COURS

WINDOWS SERVER
Table des matières
1. Présentation Microsoft...................................................................................................................4
2. Présentation Windows Server 2016...............................................................................................5
3. Rôles et Fonctionnalités.................................................................................................................6
4. Prérequis........................................................................................................................................8
5. Déploiement...................................................................................................................................8
6. Gestionnaire de Serveur.................................................................................................................9
7. Windows Nano Server..................................................................................................................12
8. Active Directory............................................................................................................................13
A. Sans Active Directory................................................................................................................13
B. Présentation Active Directory...................................................................................................15
C. Architecture logique.................................................................................................................16
D. Architecture Physique..............................................................................................................18
Le Domain Controller....................................................................................................................18
Le Global Catalog..........................................................................................................................18
Le DNS..........................................................................................................................................18
Les Maîtres d’opérations..............................................................................................................18
E. Objet Utilisateurs......................................................................................................................19
F. Objet Ordinateurs.....................................................................................................................20
Unité d’Organisation........................................................................................................................22
Groupes............................................................................................................................................22
Les groupes par défaut.................................................................................................................22
Partage de Ressources au sein d’un AD............................................................................................23
Partages de dossiers / fichiers......................................................................................................23
Partages d’imprimantes...............................................................................................................24
9. Les stratégies de groupes.............................................................................................................25
Menu Démarrer et Barre des tâches............................................................................................25
Panneau de configuration............................................................................................................25
Système........................................................................................................................................25
Internet Explorer..........................................................................................................................25
A. Scripting....................................................................................................................................25
B. Création d’une GPO à l’aide de la console gpedit.msc.............................................................26
C. Configuration ordinateur..........................................................................................................26
D. Configuration utilisateur...........................................................................................................27
E. Application d’une stratégie de groupe.....................................................................................27
Les modèles d’administration..........................................................................................................27
GPO par défaut et application selon les objets.................................................................................28
Héritage d’une GPO..........................................................................................................................28
 Filtrage à l’installation de la GPO......................................................................................................28
Délai d’application............................................................................................................................29
Comment configurer les paramètres des GPO ?..................................................................................29
Options des paramètres : non configuré, activé, désactivé..............................................................29
Exemple de paramètre : la redirection des fichiers..........................................................................30
Quelques outils en lignes de commandes bien utiles...........................................................................30
GPUpdate.........................................................................................................................................30
GPResult...........................................................................................................................................30
Rapport des GPO..............................................................................................................................31
Des limitations à respecter...................................................................................................................31
Limiter les GPO.................................................................................................................................31
Limiter les groupes de sécurité.........................................................................................................31
5.3. Limiter les liens multidomaines.................................................................................................31
11. Hyper-V.....................................................................................................................................32
A. Qu’est-ce que la virtualisation ?...............................................................................................32
B. Les avantages de la virtualisation.............................................................................................33
L’optimisation des ressources :....................................................................................................33
Les licences Windows :.................................................................................................................33
Migration rapide :.........................................................................................................................33
Instantané de machine virtuelle :.................................................................................................33
C. Présentation Hyper-V...............................................................................................................33
C. Prérequis......................................................................................................................................34
 1. Présentation Microsoft
Tout d'abord, l'entreprise a été fondée en 1975 par Bill Gates et Paul Allen. Si Bill Gates est connu du
grand public, Paul Allen l'est beaucoup moins. Il est avant tout un informaticien passionné par la
programmation. C'est notamment lui qui négociera le système d'exploitation QDOS, père de MS-DOS
qui fera la fortune de Microsoft.

Lors d'une rencontre, les deux cofondateurs ont posé pour une photo souvenir semblable à celle qui
avait été prise 32 ans auparavant.

Depuis MS-DOS et les premières versions de Windows, Microsoft a beaucoup élargi ses domaines
d'activités.

Au niveau des systèmes d'exploitation, la version Windows Client a évolué pour passer de Windows
1.0 à Windows 10 aujourd'hui. Le client de Microsoft reste l'incontestable leader sur ce marché en
rassemblant 90% des utilisateurs d'ordinateurs (Source Gartner 2015). Dans un même temps, la
version serveur s'est améliorée afin d'apporter de plus en plus de fonctionnalités et de services aux
entreprises soucieuses de mettre en place des systèmes d'information organisés et uniformisés. Les
OS Microsoft étaient aussi Mobile. Bien avant les derniers Windows Phone, Windows Mobile et
Windows Embeded (embarqué) étaient très présents sur le marché des PDA et autres outils comme
des scanners de code barre, caisses enregistreuses...

Du côté logiciel, Microsoft propose également une large panoplie d'outils. La suite Microsoft Office
est de loin la plus connue. Aujourd'hui présente sur la quasi-totalité des plateformes, la suite Office
de Microsoft est également implémentée dans le cloud via Office 365 qui a récemment dépassé son
concurrent principal Google Apps. Office n'est bien évidemment pas le seul outil que propose
Microsoft. On retrouve également le navigateur Internet Explorer, les outils de développement
comme Visual Studio, les applications serveur comme SharePoint ou la messagerie Exchange.

Plus récemment, c'est dans le domaine du multimédia que la société s'est investie. Les produits
comme la Xbox, la table surface ou écran surface, lunettes à réalité augmentée n'ont pas encore une
place prédominante sur le marché mais font souvent l'actualité des articles IT.

Enfin, Microsoft s'est inscrit récemment comme un acteur incontournable du Cloud Computing.
Leader sur le Marché du SaaS avec Office 365 et second sur le PaaS derrière Amazon, Microsoft a su
prendre le virage du dématérialisé pour proposer aux entreprises les meilleurs environnements de
production sans les contraintes de gestion.
 2. Présentation Windows Server 2016
Après Microsoft Windows Server 2008 R2 et Microsoft Windows Server 2012 R2, Microsoft renouvèle
donc son système d’exploitation phare pour les serveurs d’entreprises en publiant le 5 Octobre 2016,
Microsoft Windows Server 2016.

Le système d’exploitation Microsoft Windows Server 2016 est disponible en trois éditions :

 L’édition Standard : Cette édition s’adresse aux structures comptant plus de 25 utilisateurs et
presque toutes les fonctionnalités sont activées. Cependant, la virtualisation avec Microsoft
Hyper-V est supportée, mais limitée à seulement deux machines virtuelles.

 L’édition Datacenter : Cette édition est la plus complète, car toutes les fonctionnalités du
nouvel OS Cloud sont disponibles et le nombre de processeurs ou machines virtuelles est
illimité. Cette édition est plus adaptée aux infrastructures cloud ou complexe.

 L’édition Essentials : Cette édition de Windows Server 2016 est adaptée aux petites entreprises
comprenant jusqu’à 25 utilisateurs et 50 périphériques clients.

