Académique Documents
Professionnel Documents
Culture Documents
et GPO
04/2016
M. Villers – F. Lenartowski 1
Quelques constats dans un environnement Windows
● aux utilisateurs,
● ordinateurs..
04/2016
M. Villers – F. Lenartowski 3
GPO: Quelques exemples exhaustifs
Nécessité de disposer d'un outil d'édition plus convivial et évolutif qui sera
finalement appelé éditeur de stratégies.
04/2016
M. Villers – F. Lenartowski 4
Type de GPO
04/2016
M. Villers – F. Lenartowski 7
GPO locale: Utilisation de la console gpedit
04/2016
M. Villers – F. Lenartowski 8
GPO locale: Stratégie sur les mots de passe
04/2016
M. Villers – F. Lenartowski 9
GPO locale :Imposition des scripts de démarrage et
d'arrêt d'un ordinateur
04/2016
M. Villers – F. Lenartowski 10
GPO locale: Imposition de scripts d'entrée et
de fermeture de session
04/2016
M. Villers – F. Lenartowski 11
GPO locale : Dossier réservé
Le dossier caché
C:\Windows\system32\GroupPolicy
est destiné à contenir les fichiers associés à
la mise en oeuvre de la GPO locale.
04/2016
M. Villers – F. Lenartowski 13
GPO locale: Stratégie sur le menu démarrer et la barre de tâches
04/2016
M. Villers – F. Lenartowski 16
Les GPO
distribuées
dans un domaine
04/2016
M. Villers – F. Lenartowski 17
Centralisation des stratégies dans l'Active Directory.
aux utilisateurs
04/2016
M. Villers – F. Lenartowski 18
Stockage des GPO sur les contrôleurs de domaines
04/2016
M. Villers – F. Lenartowski 20
Outil « gestion de stratégies de groupe »
04/2016
M. Villers – F. Lenartowski 21
GPMC: Critères pour le déploiement d'une GPO
L'onglet « détails » permet d'activer ou de neutraliser le déploiement des règles d'une GPO :
GUID de la GPO
04/2016
M. Villers – F. Lenartowski 23
GPMC: Description des règles d'une GPO
04/2016
M. Villers – F. Lenartowski 24
GPMC: Délégation sur une GPO
L'onglet « délégation » permet de définir des ACLs limitant l'accès à l'édition de la GPO.
04/2016
M. Villers – F. Lenartowski 25
GPMC: Gestion des liaisons d'une GPO à des emplacements
L'adjectif « appliqué » signifie que les règles de la GPO seront imposées en cas de
contradiction avec les règles d'autres GPO. Ce paramètrage permet en réalité
d'activer une activation prioritaire des règles d'une GPO.
04/2016
M. Villers – F. Lenartowski 26
GPMC: Création d'une GPO
Choisir le nom
de la GPO
04/2016
M. Villers – F. Lenartowski 27
GPMC: Edition de la nouvelle GPO
04/2016
M. Villers – F. Lenartowski 28
GPMC: Edition de la nouvelle GPO
04/2016
M. Villers – F. Lenartowski 29
GPMC: Synthèse de la GPO créée
04/2016
M. Villers – F. Lenartowski 30
GPMC: Liaison de la GPO à un domaine
04/2016
M. Villers – F. Lenartowski 31
Le dossier répliqué SYSVOL sur un DC
SYSVOL est un répertoire avec un ensemble de dossiers et de fichiers à
mettre à la disposition (en lecture seule) de tous les postes de travail et
utilisateurs du domaine.
Présent dans tous les DC dans C:\WINDOWS\SYSVOL
Le partage sysvol
Le partage netlogon
04/2016
M. Villers – F. Lenartowski 33
Le partage « sysvol »
scripts
04/2016
M. Villers – F. Lenartowski 34
Le répertoire « Policies » : annexes des GPO
04/2016
M. Villers – F. Lenartowski 35
Schéma des sous-répertoires associés à une GPO
04/2016
M. Villers – F. Lenartowski 36
Chemins UNC vers les scripts des GPO
04/2016
M. Villers – F. Lenartowski 37
Actualisation de GPO ?
