception fatale.
commandes
DSGET
(Nouvelle commande sous Windows Server 2003).
Les commandes de cet outil affichent les propriétés sélectionnées d’un objet spécifique
de l’annuaire.
882
D
DSMOVE
(Nouvelle commande sous Windows Server 2003).
27. Annexe I -
<Nom_Utilisateur>] [−p {<Mot_de_passe> | *}] [−q] [{−uc |
commandes
−uco | −uci}]
<DN_Objet> Requis/stdin. Nom unique (DN) de l’objet à déplacer ou
renommer. Si ce paramètre est omis, il est lu à partir de l’entrée
standard (stdin).
−newparent
<DN_Parent> DN de l’emplacement du nouveau parent vers lequel l’objet doit être
déplacé.
−newname
<Nouveau_Nom> Nouvelle valeur de nom unique relatif (RDN) sous laquelle l’objet
doit être renommé.
{−s <Serveur>
| −d <Domaine>} −s <Serveur> se connecte au contrôleur de domaine (DC) sous le
nom <Serveur>. −d <Domaine> se connecte à un contrôleur de
domaine dans le domaine <Domaine>. Par défaut, un contrôleur de
domaine du domaine de connexion.
−u <Nom
_Utilisateur> Se connecte en tant que <Nom_Utilisateur>. Par défaut :
l’utilisateur connecté. Un nom d’utilisateur peut être : un nom
d’utilisateur, domaine\nom_utilisateur, ou un nom
d’utilisateur principal (UPN).
−p <Mot_de
_passe> Mot de passe de l’utilisateur <Nom_Utilisateur>. Si * est utilisé,
un mot de passe est demandé.
−q Mode silencieux : supprime tout affichage sur la sortie standard.
883
Chapitre 27 Annexe I - Liste alphabétique des commandes
{−uc | −uco |
−uci} −uc indique que l’entrée à partir du pipe ou la sortie vers le pipe est
au format Unicode. −uco indique que la sortie vers le pipe ou le
fichier est au format Unicode. −uci indique que l’entrée à partir du
pipe ou du fichier est au format Unicode.
j Vous pouvez déplacer et renommer un objet en une seule étape en utilisant les
options –newparent et –newname.
j dsmove peut déplacer des objets uniquement au sein d’un domaine. Pour déplacer
des objets entre des domaines, employez l’utilitaire MoveTreee qui se trouve sur le
CD-Rom du produit.
Liste alphabétique des
27. Annexe I -
commandes
DSQUERY
(Nouvelle commande sous Windows Server 200).
L’ensemble de commandes de cet outil vous permet d’effectuer des requêtes sur
l’annuaire selon des critères spécifiés. Chacune des commandes dsquery suivantes
permet de rechercher des objets d’un type spécifique, à l’exception de la commande
dsquery *, qui permet d’effectuer des requêtes pour n’importe quel type d’objet.
884
E
27.5. E
EVENTQUERY
(Nouvelle commande sous Windows Server 2003).
27. Annexe I -
commandes
CSV}] [/r PlageÉvénement [/nh] [/v] [/l [APPLICATION]
[SYSTEM] [SECURITY] ["DNS server"] [JournalDéfini
ParUtilisateur] [NomJournalRépertoire] [*] ]
/s Ordinateur Spécifie le nom ou l’adresse IP d’un ordinateur distant (n’utilisez pas
de barres obliques inversées). Il s’agit par défaut de l’ordinateur
local.
/u Domaine\
Utilisateur Exécute le script avec les autorisations de compte de l’utilisateur
spécifié par Utilisateur ou Domaine \Utilisateur. Il s’agit par
défaut des autorisations de l’utilisateur actuellement connecté sur
l’ordinateur où est émise la commande.
/p MotDePasse Spécifie le mot de passe du compte d’utilisateur spécifié par le
paramètre /u.
/fi NomFiltre Spécifie les types d’événements à inclure ou à exclure de la requête
/fo {TABLE |
LIST | CSV} Spécifie le format à utiliser pour la sortie. Les valeurs valides sont
table, list et csv.
/r Plage
Événement Spécifie la plage d’événements à répertorier.
/nh Supprime les en-têtes de colonnes dans la sortie. Valide uniquement
pour les formats table et csv.
/v Spécifie l’affichage des commentaires sur les événements dans la
sortie.
885
Chapitre 27 Annexe I - Liste alphabétique des commandes
/l [APPLICATION]
[SYSTEM]
[SECURITY]
["DNS server"]
[JournalDéfini
ParUtilisateur]
[NomJournal
Répertoire] [*] Spécifie le ou les journaux à surveiller. Les valeurs valides sont
Application, System, Security, "DNS server", un journal
défini par l’utilisateur et un journal de répertoire. "DNS server"
peut être utilisé uniquement si le service DNS est exécuté sur
Liste alphabétique des
commandes
27.6. F
FINGER
Affiche des informations sur un ou plusieurs utilisateurs sur un ordinateur distant
spécifié (généralement un ordinateur sous Unix) qui exécute le service Finger ou
démon. L’ordinateur distant spécifie le format et la sortie de l’affichage des
informations de l’utilisateur. Utilisé sans paramètres, finger affiche des informations
d’aide.
886
F
La machine distante doit exécuter le démon ou le service Finger. Si ce n’est pas le cas,
vous recevez un message "Connexion refusé" en réponse à la commande finger.
Windows Server 2003 n’inclut pas de service Finger ; uniquement un client en ligne
finger.
FORMAT
Formate un disque utilisable avec Windows.
27. Annexe I -
commandes
[/A:taille] [/C] [/X]
887
Chapitre 27 Annexe I - Liste alphabétique des commandes
Lorsque format est utilisé avec la console de récupération, seules les options /fs et /q
sont disponibles.
Liste alphabétique des
27. Annexe I -
commandes
FREEDISK
Cet outil vérifie si la quantité spécifiée d’espace libre est disponible sur le lecteur
spécifié. Renvoie 0 si l’espace est disponible et 1 si l’espace n’est pas disponible.
Lorsqu’une valeur n’est pas spécifiée, l’espace libre disponible est affiché. La valeur par
défaut est le lecteur ou le volume en cours.
888
F
FTP
Transfère des fichiers vers et depuis un ordinateur exécutant un service de serveur FTP
(File Transfer Protocol) tel que les services Internet (IIS). Ftp peut être utilisée de
manière interactive ou en mode Batch, en traitant des fichiers texte ASCII.
27. Annexe I -
commandes
entre le client FTP et le serveur FTP.
−i Désactive les messages interactifs lors des transferts de fichiers
multiples.
−n Supprime la possibilité d’ouvrir automatiquement une session une
fois la connexion initiale établie.
−g Désactive la globalisation des noms de fichiers. Glob permet
l’utilisation de l’astérisque (*) et du point d’interrogation (?) comme
caractères génériques dans les noms de fichiers et les chemins
d’accès. Pour plus d’informations, consultez Rubriques connexes.
−s:Nom_Fichier Spécifie un fichier texte contenant des commandes FTP. Ces
commandes s’exécutent automatiquement après le démarrage de
FTP. Ce paramètre n’admet aucun espace. Utilisez ce paramètre au
lieu du symbole de redirection (<).
−a Spécifie que n’importe quelle interface locale peut être utilisée lors
de la liaison de la connexion de données FTP.
−w:Taille_Tampon Spécifie la taille du tampon de transfert. La taille de tampon par
défaut est de 4096 octets.
−A Ouvre une session sur le serveur FTP en tant que session anonyme.
Hôte Spécifie le nom d’ordinateur, l’adresse IP ou l’adresse IPv6 du
serveur FTP auquel vous souhaitez vous connecter. S’il est spécifié,
le nom ou l’adresse de l’hôte doit être le dernier paramètre de la
ligne.
j La commande ftp est un client par opposition au service ou au démon FTP qui
réside sur le serveur.
889
Chapitre 27 Annexe I - Liste alphabétique des commandes
j Windows Server 2003 propose Service de publication FTP avec IIS (Internet
Information Service). Par défaut, le répertoire d’accueil ou racine de ce service
correspond au répertoire C:\Inetpub\ftproot sur le serveur.
j FTP est non sécurisé car il transmet les mots de passe en clair.
commandes
27.7. G
GETMAC
Cet outil permet à un administrateur d’afficher l’adresse MAC des cartes réseau d’un
ordinateur.
GPRESULT
(Nouvelle commande sous Windows Server 2003).
890
G
/U [domaine\]
utilisateur Spécifie le contexte utilisateur sous lequel cette commande doit
s’exécuter.
/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est
demandé s’il est omis.
/SCOPE étendue Précise si les paramètres de l’ordinateur doivent être affichés.
Valeurs autorisées : USER, COMPUTER.
/USER [domaine\]
utilisateur Spécifie le nom d’utilisateur pour lequel les données RSOP sont
27. Annexe I -
commandes
/V Indique que les informations détaillées doivent être affichées. Ces
informations présentent d’autres paramètres détaillés qui ont été
appliqués avec une priorité de 1.
/Z Spécifie que les informations extrêmement détaillées doivent être
affichées. Ces informations présentent d’autres paramètres détaillés
qui ont été appliqués avec une priorité de 1 et plus. Ceci vous permet
de savoir si un paramètre a été appliqué en plusieurs endroits.
Consultez l’aide en ligne des stratégies de groupe pour plus de
détails.
Si vous exécutez GPRESULT sans paramètres, il renvoie les données RSoP de l’utilisateur
en session sur l’ordinateur exécutant le programme.
GPUPDATE
(Nouvelle commande sous Windows Server 2003).
891
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
j Cette commande peut actualiser les paramètres de la stratégie de groupe sur des
ordinateurs autonomes ou dans Active Directory.
j La commande gpudate remplace la commande secedit /refreshpolicy.
892
L
27.8. L
LDIFDE
Échange de répertoires LDIF.
27. Annexe I -
−f NomFichier Nom de fichier d’entrée ou de sortie.
commandes
−s NomServeur Serveur avec lequel effectuer la liaison (par défaut, le contrôleur de
domaine du domaine de l’ordinateur).
−c NDsrc NDcib Remplace les occurrences de NDsrc par NDcib.
−v Affiche les commentaires.
−j Chemin Emplacement du fichier journal.
−t Port Numéro de port (par défaut = 389).
−u Utilise le format Unicode.
−w timeout Termine l’exécution si le serveur prend plus de temps que le nombre
de secondes spécifiées pour répondre à l’opération (par défaut =
aucun délai d’expiration spécifié).
−h Active le cryptage de la couche SASL.
−d NDracine Racine de la recherche LDAP (utilise le contexte d’attribution de
nom par défaut).
−r Filtre Filtre de recherche LDAP (par défaut(objectClass=*)).
−p Étendue
Rech Étendue de recherche (Base/Un niveau/Sous−
arborescence).
−l liste Liste d’attributs (séparée par virgules) à rechercher lors d’une
recherche LDAP.
−o liste Liste d’attributs (séparée par virgules) à omettre de l’entrée.
−g Désactive la recherche paginée.
−m Active la logique SAM pour l’exportation.
893
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
−a DN_utilisateur
[Mot_de_passe
| *] Authentification simple.
−b Nom_
utilisateur
Domaine [Mot_de
_passe | *] Méthode de liaison SSPI.
LPQ
Affiche l’état d’une file d’attente lpd distante.
j Lpq peut également interroger des serveurs non LPD (par exemple des serveurs
d’impression Microsoft Windows). Cependant, elle ne vous permet pas d’envoyer
des travaux à ces serveurs d’impression.
j Voici comment interroger la file d’attente d’impression TPC/IP de la machine
locale : Lpq –S localhost –P NomImprimante.
894
M
LPR
Envoie un travail d’impression vers une imprimante du réseau.
27. Annexe I -
commandes
−J Travail Nom du travail à imprimer sur la page de salve.
−o Option Indique le type de fichier (suppose par défaut que c’est un fichier
texte). Utilisez −o l pour les fichiers binaires (par exemple
Postscript).
−x Compatibilité avec SunOS 4.1.x et versions antérieures.
−d Envoyer d’abord le fichier de données.
27.9. M
MOUNTVOL
Crée, supprime ou liste un point de montage du volume.
895
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
27.10. N
NET
ACCOUNTS, COMPUTER, CONFIG, CONTINUE, FILE, GROUP, HELPMSG, LOCALGROUP, NAME,
PAUSE, PRINT, SEND, SESSION, SHARE, START, STATISTICS, STOP, TIME, USE, USER,
VIEW.
j Pour voir la syntaxe d’une commande net depuis la ligne de commandes, entrez net
help suivi de l’option qui définit la commande. Par exemple, pour connaître la
syntaxe de net account, entrez net help account.
j Toutes les commandes net acceptent également les options suivantes :
− /y répond automatiquement par oui à toutes les invites générées par la
commande (utile dans les fichiers de traitement par lots).
− /n répond automatiquement par non à toutes les invites.
896
N
NET CONFIG
Configure les services Serveur et Station de travail.
Pour configurer les services Serveur et Station de travail, consultez net config
serveur et netconfig workstation.
27. Annexe I -
commandes
Cette commande permet de configurer le service Serveur.
897
Chapitre 27 Annexe I - Liste alphabétique des commandes
NET GROUP
Cette commande permet de configurer des groupes
Liste alphabétique des
commandes
j net group peut également être entré sous la forme net groups.
j Utilisez des guillemets autour des noms de groupes comprenant des espaces :
" Utilisateur du domaine ".
j Dans la sortie de net group, l’astérisque qui se trouve avant le nom du groupe
indique que parmi ses membres se trouvent des utilisateurs et des groupes.
NET HELPMSG
Cette commande aide à interpréter un numéro de message d’erreur Windows.
NET LOCALGROUP
Cette commande permet de configurer des groupes locaux.
898
N
j net localgroup peut également être entré sous la forme net localgroups.
j Utilisez des guillemets autour des noms de groupes comprenant des espaces :
27. Annexe I -
commandes
j Dans la sortie de net localgroup, l’astérisque qui se trouve avant le nom du
groupe indique que parmi ses membres se trouvent des utilisateurs et des groupes.
C:\>net localgroup
Alias de \\SNCECPDC01
*Accès compatible pré-Windows 2000
*Administrateurs
*Administrateurs DHCP
*Duplicateurs
*Éditeurs de certificats
*Groupe d’accès d’autorisation Windows
*HelpServicesGroup
*Invités
*Opérateurs de compte
*Opérateurs de configuration réseau
*Opérateurs de sauvegarde
*Opérateurs de serveur
*Opérateurs d’impression
*Serveurs de licences des services Terminal Server
*Serveurs RAS et IAS
*TelnetClients
*Utilisateurs
*Utilisateurs de l’Analyseur de performances
*Utilisateurs DHCP
*Utilisateurs du Bureau à distance
*Utilisateurs du journal de performances
*Utilisateurs du modèle COM distribué
La commande s’est terminée correctement.
NET PRINT
Affiche des informations sur une file d’attente d’impression ou une tâche d’impression
spécifique, ou contrôle une tâche d’impression donnée.