Dans sa nouvelle vision du Cloud OS, Microsoft a amélioré son système d’exploitation afin d’enrichir
l’expérience utilisateur.
Cet OS orienté Cloud apporte tout un lot de nouveautés par rapport à son prédécesseur Windows
Server 2012 R2. On retrouve notamment des améliorations ou nouveautés dans les domaines
suivants:
 L’interface graphique, avec le retour du menu Démarrer.

 Les services de domaine Active Directory (AD DS : Active Directory Domain Services) :
amélioration de la sécurité, du monitoring et aide au déploiement vers une infrastructure AD
cloud ou hybride avec Azure AD.

 Les services de certificats Active Directory (AD CS : Active Directory Certificate Services) : meilleur
support pour les attestations de clés TPM (une puce TPM est un module de plateforme sécurisé
pouvant aider à sécuriser la clé privée d’un certificat), avec la possibilité d’utiliser un lecteur de
carte KSP pour l’attestation de clés.

 Les périphériques hors domaine peuvent désormais utiliser l’inscription NDES pour obtenir un
certificat, dont les clés pourront être attestées par une puce TPM. Installation Windows Nano
Server (installation minimale de l’OS).

 Windows Defender : permet de protéger un serveur Windows Server 2016 dès son installation.
 PowerShell 5.1.
 3. Rôles et Fonctionnalités
Sur un Windows Serveur, on distingue 2 types de "service" :

- Les Rôles
- Les Fonctionnalités

Les rôles vont représenter le ou les services principaux que va fournir votre serveur aux clients.

Quand on parle de client, ce n'est pas forcément le système d'exploitation client de Windows
(Windows 7,8,10...) mais tous les périphériques (ordinateurs, téléphones, tablettes...) qui
consommeront le service délivré par le serveur.

Il y a 17 rôles disponibles sur Windows Serveur 2016. On peut citer en exemples Hyper-V
(l'hypervisor de Microsoft), le DHCP, Active Directory (Domain Services, Certificates Services) ou
encore le rôle DNS.

NFS : Network File System est un système de partage de fichiers utilisé principalement par les
ordinateurs Linux et UNIX.

DFS : Distributed File System est un service de partage de fichiers rassemblant plusieurs serveurs afin
de fournir une infrastructure de partage uniforme et redondante. Cette technologie sera abordée
plus en détails dans la suite du cours.

Ces Rôles peuvent également avoir des Services de rôles. C'est le cas par exemple des services de
fichiers et de stockage. Il est possible d'activer, à la demande, les différents services qu'offre ce rôle :
iSCSI, NFS, DFS...

Les Fonctionnalités de Windows Serveur peuvent être comparées à des logiciels/outils qui vont être
utilisés par les Rôles du serveur. Par exemple, certains rôles peuvent avoir besoin du Framework .NET
3.5 pour fonctionner correctement. Les consoles d'administration des Rôles sont également des
Fonctionnalités qui sont ajoutées automatiquement lors de l'ajout d'un rôle.

Une Fonctionnalité n'est pas forcément obligatoire pour un rôle mais peut lui apporter une plus
value comme le Failover Clustering qui va permettre à un rôle (Hyper-V par exemple) de devenir
hautement disponible.
Sachez enfin que les Fonctionnalités et les Rôles peuvent être des prérequis à l'installation d'outils
non natifs de Windows Serveur comme SharePoint...

Il est tout à fait possible d'installer plusieurs Rôles et Fonctionnalités en même temps mais mieux
vaut vérifier que ce soit possible avant de lancer l'installation. De plus, certains Rôles ne peuvent pas
coexister sur un même serveur. Une recherche sur TechNet est vivement conseillée avant toute
installation.

TechNet représente plusieurs sites internet de Microsoft (Bibliothèque, Wiki, Blogs, Forums) où tout
le monde peut trouver les informations qu'il recherche sur n'importe quel produit Miccrosoft. On
l'appelle aussi la Bible Microsoft.
 4. Prérequis
La configuration matérielle minimale pour que votre serveur ou votre machine virtuelle supporte l'OS
Microsoft Windows Server 2016 est la suivante :

- Processeur : Architecture 64 bits uniquement, cadencé à 1,4 GHz au minimum (il est
recommandé d’avoir un processeur multi cœur).
- Mémoire vive : 512 Mo au minimum (il est recommandé d’avoir au moins 1024 Mo).
- Disque dur : 32 Go au minimum (l’installation réelle prenant environ 10 Go, il faut que le
système ait de la place pour gérer la mémoire sur le disque).

Information : Si vous souhaitez utiliser ce système d’exploitation pour la fonctionnalité de

virtualisation de serveur (Hyper-V/VMWARE ESXI/...), il faudra s’assurer que le processeur du serveur
possède bien une AMD-V pour les processeurs AMD et une Intel VT pour les processeurs Intel.

5. Déploiement

Comme tout système d’exploitation Windows, l’édition Server peut s’installer par DVD, Stockage
USB, Serveur FTP etc…

Attention, lors de l’achat d’un serveur il est préférable d’acheter l’édition Windows Server propre à la
marque (licence ROK).

L’avantage : l’ISO bénéficie des pilotes serveur ainsi que tous les outils de gestion du serveur propre à
la marque

HP Intelligent Provisionning
 6. Gestionnaire de Serveur
Le Gestionnaire de Serveur (Server Manager en anglais) est la console principale d'administration du
serveur. C'est à partir de cette console que l'on peut configurer le serveur, l'administrer et également
accéder aux autres consoles de gestion.

Il donne une vision d'ensemble de l'état de santé du serveur et de ses Rôles.

Le Dashboard (Tableau de bord) est la page principale du Gestionnaire de Serveur et donne accès à
l'ensemble des fonctionnalités.

L'encart 1 est en quelque sorte le message de bienvenue avec les raccourcis de configuration classés
par étapes. Il peut être caché lorsque le serveur est prêt à être lancé en production.

L'encart 2 est une des nouveautés à partir de Windows Serveur 2012. C'est un résumé de l'état de
santé de tous les Rôles du serveur et des groupes de serveurs. Cela permet en un instant d'avoir
accès aux informations importantes :

- Les événements : pour les services ou les serveurs, tout ce qui se passe est enregistré sous
forme d'événement. Seuls les événements critiques sont remontés dans cette interface.
- Les services : affichent les services qui ont des problèmes de démarrage et permet de lancer
un démarrage manuel.
- Performance : remonte les informations de surcharge du serveur ou des groupes de serveurs
- Résultats BPA : Best Practices Analyser (BPA ou Analyseur des Bonnes Pratiques). C'est un
outil disponible pour les serveurs ou les Rôles qui va analyser les configurations pour
déterminer si celles-ci peuvent poser un problème et proposer une correction si c'est le cas.
-
Dans la partie haute, on retrouve deux menus, Gérer et Outils (pour Manage et Tools).