l'ordinateur),
limitée à l'utilisateur (mise à jour des réglages de
l'utilisateur)
04/2016
M. Villers – F. Lenartowski 38
Fréquence d'actualisation des GPO enregistrées dans les DC
Réplication
AD AD
LDAP & RFS
sysvol sysvol
GPO GPO
Réplication par
Intervalle de 5' Actualisation d'une GPO
entre DC voisins dans une station de travail
au démarrage de la station
04/2016
M. Villers – F. Lenartowski 41
Gpresult: Vérification des GPO appliquées
04/2016
M. Villers – F. Lenartowski 42
GPO: Actualisation des GPO
04/2016
M. Villers – F. Lenartowski 43
GPO : Déploiement d'un script de logon
04/2016
M. Villers – F. Lenartowski 44
GPO : Déploiement d'un script de logon
04/2016
M. Villers – F. Lenartowski 46
GPO : Déploiement d'un script de logon
04/2016
M. Villers – F. Lenartowski 47
GPO : Déploiement d'un script de logon
04/2016
M. Villers – F. Lenartowski 48
6) Création et édition du fichier « logon.bat »
Utiliser l'éditeur notepad et récupérer le chemin dans SYSVOL par un
« copie-coller »
04/2016
M. Villers – F. Lenartowski 50
GPO : Déploiement d'un script de logon
04/2016
M. Villers – F. Lenartowski 51
GPO : Déploiement d'un script de logon
04/2016
M. Villers – F. Lenartowski 52
GPO : Déploiement d'un script de logon
1) Edition d'un script DOS pour une installation silencieuse d'un logiciel
04/2016
M. Villers – F. Lenartowski 54
GPO : Déploiement d'un script de démarrage
04/2016
M. Villers – F. Lenartowski 55
Les domaines
sous
Windows NT4
05/02/2014
M. Villers – F. Lenartowski 1
Historique: NT4
domaine principal,
✔ BDC (Backup Domain Controler) ou contrôleur de
domaine secondaire,
✔ « standalone » ou serveur d'application autonome.
SAM
Partage
Authentification +
Accès au partage
SAM SAM
NT4 Server Réplication NT4 Server
PDC périodique BDC
(5 minutes)
Partage
Répartition des
Accès au authentifications sur
partage les 2 contrôleurs
SAM
2. Demande d'authentification
1) La station avec des
3. Défi partages soumet le poste
client à un défi/réponse
avec l'aide du PDC pour
6. Réponse 7. SID-SAT obtenir le SID du client.
Partage
5.Réponse 2) Le SID retourné est
ensuite recherché dans
4. Défi l'ACL pour autoriser ou
1. Demande de connexion interdire l'accès à la
ressource
NT4 WorkStation
SID-SAT ? ACL
= OK ou pas OK
NT4 WorkStation NT4 WorkStation NT4 WorkStation Access Control List (ACL)
cliente d'un partage
décentralisé
Remarque: le mot de passe ᄇ
encodé lors de l'entrée
en session est dans la
mémoire RAM de la
workstation. Partages décentralisés
05/02/2014
M. Villers – F. Lenartowski 6
Domaines sous NT4: Synthèse
Rappel: Un SAT (Security Access Token) est un jeton de sécurité reprenant le SID de
l'utilisateur et les SID des groupes auxquels il appartient.
05/02/2014
M. Villers – F. Lenartowski 8
NT4: Autres avantages apportés par les BDC
05/02/2014
Un seul et même domaine sur un réseau étendu
M. Villers – F. Lenartowski 9
NT4: Réparation d'un désastre
05/02/2014
M. Villers – F. Lenartowski 10
NT4: Cohabitation et coopération de domaines
05/02/2014
M. Villers – F. Lenartowski 14
NT4: Approbation uni-directionnelle
Existance d'un canal de communication entre
les contrôleurs de domaine
Approbation
Approbation
réciproque
Des entrées en session peuvent être Des entrées en session peuvent être
engagées par des utilisateurs du engagées par des utilisateurs du
domaine BETA sur les équipements du domaine ALPHA sur les équipements du
domaine ALPHA. domaine BETA.
L'accès à des partages sur les L'accès à des partages sur les
équipements du domaine ALPHA par des équipements du domaine BETA par des
utilisateurs du domaine BETA peut être utilisateurs du domaineALPHA peut être
05/02/2014engagé engagé
M. Villers – F. Lenartowski 16
NT4: L'approbation est ni transitive, ni transmissible
Domaine GAMMA
Les utilisateurs du domaine GAMMA peuvent
entrer en session sur les équipements du domaine PDC BDC
BETA et accéder aux partages du domaine BETA
Approbation
05/02/2014
Domaines approuvés: BETA
M. Villers – F. Lenartowski Domaines approuvés: GAMMA 17
NT4: Limitations - Conclusion
et forêts de domaines
09/03/2014 1
Active Directory: Nouveautés ?
✔ de forêts de domaines.
09/03/2014 2
Active Directory: LDAP - DNS
09/03/2014 3
LDAP (Lightweight Directory Access Protocol)
✔ Protocole créé en 1993 permettant de déployer un annuaire
sous TCP/IP et utilisant le port TCP 389.
Ce n'est pas une invention de Microsoft.
✔ Fonctionnalités et avantages ?
✔ Permettre le stockage de données suivant un schéma hiérarchique.
✔ Offrir une structure flexible et évolutive.
Possibilité d'intégrer des paramètres d'administration additionnels
facilitant la mise en service et les gestion de fonctionnalités
complémentaires.
✔ Disposer d'un mécanisme de recherche de paramètres rapide et
efficace. Repousser le seuil d'effondrement du contrôleur de domaine.
✔ Conçu pour
entre annuaires.