899
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
NET SEND
Envoie des messages à d’autres utilisateurs, ordinateurs ou noms de messagerie sur le
réseau
j Pour qu’un utilisateur reçoive des messages, le service Affichage des messages doit
être en exécution.
j Utilisez des guillemets pour les noms d’ordinateur et les noms d’utilisateur
contenant des espaces.
j Les messages peuvent présenter jusqu’à 128 caractères.
j La file d’attente de messages qui conserve temporairement les messages pour le
compte du service Affichage des messages peut stocker un maximum de six
messages ; les autres messages sont ignorés si les précédents n’ont pas été validés.
j Net send* est identique à netsend/domain.
j Les messages diffusés (options * et /domain) sont envoyés sur tous les protocoles
réseau. Par exemple, si TCP/IP et NWLink sont installés, les messages apparaîtront
deux fois sur la machine réceptrice. Les messages envoyés à des destinataires
spécifiques ne sont reçus qu’une fois.
j Les messages sont reçus uniquement sur le sous-réseau local, sauf si des routeurs
sont configurés spécifiquement pour retransmettre les paquets name query de
NetBIOS.
j Les messages envoyés avec l’option /user sont expédiés à chaque session établie
avec le serveur. Si un utilisateur a trois sessions ouvertes avec le serveur, le message
sera reçu trois fois.
900
N
NET SESSION
Gère les connexions à un serveur. Utilisée sans paramètre, la commande net session
affiche des informations sur toutes les sessions actuellement ouvertes sur l’ordinateur
local.
27. Annexe I -
commandes
j Un client ne peut établir qu’une session avec un serveur, mais peut avoir plusieurs
connexions à des ressources sur ce serveur.
j Utilisez net send pour demander aux clients d’enregistrer leur travail avant de
terminer leurs connexions avec le serveur.
NET SHARE
Gère les ressources partagées. Utilisée sans paramètre, la commande net share affiche
des informations sur toutes les ressources actuellement partagées sur l’ordinateur local.
j Entourez le chemin absolu par des guillemets s’il contient des espaces.
j Si vous supprimez un partage avec net share /delete, il restera visible dans le
Poste de travail et dans l’Explorateur Windows, même si vous redémarrez. L’astuce
consiste à appuyer sur [F5] afin de vider les informations contenues dans le cache.
j L’option /cache permet de configurer le mode de mise en service du partage
lorsque les dossiers hors connexion sont implantés. Pour une description complète
de cette option, consultez l’article 214738 de la Base de connaissances sur Microsoft
TechNet.
901
Chapitre 27 Annexe I - Liste alphabétique des commandes
NET START
Démarre un service. Utilisée sans paramètre, la commande net start affiche la liste
des services en cours d’exécution.
j Utilisez des guillemets pour les noms d’ordinateurs et les noms d’utilisateurs
contenant des espaces.
j Le démarrage de services peut avoir des effets inattendus du fait des dépendances
Liste alphabétique des
commandes
NET STOP
Arrête un service en cours d’exécution.
j Utilisez des guillemets pour les noms d’ordinateur et les noms d’utilisateur
contenant des espaces.
j L’arrêt d’un service retire de la mémoire les ressources associées.
j Avant d’arrêter un service, il est préférable de commencer par le suspendre et
d’envoyer un message aux utilisateurs connectés afin de les avertir que le service va
être arrêté. Cela leur donne du temps pour enregistrer leur travail et se déconnecter.
j Vous ne pouvez pas arrêter le service Fax car il fonctionne à la demande et s’arrête
automatiquement lorsqu’il n’y a plus de télécopies à envoyer ou recevoir.
NET TIME
Synchronise l’horloge de l’ordinateur avec celle d’un autre ordinateur ou d’un domaine.
Utilisée sans paramètre, la commande net time affiche l’heure d’un autre ordinateur
ou domaine.
902
N
j La synchronisation des horloges est importante pour que des activités telles que la
réplication de l’annuaire fonctionnent correctement. (Les mises à jour sont
estampillées afin de résoudre les collisions.)
j Utilisez net time \\serveurTemps /set /yes dans un script d’ouverture de
27. Annexe I -
commandes
qui doit avoir lui-même une horloge fiable.
j /s ne fonctionne plus en équivalent de /set, comme c’était le cas sous
Windows NT.
NET USE
Connecte ou déconnecte un ordinateur d’une ressource partagée, ou affiche des
informations relatives aux connexions de l’ordinateur. Cette commande contrôle aussi
les connexions réseau persistantes. Utilisée sans paramètre, la commande net use
extrait une liste des connexions réseau.
903
Chapitre 27 Annexe I - Liste alphabétique des commandes
NET USER
Ajoute ou modifie des comptes d’utilisateurs ou affiche des informations relatives aux
comptes d’utilisateurs.
commandes
NETSH
Utilitaire de script de ligne de commande qui vous permet, localement ou à distance,
d’afficher ou de modifier la configuration réseau d’un ordinateur en cours d’exécution.
Il fournit également une fonctionnalité de script qui vous permet d’exécuter un groupe
de commandes en mode Batch sur un ordinateur spécifique. De plus, Netsh peut
enregistrer un script de configuration dans un fichier texte pour des besoins d’archivage
ou pour vous aider à configurer d’autres serveurs.
904
N
27. Annexe I -
commandes
j Les sous-contextes suivants sont disponibles : aaaa, bridge, dhcp, diag, firewall,
interface, ipsec, ras, routing, rpc, wins, winsock.
905
Chapitre 27 Annexe I - Liste alphabétique des commandes
NSLOOKUP
27. Annexe I -
commandes
27.11. P
PRNCNFG
(Nouvelle commande sous Windows Server 2003).
906
P
27. Annexe I -
_Imprimante Obligatoire. Spécifie, par son nom, l’imprimante à propos de
commandes
laquelle vous voulez obtenir des informations.
−u Nom
_Utilisateur
−w Mot_De_Passe Spécifie un compte disposant d’autorisations qui permettent, au
moyen des services Infrastructure de gestion Windows (WMI,
Windows Management Instrumentation), de se connecter à
l’ordinateur qui héberge l’imprimante à propos de laquelle vous
voulez afficher des informations. Tous les membres du groupe
Administrateurs pour cet ordinateur disposent de ces autorisations,
mais celles-ci peuvent aussi être accordées à d’autres utilisateurs. Si
vous n’indiquez pas de compte, vous devez vous connecter sous un
compte autorisé à lancer cette commande.
j Cette commande est un script .v
bs qui s’exécute avec CScritpt. Pour Cscript, votre environnement d’exécution de
script par défaut, entrez la commande suivante : Cscript \\h: cscript \\s.
j Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes
connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur
–W MotDePasse pour indiquer les informations d’identification adéquates.
PRNDRVR
(Nouvelle commande sous Windows Server 2003).
Ajoute, supprime et répertorie des pilotes d’imprimante. La syntaxe ci-après est utilisée
pour installer un pilote d’imprimante.
907
Chapitre 27 Annexe I - Liste alphabétique des commandes
commandes
908
P
−i Nom_Fichier
.inf Spécifie le nom de fichier du pilote que vous voulez installer. Si vous
ne spécifiez aucun nom de fichier, ntprint.inf est utilisé.
−u Nom
_Utilisateur
−w Mot_De_Passe Spécifie un compte disposant d’autorisations qui permettent, au
moyen des services Infrastructure de gestion Windows (WMI,
Windows Management Instrumentation), de se connecter à
l’ordinateur sur lequel vous voulez installer le pilote. Tous les
membres du groupe Administrateurs pour cet ordinateur disposent
27. Annexe I -
commandes
vous connecter sous un compte autorisé à lancer cette commande.
j Cette commande est un script .vbs qui s’exécute avec CScript. Pour Cscript, votre
environnement d’exécution de script par défaut, entrez la commande suivante :
Cscript \\h: cscript \\s.
j Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes
connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur
–W MotDePasse pour indiquer les informations d’identification adéquates.
PRNJOBS
(Nouvelle commande sous Windows Server 2003).
Suspend, reprend, annule et répertorie les travaux d’impression. La syntaxe ci-après est
utilisée pour répertorier les travaux d’impression dans une file d’attente d’impression.
909
Chapitre 27 Annexe I - Liste alphabétique des commandes
−p Nom
_Imprimante Spécifie, par son nom, l’imprimante dont la file d’attente
d’impression contient les travaux que vous voulez répertorier. Si
vous ne spécifiez aucune imprimante, tous les travaux de toutes les
files d’attente sont répertoriés.
−u Nom
_Utilisateur
−w Mot_De_Passe Spécifie un compte disposant d’autorisations qui permettent, au
moyen des services Infrastructure de gestion Windows (WMI,
Windows Management Instrumentation), de se connecter à
Liste alphabétique des
commandes
PRNMNGR
(Nouvelle commande sous Windows Server 2003).
910
P
27. Annexe I -
commandes
voulez ajouter.
−m Nom_Pilote Obligatoire. Spécifie, par son nom, le pilote de l’imprimante locale
que vous voulez ajouter. Les pilotes portent souvent le nom du
modèle d’imprimante qu’ils prennent en charge. Pour plus
d’informations, consultez la documentation fournie avec
l’imprimante.
−r Nom_Port Obligatoire. Spécifie le port auquel l’imprimante est connectée. S’il
s’agit d’un port parallèle ou d’un port série, utilisez l’ID du port (par
exemple, LPT1 ou COM1). S’il s’agit d’un port TCP/IP, utilisez le
nom de port qui a été spécifié lors de l’ajout du port. Pour plus
d’informations, consultez Rubriques connexes.
−u Nom
_Utilisateur
−w Mot_De_Passe Spécifie un compte disposant d’autorisations qui permettent, au
moyen des services Infrastructure de gestion Windows (WMI,
Windows Management Instrumentation), de se connecter à
l’ordinateur auquel vous voulez ajouter une imprimante locale. Tous
les membres du groupe Administrateurs pour cet ordinateur
disposent de ces autorisations, mais celles-ci peuvent aussi être
accordées à d’autres utilisateurs. Si vous n’indiquez pas de compte,
vous devez vous connecter sous un compte autorisé à lancer cette
commande.
j Cette commande est un script vbs qui s’exécute avec CScript. Pour Cscript, votre
environnement d’exécution de script par défaut, entrez la commande suivante :
Cscript \\h: cscript \\s.
911
Chapitre 27 Annexe I - Liste alphabétique des commandes
j Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes
connecté sous d’autres informations d’identification, utilisez –u NomUtilisateur
–W MotDePasse pour indiquer les informations d’identification adéquates.
PRNQCTL
(Nouvelle commande sous Windows Server 2003).
de supprimer une impression d’une file d’attente. La syntaxe ci-après est utilisée pour
27. Annexe I -
commandes
annuler tous les travaux d’impression mis en attente sur une imprimante.
j Cette commande est un script vbs qui s’exécute avec CScript. Pour Cscript, votre
environnement d’exécution de script par défaut, entrez la commande suivante :
Cscript \\h: cscript \\s.
912
R
j Pour exécuter cette commande, vous devez être un administrateur. Si vous êtes
connecté sous d’autres informations d’identification, utilisez –u
NomUtilisateur –W MotDePasse pour indiquer les informations
d’identification adéquates.
j Quelques secondes peuvent être nécessaires pour annuler le dernier travail à l’aide
de l’option –x. Ne relancez pas la commande prnqctl –x avant que la file ne soit
vidée ; vous pourriez obtenir une erreur d’impression et le dernier travail pourrait
rester dans la file.
27.12. R
913
Chapitre 27 Annexe I - Liste alphabétique des commandes
j Windows Server 2003 ne fournit pas de démon rshd. rcp s’utilise donc
principalement pour copier des fichiers entre des machines Windows et Unix.
j rcp ne demande pas de mot de passe avant la copie. Pour contourner cela, utilisez
le fichier .rhost du répertoire d’accueil de l’utilisateur sur le serveur rshd afin de
préciser les noms d’hôtes et les noms d’utilisateurs autorisés à employer rcp afin de
copier des fichiers vers ou depuis le serveur rshd.
RECOVER
Liste alphabétique des
commandes
j Recover lit le fichier indiqué secteur par secteur et récupère les données sur les
secteurs non défectueux (les données se trouvant sur des secteurs défectueux sont
perdues).
j Les caractères génériques ne sont pas utilisables.
REXEC
Exécute des commandes sur des hôtes distants exécutant le service Rexec. Rexec
authentifie l’utilisateur sur l’hôte distant avant d’exécuter la commande spécifiée.
914
R
RUNAS
Lance un programme dans un contexte utilisateur différent.
27. Annexe I -
commandes
/profile Spécifie que le profil de l’utilisateur devrait être chargé. Il s’agit de
l’option par défaut.
/env pour utiliser l’environnement en cours à la place de celui de
l’utilisateur.
/netonly À utiliser si les informations d’identification spécifiées sont pour
l’accès à distance uniquement.
/savecred Pour utiliser les informations d’identification précédemment
sauvegardées par l’utilisateur. Cette option n’est pas disponible sur
Windows XP Édition familiale et sera ignorée.
/smartcard À utiliser si les informations d’identification sont fournies à partir
d’une carte à puce.
/user <Nom
Utilisateur> Sous la forme UTILISATEUR@DOMAINE ou DOMAINE \UTILISATEUR.
program Ligne de commandes pour EXE.
915
Chapitre 27 Annexe I - Liste alphabétique des commandes
j runas fonctionne avec des programmes (*.exe), des consoles MMC enregistrées
(*.msc) et les éléments du Panneau de configuration.
j runas ne peut être employée avec des éléments comme l’Explorateur Windows, le
dossier Imprimantes et Télécopieurs et les éléments du Bureau. Cependant, il est
possible de contourner ce problème en utilisant l’onglet Processus dans le
Gestionnaire des tâches afin de tuer l’interpréteur de commandes courant (Explorer
.exe). Utilisez ensuite le bouton Nouvelle tâche sous l’onglet Application afin
d’exécuter la commande Runas /user:Domaine\Administrateur
explorer.exe.
j Il est possible de créer un raccourci vers un élément tel qu’une console MMC
Liste alphabétique des
enregistrée et de configurer cette dernière afin que l’exécution se fasse toujours avec
des informations d’identification spécifiques.
27. Annexe I -
commandes
j Runas ne permet pas d’exécuter des programmes stockés sur un partage réseau car
les informations d’identification servant au lancement du programme peuvent être
différentes de celles utilisées pour se connecter au partage réseau. C’est pourquoi,
runas peut ne pas être en mesure d’accéder aux partages.
− Le service Ouverture de session secondaire doit être en cours d’exécution pour
pouvoir utiliser la commande runas.
− Si runas est utilisée depuis la ligne de commandes sans l’option /profil, le
profil d’utilisateur par défaut remplace celui de l’utilisateur incarné. Par
exemple, si la commande invoquée par runas enregistre un fichier dans Mes
documents, il est enregistré dans le dossier Mes documents de l’utilisateur par
défaut et non dans celui de l’utilisateur spécifié par runas. Si vous passez par
Exécuter en tant que depuis le menu contextuel de l’Explorateur Windows,
l’option /profil est spécifiée par défaut.
27.13. S
SCHTASKS
(Nouvelle commande sous Windows Server 2003).
916
S
27. Annexe I -
commandes
s’exécute avec des informations d’identification différentes.
j Si vous utilisez /ru SYSTEM, vous n’avez pas besoin d’employer l’option /rp pour
indiquer un mot de passe.
j Si vous exécutez une tâche à l’aide des informations d’identification SYSTEM, les
utilisateurs ne seront pas en mesure d’interagir avec le programme démarré par la
tâche. En effet, SYSTEM ne dispose pas des droits d’ouverture de session interactive.
j schtasks ne vérifie pas la validité du nom du programme ou du mot de passe du
compte utilisateur spécifié par l’option /u. S’ils ne sont pas corrects, la tâche ne
s’exécutera pas, tout simplement.
j Pour vérifier si l’exécution des tâches planifiées a généré des erreurs, consultez le
fichier de journalisation SchedLgU.txt qui se trouve dans le répertoire \Windows.
j schtasks fonctionne de la même manière que les Tâches planifiées du Panneau de
configuration.