Le menu Gérer permet l'ajout ou la suppression des Rôles et Fonctionnalités.

Le menu Outils donne accès à toutes les consoles d'administration du serveur. Ce menu est
dynamique en fonction des Rôles ajoutés au serveur. De plus, ces consoles permettent également de
gérer les autres serveurs même si le Rôle n'est pas installé localement. Par exemple, on peut gérer le
serveur DHCP depuis le serveur de partage de fichiers. Pour cela, il faut avoir préalablement installé
la console de gestion du DHCP.

Dans le menu à gauche du tableau de bord, on retrouve le Serveur Local et les Groupes de Serveurs
(encart 4). Par défaut, un Groupe de Serveur est créé : Tous les Serveurs. Ce groupe rassemble
l'ensemble des serveurs géré par le serveur local. Il permet en une page de savoir quels sont les
problèmes sur l'infrastructure.

Sur la page Serveur Local, il y a plusieurs parties : Propriétés, Evénements, Services, BPA,
Performance et Rôles et Fonctionnalités. Excepté pour la partie Propriétés, les autres donnent, en
une page, un état de santé détaillé du serveur local.

La partie Propriétés donne la possibilité de visualiser les configurations basiques du serveur et

d'accéder aux interfaces de modifications de ces configurations. On notera notamment la possibilité
d'accéder aux éléments suivants :

- Nom et Domaine du serveur

- Administration à distance
- Configuration IP
- Gestion des mises à jours

Enfin, dans le menu à droite de la fenêtre du tableau de bord (5), on retrouve les Rôles installés sur le
serveur. Certains Rôles peuvent être gérés directement depuis cette interface, d'autres présentent
juste leur état de santé et doivent être gérés via une autre console.
 7. Windows Nano Server
Microsoft a sorti une version allégée de son système d’exploitation pour serveur : Windows Nano
Server.

Sortie en même temps que Windows server 2016 technical preview 2, Windows Nano Server est un
système d’exploitation optimisé pour l’hébergement dans le cloud privé. Il est très proche de la
version Core Server mais en version encore plus allégée.

Sur Nano Server nous n’avons pas la possibilité d’ouvrir une session locale, ni par Teminal Services. Il
se gère par PowerShell, WMI, WinRM et services de gestion d’urgence (EMS).

Comme on le voit sur le graphique ci-dessus Microsoft annonce les performances suivantes:

- Réduction de la taille du disque VHD de 93 %

- 92 % de bulletins critique en moins
- Les redémarrages sont 80% plus rapides (pour la partie système)

Windows Nano server est destiné aux utilisations suivantes:

- Serveur Hyper-V
- Serveur de Stockage
- Serveur pour des applicatifs dans le cloud
- Mise en Cluster
 8. Active Directory
Dans le début du cours, Active Directory était mentionné et c'est normal car il est très compliqué de
parler d'une infrastructure Microsoft sans évoquer cette pièce angulaire du système d'information.

Mais alors qu'est-ce que c'est ? A quoi ça sert ? Pourquoi le mettre en place ?

Tout d'abord, il faut savoir qu'Active Directory n'est pas un mais plusieurs Rôles. Il y a au total 5 rôles
Active Directory :

- Active Directory Domain Services (AD DS)

- Active Directory Certificate Services (AD CS)
- Active Directory Federation Services (AD FS)
- Active Directory Lightweight Directory Services (AD LDS)
- Active Directory Right Management Services (AD RMS)

Les noms des rôles étant un peu longs, on utilisera très souvent les abréviations notées ci-dessus
entre parenthèses.

Par abus de langage ou par simplicité, quand on parle d'Active Directory ou d'AD, c'est dans
99% des cas pour parler d'Active Directory Domain Services.

Dans ce cours, on abrégera d'ailleurs Active Directory Domain Services par AD DS ou AD.
Pour les autres services, on utilisera l'abréviation "longue".

Le premier rôle AD cité ci-dessus, AD DS, est de loin le plus important. Il est présent dans tous les
systèmes d'information qui utilisent Windows Serveur. On peut le comparer à un annuaire
téléphonique ou une liste de contacts pour les plus jeunes qui n'auraient pas connu l'annuaire. C'est
le rôle que nous allons aborder dans la suite de ce cours car il est très important pour la suite.

A. Sans Active Directory

Un système d'information ou plus simplement deux ordinateurs connectés en réseau qui
fonctionnent sans AD DS vont chacun gérer leurs comptes d'accès. Dans une maison où il y a deux
ordinateurs, un portable et un fixe par exemple, si je veux me connecter au fixe, je ne vais pas utiliser
le même compte que pour me connecter sur l'ordinateur portable.

Cela a un peu changé depuis Windows 8 qui permet d'utliser un compte Microsoft (comme Outlook)
sur n'importe quel ordinateur Windows

C'est le fonctionnement normal de ce que l'on appelle le Workgroup.

Le schéma ci-dessus montre ce fonctionnement. L'utilisateur A ne peut se connecter que sur

l'ordinateur A. Son compte n'est pas disponible sur l'ordinateur B. Il pourrait se connecter sur
l'ordianteur B avec un compte différent géré par l'ordinateur B.
Dans quel cas utiliser le mode Workgroup ?

Simplement quand chacun a son propre ordinateur et qu'il n'y en a pas beaucoup à gérer. Garder le
fonctionnement Workgroup dans le contexte familial et privé est également conseillé.

Quels sont les désavantages du fonctionnement Workgroup ?

Dans le cas d'une entreprise, ce mode de fonctionnement est complexe à configurer et à maintenir.
Si vous souhaitez que vos utilisateurs puissent se connecter sur n'importe quel ordinateur et
retrouver ses données, vous devez créer un compte pour chaque utilisateur sur chaque ordinateur.
Quand il y a 2 utilisateurs pour 2 ordinateurs, il n'y a que 4 comptes à gérer mais pour 10, il y en a
100. C'est à la fois une perte de temps et une source d'erreur considérable.

Active Directory Domain Services va résoudre ce problème.

 B. Présentation Active Directory
Comme écrit plus haut, Active Directory Domain Services, AD DS, est un annuaire. Un serveur avec
le rôle AD DS va donc contenir tous les utilisateurs de l'entreprise. Son but sera de centraliser la
gestion de ces comptes et d'autoriser ou non ces comptes à accéder à des ressources informatiques
sur le réseau.

Plus précisément, AD DS ne va pas contenir que des utilisateurs et des ordinateurs mais tous les
objets du système d'information de l'entreprise : imprimantes, groupes...

L'intégration et l'organisation de ces objets dans AD DS donneront une représentation logique des
objets physiquement présents dans l'entreprise.

Le premier objectif d'AD DS est de centraliser les objets. Cela apporte deux avantages :

- Création et administration des objets simplifiés.