09/03/2014
Les réplications seront désormais réalisées en utilisant les facilités de 4
communication offertes par le protocole LDAP (abandon des copies de
fichiers)
Win 2000: DNS et LDAP
09/03/2014 5
Architecture d'un contrôleur de domaine sous AD
IP
UDP TCP
LDAP: Service d'annuaire
Port 53 Port 389 pilotant les accès à
Socket Socket l'Active Directory.
Le serveur DNS
utilise l'Active
Directory comme Base de donnée
alternative au DNS LDAP hiérarchique.
fichiers de zone La structure hiérarchique
conventionnels. l'a rend donc extensible.
En cas d'arrêt du PDC, impossibilité de faire des mises à jour (création de compte,
changement de mot de passe, etc...)
En cas d'arrêt d'un DC, possibilité de faire des mises à jour sur l'autre DC (création de
compte, changement de mot de passe, etc...).
09/03/2014 7
AD: Symbolique d'un domaine
Contrôleurs de domaine
répliqués via LDAP
dc1.firme.be dc2.firme.be
Réplication
via LDAP Postes de travail
09/03/2014 firme.be 8
AD: Exemple de réseau Windows avec 2 DC
Win 98/Me
Postes avec entrée
en session avec des
Clients potentiels du Win 2000 Pro comptes locaux ou
domaine ! A éviter car tout des comptes du
09/03/2014 9
inconnu peut s'octroyer un domaine
compte local
AD: Exemple de réseau Windows avec 2 DC et 1 BDC
Win 2003 Server DC
Contrôleur de + PDC Emulator Win 2003 Server DC
domaine émulant
un PDC AD AD
Synchronisation
périodique
des AD
Serveur NT4 Réplication Contrôleur de
installé périodique domaine
comme BDC
SAM Domaine
NT4
Server
Windows 2003 SAM
BDC
Constats pratiques:
✔ L'expérience a montré (sous NT4) que les administrateurs réseau avaient
tendance à construire des hiérarchies de domaines.
✔ Microsoft a conçu AD en privilégiant le DNS comme nouveau système de
nommage.
Coïncidence: DNS est hiérarchique et les réseaux multi-domaines sont conçus très
souvent de manière hiérarchique.
Exemple:
Domaine
firme.be
Arbre de
Domaine domaines Domaine
09/03/2014 production.firme.be ventes.firme.be 11
AD: Domaine racine, domaine parent, domaine enfant
Domaine Domaine
racine parent
Domaine
parent
Domaine
Domaine
firme.be
firme.be
Domaine
enfant
Arbre de
Domaine
domaines Domaine Domaine
production.firme.be ventes.firme.be enfant
Domaine
enfant
Domaine
export.ventes.firme.be
Remarque importante: Dans un arbre, les domaines enfants doivent contenir les noms
des domaines parents.
09/03/2014 12
AD: Relation d'approbation automatique dans un arbre de domaines
Domaine racine
firme.be
Domaine racine
societe.be
Domaine
firme.be
Approbation Approbation
réciproque réciproque Domaine Approbation
Arbre de societe.be
réciproque
domaines Approbation
réciproque
Arbre de
Approbation domaines
Domaine réciproque Domaine
production.firme.be ventes.firme.be
Approbation
réciproque
Domaine Domaine
09/03/2014 13
production.societe.be ventes.societe.be
AD: Forêt d'arbres de domaines
Relation d'approbation
réciproque et transitive
Domaine racine
firme.be Forêt de Domaine racine
domaines societe.fr
Domaine
firme.be
Approbation Approbation
réciproque réciproque Domaine Approbation
Arbre de réciproque
societe.fr
domaines Approbation
réciproque
Arbre de
Approbation domaines
Domaine réciproque Domaine
production.firme.be ventes.firme.be
Approbation
réciproque
Domaine Domaine
production.societe.fr ventes.societe.fr
✔ Une forêt est un groupe d'arbres ayant des relations d'approbations mutuelles.
✔ Les noms des domaines entre arbres peuvent être différents.
09/03/2014 14
Très utile en cas de fusion de sociétés.
AD: Type de domaines
09/03/2014 15
Contenu d'un annuaire LDAP dans le cas d'un arbre ou d'une forêt.
09/03/2014 16
Rappel: SID (Security Identifier)
un utilisateur un ordinateur
un objet (groupe)
09/03/2014 17
SID: Quelques identifiants remarquables
S-1-1-0 Everyone Sous Windows XP, le groupe Everyone inclus les utilisateurs authentifiés et Guest. Avant il incluait aussi les
utilisateurs anonymes.
S-1-2-0 Local Les utilisateurs authentifiés localement .
Un membre du groupe S-1-2-0 ne peut être membre de S-1-5-2 (Network).
S-1-3 Creator Authority
S-1-5 NT Authority
S-1-5-1 Dialup Ce groupe inclus tous les utilisateurs qui sont connectés à l'aide d'une connexion à distance.
S-1-5-2 Network Ce groupe inclus tous les utilisateurs connectés par le réseau.