SET
Affiche, fixe ou supprime des variables d’environnement de cmd.exe.
SET /A expression
SET /P variable=[ChaîneInvite]
j SET sans paramètres affiche les variables d’environnement définies. Si les extensions
de commande sont activées, SET est modifié comme suit.
j La commande SET appelée avec un nom de variable seulement, sans signe égal ou
valeur, affiche la valeur de toutes les variables dont le préfixe correspond au nom
donné à la commande SET. Par exemple, SET P affiche toutes les variables qui
commencent par la lettre ’P’.
917
Chapitre 27 Annexe I - Liste alphabétique des commandes
− * / % : opérateurs arithmétiques.
27. Annexe I -
commandes
− + − : opérateurs arithmétiques.
− << >> : décalage logique.
− & : ET au niveau du bit.
− ^ : OU exclusif au niveau du bit.
− | : OU au niveau du bit.
− = *= /= %= += −= : attribution.
− &= ^= |= <<= >>= , : séparateur d’expression. Si vous utilisez des opérateurs
logiques ou des nombres, vous devez mettre l’expression entre guillemets. Toute
chaîne non numérique dans l’expression est traitée comme une variable
d’environnement dont les valeurs sont converties en nombres avant d’être
utilisées. Si un nom de variable d’environnement est spécifié mais n’est pas
défini dans l’environnement en cours, la valeur zéro est utilisée. Cela vous
permet de réaliser des opérations avec les valeurs d’une variable
d’environnement sans entrer des signes % pour obtenir ces valeurs. Si SET /A est
exécuté à partir de la ligne de commandes en dehors d’un script de commande,
la valeur finale de l’expression est affichée. L’opérateur d’assignation requiert
un nom de variable d’environnement à gauche de cet opérateur. Les valeurs
numériques sont des nombres décimaux, à moins qu’ils ne soient préfixés par 0x
pour les valeurs hexadécimales et 0 pour la notation octale. Donc, 0x12 est
identique à 18 et à 022. La notation octale peut être confuse : 08 et 09 ne sont
pas valides car 8 et 9 ne sont pas des nombres valides en notation octale.
− /P vous permet de fixer la valeur d’une variable avec une ligne entrée par
l’utilisateur. Elle affiche la chaîne ChaîneInvite spécifiée avant de lire la
ligne entrée. ChaîneInvite peut être vide.
918
S
SHUTDOWN
Agit sur les options d’arrêt d’un ordinateur.
27. Annexe I -
commandes
/r Arrête et redémarre l’ordinateur.
/a Annule un arrêt du système. Cet argument peut uniquement être
utilisé pendant la période d’expiration du délai.
/p Arrête l’ordinateur local sans délai d’expiration ou avertissement.
Cet argument peut uniquement être utilisé avec l’option /d.
/h Mettre l’ordinateur local en veille prolongée. Cet argument peut
uniquement être utilisé avec l’option /f.
/e Explique la raison d’un arrêt imprévu d’un ordinateur.
/m \\ordinateur Indique l’ordinateur cible.
/t xxx Définit le délai d’expiration avant l’arrêt à xxx secondes. La plage
valide est comprise entre 0 et 600, 30 étant la valeur par défaut.
/c "commentaire" Commentaire sur la raison du redémarrage ou de l’arrêt. Un nombre
maximal de 127 caractères est autorisé.
/f Force la fermeture des applications en cours d’exécution sans avertir
les utilisateurs.
/d [p:]xx:yy Fournit la raison du redémarrage ou de l’arrêt. p indique que le
redémarrage ou l’arrêt est planifié, xx est le code de raison majeur
(entier positif inférieur à 256), yy est le code de raison mineur (entier
positif inférieur à 65 536).
919
Chapitre 27 Annexe I - Liste alphabétique des commandes
START
Ouvre une fenêtre et exécute le programme ou la commande spécifiée.
commandes
920
S
j Si vous utilisez start pour exécuter une commande Windows (dir, chhdsk, etc.),
une nouvelle fenêtre de l’interpréteur de commandes (cmd) s’ouvre afin d’exécuter
cette commande. Cette fenêtre s’exécutant implicitement avec l’option /k, elle reste
ouverte après la fin de la commande (voir la section cmd).
27. Annexe I -
commandes
revient immédiatement à l’Invite de commandes. Cependant, lorsqu’une commande
Windows ou un script sont exécutés, ils doivent d’abord se terminer avant que le
contrôle ne revienne à l’interpréteur de commande.
j Si les extensions de commande sont activées (c’est cas par défaut), utilisez start
pour ouvrir un document ou un fichier à l’aide de l’application associée. Par
exemple, voici comment ouvrir le fichier lisezmoi.doc avec Word : start
lisezmoi.doc.
SYSTEMINFO
(Nouvelle commande sous Windows Server 2003).
921
Chapitre 27 Annexe I - Liste alphabétique des commandes
/NH Spécifie que les en-têtes de colonne ne doivent pas apparaître dans la
sortie. Valide uniquement pour les formats TABLE et CSV.
27.14. T
TAKEOWN
Liste alphabétique des
commandes
Cet outil permet à un administrateur de récupérer l’accès à un fichier qui avait été refusé
en réassignant l’appartenance de fichier.
922
T
TASKKILL
(Nouvelle commande sous Windows Server 2003)
Cet outil est utilisé pour arrêter des tâches par id de processus (PID) ou nom d’image.
27. Annexe I -
utilisateur Spécifie le contexte utilisateur sous lequel la commande doit
commandes
s’exécuter.
/P [mot_de_passe] Spécifie le mot de passe pour le contexte utilisateur donné. Il est
demandé s’il est omis.
/FI filtre Applique un filtre pour sélectionner un ensemble de tâches. Permet à
"*" d’être utilisé. Par exemple, imagename eq test*.
/PID ID_processus Spécifie le PID du processus à arrêter. Utilisez TaskList afin
d’obtenir le PID.
/IM nom_image Spécifie le nom d’image du processus à terminer. Le caractère
générique "*" peut être utilisé pour spécifier toutes les tâches ou les
noms d’image.
/T Met fin au processus spécifié et à tous les processus enfants qu’il a
démarrés.
/F Force les processus à se terminer.
j Utilisez la commande tasklist pour obtenir l’identifiant des processus en cours
d’exécution que vous voulez tuer.
TASKLIST
(Nouvelle commande sous Windows Server 2003).
Cet outil affiche une liste des processus actuellement en cours sur un ordinateur local ou
un ordinateur distant.
923
Chapitre 27 Annexe I - Liste alphabétique des commandes
Liste toutes les tâches utilisant le nom de fichier .exe ou .dll donné. Si
27. Annexe I -
/M [module]
commandes
le nom de module n’est pas spécifié, tous les modules chargés sont
affichés.
/SVC Affiche les services hébergés dans chaque processus.
/V Affiche les informations de tâches détaillées.
/FI filtre Affiche un ensemble de tâches qui correspond au critère spécifié par
le filtre.
/FO format Spécifie le format de sortie. Valeurs valides : TABLE, LIST, CSV.
/NH Spécifie que les en-têtes de colonnes ne doivent pas être affichés sur
la sortie. Valide uniquement pour les formats TABLE et CSV.
TELNET
Permet d’accéder à un système distant.
924
T
j Contrairement à NT avant lui, Windows Server 2003 inclut un service Telnet qui lui
27. Annexe I -
commandes
qu’un client Telnet puisse se connecter au service Telnet, ce dernier doit être
démarré manuellement sur le serveur ou son paramètre de démarrage doit être mis
à Automatique.
j Alors que le client Telnet sous NT était un utilitaire graphique (Telnet.exe), la
version sous Windows Server 2003 s’exécute en mode Console. Ce client supporte
également l’authentification NTLM afin d’améliorer la sécurité de
l’authentification entre les clients et les serveurs Telnet. Cependant le client
graphique telnet.exe de Windows NT proposait dans la session, une fonctionnalité
qui n’est plus supportée dans la version en ligne de commandes de Windows
Server 2003.
TFTP
Transfère les fichiers depuis et vers un ordinateur distant exécutant le service TFTP.
925
Chapitre 27 Annexe I - Liste alphabétique des commandes
TIME
Affiche ou modifie l’heure système.
commandes
926
Chapitre 28
D urant les épreuves difficiles que sont les temps de crise, les arrêts de production, les
problèmes bloquants ou aléatoires, vous serez parfois amené à récupérer les
trames TCP/IP, à analyser le trafic entrant et sortant au niveau de votre serveur afin d’en
déterminer les échanges de communication et, donc, de résoudre le problème. Souvent,
lors de l’analyse des trames TCP/IP, il peut s’avérer difficile de faire la corrélation entre
le numéro de port et le nom du service délivré par Windows Server 2003 qui
communique sur ce port.
Le but de cette annexe est de vous apporter une référence précise et concise qui vous
aidera à faire le lien entre les services Windows Server 2003 et les ports TCP/IP associés.
Orientée sur la résolution de problèmes ou l’audit de sécurité, cette annexe est
découpée en deux parties : une partie qui décrit brièvement chaque service, indique son
nom logique, ainsi que les ports et les protocoles requis pour le fonctionnement de ces
services. Et une autre partie qui présente, sous forme de tableau, un classement par
numéro de port, et non selon le nom des services, et qui vous permet de déterminer
rapidement quels sont les services à l’écoute sur un port particulier. Et pour être le plus
exhaustif possible, cette annexe inclut aussi les noms de services et les numéros de ports
28. Annexe II -
TCP/IP de quelques-uns des produits serveurs Microsoft les plus utilisés.
Les services
Enfin, cette annexe est destinée à s’appliquer à un système d’exploitation serveur, c’est
la raison pour laquelle elle présente les ports sur lesquels un service est à l’écoute et non
les ports utilisés par les programmes clients pour se connecter à un système distant.
929
Chapitre 28 Annexe II - Les services et les ports réseau
L2TP
Les filtres de paquets pour le trafic L2TP ne sont pas requis car L2TP est protégé
par IPSec ESP.
930
Les ports des services système
mappages de ports par l’intermédiaire du moteur NAT pour les canaux de données FTP.
Ce plugin met également à jour les ports dans le flux du canal de contrôle FTP.
28. Annexe II -
Les services
Tableau 28.3 : Nom du service système : aspnet_state
Protocole d’application Protocole Port
État de session ASP.NET TCP 42424
Le service de cluster
Le service de cluster contrôle les opérations de cluster du serveur et gère la base de
données du cluster. Un cluster est un ensemble d’ordinateurs indépendants qui agissent
931
Chapitre 28 Annexe II - Les services et les ports réseau
L’Explorateur d’ordinateurs
et les ports réseau
28. Annexe II -
Les services
Le service Explorateur d’ordinateurs maintient à jour la liste des ordinateurs sur votre
réseau et la communique aux programmes qui la demandent. Les ordinateurs Windows
utilisent ce service pour afficher les domaines et les ressources réseau. Les ordinateurs
désignés comme explorateurs gèrent des listes de parcours contenant toutes les
ressources partagées utilisées sur le réseau. Les versions antérieures des programmes
Windows (par exemple, les Favoris réseau), la commande net view et l’Explorateur
Windows, tous nécessitent des capacités de navigation. Par exemple, lorsque vous
ouvrez les Favoris réseau sur un ordinateur Microsoft Windows 95, une liste des
domaines et des ordinateurs s’affiche. Pour pouvoir afficher cette liste, l’ordinateur
demande une copie de la liste de parcours à l’ordinateur désigné comme explorateur.
Le Serveur DHCP
Le service Serveur DHCP utilise le protocole DHCP (Dynamic Host Configuration
Protocol) pour attribuer automatiquement des adresses IP. Grâce à ce service, vous
pouvez régler les paramètres réseau avancés des clients DHCP. Par exemple, vous
pouvez configurer des paramètres réseau tels que les serveurs DNS (Domain Name
System) ou WINS (Windows Internet Name Service). Vous pouvez désigner un ou
plusieurs serveurs DHCP pour gérer les informations de configuration TCP/IP et les
transmettre aux ordinateurs clients.
932
Les ports des services système
28. Annexe II -
Tableau 28.8 : Nom du service système : DFS
Les services
Protocole d’application Protocole Port
Service de datagramme NetBIOS UDP 138
Service de session NetBIOS TCP 139
Serveur LDAP TCP 389
Serveur LDAP UDP 389
SMB TCP 445
RPC TCP 135
Ports TCP aléatoires élevés TCP 1024-65534
933
Chapitre 28 Annexe II - Les services et les ports réseau
Le Serveur DNS
Le service Serveur DNS active la résolution de noms DNS en répondant aux requêtes et
il met à jour les requêtes de noms DNS. Les serveurs DNS sont requis pour rechercher
les périphériques et les services identifiés à l’aide des noms DNS, ainsi que les
contrôleurs de domaine dans Active Directory.
934
Les ports des services système
Pour que les clients Outlook puissent se connecter aux versions d’Exchange antérieures
à Exchange 2003, la connectivité RPC directe au serveur Exchange est requise. Les
connexions RPC établies à partir d’Outlook vers le serveur Exchange contacteront
d’abord le mappeur de point de terminaison RPC (port TCP 135) pour demander des
28. Annexe II -
Les services
client Outlook essaie ensuite d’établir des connexions au serveur Exchange en utilisant
directement ces ports de point de terminaison.
Exchange 5.5 utilise deux ports pour la communication avec les clients. L’un des ports
est pour la banque d’informations, l’autre pour l’annuaire. Exchange 2000 et 2003
utilisent trois ports pour la communication avec les clients. L’un des ports est pour la
banque d’informations, un autre pour la référence d’annuaire (RFR) et un autre pour
DSProxy/NSPI.
Dans la plupart des cas, ces deux ou trois ports seront mappés de manière aléatoire dans
la plage TCP 1024-65534. Si besoin est, ils peuvent être configurés pour toujours lier à
un mappage de port statique plutôt que pour utiliser les ports éphémères.
Les clients Outlook 2003 prennent en charge la connectivité directe aux serveurs
Exchange à l’aide de RPC. Toutefois, ces clients peuvent communiquer également avec
les serveurs Exchange 2003 hébergés sur des ordinateurs Windows Server 2003 sur
Internet. L’utilisation de la communication RPC sur HTTP entre Outlook et un serveur
Exchange élimine le besoin d’exposer le trafic RPC non authentifié sur Internet. Au lieu
de cela, le trafic entre le client Outlook 2003 et le serveur Exchange Server 2003 est
transmis dans un tunnel dans des paquets HTTPS sur le port TCP 443 (HTTPS).