- Unicité et standardisation de l'information

L'AD DS, quand il est mis en place, doit devenir la source d'information unique pour les autres
ressources comme :

- Le logiciel des Ressources Humaines

- Le site intranet
- La messagerie
- ...

Afin de ne pas démultiplier les informations et les bases de données, il est important que les autres
outils se basent sur AD DS.

Le second objectif d'AD DS, c'est l'authentification. C'est une partie importante car c'est le serveur
avec le rôle AD DS qui va valider qu'un compte peut se connecter à une ressource.

Par exemple, AD DS validera le compte de Madame Michu quand elle souhaitera se connecter sur
l'ordinateur A.

Pour cela, il faut que le compte et l'ordinateur soient dans le même espace d'authentification.
Pour bien comprendre comment fonctionne Active Directory, il faut distinguer les composants
logiques et les composants physiques.

C. Architecture logique
Le domaine
Le domaine Active Directory est le composant logique principal. Il correspond à un espace
d'authentification. Tous les objets du domaine seront dans le même espace d'authentification.

Pour que Mme Michu puisse se connecter à son ordinateur, il faut que son compte et le compte
d'ordinateur soient dans le même domaine et donc le même espace d'authentification.

Le nom du domaine est très important. Il doit correspondre à un nom DNS résolvable au sein du
réseau de l'entreprise et à l'extérieur (sur internet). Par exemple, l'entreprise Contoso pourra avoir
comme nom de domaine contoso.com, contoso.fr...

Même si techniquement c'est possible, il ne faut pas utiliser un nom de domaine que l'entreprise
ne possède pas sur internet (comme google.fr par exemple).

Sur un schéma, un domaine est représenté par un triangle plein et avec son nom. Sur un schéma
d'architecture logique, on ne représente normalement pas les objets contenus dans le domaine.
La forêt
On peut assez facilement vulgariser cette notion en disant que la forêt entoure le domaine. Sur
Active Directory, c'est un peu le cas également à la différence que les arbres de notre forêt seront
constitués de plusieurs domaines reliés entre eux.

La forêt est l'enveloppe globale de notre infrastructure Active Directory. Dans cette enveloppe, on va
pouvoir y placer nos différents domaines et les relier pour étendre ou contraindre l'espace
d'authentification.

La forêt est représentée par un triangle vide englobant un ou plusieurs domaines.

On remarque plusieurs choses sur ce schéma :

- Premièrement, le domaine contoso.com est relié à deux domaines enfants que l'on appelle
sous-domaines. ny.contoso.com et la.contoso.com (respectivement New-York et Los
Angeles) ont une relation de confiance (lien) avec le domaine parent contoso.com. L'espace
d'authentification est élargi. Cependant, cela ne veut pas forcément dire qu'un utilisateur de
ny.contoso.com a accès aux ressources de contoso.com. Il faut avant tout donner les
autorisations nécessaires.

- Second point, on aperçoit un autre domaine dans cette forêt : filiale.fr. Ce domaine avec le
sous-domaine nantes.filiale.fr forment un autre arbre de la forêt. Il y a également une
relation (lien) entre filiale.fr et contoso.com afin d'élargir la zone d'authentification. On
pourrait donc autoriser des utilisateurs de nantes.filiale.fr à accéder à des ressources de
ny.contoso.com via ce lien.

- Dernier point, le contoso.com en haut du triangle représente le nom de la forêt. La forêt est
créée en même temps que le premier domaine et prend donc le nom de ce domaine
"principal".

D. Architecture Physique
Les composants logiques étudiés ci-dessus doivent prendre vie sous la forme de composants
physiques pour exister dans le système d'information de l'entreprise.

Le Domain Controller
C'est le composant physique principal d'une architecture Active Directory. Comme son nom l'indique,
il va héberger un domaine. C'est en fait simplement un serveur Windows avec le rôle Active
Directory Domain Services installé.

Le domaine hébergé sur un serveur peut être un domaine parent, enfant ou principal (premier
domaine d'une forêt).

Mais alors quelle est la différence entre un domaine et un Domain Controller ?

L'un est logique, l'autre est physique. La différence est importante car vous pouvez avoir plusieurs
Domain Controllers pour un seul domaine.

Le Global Catalog
Le Global Catalog sera présent sur un Domain Controller. Il y en a forcément au moins un dans une
forêt. Ce catalogue contient tous les objets de la forêt, utilisateurs, ordinateurs... Cependant, il
n'enregistre pas tous les attributs de ces objets. L'objectif est d'avoir un catalogue léger permettant
de faciliter la recherche dans des environnements complexes.

On pourrait le comparer à un index de la forêt Active Directory.

Le DNS
Le DNS pour Domain Name System est obligatoire pour le fonctionnement d'AD DS. Un serveur DNS
externe au serveur AD DS peut être utilisé (Windows ou Linux). Cependant, il est possible d'installer
le rôle DNS en même temps qu'un Domain Controller. Cela permet à AD DS d'être directement
intégré au DNS sans configuration supplémentaire.

Les Maîtres d’opérations

Dans une architecture avec plusieurs DCs pour un domaine et/ou plusieurs domaines dans une forêt,
lorsqu'il y a des modifications des configurations, ajouts d'utilisateurs... il faut qu'un des serveurs AD
DS prenne le dessus pour éviter des potentiels conflits.

Pour cela, un serveur AD DS peut héberger un maître d'opérations qui aura un rôle plus important
lors de modifications ou autres actions sur l'infrastructure. Il y a 5 maîtres d'opérations :

- Maître de schéma
- Maître d'attribution des noms de domaine
- Maître RID
- Maître émulateur du contrôleur principal de domaine
- Maître d'infrastructure

Les 2 premiers sont des maîtres de forêt. Il n'existe qu'en 1 seul exemplaire par forêt. Le maître de
schéma gère les mises à jour de configurations sur l'ensemble de la forêt. Le maître d'attribution des
noms de domaine intervient lors de l'ajout d'un domaine dans la forêt.

Les 3 derniers sont des maîtres de domaine. Il en existe 1 par domaine dans la forêt. Le maître RID
gère l'attribution des Identifiants des objets d'ADDS (utilisateurs, ordinateurs). Le Maître PDC
emulator assure la compatibilité avec les versions antérieures. Enfin, le Maître d'infrastructure
permet la synchronisation des mises à jour ou création d'objets entre les Domain Controllers.
 E. Objet Utilisateurs
L'objet utilisateur est probablement le plus important de l'Active Directory. Un utilisateur dans ADDS
correspond souvent à un utilisateur physique.

Par exemple, Mme MICHU, assistante de direction, aura son compte dans Active Directory à son nom.
Ce compte lui permettra de se connecter à son ordinateur ou encore accéder aux fichiers partagés.

La gestion des Utilisateurs peut se faire via les consoles Active Directory Users and Computers ou
Active Directory Administrative Center.