S-1-5-3 Batch Liste des utilisateurs connectés par un batch (les tâches planifiées par exemple).
S-1-5-4 Interactive Utilisateurs connectés localement (loggés, connexion a distance au bureau, ou telnet)
S-1-5-7 Anonymous Utilisateurs non authentifiés (ne pas confondre avec les connexions anonymes de IIS qui utilisent un compte nommé
Logon IUST_nomdepc.
S-1-5-19 LocalService Identité utilisée par le système ou les services locaux (ne possède pas de droits réseau)
S-1-5-20 NetworkService Identité utilisée par les services réseaux (ne possède pas de droits locaux).
S-1-5-domain-500 Administrator Premier compte créé à l'installation. Chaque système possède un administrateur, chaque domaine possède un
09/03/2014 compte administrateur. 18
Un compte administrateur ne peut être bloqué ou supprimé mais peut être renommé.
Le compte administrateur fait partie du groupe administrateurs et ne peut en être enlevé.
Rappel: ACE (Access Control Entrie)
registre, ...)
précisant les droits d'accès accordés ou refusés à un utilisateur.
✔ Une ACL (Acces Control List) est l'ensemble des ACE liées à une
ressource.
A charge du système d'exploitation de rechercher une ACE référençant
un des SID (du SAT) de l'utilisateur ou de la machine qui accède
pour décider d'accorder ou de refuser l'accès à la ressource.
09/03/2014 19
ACE: Les types de droits
Contrôle total
Parcours d'un répertoire ou exécuter le fichier
Lister un répertoire ou lecture du fichier
Création d'un fichier ou écriture de données dans un fichier
Création de sous-répertoire ou ajout de données dans un fichier.
Suppression d'un sous-répertoire ou d'un fichier.
Modification des autorisations
Appropriation
09/03/2014 20
Mécanisme d'exploitation des ACLs
Rappel:
Tout accès engagé par un utilisateur (ou un ordinateur) vers une ressource
(partage, répertoire, fichier, etc...) dans un domaine s'accompagne
● D'un challenge dirigé par un contrôleur de domaine pour identifier l'utilisateur
(ou l'ordinateur) et connaître son SID (et SAT),
● Confronter ce SID (et SAT) à l'ACL pour trouver l'ACE précisant si l'accès
doit être accordé ou refusé.
Problème pratique:
Comment définir les ACE (autorisation, interdiction) efficacement, en particulier en cas
d'accroissement massif de comptes utilisateurs ?
09/03/2014 21
Gestion des ACE et croissance du nombre d'utilisateurs
Autorisations
Cette technique est à éviter
attribuées
par utilisateur
Anne
C:\recettes_de_cuisine
Marie
C:\loisirs_vacances Pierre
Marc
C:\mecanique_automobile
Autorisations Affectations
Technique à encourager
attribuées des utilisateurs
par groupe dans des groupes
Anne
C:\recettes_de_cuisine
Marie
dames
C:\loisirs_vacances Pierre
hommes Marc
C:\mecanique_automobile
Conclusion:
Un groupe est donc finalement
un ensemble d'utilisateurs à qui on attribuera
les mêmes autorisations (ou interdictions)
vis-à-vis d'une ou de plusieurs ressources
L'utilité de ces groupes étant liée à la sécurisation des ressources locales,
09/03/2014 ces groupes seront appelés des groupes locaux. 24
Groupes prédéfinis
✔ Les groupes prédéfinis sont des groupes qui servent à accorder à leurs
membres divers privilèges pour administrer l'ordinateur.
✔ Ces groupes sont fonction du système d'exploitation utilisé et ne
peuvent être supprimés.
✔ Une console de contrôle peut être ouverte en utilisant « Poste de travail »,
« clic droit », « gérer » pour
Créer des groupes locaux pour rationaliser la sécurisation des ressources,
Affecter des utilisateurs dans les groupes locaux et les groupes prédéfinis.
09/03/2014
Groupes prédéfinis sous Win XP 25
Groupes définis
Ces groupes prédéfinis peuvent donc aussi être assimilés à des groupes locaux.
09/03/2014 26
Interprétation du qualificatif « local » et « global »
09/03/2014 27
Domaines et groupes
09/03/2014 28
Les types de groupes sous AD
d'ordinateurs,
Sous NT4, Microsoft avait prévu de limiter l'imbrication des groupes à 2 niveaux:
Des utilisateurs pouvaient être rangés dans des groupes globaux prédéfinis.
09/03/2014 30
AD: Règles d'imbrication de groupes
Relation
d'approbation
Utilisateur Utilisateur
is
Utilisateur Utilisateur o ri s é ma Utilisateur Utilisateur
Aut éviter
à
Groupe
local
Relation
d'approbation
défini.
Une portée étendue à l'ensemble des domaines d'un arbre ou d'une forêt.
l'arbre ou de la forêt.
Une portée limitée au domaine dans lequel il est défini..
l'arbre ou de la forêt.