RPC sur HTTP requiert que le port TCP 443 (HTTPS) soit disponible entre le client
Outlook 2003 et le serveur qui joue le rôle de périphérique "RPCProxy". Les paquets
HTTPS sont terminés au serveur RPCProxy et les paquets RPC désenveloppés sont
ensuite passés au serveur Exchange sur trois ports, de manière semblable au trafic RPC
direct décrit plus haut. Ces ports RPC sur HTTP sur le serveur Exchange sont mappés
de manière statique aux ports TCP 6001 (la banque d’informations), TCP 6002
(référence d’annuaire) et TCP 6004 (DSProxy/NSPI). Aucun mappeur de point de
terminaison ne doit être exposé lors de l’utilisation des communications RPC sur HTTP
entre Outlook 2003 et Exchange 2003, puisqu’Outlook 2003 sait utiliser ces ports de
935
Chapitre 28 Annexe II - Les services et les ports réseau
Exchange Server assure également la prise en charge d’autres protocoles, par exemple
SMTP, POP3 (Post Office Protocol 3) et IMAP.
Le service de télécopie
Le service de télécopie, qui est conforme à l’API de téléphonie (TAPI), fournit des
fonctions de télécopie. Grâce à ce service, les utilisateurs peuvent envoyer et recevoir
des télécopies à partir du bureau de Windows en utilisant un télécopieur local ou un
télécopieur réseau partagé.
936
Les ports des services système
La réplication de fichiers
Le service de réplication de fichiers (FRS, File Replication Service) est un moteur de
réplication basé sur des fichiers qui copie automatiquement des mises à jour de fichiers
et de dossiers entre des ordinateurs qui participent à un jeu de réplicas FRS commun. Il
s’agit du moteur de réplication par défaut utilisé pour répliquer le contenu du dossier
SYSVOL entre des contrôleurs de domaine (qu’ils soient sous Windows 2000 Server ou
Windows Server 2003) situés dans un domaine commun. Le service FRS peut être
configuré de façon à répliquer des fichiers et des dossiers entre des cibles d’une racine
28. Annexe II -
Les services
Tableau 28.15 : Nom du service système : NtFrs
Protocole d’application Protocole Port
RPC TCP 135
Ports TCP aléatoires élevés TCP 1024-65534
937
Chapitre 28 Annexe II - Les services et les ports réseau
données (utilisées pour le FTP en mode actif) par défaut est automatiquement celui qui
est placé juste en dessous du port de contrôle. Par conséquent, si le port de contrôle est
configuré sur 4131, le port des données par défaut est 4130. La plupart des clients FTP
utilisent le FTP en mode passif. Cela signifie que le client se connecte initialement au
serveur FTP par le biais du port de contrôle, le serveur FTP attribue un port TCP élevé
compris entre les ports 1025 et 5000, puis le client ouvre une seconde connexion sur le
serveur FTP pour transférer les données. Vous pouvez configurer la gamme des ports
élevés à l’aide de la métabase IIS.
HTTP SSL
Le service HTTP SSL permet à IIS d’utiliser les fonctions SSL. SSL est une norme
ouverte pour établir un canal de communications sécurisées afin d’empêcher
l’interception d’informations telles que des numéros de cartes de crédit. Bien qu’il soit
conçu pour fonctionner avec d’autres services Internet, SSL est utilisé principalement
pour effectuer des transactions financières sur Internet. Vous pouvez configurer les
ports pour ce service à l’aide du composant logiciel enfichable Gestionnaire des services
Internet (IIS).
938
Les ports des services système
28. Annexe II -
Les services
Lorsque les fonctions ICF et ICS agissent en tant que passerelles pour les autres
ordinateurs de votre réseau, elles fournissent les services DHCP et DNS au réseau privé
sur l’interface réseau interne, mais pas sur l’interface externe.
939
Chapitre 28 Annexe II - Les services et les ports réseau
L’enregistrement de licences
Le service d’enregistrement de licences est un outil qui avait été conçu à l’origine pour
aider les clients à gérer les licences des produits serveurs Microsoft utilisant le modèle
Licence d’Accès Client (CAL) au serveur. L’enregistrement de licences a été introduit
avec Windows NT Server 3.51. Par défaut, le service d’enregistrement de licences est
désactivé dans Windows Server 2003. En raison des contraintes héritées liées à la
conception et de l’évolution des termes des licences, l’enregistrement de licences peut
ne pas indiquer de façon précise le nombre total de CAL achetées par rapport au
nombre total de CAL utilisées sur un serveur particulier ou dans toute l’entreprise. Les
CAL mentionnées par l’enregistrement de licences peuvent entrer en conflit avec
l’interprétation du contrat de licence utilisateur final (CLUF) et avec les droits
d’utilisation des produits (PUR, Product Use Rights). D’ailleurs, il semblerait que
l’enregistrement de licences ne soit pas fourni avec les versions futures du système
d’exploitation Windows. Microsoft recommande par contre aux utilisateurs des
systèmes d’exploitation de la gamme Small Business Server uniquement, d’activer ce
service sur leurs serveurs.
et les ports réseau
28. Annexe II -
Les services
940
Les ports des services système
28. Annexe II -
Les services
fonctionnent plus.
941
Chapitre 28 Annexe II - Les services et les ports réseau
rapports et analyse des tendances. Dès que vous avez installé le Service Pack 1 (SP1)
MOM 2000, MOM 2000 n’utilise plus un canal de communications en texte clair et tout
le trafic entre l’agent MOM et le serveur MOM est crypté sur le port TCP 1270. La
console Administrateur MOM se connecte au serveur par l’intermédiaire de DCOM.
Cela signifie que les administrateurs qui gèrent le serveur MOM sur le réseau doivent
avoir accès aux ports TCP aléatoires élevés.
Le service MSSQLSERVER
MSSQLSERVER est un service système de Microsoft SQL Server 2000. SQL Server
constitue une plateforme complète pour la gestion de données. Grâce à l’utilitaire
Réseau Serveur, vous pouvez configurer les ports utilisés par chaque instance de SQL
Server.
942
Les ports des services système
Le service MSSQL$UDDI
Le service MSSQL$UDDI est installé en même temps que la fonctionnalité UDDI
(Universal Description, Discovery, and Integration) de Windows Server 2003.
MSSQL$UDDI fournit à l’entreprise des services UDDI. Le moteur de base de données
SQL Server est le composant principal de MSSQL$UDDI.
28. Annexe II -
Le service Ouverture de session réseau maintient un canal de sécurité entre votre
Les services
ordinateur et le contrôleur de domaine pour authentifier les utilisateurs et les services.
Il transmet les informations d’identification de l’utilisateur à un contrôleur de domaine,
puis renvoie à l’utilisateur les identificateurs de sécurité du domaine et les droits
utilisateur. Cette procédure est généralement appelée "authentification directe". Net
Logon est configuré pour démarrer automatiquement uniquement lorsqu’un ordinateur
membre ou un contrôleur de domaine est joint à un domaine. Dans la gamme
Windows 2000 Server et Windows Server 2003, l’Ouverture de session réseau publie des
enregistrements de localisation de ressource de service dans le DNS. Lorsqu’il est
exécuté, ce service repose sur les services Serveur et Autorité de sécurité locale pour
surveiller les requêtes entrantes. Sur les ordinateurs membres du domaine, l’Ouverture
de session réseau utilise RPC sur des canaux nommés. Sur les contrôleurs de domaine,
elle utilise RPC sur des canaux nommés, RPC sur TCP/IP, des mailslots et le protocole
LDAP (Lightweight Directory Access Protocol).
943
Chapitre 28 Annexe II - Les services et les ports réseau
sur un intranet d’entreprise par le biais de Windows NetMeeting. Vous devez activer
explicitement ce service dans NetMeeting. Pour désactiver ou arrêter cette fonction,
utilisez l’icône située dans la zone de notification Windows.
Le Spouleur d’impression
Le service Spouleur d’impression gère toutes les files d’attente d’impression locale et
réseau et contrôle tous les travaux d’impression. Le Spouleur d’impression est le centre
944
Les ports des services système
L’Installation à distance
Vous pouvez utiliser le service d’installation à distance pour installer Windows 2000,
Windows XP et Windows Server 2003 sur des ordinateurs clients compatibles avec le
démarrage à distance dans un environnement d’exécution de prédémarrage (PXE,
28. Annexe II -
Pre-Boot EXecution Environment). Le service BINL (Boot Information Negotiation
Les services
Layer), composant principal du serveur d’installation à distance RIS (Remote Installation
Server), répond aux demandes des clients PXE, vérifie Active Directory pour la
validation client et transmet les informations client vers et depuis le serveur. Ce service
est installé soit lorsque vous ajoutez le composant RIS en utilisant la fonctionnalité
Ajout/Suppression de composants Windows, soit lorsque vous le sélectionnez lors de la
première installation du système d’exploitation.
945
Chapitre 28 Annexe II - Les services et les ports réseau
fichiers ou écrivent dans des fichiers qui ne sont disponibles qu’à partir d’un support de
28. Annexe II -
Les services
stockage secondaire. Si vous arrêtez ce service, vous ne recevez plus cette notification.
946
Les ports des services système
fournit également des services d’accès à distance (connexion à distance ou VPN). Même
s’il est possible que le service Routage et accès distant utilise tous les protocoles
suivants, il n’utilise généralement qu’un sous-ensemble de ces protocoles. Par exemple,
si vous configurez une passerelle VPN qui se situe derrière un routeur de filtrage, vous
utiliserez probablement un seul de ces protocoles. Si vous utilisez simultanément L2TP
et IPSec, vous devez autoriser ESP IPSec (protocole IP 50), NAT-T (TCP sur le
port 4500) et ISAKMP IPSec (TCP sur le port 500) par l’intermédiaire du routeur.
28. Annexe II -
Les services
GRE (protocole IP 47) GRE n/a
AH IPSec (protocole IP 51) AH n/a
ESP IPSec (protocole IP 50) ESP n/a
L2TP UDP 1701
PPTP TCP 1723
Le Serveur
Le service Serveur assure la prise en charge de RPC et le partage de fichiers,
d’impression et des canaux nommés sur le réseau. Il permet le partage des ressources
locales, telles que les disques et les imprimantes, pour que les autres utilisateurs sur le
réseau puissent y accéder. Il permet également la communication des canaux nommés
entre les programmes exécutés sur l’ordinateur local et sur les autres ordinateurs. La
communication des canaux nommés correspond à la mémoire réservée à la sortie d’un
processus qui doit être utilisé comme entrée pour un autre processus. Le processus
d’acceptation d’entrée ne doit pas obligatoirement avoir lieu sur l’ordinateur local.
947
Chapitre 28 Annexe II - Les services et les ports réseau
948
Les ports des services système
28. Annexe II -
Les services
L’Agent de contrôle à distance SMS
L’Agent de contrôle à distance est un service de Microsoft Systems Management Server
(SMS) 2003. Il fournit une solution complète de modification et de gestion de la
configuration pour les systèmes d’exploitation Microsoft. Grâce à cette solution, les
organisations peuvent fournir aux utilisateurs des logiciels et des mises à jour
appropriés.
Le service SNMP
Le service SNMP permet à l’ordinateur local de traiter les requêtes SNMP (Simple
Network Management Protocol) entrantes. Il comprend des agents qui surveillent
949
Chapitre 28 Annexe II - Les services et les ports réseau
agents SNMP locaux ou distants et les transmet aux programmes de gestion SNMP qui
28. Annexe II -
Les services
s’exécutent sur votre ordinateur. Ce service, lorsqu’il est configuré pour un agent,
génère des messages d’interception dès qu’un événement spécifique se produit. Ces
messages sont envoyés vers une destination des interruptions. Par exemple, un agent
peut être configuré pour lancer une interruption d’authentification lorsqu’un système de
gestion non reconnu envoie une demande d’informations. Les destinations des
interruptions comprennent le nom et l’adresse IP de l’ordinateur ou l’adresse IPX
(Internetwork Packet Exchange) du système de gestion. Chaque destination des
interruptions doit être un hôte réseau sur lequel est exécuté le logiciel de gestion SNMP.
950
Les ports des services système
28. Annexe II -
Les services
Le service de découvertes SSDP implémente le protocole SSDP (Simple Service
Discovery Protocol) en tant que service Windows. Ce service gère la réception des
annonces de présence des périphériques, met à jour son cache et transmet ces
notifications aux clients dont les demandes de recherche sont en attente. Il accepte
également l’enregistrement des rappels d’événements provenant de clients, les
transforme en demandes d’abonnement et surveille les notifications d’événements.
Ensuite, il transmet ces demandes ainsi que les rappels d’événements enregistrés. Ce
service fournit également des périphériques hôtes avec des annonces périodiques. Le
service de notification d’événements SSDP utilise le port TCP 2869.
951
Chapitre 28 Annexe II - Les services et les ports réseau
Unix.
28. Annexe II -
Les services
Le service Telnet
Le service Telnet pour Windows permet aux clients Telnet d’ouvrir des sessions sur des
terminaux ASCII. Le serveur Telnet prend en charge deux types d’authentification et les
quatre types de terminaux suivants :
j ANSI (American National Standard Institute) ;
j VT-100 ;
j VT-52 ;
j VTNT.
952
Les ports des services système
Windows et à des programmes Windows exécutés sur le serveur. Ces services autorisent
la connexion interactive de plusieurs utilisateurs à un ordinateur.
28. Annexe II -
Les services
Tableau 28.55 : Nom du service système : TermServLicensing
Protocole d’application Protocole Port
RPC TCP 135
Ports TCP aléatoires élevés TCP 1024-65534
953
Chapitre 28 Annexe II - Les services et les ports réseau
TFTP (Trivial File Transfer Protocol) est un protocole de transfert de fichiers conçu pour
prendre en charge les environnements de démarrage sans disque. Le service TFTP est à
l’écoute sur le port UDP 69, mais il répond à partir d’un port aléatoire élevé. Par
conséquent, l’activation de ce port permet au service TFTP de recevoir des demandes
TFTP entrantes, mais cela ne permet pas au serveur sélectionné de répondre à ces
demandes. Le service est libre de répondre à toute demande de ce type provenant du
port source souhaité et le client distant utilisera ensuite ce port pour la durée du
transfert. La communication est bidirectionnelle. Si vous devez activer ce protocole à
travers un pare-feu, il peut être utile d’ouvrir le port UDP 69 entrant. Vous pouvez vous
reposer ensuite sur d’autres fonctionnalités de pare-feu, qui permettent de manière
dynamique au service de répondre par le biais de trous temporaires sur tout autre port.
954
Les ports des services système
28. Annexe II -
Les services
réplication WINS est requise uniquement entre les serveurs WINS.
Les services Windows Media sont à présent regroupés en un seul service qui s’exécute
sur Windows Server 2003. Ses principaux composants ont été développés par le biais du
composant COM ; ce service a une architecture souple que vous pouvez personnaliser
en fonction de programmes particuliers. Il prend en charge un plus grand nombre de
protocoles de contrôle, notamment les protocoles RTSP (Real Time Streaming Protocol),
MMS (Microsoft Media Server) et HTTP.
955
Chapitre 28 Annexe II - Les services et les ports réseau
Le service de temps Windows assure la synchronisation de la date et l’heure sur tous les
ordinateurs Windows XP et Windows Server 2003 d’un réseau. Il utilise le protocole
NTP (Network Time Protocol) pour synchroniser les horloges des ordinateurs. Ainsi,
l’heure et la date indiquées pour la validation réseau et sur les demandes d’accès aux
ressources sont toujours précises. L’implémentation de NTP et l’intégration de
fournisseurs de temps contribuent à faire du service de temps Windows un outil fiable et
modulable pour votre entreprise. Pour les ordinateurs n’appartenant pas à un domaine,
vous pouvez configurer le service de temps Windows pour qu’il synchronise l’heure avec
une source externe. Si ce service est désactivé, le réglage de l’heure sur les ordinateurs
locaux n’est pas synchronisé avec un service de temps dans le domaine Windows ni avec
un service externe. Windows Server 2003 utilise NTP, qui s’exécute sur le port UDP 123.