Lors de la création d'un nouvel utilisateur, les informations essentielles seront demandées :

- Noms : prénom, nom, initiales et nom complet

- Noms d'ouverture de session
- Mot de passe
- Options de mot de passe

Il y a beaucoup de propriétés accessibles après la création de l'utilisateur.

 F. Objet Ordinateurs
Les ordinateurs sont les autres composants importants de votre architecture ADDS. En effet, vos
utilisateurs vont dans beaucoup de cas se connecter sur un ordinateur en utilisant leur compte de
domaine. Ils vont ainsi pouvoir récupérer, sur cet ordinateur, leur environement de travail.

Comme étudié au début de ce chapitre, par défaut, un ordinateur gère lui même l'authentification
des utilisateurs (comme sur votre ordinateur personnel). Pour les ordinateurs de l'entreprise, il
faudra donc spécifier l'autorité d'authentification ADDS : on dit joindre un ordinateur au domaine.

Lorsque cette jonction au domaine est réalisée, l'ordinateur peut déléguer l'authentification à un
contrôleur de domaine. Les utilisateurs pourront donc se connecter sur l'ordinateur avec un compte
de domaine. Cependant, pour des raisons d'administration et en cas de problème, il est toujours
possible de s'authentifier sans un compte de domaine : on parle ici d'une authentification locale.

L'intégration/jonction au domaine se fait en accédant aux "Paramètres système avancés" dans le

panneau de configuration "System".

Ensuite en cliquant sur "Modifier", il est possible de changer le Nom de l'ordinateur et de spécifier un
domaine.

Notez qu'il est important d'avoir une convention de nommage pour les ordinateurs (comme pour les
utilisateurs) afin de retrouver facilement l'ordinateur dans l'ADDS (ce qui n'a pas été fait dans le
screenshot).
Une convention de nommage pourrait par exemple être de cette forme :

- Ordinateurs de bureau : WKSXXX. Ce qui donnerait : WKS001, WKS002...

- Ordinateurs portables : LAPXXX : LAP001, LAP002...
- Serveurs : SRVXXX : SRV001... ou encore VMXXX pour une machine virtuelle ou intégrer le
rôle du serveur dans le nom comme SRV-AD-001...
Unité d’Organisation
Une unité d'organisation, Organizational Unit ou OU peut être comparée à un dossier.

Les OUs peuvent contenir des utilisateurs, des ordinateurs et d'autres OUs.

Ce "dossier" va donc avoir 3 rôles :

- L'organisation
- La délégation de droit
- L'application des stratégies de groupe

L'organisation est très importante dans une architecture AD DS. En effet, au fil du temps, de plus en
plus d'objets vont venir s'ajouter dans votre Active Directory. Les OUs vont vous permettre de
retrouver rapidement ces objets.

Groupes
Les groupes sont également des objets Active Directory, au même titre que les utilisateurs ou les
ordinateurs étudiés précédemment.

Comme son nom l'indique, un groupe va rassembler plusieurs objets AD DS. Par exemple, on
pourrait avoir un groupe qui rassemble tous les utilisateurs du service des Ressources Humaines ou
un groupe avec tous les ordinateurs du service Développement.

Les groupes par défaut

On va distinguer principalement 6 groupes par défaut :

- Tout le monde : Tous les utilisateurs du domaine, les invités et les utilisateurs des autres
domaines
- Utilisateurs authentifiés : Comme Tout le monde sans les invités
- Utilisateurs du domaine : Tous les utilisateurs du domaine
- Administrateurs du domaine : Utilisateurs avec un contrôle total sur le domaine
- Administrateurs de l'entreprise : Utilisateurs avec un contrôle total sur toute la forêt
- Administrateurs du schéma : Utilisateurs pouvant modifier les configurations avancées de la
forêt

Les groupes Tout le monde et Utilisateurs authentifiés sont à utiliser avec précaution car ils
concernent beaucoup d'utilisateurs. De plus, les membres de ces groupes sont dynamiquement
ajoutés au groupe. Donc dès la création d'un nouvel utilisateur, il devient automatiquement
membre du groupe Utilisateurs authentifiés. Vous pouvez donc donner des accès sans vous en
rendre compte.
Partage de Ressources au sein d’un AD
Partages de dossiers / fichiers
Dans un environnement d’entreprise il est essentiel de pouvoir s’échanger des fichiers sans pour
autant avoir besoin d’utiliser quelques supports amovibles. L’une des techniques de collaboration les
plus courantes est de ranger les fichiers dans des dossiers partagés. Le partage de dossier n’est pas
une technologie récente, quasiment toutes les versions de Windows permettent de le faire. Mais
depuis Windows Server 2008, la firme Microsoft a ajouté un rôle pour gérer ce partage de fichier,
rôle qui apporte un ensemble de fonctionnalités très intéressante.

Il existe deux types de partage de fichier sur Windows: SMB, NFS. SMB est un partage qui fonctionne
avec tous les autres systèmes d’exploitation MAC OS X et Linux. NFS quant à lui, est
exclusivement utilisé pour partager des fichiers entre machines Windows et UNIX.

La sécurité des accès est géré grâce au type de partition, qui doit être NTFS. Ainsi il est possible de
donner des droits de lecture seulement ou lecture / écriture à des utilisateurs/groupes

Il est aussi possible de jouer sur l’arborescence des dossiers et donner des droits spécifiques à des
utilisateurs différents en fonction des dossiers.
Partages d’imprimantes
Sur la capture d’écran ci-dessus, vous pouvez apercevoir :

En effet, il est aussi possible de partager des imprimantes et de définir des droits d’impression sur ces
dernières.

Pour cela il faut ajouter le rôle « Serveur d’Impression » à votre serveur. Et ainsi vous pourrez
déployer des imprimantes sur votre réseau.
 9. Les stratégies de groupes
Le terme Stratégie désigne la configuration logicielle du système par rapport aux utilisateurs. A la
suite d’une installation de Windows, aucune stratégie n’est configurée, et tout est permis (en
fonction des droits des groupes d’utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs
avec pouvoir…).

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions
d’utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un
compte utilisateur donné. Il est ainsi possible d’agir sur :

La définition d’un environnement adapté : Il est possible par exemple de rediriger certains
répertoires leurs contenus

Le déploiement de logiciels : Une automatisation complète de l’installation des programmes sur les
postes clients est possible en fonction du profil de l’utilisateur

L’application des paramètres de sécurité : Le contexte de sécurité de l’environnement utilisateur

peut être modifier

Voici un exemple de stratégie de groupe :

Menu Démarrer et Barre des tâches

 Suppression du menu Documents dans le menu Démarrer

 Suppression des Connexions réseau et accès distant du menu Démarrer

 Suppression du menu Exécuter dans le menu Démarrer

 Désactivation de la fermeture de session dans le menu Démarrer

 Désactivation de la commande Arrêter

Panneau de configuration
 Désactivation du Panneau de configuration

 Masque de certaines applications du Panneau de configuration

Système
 Activation des quotas de disque

 Désactivation des outils de modifications du Registre

 Désactivation de l’invite de commandes

 Internet Explorer
 Désactivation de la modification des paramètres de la page de démarrage

Une stratégie de groupe et composée d’un objet Active Directory et d’un dossier dont le nom est SID
de la GPO et que l’on trouve dans le répertoire SYSVOL disponible sur chaque contrôleur de domaine.
Les GPO ne peuvent êtres appliquées qu’à des conteneurs : site, domaine ou encore unité
d’organisation mais elles peuvent être assignées plusieurs fois à des conteneurs différents. Le
contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et ordinateurs contenus dans le
conteneur et plusieurs GPO peuvent être liée à un même conteneur.