Une portée étendue à l'ensemble des domaines d'un arbre ou d'une forêt.
Groupe
Défini dans l'annuaire
global
du domaine A
Domaine approuvé B
Domaine approuvant A
Catalogue global
09/03/2014 36
Gestion des catalogues globaux
09/03/2014 37
Gestion du schema du catalogue global
09/03/2014 38
Comment accéder au schéma de l'annuaire ?
09/03/2014 39
Comment accéder au schéma de l'annuaire ?
4. Ajouter le composant
« Active Directory Schema »
09/03/2014 40
Comment accéder au schéma de l'annuaire ?
5. Sauvegarder la console
avec le composant « Active
Directory Schema »
09/03/2014 41
Comment accéder au schéma de l'annuaire ?
09/03/2014 42
Installation d'un serveur Win 2000/2003/2008
09/03/2014 43
Win 2008: Menu des outils d'administration avant
promotion d'un contrôleur de domaine.
09/03/2014 44
Win 2008: Configuration TCP/IP
09/03/2014 45
Win 2008: Configuration TCP/IP
09/03/2014 46
Win 2008: Configuration TCP/IP
C:>DCPROMO
09/03/2014 48
Promotion d'un 1er contrôleur de domaine
09/03/2014 49
Win 2008 : Promotion d'un 1er contrôleur de domaine
Préciser le nom DNS du domaine Windows. Un nom de domaine NetBios est proposé.
09/03/2014 52
Win 2008 : Promotion d'un 1er contrôleur de domaine
Remarque:
Un Win 2000 Server ou Win 2003 Server
Si le 1er membre de la forêt adopte le pourra néanmoins être membre non-DC
schema 2008, un Win 2000 server ou Win d'un forêt 2008.
2003 Server ne pourra pas devenir DC.
09/03/2014 Exemple: Serveur de fichier 54
Win 2008 : Promotion d'un 1er contrôleur de domaine
Incorporation automatique du
Global Catalog dans le 1er DC
de la forêt
+ installation du service DNS
09/03/2014 55
Win 2008 : Promotion d'un 1er contrôleur de domaine
Niveau
fonctionnel de
la forêt
09/03/2014 58
Win 2008 : Après promotion d'un contrôleur de domaine
09/03/2014 59
Win 2008 : Après promotion d'un contrôleur de domaine
1er DC du
1er site
09/03/2014 60
Win 2008 : Après promotion d'un contrôleur de domaine
09/03/2014 61
AD: Console d'administration des utilisateurs du domaine
09/03/2014 62
AD: Les 2 autres consoles d'administration
09/03/2014 63
Création d'un 1er utilisateur dans le domaine
prenom.nom@nom_DNS_du_domaine
Le format NetBIOS (à abandonner) sous la forme
nom_NetBIOS_du_domaine\prenom.nom
09/03/2014 64
Création d'un 1er utilisateur dans le domaine
09/03/2014 65
Création d'un 1er utilisateur dans le domaine
09/03/2014 66
Composition du groupe des administrateurs du domaine
09/03/2014 67
Composition du groupe des administrateurs du domaine
09/03/2014 68
Composition du groupe des administrateurs du domaine
09/03/2014 71
Rattachement d'un ordinateur à un domaine
3) Communiquer
un compte et un
mot de passe d'un
membre du groupe
administrateurs du
domaine
09/03/2014 72
Etat du DNS et de l'annuaire après rattachement
09/03/2014 76
Création d'une partition NTFS pour les répertoires utilisateurs
09/03/2014 77
Création d'une partition NTFS pour les répertoires utilisateurs
09/03/2014 78
Création d'une partition NTFS pour les répertoires utilisateurs
Choisir un nom de
09/03/2014 partage 80
approprié.
Déclaration d'un partage réseau
09/03/2014 81
Déclaration d'un partage réseau
\\dc1.firme.be\home_dir
09/03/2014 82
Définition d'un accès à un répertoire réseau dans un compte
Cliquer sur le
Bouton droit
Préciser
La lettre du lecteur réseau à attribuer
Chaque utilisateur
du domaine qui se
« loguera » sur la
station de travail se
verra attribué un
profil local.
Il y a donc un
Le disque P: n'est pas local et ne
risque de
consomme pas d'espace disque
saturation du
sur la station de travail.
disque C:
09/03/2014 84
Propriétés du répertoire créé automatiquement dans le partage réseau
09/03/2014 86
Mise en place de profils itinérants
Etape 1:
Réserver un espace (sur un DC ou un serveur membre) pour y archiver les profils des
utilisateurs.
09/03/2014 87
Mise en place de profils itinérants
Etape 2: Ouvrir un partage sur le répertoire (ou disque) réservé pour archiver les profils.
Remarque:
09/03/2014 88
Le nom du partage se termine par $ pour que son
existence ne soit pas diffusée sur le réseau.