La version Windows 2000 de ce service utilise le protocole SNTP (Simple Network Time
Protocol), qui s’exécute également sur le port UDP 123.
956
Les ports et les protocoles
publication World Wide Web et vérifie que le fichier Http.sys est configuré pour router
les demandes HTTP vers les processus de pools d’application ou de systèmes
d’exploitation appropriés. Vous pouvez configurer les ports utilisés par ce service à
l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Si le
site web administratif est activé, un site web virtuel est créé qui utilise le trafic HTTP sur
le port TCP 8098.
28. Annexe II -
Les services
Cette partie présente un tableau classé par numéro de port et non par nom des services.
957
Chapitre 28 Annexe II - Les services et les ports réseau
958
Les ports et les protocoles
28. Annexe II -
Service
Les services
110 TCP POP3 Exchange Server
119 TCP NNTP Network News NntpSvc
Transfer Protocol
123 UDP NTP Windows Time W32Time
123 UDP SNTP Windows Time W32Time
135 TCP RPC Message Queuing msmq
135 TCP RPC Remote Procedure RpcSs
Call
135 TCP RPC Exchange Server
135 TCP RPC Certificate Services CertSvc
135 TCP RPC Cluster Service ClusSvc
135 TCP RPC Distributed File DFS
System
135 TCP RPC Distributed Link TrkSvr
Tracking
135 TCP RPC Distributed MSDTC
Transaction
Coordinator
135 TCP RPC Event Log Eventlog
135 TCP RPC Fax Service Fax
135 TCP RPC File Replication NtFrs
135 TCP RPC Local Security LSASS
Authority
959
Chapitre 28 Annexe II - Les services et les ports réseau
Resolution
Les services
960
Les ports et les protocoles
28. Annexe II -
Service Server 2.0
Les services
139 TCP NetBIOS Session License Logging LicenseService
Service Service
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP Service SNMP
162 UDP SNMP Traps SNMP Trap Service SNMPTRAP
Outbound
270 TCP MOM 2004 Microsoft Operations MOM
Manager 2004
389 TCP LDAP Server Local Security LSASS
Authority
389 UDP LDAP Server Local Security LSASS
Authority
389 TCP LDAP Server Distributed File Dfs
System
389 UDP LDAP Server Distributed File Dfs
System
443 TCP HTTPS HTTP SSL HTTPFilter
443 TCP HTTPS World Wide Web W3SVC
Publishing Service
443 TCP HTTPS SharePoint Portal
Server
445 TCP SMB Fax Service Fax
445 TCP SMB License Logging LicenseService
Service
961
Chapitre 28 Annexe II - Les services et les ports réseau
Services
563 TCP NNTP over SSL Network News NntpSvc
Transfer Protocol
593 TCP RPC over HTTP Remote Procedure RpcSs
Call
593 TCP RPC over HTTP Exchange Server
636 TCP LDAP SSL Local Security LSASS
Authority
636 UDP LDAP SSL Local Security LSASS
Authority
993 TCP IMAP over SSL Exchange Server
995 TCP POP3 over SSL Exchange Server
1270 TCP MOM-Encrypted Microsoft Operations one point
Manager 2000
1433 TCP SQL over TCP Microsoft SQL Server SQLSERVR
1433 TCP SQL over TCP MSSQL$UDDI SQLSERVR
1434 UDP SQL Probe Microsoft SQL Server SQLSERVR
1434 UDP SQL Probe MSSQL$UDDI SQLSERVR
1645 UDP Legacy RADIUS Internet Authentication IAS
Service
1646 UDP Legacy RADIUS Internet Authentication IAS
Service
1701 UDP L2TP Routing and Remote RemoteAccess
Access
962
Les ports et les protocoles
28. Annexe II -
Les services
Service
2101 TCP MSMQ-DCs Message Queuing msmq
2103 TCP MSMQ-RPC Message Queuing msmq
2105 TCP MSMQ-RPC Message Queuing msmq
2107 TCP MSMQ-Mgmt Message Queuing msmq
2393 TCP OLAP Services 7.0 SQL Server :
Downlevel OLAP Client
Support
2394 TCP OLAP Services 7.0 SQL Server :
Downlevel OLAP Client
Support
2460 UDP MS Theater Windows Media WMServer
Services
2535 UDP MADCAP DHCP Server DHCPServer
2701 TCP SMS Remote Control SMS Remote Control
(control) Agent
2701 UDP SMS Remote Control SMS Remote Control
(control) Agent
2702 TCP SMS Remote Control SMS Remote Control
(data) Agent
2702 UDP SMS Remote Control SMS Remote Control
(data) Agent
2703 TCP SMS Remote Chat SMS Remote Control
Agent
963
Chapitre 28 Annexe II - Les services et les ports réseau
Authority
Les services
964
Les exigences relatives aux ports et aux protocoles Active Directory
Voici une liste (non exhaustive) de services, de ports et de protocoles nécessaires pour
que les ordinateurs membres et les contrôleurs de domaine puissent interopérer ou pour
que les serveurs d’applications puissent accéder à Active Directory :
1. Active Directory/LSA.
28. Annexe II -
Les services
2. Services de certificats (requis pour des configurations spécifiques).
3. Explorateur d’ordinateurs.
4. Serveur DHCP (si configuré de cette manière).
5. Système de fichiers distribués.
6. Serveur de suivi de lien distribué (facultatif mais activé par défaut sur les
ordinateurs Windows 2000).
7. Coordinateur de transactions distribuées.
8. Serveur DNS (si configuré de cette manière).
9. Journal des événements.
10. Service de télécopie (si configuré de cette manière).
11. Réplication de fichiers.
12. Serveur de fichiers pour le Macintosh (si configuré de cette manière).
13. HTTP SSL.
14. Service d’authentification Internet (si configuré de cette manière).
15. Centre de distribution de clés Kerberos.
16. Enregistrement de licences (activé par défaut).
17. Messenger.
18. Ouverture de session réseau.
19. Journaux et alertes de performance.
20. Spouleur d’impression.
965
Chapitre 28 Annexe II - Les services et les ports réseau
32. Telnet.
28. Annexe II -
Les services
966
Chapitre 29
Annexe III -
Glossaire
Annexe III - Glossaire
Accès à distance
Élément du service de routage et d’accès distant au réseau destiné aux télétravailleurs,
aux employés itinérants et aux administrateurs système qui surveillent et gèrent des
serveurs de plusieurs succursales. Les utilisateurs qui exécutent Windows et le module
de connexion réseau peuvent composer un numéro pour établir une connexion distante
à leur réseau et accéder à des services tels que le partage de fichiers et d’imprimantes, la
messagerie électronique, le planning, etc.
ACL discrétionnaire
Partie d’un descripteur de sécurité d’objet qui accorde ou refuse à des utilisateurs ou à
des groupes particuliers l’autorisation d’accéder à l’objet. Seul le propriétaire de l’objet
peut modifier les autorisations accordées ou refusées dans un ACL discrétionnaire. Cela
signifie que l’accès à l’objet est à la discrétion de son propriétaire. Anglais : DACL
(Discretionary Access Control List).
Glossaire
des applications, les déploiements d’applications et la possibilité pour les entreprises de
concentrer leurs efforts de compatibilité des applications afin de permettre le
déploiement facile et rapide d’un nouveau système d’exploitation.
Acrobat
Format standard de l’éditeur Adobe destiné à la création et à la diffusion des documents
électroniques compatibles sur toutes les plateformes. Le plugin Acrobat Reader, gratuit
et téléchargeable, permet de consulter les documents dans ce format.
Actif, active
Qualifie un objet (fenêtre ou icône) qui est sélectionné, en cours d’utilisation. Le
système d’exploitation applique toujours, à la fenêtre active, la prochaine commande ou
frappe de touche que vous exécutez. Les fenêtres ou les icônes du Bureau qui ne sont pas
sélectionnées sont inactives.
Active Directory
Active Directory est un annuaire au sens informatique et technique chargé de
répertorier tout ce qui touche au réseau comme le nom des utilisateurs, des
imprimantes, des serveurs, des dossiers partagés, etc. L’utilisateur peut ainsi trouver
facilement des ressources partagées, et les administrateurs peuvent contrôler leurs
969
Chapitre 29 Annexe III - Glossaire
Il est possible d’interroger l’annuaire pour obtenir une liste des objets possédant des
attributs, en formulant par exemple une requête du type : "Trouver toutes les
imprimantes couleur de l’étage 2".
ActiveX
Ensemble de technologies permettant à des composants logiciels de dialoguer entre eux
au sein d’un environnement réseau, quel que soit le langage dans lequel ils ont été créés.
Administrateur
Pour les versions professionnelles de Windows Vista, c’est la personne qui est
responsable de la configuration et de la gestion des contrôleurs de domaine ou des
ordinateurs locaux et de leurs comptes de groupes ou d’utilisateurs, qui attribue les mots
de passe et les autorisations et aide les utilisateurs à résoudre leurs problèmes de réseau.
Les administrateurs sont membres du groupe Administrateurs et possèdent le contrôle
29. Annexe III -
Pour les versions familiales de Windows Vista, c’est la personne qui peut appliquer des
modifications à l’ordinateur au niveau du système, installer des logiciels et accéder à
tous les fichiers de l’ordinateur. Une personne possédant un compte d’administrateur
dispose d’un accès total à tous les comptes utilisateur de l’ordinateur.
Administrateur d’ordinateur
Utilisateur qui gère un ordinateur. L’administrateur de l’ordinateur est autorisé à
apporter des modifications système à l’ordinateur, notamment à installer des logiciels et
à accéder à tous les fichiers de l’ordinateur. Il peut également créer, modifier et
supprimer les comptes des autres utilisateurs.
Adresse Internet
Adresse qui identifie de façon unique un emplacement sur Internet. Elle commence
habituellement par un nom de protocole, suivi par le nom de l’organisation qui gère le
site et le suffixe identifiant le type d’organisation. Par exemple, dans l’adresse http://www
.yale.edu/, http représente le serveur web qui utilise le protocole HTTP (Hypertext Transfer
Protocol), www indique que le site est situé sur le World Wide Web et edu indique qu’il
s’agit d’un établissement d’enseignement. Elle peut être plus détaillée et contenir par
exemple le nom d’une page hypertexte, généralement identifiée par l’extension de nom
de fichier .html ou .htm. Anglais : URL (Uniform Resource Locator).
970
Annexe III - Glossaire
Adresse IP
Adresse 32 bits, utilisée pour identifier un nœud au sein d’un réseau d’interconnexion
IP. Chaque nœud du réseau d’interconnexion IP doit posséder une adresse IP unique,
composée de l’ID réseau et d’un ID hôte unique. En règle générale, la valeur décimale
de chaque octet est séparée par un point (par exemple, 192.168.7.27). Dans cette
version de Windows, vous pouvez configurer l’adresse IP de manière statique ou
dynamique par l’intermédiaire de DHCP.
Glossaire
Appartenance à un groupe
Un compte d’utilisateur peut appartenir à un groupe. Les autorisations et les droits
accordés à un groupe le sont également à ses membres. Dans la plupart des cas, les
actions qu’un utilisateur peut exécuter sous Windows sont déterminées par
l’appartenance à un groupe du compte d’utilisateur sur lequel l’utilisateur a ouvert une
session.
Attribut
Pour les fichiers, informations qui indiquent si un fichier est en lecture seule, caché, prêt
pour l’archivage (sauvegarde), compressé ou crypté, et si le contenu de ce fichier doit
être indexé pour la recherche rapide des fichiers.
Audit
Processus de suivi des activités des utilisateurs par l’enregistrement des types
d’événements sélectionnés dans le journal sécurité d’un serveur ou d’une station de
travail.
971
Chapitre 29 Annexe III - Glossaire
Autorisation
Processus qui détermine ce qu’un utilisateur est autorisé à faire sur un système
informatique ou un réseau.
Règle associée à un objet en vue de déterminer les utilisateurs qui peuvent accéder à
l’objet et la manière qu’ils doivent employer. Les autorisations sont accordées ou
refusées par le propriétaire de l’objet.
Autorisations héritées
Autorisations portant sur un objet et qui sont automatiquement héritées de son objet
parent. Les autorisations héritées ne peuvent pas être modifiées.
Authentification
29. Annexe III -
Glossaire
Backdoor
Littéralement, "porte arrière". Elle permet aux pirates d’accéder illégalement à un
logiciel ou à un système d’exploitation en utilisant une autre issue que celle qui est
officielle.
Bande passante
Représente la quantité de données pouvant être acheminées par le biais d’une
connexion réseau. La bande passante se mesure habituellement en bits par seconde
(bps).
972
Annexe III - Glossaire
Base de connaissances
Partie d’un système expert contenant l’ensemble des informations, en particulier des
règles et des faits, qui constituent le domaine de compétence du système. Anglais :
knowledge base.
Bluetooth
Norme de communication par ondes radio avec un rayon d’action de 1 m à 100 m
suivant les appareils, développée par le Bluetooth SIG. Elle est utilisée avant tout sur les
téléphones mobiles, les oreillettes sans fil et les assistants personnels.
Norme permettant de relier deux appareils par une connexion radio dans un rayon de
10 m à 100 m, sur une bande radio de 2,4 GHz. Elle est destinée à remplacer à terme les
liaisons infrarouges.
Bogue
De l’anglais, bug (punaise, insecte, microbe). En informatique, erreur, défaut dans un
programme, ce qui provoque des dysfonctionnements.
Glossaire
Voir Navigateur.
Bug
Voir Bogue.
Bureau
Zone de travail de l’écran dans laquelle apparaissent les fenêtres, les icônes, les menus
et les boîtes de dialogue.
Byte
Voir Octet.
Carte mère
La carte mère réunit des composants aussi essentiels que le processeur, la mémoire vive,
des systèmes de bus de données et des connecteurs d’extension pour relier une carte son
ou une carte graphique, par exemple. La carte mère est le centre nerveux d’un
ordinateur, le lieu d’échange de données et de calcul.
973
Chapitre 29 Annexe III - Glossaire
Carte vidéo
Carte d’extension enfichée dans un ordinateur personnel pour lui donner des capacités
d’affichage. Celles-ci dépendent des circuits logiques (fournis par la carte vidéo) et du
moniteur. Chaque carte propose plusieurs modes vidéo différents. Ceux-ci
appartiennent aux deux catégories de base : le mode texte et le mode graphique.
Certains moniteurs permettent en outre de choisir la résolution du mode texte et du
mode graphique. Un moniteur peut afficher davantage de couleurs aux résolutions les
plus basses.
Les cartes actuelles contiennent de la mémoire afin que la mémoire vive de l’ordinateur
ne soit pas sollicitée pour stocker les affichages. En outre, la plupart des cartes
possèdent leur propre coprocesseur graphique qui se charge des calculs liés à l’affichage
graphique. Ces cartes sont souvent appelées "accélérateurs graphiques".