A. Scripting
Les GPO permettent en outre de spécifier des scripts de démarrage (que l’ordinateur exécutera au
lancement de Windows avant qu’un utilisateur ne se soit loguer), ainsi que des scripts d’ouverture de
session (exécutés quand un utilisateur se logue). Grâce aux scripts d’ouverture de session il est
possible notamment de créer des lecteurs réseau (c’est à dire une lettre de lecteur que l’on associe
en réalité à un partage réseau) selon les groupes et les utilisateurs.

Les scripts de démarrage s’exécutent en mode synchrone ( les uns après les autres sans que le login
ne soit possible avant la fin de leur exécution) et de façon invisible. D’un autre côté, les scripts
d’ouverture de session s’exécutent en mode asynchrone (tous en même temps au moment du login)
mais restent eux aussi invisibles.

Les scripts peuvent être placés sur n’importe quel DC (contrôleur de domaine) du domaine ( et ce
grâce au phénomène de réplication), dans le sous répertoire du domaine destiné aux scripts et qui se
situe dans le partage SYSVOL.

Voici un exemple de script :

Set objNetwork = Wscript.CreateObject(«WScript.Network») objNetwork.MapNetworkDrive«G:», «\\

NomOrdinateur\NomOrdinateur Data» msgbox «Votre script a fonctionné ! »

B. Création d’une GPO à l’aide de la console gpedit.msc

La console gpedit.msc permet de créer des stratégies de groupe, son nom de fichier est :
%systemroot%\system32\gpedit.msc. Celle-ci récupère ses informations à différents niveaux : dans
les fichiers dont l’extension est .adm, dans la base de registre et dans deux fichiers nommés
registry.pol. L’ensemble de ces éléments seront détaillés dans la suite de notre étude.
Voici un diagramme qui détaille le fonctionnement de gpedit.msc :

C. Configuration ordinateur
La console de gestion des stratégies de groupe se divise en deux arborescences, la première étant
Ordinateur. La configuration ordinateur définit le comportement du système d’exploitation ou d’une
partie du bureau et la configuration de la sécurité. Elle intervient dans des opérations comme
l’installation des logiciels dès le démarrage de la machine…
 D. Configuration utilisateur
Utilisateur est la seconde arborescence des stratégies de groupe. La configuration utilisateur définit
la configuration des applications, les options d’applications affectées et publiées et enfin les
paramètres de bureau, elle intervient dans des opérations comme le déploiement de scripts de
démarrage…

Voici ce à quoi ressemble l’arborescence utilisateur :

E. Application d’une stratégie de groupe

Les modèles d’administration
Les fichiers dont l’extension est « .adm » (pour administration) servent de modèles et renferment la
description des GPO, ils se situent dans le dossier %systemroot%\inf . On sont aussi présents dans le
dossier %systemroot%\system32\GroupPolicy\Adm quand une stratégie a déjà été définie.

Ils contiennent d’une part une description des modifications à apporter pour mettre en place une
stratégie et d’autre part les options de restrictions pour les valeurs, leur valeur par défaut, la
définition de chaque paramètre et enfin les versions de Windows qui prennent en charge le
paramètre. Un administrateur est néanmoins libre de créer ses propres modèles d’administration
pour gérer les éléments dont il a la responsabilité. Ces fichiers texte (ANSI : 1 caractère=1 octet ou
UNICODE : 1 caractère= 2 octets) comportent plusieurs sections : chaque section et sous-section est
identifiée par un mot-clef.

Généralement, deux à quatre fichiers sont utilisés, ce sont : 

system.adm (pour le système Windows)

inetres.adm ( pour Internet Explorer)

wuau.adm (éventuellement pour Windows Update)

conf.adm (éventuellement pour NetMeeting)

GPO par défaut et application selon les objets
Par défaut, chaque domaine dispose de deux GPO : l’une qui est vide et la seconde qui s’applique sur
le conteneur contrôleur de domaine (c’est cette GPO qui va interdire par exemple aux utilisateurs
simples de s’identifier en tant que contrôleur de domaine).

Pour les comptes utilisateurs, les comptes sur lesquels la GPO s’applique doivent avoir les
permissions Lire et Appliquer la Stratégie ou encore faire partie d’un groupe approprié. Il existe un
groupe « Utilisateurs authentifiés » qui dispose de ces permissions dans l’ACL (liste d’accès qui
permet de déterminer quels seront les comptes qui seront ou non concernés dans les conteneurs)
d’une GPO, donc par défaut une GPO est valable pour tous les utilisateurs.

En outre une GPO est valable pour tous les comptes de machine par défaut (ce qui inclut les
contrôleurs de domaine) dans les conteneurs concernés. Lorsque l’on désire qu’une machine ne soit
pas concernée par une GPO celle-ci doit avoir la permission « Refuser l’application ».

Il faut noter qu’une GPO s’applique sur un conteneur et que les objets ordinateurs/utilisateurs
appliquent la GPO.

Héritage d’une GPO

L’ordre dans lequel les objets GPO sont appliqués dépend du conteneur active directory auquel sont
liés les objets. Ils sont hérités et appliqués dans l’ordre suivant : au site, au domaine puis au unité
d’organisation.

Chaque paramètre d’une GPO peut être configuré ou non, s’il n’est pas configuré, un paramètre ne
provoque pas de conflit. Cependant si des paramètres configurés entrent en conflit, l’échelle de
priorité précédente détermine le paramètre à appliquer. Lorsque plusieurs GPO sont appliqués sur
une OU, la GPO la plus élevée (la première) est la plus prioritaire et la dernière, la moins prioritaire.

En cas de conflit dans la configuration des GPO de différents niveaux, par défaut, on appliquera le
paramètre de la GPO la plus proche de l’objet. Voici les règles applicables par défaut :

Dans le cas d’un domaine, les GPO appliquées celui-ci sont héritées de domaine père en domaines
fils.

Dans le cas d’une Unité d’organisation, les GPO appliquées à celle-ci sont héritées d’une unité
d’organisation mère en unités d’organisations filles.