Mise en place de profils itinérants
09/03/2014 89
Mise en place de profils itinérants
09/03/2014 90
Mise en place de profils itinérants
09/03/2014 91
Scripts de logon ?
Script de logon ?
Procédure exécutable (Commandes DOS ou Vbscript)
Enregistrée sur chaque contrôleur de domaine.
Distribuée via réseau aux stations de travail par un partage réseau
particulier (« netlogon »).
Exécutée sur une station de travail lors d'une entrée en session.
Utilité ?
Automatiser l'exécution d'opérations sur une station de travail au
moment de l'entrée en session de chaque utilisateur
Montage de partage réseaux sur des lecteurs (L:, P:, ...),
09/03/2014 93
Héritage Win NT concernant les scripts de logon:
Remarque: Les GPO (Group Policies) sont des outils plus modernes introduits avec
09/03/2014 94
l'active directory pour éviter d'écrire ou de maintenir des scripts de logon.
Configuration complète d'un compte utilisateur
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DeleteRoamingCache"=dword:00000001
09/03/2014 98
Profils et performance ?
Constats:
✔
Un profil peut très rapidement devenir volumineux
Utilités ?
Donner le contrôle d'un ensemble de comptes et de machines à un ensemble
d'utilisateurs pour, par exemple, réinitialiser des mots de passe.
etc...
09/03/2014 100
Aucune OU
n'est définie.
09/03/2014 101
Utilisateurs rangés dans 2 groupes locaux
09/03/2014 102
09/03/2014 103
Ajout d'un nouveau domaine
dans un arbre existant
09/03/2014 104
AD: Ajout d'un sous domaine dans un arbre ou une forêt
Pré-requis:
09/03/2014 106
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 107
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 108
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 109
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 110
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 111
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 112
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 113
Installation d'un serveur DNS avant promotion d'un DC
Le service DNS
est installé.
09/03/2014 114
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 116
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 117
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 118
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 119
Installation d'un serveur DNS avant promotion d'un DC
09/03/2014 120
Délégation et redirection DNS
redirection DNS
Zone DNS
firme.be pc2.firme.be ?
pc1.ventes.firme.be ? pc1.ventes.firme.be ?
Délégation DNS
pc2.firme.be ?
09/03/2014 122
Redirection DNS vers un domaine parent
09/03/2014 123
Redirection DNS vers un domaine parent
09/03/2014 124
Délégation DNS vers un zone d'un domaine enfant
09/03/2014 125
Délégation DNS vers un zone d'un domaine enfant
09/03/2014 126
Délégation DNS vers un zone d'un domaine enfant
09/03/2014 127
Délégation DNS vers un zone d'un domaine enfant
09/03/2014 128
Délégation DNS vers un zone d'un domaine enfant
09/03/2014 129
Promotion d'un DC dans un domaine enfant
09/03/2014 130
Promotion d'un DC dans un domaine enfant
09/03/2014 131
Promotion d'un DC dans un domaine enfant
09/03/2014 132
Promotion d'un DC dans un domaine enfant
09/03/2014 133
Promotion d'un DC dans un domaine enfant
09/03/2014 134
Promotion d'un DC dans un domaine enfant
09/03/2014 136
Promotion d'un DC dans un domaine enfant
09/03/2014 137
Promotion d'un DC dans un domaine enfant
09/03/2014 138
Promotion d'un DC dans un domaine enfant
Remarque:
Sous Vista Pro ou Seven Pro, le nom de compte devra être spécifié sous la forme:
Nom_de_domaine_Netbios\nom_de_compte
nom_de_compte@nom_de_domaine_DNS
nom_de_compte
Dans ce cas, c'est le Catalog Global qui
09/03/2014 permettra de déterminer le domaine dans lequel 139
le compte est défini.
Gestion des sites
Et
Des réplications
09/03/2014 140
AD : Site ?
Site ?
Ensemble de sous-réseaux qui communiquent entre eux à haut débit.
Les
09/03/2014différents contrôleurs de domaine seront répertoriés 141
dans les différents sites.
AD: Domaines et Sites
Réplication
dc1.firme.be Réplication lente dc3.societe.fr
lente
Site1
dc2.firme.be dc4.societe.fr
Site2
dc1.firme.be dc2.firme.be
4 réplications
Liaison
lentes ?
lente
dc3.firme.be dc4.firme.be
Réplications intra-site:
A l'intérieur d'une même site, les DCs d'un même domaine peuvent continuer à se
répliquer librement entre eux (toutes les 5 minutes).
Réplications inter-sites:
Les réplications étant transitives (effet en cascade), on peut envisager de limiter les flux
de réplications pour les DCs d'un même domaine entre des sites différents.
Comment ?
En utilisant l'outil d'administration « Active Directory Sites and Services »
Cet outil permet :
09/03/2014 145
Sites: Ajout des sous-réseaux
Liste des
sous-réseaux
09/03/2014 146
Sites: Déplacer les DC dans les sites
09/03/2014 147
Site: Définir les liens de réplication entre DC
dans un
domaine existant
09/03/2014 149
Ajout d'un nouveau DC dans un domaine existant
Etape 1: Installer un nouveau serveur, lui attribuer un nom et une configuration TCP/IP.