Certificat
Document numérique communément employé pour l’authentification et la sécurisation
des échanges d’informations sur les réseaux ouverts tels qu’Internet, ou les extranets et
les intranets. Un certificat lie de manière sécurisée une clé publique à l’entité qui
possède la clé privée correspondante. Les certificats sont signés numériquement par
l’autorité de certification émettrice et peuvent être émis pour un utilisateur, un
29. Annexe III -
ordinateur ou un service. Le format de certificat le plus largement accepté est défini par
Glossaire
Cheval de Troie
Programme qui se fait passer pour un autre programme commun en vue de recevoir des
informations. Par exemple, un programme usurpe l’identité d’une session système pour
extraire des noms d’utilisateur et des mots de passe susceptibles d’aider les développeurs
du cheval de Troie à pénétrer ultérieurement dans le système. Synonyme : troyen.
Anglais : trojan.
Classe d’adresses
Groupements prédéfinis d’adresses Internet, dont chaque classe définit des réseaux
possédant une taille déterminée. La plage de nombres susceptibles d’être affectés au
premier octet de l’adresse IP varie en fonction de la classe d’adresses. Les réseaux de
classe A (dont les valeurs sont comprises entre 1 et 126) sont les plus grands, chacun
d’eux peut relier plus de 16 millions d’hôtes. Les réseaux de classe B (dont les valeurs
sont comprises entre 128 et 191) peuvent relier jusqu’à 65 534 hôtes par réseau, tandis
que les réseaux de classe C (dont les valeurs sont comprises entre 192 et 223) peuvent
regrouper jusqu’à 254 hôtes par réseau.
974
Annexe III - Glossaire
Clé
Dans la Base de registre, dossier qui apparaît dans le panneau gauche de la fenêtre de
l’éditeur. Une clé peut contenir des sous-clés ainsi que des rubriques valuées.
Environment, par exemple, est une clé contenue dans HKEY_CURRENT_USER.
Compte d’utilisateur
Ensemble de toutes les informations définissant un utilisateur pour Windows. Parmi ces
informations, citons le nom d’utilisateur et le mot de passe fourni par l’utilisateur pour
se connecter au réseau, les groupes auxquels appartient l’utilisateur, et les droits et
autorisations dont jouit l’utilisateur pour utiliser l’ordinateur et le réseau ou accéder à
leurs ressources. Pour Windows XP Professionnel, les comptes d’utilisateurs sont gérés
Glossaire
Compression
Procédé permettant de réduire le volume (en bits) ou le débit (en bits par seconde) des
données numérisées (parole, image, texte…).
Si vous désactivez les connexions web sécurisées, votre navigateur ne chiffrera plus les
informations envoyées. Vous ne devez désactiver les connexions web sécurisées que si
vous voulez protéger les informations confidentielles figurant sur la liste Informations
confidentielles.
Cookie
Code, ensemble d’informations, qu’un serveur enregistre, souvent temporairement, sur
votre disque dur pour vous identifier sur son service.
975
Chapitre 29 Annexe III - Glossaire
Corbeille
Emplacement dans lequel Windows stocke les fichiers supprimés. Vous pouvez
récupérer des fichiers supprimés par erreur ou vider la Corbeille pour augmenter
l’espace disque disponible.
Défragmentation
Processus de réécriture de parties d’un fichier dans des secteurs contigus d’un disque
dur en vue d’augmenter la vitesse d’accès et de récupération des données. Lorsque des
fichiers sont mis à jour, l’ordinateur a tendance à les enregistrer sur le plus grand espace
continu du disque dur, qui se trouve souvent sur un secteur différent de celui sur lequel
sont enregistrées les autres parties du fichier. Lorsque des fichiers sont ainsi fragmentés,
l’ordinateur doit examiner le disque dur chaque fois qu’il ouvre le fichier afin d’en
rechercher les différentes parties, ce qui réduit son temps de réponse.
Domaine
Groupe d’ordinateurs faisant partie d’un réseau et partageant une même base de
données d’annuaire. Un domaine est administré comme une unité régie par des règles et
des procédures communes. Chaque domaine possède un nom unique. Un domaine
29. Annexe III -
Active Directory est constitué d’un ensemble d’ordinateurs définis par l’administrateur
Glossaire
d’un réseau Windows. Ces ordinateurs partagent une base de données d’annuaires
commune, des stratégies de sécurité et des relations de sécurité avec d’autres domaines.
Un domaine Active Directory fournit l’accès aux comptes de groupe et aux comptes
d’utilisateurs centralisés qui sont gérés par l’administrateur du domaine. Une forêt
Active Directory se compose d’un ou de plusieurs domaines, qui peuvent s’étendre sur
plusieurs emplacements physiques.
Un domaine DNS est une arborescence au sein de l’espace de noms DNS. Bien que les
noms des domaines DNS correspondent souvent aux domaines Active Directory, les
domaines DNS ne doivent pas être confondus avec les domaines Active Directory.
Dossier
Dans une interface utilisateur graphique, conteneur de programmes et de fichiers
symbolisé par une icône de dossier. Un dossier est un outil permettant de classer les
programmes et les documents sur un disque et capable de contenir à la fois des fichiers
et des sous-dossiers.
Dossier de base
Dossier (généralement sur un serveur de fichiers) que les administrateurs peuvent
attribuer à des utilisateurs ou à des groupes individuels. Les administrateurs utilisent des
dossiers de base pour consolider les fichiers utilisateurs sur des serveurs de fichiers
spécifiques afin d’en faciliter la sauvegarde. Certains programmes utilisent les dossiers
976
Annexe III - Glossaire
de base comme dossiers par défaut pour les boîtes de dialogue Ouvrir et Enregistrer
sous. Les dossiers de base sont parfois appelés "répertoires de base".
Droits d’utilisateur
Ensemble des autorisations d’un utilisateur, sur un ordinateur ou un domaine, et lui
permettant d’accéder à un certain nombre de tâches définies. Il existe deux types de
droits d’utilisateur : les privilèges et les droits d’ouverture de session. Le droit de fermer
le système est un exemple de privilège. Le droit d’ouvrir une session sur un ordinateur
localement est un exemple de droit d’ouverture de session. Les privilèges et les droits
sont attribués par les administrateurs à des utilisateurs ou à des groupes particuliers
dans le cadre de la configuration des paramètres de sécurité de l’ordinateur.
Glossaire
Physiquement, le processeur dual core ressemble fort à un processeur classique, à cela
près qu’il est surmonté de deux dies au lieu d’un seul. Le die étant parfois recouvert
d’une plaque protectrice, il ne sera pas toujours possible de distinguer au premier coup
d’œil un processeur dual core d’un processeur classique. Pour autant, il est impossible
d’utiliser un processeur dual core sur une carte mère actuelle, même si le socket est
identique. Il faut que le chipset de la carte mère soit adapté à la gestion du dual core.
Durée de vie
Valeur incluse dans les paquets envoyés sur des réseaux TCP/IP qui indiquent aux
destinataires la durée pendant laquelle le paquet ou les données qu’il contient peuvent
être conservés ou utilisés.
Les valeurs de durée de vie sont utilisées dans les enregistrements de ressources au sein
d’une zone pour déterminer la durée pendant laquelle les clients demandeurs mettent
en cache et utilisent ces informations lorsqu’elles apparaissent dans la réponse d’un
serveur DNS à une requête pour cette zone. Anglais : TTL (Time to Live).
En ligne
Lorsqu’un utilisateur a établi une connexion à un réseau, on dit qu’il est en ligne.
Désigne également un mode d’accès direct à des écrans d’aide, par exemple.
977
Chapitre 29 Annexe III - Glossaire
Ethernet
Standard IEEE 802.3 pour les réseaux en litige. Ethernet utilise une topologie en bus ou
en étoile et repose sur une forme d’accès appelée "CSMA/DC" (Carrier Sense Multiple
Access with Collision Detection) pour réguler le trafic des communications sur la ligne.
Les nœuds des réseaux sont reliés par du câble coaxial, de la fibre optique ou une paire
de câbles torsadés. Les données sont transmises dans des trames de longueur variable
qui contiennent des informations de contrôle et de remise, et jusqu’à 1500 octets de
données. Le standard Ethernet fournit une transmission en bande de base à la vitesse de
10 Mbps (10 millions de bits par seconde).
Événement
Tout fait important se produisant dans le système ou dans une application et devant être
signalé aux utilisateurs ou consigné dans un journal.
Fenêtre
Portion de l’écran dans laquelle les programmes et les processus peuvent être exécutés.
Vous pouvez ouvrir plusieurs fenêtres à la fois. Par exemple, vous pouvez consulter vos
messages électroniques dans une fenêtre, travailler sur un budget dans une feuille de
calcul ouverte dans une autre fenêtre, télécharger des images de votre Caméscope dans
une autre fenêtre et faire vos courses en ligne dans une autre fenêtre. Les fenêtres
peuvent être fermées, redimensionnées, déplacées, réduites en bouton dans la barre des
tâches ou affichées en plein écran.
Fichier journal
Fichier dans lequel sont stockés les messages générés par une application, un service ou
le système d’exploitation. Ces messages permettent de suivre l’exécution des opérations.
Les serveurs web, par exemple, gèrent des fichiers journaux qui répertorient toutes les
requêtes adressées au serveur. Les fichiers journaux sont généralement des fichiers en
texte clair (ASCII) qui possèdent souvent l’extension .log.
978
Annexe III - Glossaire
Fichier système
Fichiers utilisés par Windows pour charger, configurer et exécuter le système
d’exploitation. En général, les fichiers système ne doivent jamais être supprimés ou
déplacés.
Firewall
Voir Pare-feu.
Glossaire
Forêt
Ensemble d’un ou de plusieurs domaines Windows partageant un schéma, une
configuration et un catalogue global communs et liés par des relations d’approbation
transitives bidirectionnelles.
Fournisseur d’accès
Voir FAI.
Gestion de l’ordinateur
Composant qui permet d’afficher et de contrôler de nombreux aspects de la
configuration d’un ordinateur. La Gestion de l’ordinateur associe plusieurs utilitaires
d’administration dans l’arborescence d’une seule console, fournissant un accès facile aux
propriétés et aux outils d’administration des ordinateurs locaux ou distants.
Gestionnaire de périphériques
Outil d’administration qui permet de gérer les périphériques d’un ordinateur. Grâce au
Gestionnaire de périphériques, vous pouvez afficher et modifier les propriétés des
979
Chapitre 29 Annexe III - Glossaire
périphériques, mettre à jour les pilotes de périphérique, configurer les paramètres des
périphériques et les désinstaller.
GPO
Voir Stratégies de groupe.
Groupe
Ensemble d’utilisateurs, d’ordinateurs, de contacts et d’autres groupes. Les groupes
peuvent être utilisés comme des ensembles de distribution électronique ou de sécurité.
Les groupes de distribution ne sont utilisés que pour la messagerie. Les groupes de
sécurité sont utilisés à la fois pour accorder l’accès à des ressources et comme listes de
distribution électronique.
Groupe de sécurité
Groupe qui peut être répertorié sur des listes de contrôle d’accès discrétionnaire
(DACL, Discretionary Access Control List ; voir ACL) utilisées pour définir les
autorisations sur les ressources et les objets. Un groupe de sécurité peut également être
utilisé comme une entité de courrier électronique. Lorsque vous envoyez un message de
29. Annexe III -
courrier électronique à un groupe, ce message est envoyé à tous les membres du groupe.
Glossaire
Groupe local
Pour les ordinateurs exécutant Windows et les serveurs membres, groupe auquel
peuvent être accordés des droits et des autorisations à partir de son propre ordinateur
et, si ce dernier appartient à un domaine, des comptes d’utilisateurs et des groupes
globaux à partir de son propre domaine et de domaines approuvés.
Groupes prédéfinis
Groupes de sécurité installés par défaut avec le système d’exploitation. Les groupes
prédéfinis sont dotés d’une série de droits et de fonctions prédéfinis extrêmement utiles.
Dans la plupart des cas, les groupes prédéfinis confèrent à un utilisateur donné toutes
les possibilités nécessaires. Par exemple, si un compte d’utilisateur sur un domaine
appartient au groupe prédéfini Administrateurs, toute ouverture de session avec ce
compte donne à l’utilisateur des capacités d’administrateur sur le domaine et les
serveurs du domaine. Pour attribuer à un compte d’utilisateur un ensemble de
possibilités données, assignez-le au groupe prédéfini approprié.
980
Annexe III - Glossaire
Héritage
Mécanisme qui autorise la copie d’une entrée de contrôle d’accès (ACE, Access Control
Entry) spécifique du conteneur auquel elle s’applique sur tous les enfants de ce
conteneur. L’héritage peut être associé à la délégation afin d’accorder des droits
d’administration à l’intégralité d’une arborescence du répertoire en une seule opération
de mise à jour.
Hexadécimal
Système en base 16 représenté par les chiffres 0 à 9 ainsi que par les lettres A
(équivalant au nombre décimal 10) à F (équivalant au nombre décimal 15).
Homepage
Voir Page d’accueil.
Glossaire
Identificateur de processus
Voir PID.
Identificateur de sécurité
Voir SID.
Image disque
L’image d’un disque peut se comparer à un colis postal. On peut y mettre des choses de
nature diverses (correspondance, vêtements, nourriture, etc.). En le scellant
correctement et tant qu’il n’a pas été ouvert, on peut être certain de son contenu.
Cependant, il peut arriver endommagé. Ainsi, une image disque garantit la liste des
fichiers qu’elle contient, mais pas leur intégrité. C’est pourquoi elle est parfois associée
à des systèmes de contrôle d’intégrité des données.
Pour prendre une comparaison plus précise, on peut aussi dire que l’image disque est
semblable à la photo prise d’un paysage. Celle-ci permet de prendre l’ensemble des
éléments du paysage, en le réécrivant sous la forme d’un code de couleur. Pour un
disque, le logiciel prendra une photo du disque et le récrira sous la forme d’un code
981
Chapitre 29 Annexe III - Glossaire
(compressé ou pas) contenant tous les fichiers. Cela donne alors naissance à un seul
fichier, généralement volumineux (autant que l’espace utilisé du disque).
ImageX
Utilitaire de manipulation des images disque Microsoft au format WIM. ImageX
permet de créer, d’appliquer, d’ouvrir et de fermer ces images.
Infrastructure
L’infrastructure est un ensemble d’éléments structuraux interconnectés qui fournissent
le cadre pour supporter la totalité de la structure.
Le terme est souvent utilisé d’une façon très abstraite. Par exemple, les outils
d’ingénierie informatique sont quelquefois décrits comme une partie de l’infrastructure
d’un environnement de développement.
Internet
Vaste regroupement de réseaux d’ordinateurs qui échangent de l’information par le
biais d’une suite de protocoles de réseau appelés "TCP/IP". En tant qu’utilisateur, on
29. Annexe III -
peut penser à Internet comme une immense bibliothèque dont les livres sont des sites
Glossaire
web et les pages des livres des pages web. En lisant une page d’un livre, on peut sauter
à d’autres pages ou livres.
Intranet
Réseau d’une organisation (commerciale, éducative, militaire…) qui offre à son
personnel des services semblables à Internet. La plupart des intranets sont raccordés à
Internet. L’accès à un intranet est cependant limité aux personnes autorisées. Les
intranets se défendent des accès non souhaités par des pare-feu.