Il existe néanmoins des exceptions dans la mesure où pour chaque conteneur (OU ou domaine) les
deux options suivantes sont configurables :

Bloquer l’héritage : Lorsque cette case est cochée, aucune GPO supérieure ne sera héritée par le
conteneur en question.

Ne pas passer outre : Cette exception va empêcher qu’une GPO plus proche de l’objet utilisateur ou
ordinateur ne prime sur une GPO plus éloigné.

Dans la mesure où ils sont définis une seule fois pour tout le domaine dans la première GPO, certains
paramètre font exception à l’ordre d’application et aux possibilités d’héritage : c’est le cas des
paramètres de mots de passe et ceux de verrouillage de compte. Si ces derniers sont définis à un
autre emplacement, ils n’auront aucun effet.

Filtrage à l’installation de la GPO

L’option filtrage du déploiement d’une GPO permet d’appliquer la stratégie de groupe à certains
groupes exclusivement. En effet, chaque objet GPO va être lié à une ACL (liste d’accès) qui va définir
quels sont les utilisateurs, ordinateurs ou groupes qui vont pouvoir accéder à l’objet GPO donc
pouvoir appliquer ces paramètres.
Par exemple, pour appliquer une GPO seulement sur le groupe Administrateur, il suffit donc
d’afficher les sécurités de l’objet GPO et de retirer l’autorisation Appliquer la stratégie de groupe à
tous les autres utilisateurs excepté au groupe « Administrateurs ».

Délai d’application
Un ordinateur vérifie qu’il utilise la dernière version des GPO toutes les 90 minutes environ ( plus ou
moins 30 minutes déterminées de façon aléatoire) afin d’éviter que plusieurs ordinateurs fassent des
requêtes au DC en même temps.

En ce qui concerne les contrôleurs de domaines, ils sont réactualisés toutes les 5 minutes. Ce
paramètre est configurable dans la GPO elle-même. Vous pouvez forcer le rafraîchissement sur
chaque machine en utilisant les commandes suivantes (l’une pour les paramètres d’ordinateur,
l’autre pour les paramètres utilisateurs) :

Secedit /refresh machine_policy

Secedit /refresh user_policy

gpudate (pour les clients XP et les serveurs 2003, cf chapitre 4)

Comment configurer les paramètres des GPO ?

Options des paramètres : non configuré, activé, désactivé
Pour chaque paramètre, il est nécessaire de choisir à l’avance s’il sera configuré et si oui, s’il sera
activé ou désactivé. En effet tout paramètre a une valeur par défaut qu’il conserve s’il n’est pas
configuré. Pour modifier ce paramètre, vous avez le choix dans la plupart des cas entre « Activé » ou
« Désactivé » ce paramètre.

Exemple : Supprimer le menu Rechercher du menu Démarrer. 

Non configuré : Le menu Rechercher va s’afficher sauf si n’importe quelle autre GPO spécifie le
contraire.

Activé : Le menu Rechercher va être supprimé sauf si une GPO ayant une priorité plus importante
spécifie le contraire.

Désactivé : Le menu Rechercher va s’afficher sauf si une GPO ayant une priorité plus importante
spécifie le contraire.

Exemple de paramètre : la redirection des fichiers

Ce paramètre de stratégie de groupe permet de rediriger les dossiers sensibles de l’utilisateur afin de
centraliser sur un serveur les données et ainsi en faciliter la sécurité et la sauvegarde.
Les dossiers pouvant être redirigés sont les suivants : 

Menu Démarrer : Permet de faire pointer le contenu du menu Démarrer de tous les utilisateurs vers
un contenu unique.

Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu
unique.

Mes documents : Permet de centraliser les données utilisateur sur un serveur de fichiers pour que
son contenu soit disponible quelque soit l’ordinateur sur lequel on se connecte.

Application Data : Contient les préférences applicatifs de certaines applications qui peut être
sauvegarder sur un serveur avec la réplication.

Selon l’appartenance de l’utilisateur à un groupe, il est possible via la redirection avancée, de

rediriger les répertoires vers des dossiers différents. La fonction de redirection de dossiers crée elle-
même automatiquement des dossiers avec les autorisations adéquat.

Quelques outils en lignes de commandes bien utiles

GPUpdate
GPUpdate est un outil en ligne de commande qui permet de rafraîchir instantanément l’application
des stratégies de groupe sur une machine cliente. En effet comme nous l’avons indiqué
précédemment, les ordinateurs clients depuis Windows 2000 actualisent les GPO à des intervalles
définis. L’actualisation assure que les paramètres qui ont pu être modifiés par un administrateur sont
appliqués le plus tôt possible.

La syntaxe de GPudate est la suivante : gpupdate [/Target:{Computer | User}] [/Force] [/Wait:valeur]

[/Logoff] [/Boot] [/Sync]

GPResult

GPResult est un outil en ligne de commande dont l’objectif est de permettre la visualisation
des stratégies effectives pour l’ordinateur où la commande est tapée et pour un utilisateur
spécifié.

La syntaxe de GPResult est la suivante : gpresult [/s Ordinateur [/u Domaine\Utilisateur /p

Mot de passe]] [/user NomUtilisateurCible] [/scope {user|computer}] [/v] [/z] Le résultat
ressemblera à celui là :

Rapport des GPO

Grâce à la console Gestion de stratégie de groupe, il est possible d’afficher un rapport par GPO
permettant de visualiser uniquement les paramètres qui ont été modifié, crée au format HTML, il
sera aussi enregistrable au format XML.
Dans la console Gestion de stratégie de groupe, il est possible de lancer une simulation de
déploiement de stratégie de groupe ce qui va générer un rapport. Enfin des informations sur le
déploiement des GPO peuvent être récupérées dans la GPMC dans le but de générer un rapport.

Des limitations à respecter

Limiter les GPO
Pour commencer, l’action la plus élémentaire consiste à limiter le nombre de GPO qu’un ordinateur
ou utilisateur doit traiter au démarrage ou à la connexion. En général, il est conseillé de limiter ce
nombre à 10 comme point de départ. Il faut savoir aussi qu’une longueur des temps d’attente plus
importante est remarquée la première fois qu’un ordinateur ou utilisateur traite une GPO. Cela
s’explique par le fait parce que côté client les applications sont contraintes d’appliquer initialement
tous les paramètres. Par la suite, seules les GPO qui auront changé seront traitées par les
redémarrages système et les connexions utilisateur.

Limiter les groupes de sécurité

Le traitement des stratégies de groupe peut être affecter par l’utilisation des groupes de sécurité (les
groupes locaux, globaux ou universels AD contenant des ordinateurs ou des utilisateurs) .