09/03/2014 150
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 151
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 152
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 153
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 154
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 155
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 156
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 157
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 158
Ajout d'un nouveau DC dans un domaine existant
09/03/2014 159
Désinstallation de l'Active Directory
09/03/2014 160
Désinstallation de l'Active Directory
09/03/2014 161
Désinstallation de l'Active Directory
09/03/2014 162
Désinstallation de l'Active Directory
09/03/2014 163
Désinstallation de l'Active Directory
09/03/2014 164
AD: DNS après entrée en session
09/03/2014 166
AD: DNS et entrée en session sur le domaine
2. Encodage du
compte et du mot de
passe du domaine
Domaine
AD: Je suis notebook1
Windows 2003 et j'ai l'adresse IP a.b.c.d. 3. Requête pour
AD: Adresse IP de la une mise à jour
station enregistrée dynamique du DNS
DNS: IP du controleur et annoncer
de domaine ? l'adresse IP de la
DNS: IP d'un contrôleur station.
de domaine
AD: Compte
09/03/2014 5. Défi réponse après
167
Adresse IP fixe (ou automatique) Défi mise à jour du DNS
Réponse
AD: DNS et entrée en session sur le domaine
09/03/2014 168
Paramétrisation
sous Windows
✔ La base de registres
✔ Les profils
05/02/2014
M. Villers – F. Lenartowski 1
Paramétrisation: historique
05/02/2014
M. Villers – F. Lenartowski 3
Base de registres ?
05/02/2014
M. Villers – F. Lenartowski 4
Regedit sous Win 2000
5 sous-arbres principaux:
✔ HKEY_CLASSES_ROOT
✔ HKEY_CURRENT_USER
✔ HKEY_LOCAL_MACHINE
✔ HKEY_USERS
✔HKEY_CURRENT_CONFIG
05/02/2014
M. Villers – F. Lenartowski 5
Regedt32 sous Win 2000 (abandonné sous XP)
05/02/2014
M. Villers – F. Lenartowski 6
Base de registre: Structure logique
05/02/2014
M. Villers – F. Lenartowski 7
Le sous-arbre HKEY_LOCAL_MACHINE
✔ Le système d'exploitation
✔ La sécurité
connecté,
✔ Ses préférences,
✔ Son bureau,
05/02/2014
M. Villers – F. Lenartowski 10
Le sous-arbre HKEY_CLASSES_ROOT
✔ Un type de donnée
✔ Une valeur
variable.
✔ REG_MULTI_SZ: Autre type de chaîne de
05/02/2014
M. Villers – F. Lenartowski 13
Edition de la base de registre = danger !
05/02/2014
M. Villers – F. Lenartowski 14
Recherche dans la base de registre
✔ Ses valeurs
✔ Ses données
05/02/2014
M. Villers – F. Lenartowski 15
Intérêts d'utiliser l'éditeur de registre ?
05/02/2014
M. Villers – F. Lenartowski 16
Base de registre: importation, exportation, connexion
Possibilité d'importer ou
d'exporter la base de
registre vers un fichier texte
05/02/2014
M. Villers – F. Lenartowski 17
Utilisation de regedit en ligne
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
«RegisteredOrganization»=«HEPMBC»
« NumberOfLicences »=dword:00000003\
05/02/2014
M. Villers – F. Lenartowski 18
Localisation des ruches
✔ %windir%\system32\config
✔ SAM et SAM.LOG
✔ SECURITY et SECURITY.LOG
✔ SOFTWARE et SOFTWARE.LOG
✔ SYSTEM et SYSTEM.ALT
05/02/2014
M. Villers – F. Lenartowski 19
Les ruches du noyau de la base de registre
05/02/2014
M. Villers – F. Lenartowski 20
Les fichiers journaux et sauvegardes
05/02/2014
M. Villers – F. Lenartowski 21
Autorisations sur le base de registre
05/02/2014
M. Villers – F. Lenartowski 22
Exemple d'ACL d'un sous-arbre de la base de registre
05/02/2014
M. Villers – F. Lenartowski 23
Connexion à une base de registre
Base de registre de
l'ordinateur 192.168.1.121
Référence de
l'ordinateur distant
05/02/2014
M. Villers – F. Lenartowski 24
Profil utilisateur ?
✔ Couleurs,
✔ Raccourcis,
✔ Fichiers temporaires,
✔ etc...
utilisateurs,
✔ Le profil « Default User » (Default depuis Win7) qui est utilisé
05/02/2014
M. Villers – F. Lenartowski 26
Stockage des profils
05/02/2014
M. Villers – F. Lenartowski 27
Les différents dossiers d'un profil
Le profil se compose de
répertoires prédéfinis ayant
chacun une fonction
particulière
Sous-répertoires contenant
des fichiers préférentiels
spécifiques à l'utilisateur
lorsqu'il utilise une
application déterminée
05/02/2014
M. Villers – F. Lenartowski 29
Profil: Le dossier Bureau
Raccourcis personnels
d'un utilisateur devant
appraître sur le bureau
de l'utilisateur.