IP (Internet Protocol)
Protocole responsable de l’adressage et du routage entre les ordinateurs, de
l’acheminement des paquets de données au sein du réseau, de la constitution et du
réassemblage des paquets. Les fonctionnalités assurées par le protocole IP peuvent se
déduire de l’examen de l’en-tête du paquet. Il identifie entre autres, la source et la
destination du paquet et comporte des identificateurs de fragmentation. IP est défini par
la RFC 791.
Java
Langage de programmation de Sun Microsystems.
982
Annexe III - Glossaire
Javascript
Langage plus simple que Java, permettant d’insérer dans des pages HTML de petits
programmes à exécuter par le navigateur.
Jeton
Élément textuel non réductible dans les données en cours d’analyse, par exemple
l’utilisation dans un programme d’un nom variable, d’un mot réservé ou d’un opérateur.
Le stockage des jetons en tant que codes courts réduit la taille des fichiers programme
et accélère leur exécution.
Jeu de sauvegardes
Ensemble de fichiers, de dossiers et de données qui ont été sauvegardés et stockés dans
un fichier ou encore sur une ou plusieurs bandes.
Journal sécurité
Journal d’événements contenant des informations sur les événements de sécurité
spécifiés dans la stratégie d’audit.
Liste de diffusion
Liste d’adresses e-mail d’utilisateurs Internet qui se sont inscrits auprès du gestionnaire
correspondant. La liste est gérée par une personne ou un service et distribue des
informations. Certaines listes sont modérées (elles ont un ou plusieurs modérateurs). Il
existe des listes de diffusion concernant de nombreux sujets. Certaines sont "ouvertes"
(tout abonné à la liste peut envoyer un message à toute la liste, comme lors d’une
conversation) et d’autres sont "fermées" (seuls certains abonnés peuvent créer des
messages, mais tous les abonnés peuvent les lire). Anglais : mailing list.
983
Chapitre 29 Annexe III - Glossaire
Magasin de certificats
En général, dossier de stockage permanent renfermant les certificats, les listes de
révocation de certificats et les listes de certificats de confiance.
Mailing list
Voir Liste de diffusion.
Maintenance
Ensemble des actions de dépannage, de révision et de vérification périodique des
machines, des logiciels et des objets manufacturés produits par l’industrie. Il existe
différentes façons d’organiser les actions de maintenance :
j La maintenance est "préventive" lorsqu’elle est dictée par des exigences de sûreté de
fonctionnement. Cette maintenance préventive est "systématique" quand elle est
effectuée selon un échéancier établi à partir d’un temps d’usage ou d’un nombre
d’unités d’usage et "conditionnelle" lorsqu’elle est réalisée à la suite d’une analyse
révélatrice de l’état de dégradation de l’équipement.
j La maintenance est "corrective" lorsqu’elle est effectuée après une défaillance,
29. Annexe III -
Malware
Logiciel ou programme malveillant capable d’endommager votre système.
Masque de sous-réseau
Un masque de sous-réseau permet d’identifier un sous-réseau.
En IPv4, une adresse IP est codée sur 4 octets, soit 32 bits. Un masque de sous-réseau
possède lui aussi 4 octets. Lorsque deux adresses IP appartiennent à un même
sous-réseau, elles partagent un certain nombre de bits. Si le bit n des deux adresses IP est
identique, alors le bit n du masque de sous-réseau vaut 1, sinon il vaut 0.
Mémoire flash
Mémoire petite, plate et à semi-conducteur, utilisée dans les lecteurs MP3, les appareils
photo numériques et les assistants personnels. Elle regroupe les mémoires
984
Annexe III - Glossaire
Mémoire virtuelle
Espace du disque dur interne d’un ordinateur qui vient seconder la mémoire vive, Elle
se concrétise par un fichier d’échanges (fichier swap), lequel contient les données non
sollicitées constamment. La mémoire virtuelle, comme son nom l’indique, sert à
augmenter artificiellement la mémoire vive. Elle est aussi moins performante.
Migration
Passage d’un état existant d’un système d’information ou d’une application vers une
cible définie dans un projet ou un programme.
Glossaire
MMC principale regroupe les commandes et les outils des consoles de création. Les
fonctionnalités de création de la console MMC et de l’arborescence de la console
proprement dite peuvent être masquées lorsqu’une console est en mode Utilisateur.
Mot de passe
Mesure de sécurité utilisée pour limiter les noms d’ouverture de session sur les comptes
d’utilisateurs ainsi que les accès aux systèmes et aux ressources. Un mot de passe est une
chaîne de caractères qui doit être fournie pour qu’une ouverture de session ou un accès
soient autorisés. Un mot de passe peut être composé de lettres, de chiffres ou de
symboles. Les minuscules et les majuscules sont différenciées.
985
Chapitre 29 Annexe III - Glossaire
Navigateur
Logiciel qui interprète les balises des fichiers HTML, les transforme en pages web et les
affiche dans une fenêtre. Certains navigateurs permettent aux utilisateurs d’envoyer et
de recevoir des courriers électroniques, de consulter des groupes de discussion et de lire
des fichiers audio et vidéo intégrés à des documents web. Anglais : browser.
Nom de partage
Nom qui fait référence à une ressource partagée sur un serveur. Tout dossier partagé
d’un serveur possède un nom de partage utilisé par les utilisateurs de PC pour faire
référence au dossier. Les utilisateurs d’ordinateurs Macintosh utilisent le nom du
volume accessible aux Macintosh qui correspond à un dossier, et qui peut être identique
au nom de partage.
Newsgroup
Forum de discussions sur Internet, avec des sujets précis. Les newsgroups sont en
général modérés (ils ont un ou plusieurs modérateurs).
NTFS
29. Annexe III -
Glossaire
Système de fichiers avancé qui offre des performances, une sécurité, une fiabilité et des
fonctionnalités avancées qui ne se retrouvent dans aucune version de FAT. Par exemple,
NTFS garantit la cohérence des volumes en utilisant des techniques standards
d’ouverture de transaction et de restauration. Si un système présente une défaillance,
NTFS utilise son fichier journal et ses informations de points de vérification pour
restaurer la cohérence du système de fichiers. Dans Windows 2000 et Windows XP,
NTFS fournit également des fonctionnalités avancées telles que les autorisations sur
fichiers et dossiers, le cryptage, les quotas de disque et la compression.
Objet
Entité (par exemple un fichier, un dossier, un dossier partagé, une imprimante ou un
objet Active Directory) identifiée par un jeu nommé et distinct d’attributs. Les attributs
d’un objet fichier, par exemple, couvrent son nom, son emplacement et sa taille,
tandis que les attributs d’un objet utilisateur Active Directory peuvent
comporter le prénom, le nom et l’adresse de messagerie de l’utilisateur.
Pour OLE et ActiveX, un objet peut aussi être n’importe quel élément d’information lié
(incorporé) à un autre objet.
986
Annexe III - Glossaire
Octet
Unité de mesure de mémoire informatique (1 octet vaut 8 bits). La place occupée par les
fichiers est mesurée en octets, en kilo-octets (1 ko vaut 1024 octets), en mégaoctets
(Mo) ou en gigaoctets (Go). Anglais : byte.
Ouverture de session
Opération permettant à un utilisateur de commencer à utiliser le réseau en fournissant
un identifiant et un mot de passe.
Page d’accueil
Page web de départ d’un site Internet, contenant des informations sur l’identité du
propriétaire du site, les serveurs fournis, éventuellement un index. Anglais : homepage.
Page web
Les sites Internet contiennent plusieurs pages web. Par exemple, plusieurs personnes
peuvent avoir des pages personnelles sur le même serveur (site Internet). Une page web
est un document hypermédia sur le Web.
Pare-feu
Ensemble de matériels et de logiciels constituant un système de sécurité, en règle
générale pour empêcher les accès non autorisés provenant de l’extérieur sur un réseau
interne ou un intranet. Un pare-feu empêche les communications directes entre les
987
Chapitre 29 Annexe III - Glossaire
Partition
Partie d’un disque physique qui se comporte comme s’il s’agissait d’un disque
physiquement distinct. Lorsque vous créez une partition, vous devez la formater et lui
assigner une lettre de lecteur avant de pouvoir y stocker des données.
Sur les disques de base, les partitions sont appelées des "volumes de base" et peuvent
être des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les
partitions sont appelées des "volumes dynamiques" et peuvent être des partitions
simples, fractionnées, agrégées par bande, en miroir ou RAID-5.
Partition active
Partition à partir de laquelle démarre un ordinateur de type x86. La partition active doit
être une partition principale d’un disque de base. Si vous utilisez exclusivement
Windows, la partition active peut être la même que celle du volume système.
29. Annexe III -
Glossaire
Partition d’amorçage
Partition qui contient le système d’exploitation Windows et ses fichiers de prise en
charge. La partition d’amorçage peut être la même que la partition système.
Partition principale
Type de partition que vous pouvez créer sur les disques de base. Une partition principale
est une partie de l’espace disque physique qui fonctionne comme un disque
physiquement indépendant. Sur les disques MBR (Master Boot Record) de base, vous
pouvez créer jusqu’à quatre partitions principales ou trois partitions principales et une
partition étendue avec plusieurs lecteurs logiques. Sur les disques GPT de base, vous
pouvez créer jusqu’à 128 partitions principales. Synonyme : volume.
Partition système
Partition qui contient des fichiers propres au matériel qui sont indispensables au
chargement de Windows (par exemple Ntldr, Osloader, Boot.ini, Ntdetect.com). La
partition système peut être la même que la partition d’amorçage.
988
Annexe III - Glossaire
Plugin ou plug-in
De l’anglais to plug in (brancher). Non autonome, ce petit logiciel se greffe sur un
programme principal pour lui conférer de nouvelles fonctionnalités. Le programme
principal fixe un standard d’échange d’informations auquel les plugins se conforment.
Par exemple, certains plugins s’installent sur un navigateur pour lui apporter des
fonctions supplémentaires.
Point de restauration
Représentation d’un état stocké de votre ordinateur. Le point de restauration est créé
par la fonction Restauration système à intervalles réguliers ou lorsque le début d’un
changement sur l’ordinateur est détecté. Vous pouvez également créer des points de
restauration manuellement.
Pop-up
Prévention d’intrusion
La Prévention d’intrusion analyse tout le trafic entrant et sortant sur votre ordinateur et
compare ces informations à un ensemble de signatures d’attaque. Une signature
d’attaque est un groupe de données organisées qui identifie une tentative de piratage
visant à exploiter une faille connue du système d’exploitation ou d’un programme.
Privilège
Droit d’un utilisateur d’effectuer une tâche spécifique, qui affecte généralement
l’ensemble du système informatique plutôt qu’un objet particulier. Les privilèges sont
attribués par les administrateurs à des utilisateurs ou à des groupes d’utilisateurs
particuliers dans le cadre de la configuration des paramètres de sécurité de l’ordinateur.
Voir Droits d’utilisateur.
989
Chapitre 29 Annexe III - Glossaire
Profil d’utilisateur
Fichier qui contient des informations de configuration (comme les paramètres du
Bureau, les connexions réseau permanentes et les paramètres des applications) pour un
utilisateur spécifique. Les préférences de chaque utilisateur sont enregistrées dans un
profil d’utilisateur que Windows utilise pour configurer le Bureau chaque fois qu’un
utilisateur ouvre une session.
Programme
Jeu d’instructions complet et autonome qui permet d’exécuter une tâche donnée :
traitement de texte, comptabilité ou gestion des données, par exemple. Synonyme :
application.
Protocoles
Ensemble de règles et de conventions relatives à l’envoi d’informations sur un réseau.
Ces règles régissent le contenu, le format, la synchronisation, la mise en séquence et le
contrôle des erreurs des messages échangés entre les périphériques du réseau.
Proxy
29. Annexe III -
Glossaire
Ordinateur qui s’intercale entre le réseau privé et Internet pour servir de pare-feu ou de
cache. Dans ce dernier cas, il enregistre les pages web transférées par les utilisateurs
pour les délivrer sans qu’il soit nécessaire de se connecter sur le serveur initial.
Raccourci
Lien vers n’importe quel élément accessible sur un ordinateur ou sur un réseau,
notamment un programme, un fichier, un dossier, un lecteur de disque, une page web,
une imprimante ou un autre ordinateur. Vous pouvez placer des raccourcis à différents
endroits, notamment sur le Bureau, dans le menu Démarrer ou dans des dossiers
déterminés.
Registre
Emplacement de base de données destiné aux informations relatives à la configuration
d’un ordinateur. Le Registre contient des informations auxquelles Windows se réfère en
permanence, notamment :
990
Annexe III - Glossaire
Réseau
Groupe d’ordinateurs et de périphériques, comme des imprimantes et des scanneurs,
connectés entre eux par une liaison de communication permettant à tous les
périphériques d’interagir. Un réseau peut être de grande ou de petite taille, connecté
durablement par des câbles ou temporairement par des lignes téléphoniques ou des
transmissions sans fil. Le plus grand réseau est Internet, qui est un groupement de
réseaux du monde entier.
Glossaire
Dans un environnement Windows, matériel qui participe à l’interopérabilité et à la
connectivité des réseaux locaux et des réseaux étendus. Permet aussi de lier des réseaux
locaux régis par différentes topologies réseau (notamment Ethernet et Token Ring).
Les routeurs font correspondre les en-têtes de paquets à un segment du réseau local et
choisissent le meilleur chemin pour le paquet, ce qui optimise les performances du
réseau.
Ruche
Partie du Registre qui apparaît en tant que fichier sur votre disque dur. Le sous-arbre du
Registre est divisé en ruches (en raison de la ressemblance avec la structure cellulaire
d’une ruche d’abeilles). Une ruche correspond à un ensemble discret de clés, de
sous-clés et de valeurs qui figurent en haut de la hiérarchie du Registre. Une ruche est
sauvegardée par un fichier unique et un fichier .log qui se trouvent dans le dossier
racine_système\System32\Config ou racine_système\Profiles\nom_utilisateur.
991
Chapitre 29 Annexe III - Glossaire
La plupart de ces fichiers (par défaut, SAM, sécurité et système) sont normalement
stockés dans le dossier racine_système\System32\Config. Le dossier racine_système
\Profiles contient le profil d’utilisateur de tous les utilisateurs de l’ordinateur. Puisqu’une
ruche est un fichier, elle peut être déplacée d’un système à un autre. Cependant, vous
devez utiliser l’éditeur de Registre pour modifier le fichier.
Spamming
Envoi de courrier indésirable en masse. Les spammeurs envoient des courriers (ou
spams) à des fins lucratives. Ils utilisent de nombreux moyens pour y parvenir. Ce
système est puni par la loi, en France et dans beaucoup d’autres pays.
Sauvegarde
Copie de tous les fichiers sélectionnés (en d’autres termes, l’attribut Archive est
désactivé). Pour les sauvegardes normales, vous n’avez besoin que de la copie la plus
récente du fichier ou de la bande de sauvegarde, afin de restaurer les fichiers. En règle
générale, une sauvegarde normale s’effectue la première fois que vous créez un jeu de
sauvegardes.
Script
29. Annexe III -
Glossaire
Sécurité
Ensemble de mécanismes de contrôle empêchant l’utilisation non autorisée de
ressources. Un des mécanismes de sécurité, que l’utilisateur d’un ordinateur rencontre
souvent, est le mot de passe.
Services
Les services sont utilisés pour effectuer des actions entre un programme installé sur un
ordinateur et un périphérique Bluetooth distant. Ces paramètres permettent à
l’ordinateur et aux périphériques Bluetooth externes de se connecter et d’effectuer
d’autres activités, comme la connexion à Internet ou l’impression.