Les groupes de sécurité peuvent être utilisés pour filtrer les effets des GPO mais le filtrage par ces
derniers fait diminuer considérablement les performances. En effet l’extension côté client de la GPO
doit travailler pour savoir si un ordinateur ou un utilisateur appartient à l’un des groupes soumis au
filtrage et plus il y a d’ACE (access control entries) associées à une GPO plus le travail est long.

En maintenant les ACL des GPO courtes et concises, un gain de performances est donc engendré.
L’utilisation systématique des ACL pour filtrer les GPO de chaque ordinateur ou utilisateur n’est pas
une bonne solution : il serait plus judicieux repenser le niveau auquel les GPO sont liées en effet le
résultat souhaité peut être obtenu en reliant la GPO plus bas dans la hiérarchie d’Active Directory (au
niveau de l’unité d’organisation plutôt qu’au niveau du domaine par exemple).

5.3. Limiter les liens multidomaines

Les performances sont aussi affectées par l’utilisation de GPO liées au travers de frontières de
domaines. Chaque GPO appartient à un domaine Active directory et les informations la concernant
résident sur les contrôleurs de domaine de ce domaine. Supposons que l’on ait une forêt d’Active
Directory multidomaine, il est possible de lier une GPO d’un domaine (X) à un autre domaine de la
forêt (Y) mais quand un ordinateur ou un utilisateur du domaine Y traite la GPO qui se trouve dans le
domaine X, les extensions côté client de l’ordinateur du domaine Y doivent traverser les relations
d’approbation dans la forêt, pour accéder aux informations de la GPO. En matière de performances
ces opérations sont très coûteuses et mêmes plus que le fait de communiquer avec des GPO dans le
même domaine. Par ailleurs, il arrive que l’ordinateur du domaine Y ne puisse pas trouver un
contrôleur de domaine du domaine X dans le même site Active directory, il lui sera alors nécessaire
de traverser des liens WAN de façon à atteindre un DC et traiter la GPO.

Au final évitez de lier des GPO qui amènent à franchir des frontières de domaines. Copiez plutôt une
GPO définie d’un domaine vers un autre.

10.
 11. Hyper-V
A. Qu’est-ce que la virtualisation ?
Dans une architecture traditionnelle, nous retrouvons plusieurs serveurs physiques hébergeant
chacun leur propre rôle.
Par exemple : un serveur gérant les accès, un serveur de données, un serveur d’application, un
serveur de messagerie (au total 4 serveurs)

La virtualisation repose sur le fait de faire fonctionner plusieurs ordinateurs au sein d’un ordinateur
plus puissant. Cet ordinateur plus puissant s’appelle un hôte, les ordinateurs fonctionnant sur cet
hôte sont des machines virtuelles.

L’hôte correspond à la machine physique c’est-à-dire le serveur qui est palpable.

L’hôte permet de créer des machines virtuelles (non-palpables) qui utiliseront les ressources mise à
disposition par la machine physique.

Si nous reprenons notre exemple précédent : il ne nous faut donc, grâce à la virtualisation, plus qu’un
seul serveur physique qui lui hébergera le serveur gérant les accès, le serveur de fichiers, le serveur
d’application, le serveur de messagerie (1 seul serveur physique qui contient 4 machines virtuelles)

Architecture Traditionnelle  :

Architecture Virtualisée  :

Nous retrouvons ici seulement 1 serveur physique avec à l’intérieur de ce serveur 4 machines
virtuelles. C’est la virtualisation.
 B. Les avantages de la virtualisation
L’optimisation des ressources :
En moyenne un serveur physique dans une architecture traditionnelle utilise 20% de sa puissance :

Il est donc possible d’optimiser la consommation de cette puissance disponible en mettant en place
de la virtualisation afin d’héberger plusieurs machines virtuelles au sein de ce serveur physique afin
de consommer cette puissance jusqu’alors inutile.

Les licences Windows :

Dans une architecture classique, il y autant de licences Windows que de serveurs, avec la nouvelle
version de Windows Server 2012 R2 une licence permet d’installer 2 machines virtuelles ou alors 1
physique et 1 virtuelle.
Si nous reprenons notre exemple précédent, avec l’architecture traditionnelle nous avions 4
serveurs, donc 4 licences Windows Server.
Avec la virtualisation, nous avons un serveur physique ce qui fait 1 licence, puis ensuite 4 machines
virtuelles, il faut donc seulement plus que 3 licences soit une économie d’une licence Windows.

Migration rapide :
Il est facile de migrer une machine virtuelle active vers un autre serveur avec un temps
d’indisponibilité minime.

Instantané de machine virtuelle :

Il est très facile de retourner à un état antérieur et les solutions de sauvegardes et de restauration
/réplication sont très efficaces sur de la virtualisation.

C. Présentation Hyper-V
Hyper-V est le moteur de virtualisation (hyperviseur) de Microsoft, lancé en 2008 pour contrer la
suprématie de VMWare dans le secteur de la virtualisation (notamment grâce à VMWare ESX).

Hyper-V possède les caractéristiques suivantes :

- Il est basé sur une nouvelle architecture de prise en charge matérielle, qui exploite au mieux
les instructions dédiées à la virtualisation des processeurs actuels. Celle-ci facilite l'accès aux
périphériques de base (disques, mise en réseau, vidéo, etc.) ainsi que leur utilisation avec
l’architecture VSP/VSC (fournisseur et client de services virtuels).

- Prise en charge de plusieurs systèmes d'exploitation : Possibilité d'exécuter simultanément

différents types de systèmes d'exploitation, multiprocesseurs 32 bits et 64 bits, sous différentes
plateformes comme Windows, Linux, etc…

- Prise en charge de SMP : Possibilité de prendre en charge jusqu'à 4 multiprocesseurs sur un

système virtuel.

- Accès facilité au support de stockage : accès direct aux disques, prise en charge des SAN et
accès aux disques internes.
- Équilibrage de la charge réseau : Les systèmes virtuels peuvent exécuter le service NLB
(Network Load Balancing) de Windows afin d'équilibrer la charge sur les systèmes virtuels des
différents serveurs.

- Support de la mise en cluster des machines virtuelles (jusqu'à 16 nœuds) qui permet
d’assurer la haute disponibilité des machines virtualisées.

- QuickMigration : Hyper-V vous permet de faire migrer rapidement un système virtuel en

cours d'exécution, d'un hôte physique à un autre, avec un temps d'arrêt très court.

- Snapshot : Hyper-V donne la possibilité de prendre des clichés d'une machine virtuelle en
cours d'exécution. Vous pouvez alors facilement revenir à un état antérieur et améliorer la solution
de sauvegarde et de restauration.

C. Prérequis
Pour pouvoir fonctionner, le rôle Hyper-V requit:
- Un processeur 64 bits, supportant les technologies de virtualisation matérielle comme Intel-VT ou
AMD-V.
- Hardware Data Execution Protection (DEP) doit être activé. Plus précisément, vous devez
activer le bit Intel XD ou l'AMD bit NX.