992
Annexe III - Glossaire
Shareware
De l’anglais share (partage). Logiciel distribué librement et dont l’utilisation est soumise
à la condition de le payer si l’utilisateur est satisfait et continue à l’utiliser après un
certain délai, en général un mois.
Site
Un ou plusieurs sous-réseaux TCP/IP correctement connectés (fiables et rapides). Un
site permet aux administrateurs de configurer l’accès et la topologie de réplication
Active Directory rapidement et facilement pour tirer avantage du réseau physique.
Lorsque les utilisateurs ouvrent une session, les clients Active Directory recherchent les
serveurs Active Directory sur le même site que l’utilisateur.
Glossaire
Nœud d’un arbre, ainsi que n’importe quelle sélection de nœuds descendants
connectés. Dans la structure du Registre, les sous-arborescences sont les nœuds
principaux qui contiennent les clés, les sous-clés et les valeurs.
Sous-clé
Clé au sein d’une clé. Dans la structure du Registre, les sous-clés sont subordonnées aux
sous-arbres et aux clés. Les clés et les sous-clés sont semblables à l’en-tête de section des
fichiers .ini, bien que les sous-clés puissent aussi exécuter des fonctions.
Stratégies de groupe
Les stratégies de groupe sont des paramètres de configuration appliqués aux
ordinateurs ou aux utilisateurs lors de leur initialisation, ils sont également gérés dans
un environnement Active Directory.
993
Chapitre 29 Annexe III - Glossaire
Ils ont pour objectifs de réduire les besoins en assistance, et d’automatiser certains
processus. Une stratégie de groupe peut contrôler la base de Registre d’un ordinateur,
la sécurité NTFS, les règles d’écoute et de sécurité, l’installation de logiciels, les scripts
pour se connecter et se déconnecter, les redirections de répertoires, et les paramètres
d’Internet Explorer. Ces règles sont enregistrées dans les stratégies de groupe. Une
stratégie de groupe est identifiée en interne, par un identifiant unique : un GUID.
Chacun peut être associé à plusieurs sites et domaines de travail. De cette manière, il est
possible de mettre à jour des centaines de machines via un seul changement à une
stratégie de groupe. Cela réduit les coûts de maintenance. Les stratégies de groupe sont
analysées et appliquées lors du démarrage d’un ordinateur, ainsi que lors de la
connexion et la déconnexion d’un utilisateur. La machine cliente rafraîchit
périodiquement la plupart des stratégies de groupe (toutes les 90 à 120 minutes) bien
que cet intervalle soit configurable. Anglais : GPO (Group Policy Object).
spécifié. Si aucun acquittement n’est reçu, les données sont retransmises. Le TCP est
défini par la RFC 793.
TCP/IP
Le composant TCP/IP installé dans un système d’exploitation réseau est constitué d’une
série de protocoles interconnectés appelés "protocoles centraux de TCP/IP". Toutes les
autres applications et les protocoles de la suite de protocoles TCP/IP s’appuient sur les
services fondamentaux fournis par les protocoles suivants : IP, ARP, ICMP, IGMP,
TCP, UDP.
994
Annexe III - Glossaire
Unité d’organisation
Objet conteneur Active Directory utilisé à l’intérieur des domaines. Les unités
d’organisation sont des conteneurs logiques dans lesquels vous pouvez placer des
utilisateurs, des groupes, des ordinateurs et d’autres unités d’organisation. Elles ne
peuvent contenir que des objets de leur domaine parent. L’unité d’organisation est la
plus petite étendue à laquelle un objet de stratégie de groupe peut être lié, ou sur
laquelle une autorité administrative peut être déléguée. Anglais : OU (Organization
Unit).
Glossaire
USMT (User State Migration Tool)
Utilitaire permettant de migrer les profils utilisateurs au cours des déploiements en
nombre de systèmes Microsoft Windows XP et Windows Vista. USMT capture les
profils utilisateurs, notamment les paramètres du Bureau et des applications, ainsi que
les fichiers des utilisateurs, avant de les migrer vers une nouvelle installation de
Windows. Il permet également d’améliorer et de simplifier le processus de migration.
Vous pouvez utiliser USMT pour les migrations de type "côte à côte" (les données sont
copiées de l’ancien ordinateur vers le nouveau) et "effacer et charger" (vous enregistrez
les données, puis vous formatez le disque dur et procédez à une nouvelle installation). Si
vous procédez uniquement à la mise à niveau de votre système d’exploitation, USMT
n’est pas nécessaire.
995
Chapitre 29 Annexe III - Glossaire
Utilisateur
Personne qui utilise un ordinateur. Si l’ordinateur est connecté à un réseau, un
utilisateur peut accéder aux programmes et aux fichiers de l’ordinateur, ainsi qu’aux
programmes et aux fichiers situés sur le réseau (en fonction des restrictions du compte
déterminées par l’administrateur réseau).
Variable
En programmation, emplacement de stockage nommé qui peut contenir un type de
données déterminé, susceptible d’être modifié pendant l’exécution du programme. Les
variables d’environnement système sont définies par Windows XP et sont les mêmes,
indépendamment de celui qui se connecte à l’ordinateur. Les membres du groupe
Administrateurs peuvent néanmoins ajouter de nouvelles variables ou modifier des
valeurs.
Variable d’environnement
Glossaire
Versions précédentes
Les versions précédentes sont des copies de sauvegarde (copies de fichiers et de
dossiers) ou des clichés instantanés (copies de fichiers et de dossiers enregistrées
automatiquement par Windows comme élément d’un point de restauration). Les clichés
instantanés peuvent être des copies de fichiers sur votre ordinateur ou des fichiers
partagés sur un ordinateur d’un réseau. Vous pouvez utiliser des versions précédentes
de fichiers pour restaurer des fichiers que vous avez accidentellement modifiés ou
supprimés, ou qui ont été endommagés. Selon le type de fichier ou de dossier, vous
pouvez les ouvrir, les enregistrer vers un autre emplacement ou les restaurer à une
version précédente.
Virtualisation
En informatique, ensemble des techniques matérielles et/ou logicielles qui permettent
de faire fonctionner sur une seule machine plusieurs systèmes d’exploitation et/ou
plusieurs applications, séparément les uns des autres, comme s’ils fonctionnaient sur des
machines physiques distinctes. Les outils de virtualisation servent à faire fonctionner ce
996
Annexe III - Glossaire
qu’on appelle communément des "serveurs privés virtuels" (Virtual Private Servers ou
VPS) ou encore "environnements virtuels" (Virtual Environments ou VE).
Wi-Fi (Wireless-Fidelity)
Norme 802.11 de réseau sans fil. Un réseau Wi-Fi peut être utilisé pour permettre la
connexion à un réseau local ou étendu, ou à Internet.
WIM
Format des images systèmes utilisé par Windows Vista, Windows Longhorn Server et
SMS.
Windows RE
Environnement de récupération, de résolution d’incidents de Windows Vista.
Windows PE
Environnement de préinstallation de Windows. Windows PE permet de charger un
Glossaire
poste de travail. Windows PE est configurable. Windows Vista introduit la version 2 de
Windows PE.
ZIP
Format de compression, utilisé notamment par les utilitaires pkzip et WinZip.
L’extension correspondante est .zip. Lorsque l’on compresse un fichier ou un dossier, le
résultat obtenu est communément appelé "fichier ZIP" ou "archive".
997
Index
! installation à partir d’un fichier de
réponses, 651
installation détaillée, 623
$OEM$, 222 installation via le réseau, 649
\$OEM$\$$, 222 intégration du DNS, 634
\$OEM$\$$\Help, 222 journaux d’événements, 636
\$OEM$\$$\System32, 222 NETLOGON, 631
\$OEM$\$1, 222 objets créés par défaut, 641
\$OEM$\$1\pilotesPlug-and-Play, 222 premier contrôleur de domaine, 622, 641
\$OEM$\$1\SysPrep, 222 problème lié à l’installation, 643
\$OEM$\$Docs, 222 problème lors de l’installation, 642
\$OEM$\$Progs, 222 processus d’installation, 620
\$OEM$\$Progs\Internet Explorer, 223 restauration des annuaires, 635
\$OEM$\lettre_lecteur\sous_dossier, 223 sécurité, 715
\$OEM$\Textmode, 222 schéma, 525, 670
SYSVOL, 631
vérification de l’installation, 630
vérifier la structure de dossiers, 631
A vérifier les dossiers partagés nécessaires,
631
Abortpxe.com, 332 vue d’ensemble, 615
Accès à distance, 969 Active Directory Application Mode (voir
Access Denied, 847 ADAM), 69, 735
ACL, 969 Active Directory Federation Services (voir
Acrobat, 969 ADFS), 754
ACT, 969 ActiveX, 970
Actif, 969 ADAM
Active Directory, 522, 969 configuration requise, 738
assistant Installation, 623 création d’une instance, 742
base de données, 632 création d’une Unité d’Organisation, 750
calcul de l’espace libre, 617 gérer une instance, 748
conditions requises pour l’installation, 618 installation, 740
contraintes matérielles, 616 instances, 737
déployer le deuxième contrôleur de maintenance, 750
domaine, 649 principe, 735
déployer le domaine racine, 619 restauration, 751
définitions communes, 541 sauvegarde, 750
fichiers journaux, 632 se connecter à une instance, 746
999
Adamsync
1000
CreateProcessAsUser
1001
Création
1002
Image
1003
ImageSelection
disque, 981
d’installation, 312, 319
héritées, 312
J
Riprep (Riprep.exe), 130, 319 Java, 982
système Windows, 211 Javascript, 983
ImageSelection, 220 Jeton, 983
ImageX, 241, 982 Jeu
/apply, 241, 255, 265 de configuration, 210
/capture, 257 de sauvegardes, 983
/export, 285 Job, 983
/info, 259 Journal sécurité, 983
/mountrw, 241, 260 Journaux, 462
/split, 262
/unmount, 263
appliquer une image, 265
architecture, 252
capturer une image, 249
K
scénarios, 251 KCC (Knowledge Consistency Checker), 573
Indisponibilité du contrôleur, 645 Kerberos, 688
InetOrgPerson, 521 centre de distribution de clés, 939
Informatique Krbtgt, 642
centralisée, 597
décentralisée, 598
externalisée, 598
Infrastructure, 982
logique Active Directory, 545
L
maître d’infrastructure, 532, 666
Install.wim, 320 LDAP (Lightweight Directory Access
Installation Protocol), 513
compatibilité du système, 108 LDAP V3, 516
en mode texte, 113 LDIFDE, 893
Framework.NET, 169 Licence, 115
interactive, 143 CAL, 115
manuelle, 111 enregistrement de licences, 940
mise à niveau, 109 gestion de licences Terminal Server, 953
MSXML, 170 Windows Vista, 148
nouvelle installation, 109 Lien de sites, 576
pack de langues dans une image hors Limites
connexion, 296 exposition des comptes d’administration des
prérequis, 107 services, 721
Upgrade Advisor, 170 ImageX, 251
Internet, 982 Sysprep, 232
Internet Explorer, 826 Win PE, 240
Intranet, 982 Localisation de services, 569
Isolation, 719 Login, 220
ISTG (Intersite Topology Generator), 573 LPQ, 894
IUSR_xxx, 642 LPR, 895
IWAM_xxx, 642
1004
NETSH
M administration, 851
domaine basé sur les entités de l’entreprise,
554
Magasin de certificats, 426, 984 domaine régional, 554
Maintenance, 984 domaine unique, 552
Active Directory, 704 forêt à accès restreint, 550
ADAM, 750 forêt basé sur l’organisation, 548
de l’image, 283 forêt basé sur les ressources, 549
des serveurs, 429 informatique centralisée, 597
stratégies de groupe, 375 informatique décentralisée, 598
Maintenance d’Active Directory informatique externalisée, 598
défragmentation, 704 sécurité, 850
déplacement, 705 sécurité Member Server Baseline, 799
prendre les rôles maîtres, 707 structure d’unités d’organisation, 598
restauration, 700 Modes de forêt, 680
restauration autoritaire, 703 Mot de passe, 985
restauration non autoritaire, 701 crypté, 985
sauvegarde, 697 utilisateur, 985
Maître MOUNTVOL, 895
d’attribution de noms de domaine, 531, 664 MSAT, 818
d’ID relatifs, 531 MSF, 548
d’infrastructure, 532, 666 MSXML, 170
d’infrastructure et catalogue global, 667 Multiboot, 110
de schéma, 531, 586
des ID relatifs, 664
Majuscules et minuscules, 626
Malware, 826, 984
Masque de sous-réseau, 984
N
Mémoire, 471 NAP, 503
flash, 984 NET, 896
virtuelle, 985 NET CONFIG, 897
Menaces pour la sécurité Active Directory, NET CONFIG SERVER, 897
717 NET CONFIG WORKSTATION, 897
Microsoft Exchange Server et Outlook, 935 NET GROUP, 898
Microsoft Security Assessment Tool, 818 NET HELPMSG, 898
Microsoft Solutions Framework, 548 NET LOCALGROUP, 898
Migration, 985 NET PRINT, 899
vers Windows Vista, 151 NET SEND, 900
Migwiz.exe, 157, 164 NET SESSION, 901
Minuscules et majuscules, 626 NET SHARE, 901
Mise à niveau du système d’exploitation, 109 NET START, 902
Mise en cache de l’appartenance aux groupes NET STOP, 902
universels, 579 NET TIME, 902
Mises à jour dynamiques, 619 NET USE, 903
MMC, 985 NET USER, 904
Mode Netdiag.exe, 643
de licence par périphérique (ou siège), 116 NETSH, 904
de licence par serveur, 115 contexte global, 905
Modèle
1005
Newsgroup
O P
Objet, 524, 986
connexion, 572 Pack de langues, 296
enfant, 987 Package, 210
serveur, 622 Page web, 987
Objets Active Directory home page, 987, 981
Administrateur, 642 Paramètre, 211
Administrateurs, 641 sécurité des stratégies de groupe, 852
Administrateurs de l’entreprise, 642 Pare-feu, 987
Administrateurs du schéma, 642 action, 502
Admins du domaine, 642 administration à distance, 502
Builtin, 641 avancé, 839
Computers, 641 configuration, 502
Contrôleur de domaine, 641 critères de règles, 502
Contrôleurs de domaine, 642 filtres de paquets, 502
DnsAdmins, 641 GPO, 502
DnsUpdateProxy, 642 option Activé, 836
Duplicateurs, 641 option Bloquer toutes les connexions, 838
Éditeurs de certificats, 642 option Désactivé, 837
Invité, 642 personnel, 835
Invités, 641 réglage par défaut, 502
Invités du domaine, 642 sens, 502
IUSR_xxx, 642 Partage
IWAM_xxx, 642 de distribution, 210, 221
Krbtgt, 642 nom de partage, 986
Opérateurs, 641 Partition, 988
Serveurs RAS et IAS, 642 active, 988
Users, 641 base de données Active Directory, 528
Utilisateurs, 641 d’amorçage, 988
Utilisateurs DHCP, 641 d’annuaire, 569
Utilisateurs WINS, 642 d’application, 570
Octet, 987 de domaine, 570
1006
Redémarrer Managers
1007
Réduction
1008
Service
1009
Service Pack 1
1010
Windows Server 2003
1011
Windows Server 2008
1012
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Notes
Composé en France par Jouve