05/02/2014
M. Villers – F. Lenartowski 30
Profil: Le dossier Cookies
05/02/2014
M. Villers – F. Lenartowski 31
Profil: Le dossier Documents
05/02/2014
M. Villers – F. Lenartowski 32
Profil: Le dossier Local Settings
05/02/2014
M. Villers – F. Lenartowski 33
Profil: Le dossier Historique
05/02/2014
M. Villers – F. Lenartowski 34
Profil: Le dossier Temp
05/02/2014
M. Villers – F. Lenartowski 35
Profil: Le dossier Temporary Internet Files
05/02/2014
M. Villers – F. Lenartowski 37
Profil: Le dossier Menu Démarrer
05/02/2014
M. Villers – F. Lenartowski 38
Profil: Le dossier Modèles
05/02/2014
M. Villers – F. Lenartowski 39
Profil: Le dossier SendTo
05/02/2014
M. Villers – F. Lenartowski 40
Profil: Le dossier Voisinage Réseau
05/02/2014
M. Villers – F. Lenartowski 41
Contenu d'un profil: Synthèse
05/02/2014
M. Villers – F. Lenartowski 43
Liste des profils utilisateurs
Possibilité de
modifier le type,
supprimer ou copier
un profil utilisateur
05/02/2014
M. Villers – F. Lenartowski 44
Réseau Windows
✔ Groupe de travail et Domaine
✔ NetBIOS et TCP/IP
✔ Voisinage réseau
✔ Gestionnaires de compte
✔ Explorateur Windows
✔ Partage et sécurité
✔ Partition FAT32 et NTFS 1
Les modèles de réseaux Microsoft
Le modèle « Peer-to-Peer »
Le modèle « Client/Serveur »
2
Comparaison des modèles
Le modèle Peer-to-Peer:
travail.
✔ Sécurité élémentaire et globalisée
Cette restriction rend ce modèle
inapproprié pour le monde professionnel
✔ Pas optimisé pour partager des ressources entre un grand
nombre de clients Performance volontairement réduite pour
justifier commercialement le modèle
client/serveur
✔ Coût réduit car pas d'équipement dédicassé 3
Comparaison des modèles
Le modèle Client/Serveur:
d'utilisateurs
✔ En présence d'utilisateurs itinérants
Domaine:
Organisation dans un réseau consistant
✔ à rattacher des stations de travail à un (ou plusieurs)
serveur
✔ recentrer l'administration des utilisateurs, de leurs
✔ Serveurs de fichier
✔ Serveurs d'application
6
Contrôleur de domaine ?
✔ Leurs privilèges
stations de travail.
✔ Le code exécutable des logiciels est transféré vers
les stations.
✔ L'exécution est décentralisée.
Serveur détenant
✔ différents logiciels pouvant être utilisés à distance par
les clients.
✔ Le code exécutable des logiciels est exécuté sur le
serveur à la demande des stations clientes.
✔ L'exécution est centralisée.
Exemples d'application:
✔ Serveur de base de données (SQL Server, Oracle,
etc...)
✔ Serveur Web, serveur Proxy
✔ Serveur de messagerie
✔ De chiffres,
\\serveur\partage
\\serveur\partage\chemin\fichier
12
Exemple d'utilisation de « net use »
13
Netbeui ?
Requete Entête
Couche NetBios Netbeui
Entête
transport Netbeui
Requete
NetBios
Requete
alpha gamma
NetBios
Entête Netbeui
15
Partage réseau uniquement dans un réseau local
NetBIOS / TCP/IP
alpha delta
NetBIOS NetBIOS
Voisinage
réseau, partage, Requete
accès partage NetBios
Requete
distant. Couche NetBios
TCP/UDP routage TCP/UDP
Entête IP Requete
NetBios
Requete
192.168.1.2 192.168.2.2
NetBios
Entête IP
16
Partage réseau entre des réseaux locaux
Voisinage réseau ?
✔ Remarque:
✔ La mise à jour des listes de groupes de travail et des noms
des stations doit être automatisée afin que cette facilité soit
disponible dans un réseau sans serveur (modèle peer-to-
peer) 17
Nom NetBIOS, adresse IP, nom DNS
Nom NetBIOS:
✔ Ce nom est configuré dans un poste Windows par le biais
d'une assignation manuelle via un onglet ouvert avec les
propriétés du poste de travail.
✔ La personne chargée de la configuration des postes de
travail doit absolument choisir des noms différents.
Adresse IP:
✔ Adresse décimale pointée configurée manuellement ou
attribuée via DHCP au poste de travail.
Nom DNS:
✔ Nom hiérarchique enregistré manuellement dans un
fichier de zone d'un serveur DNS par l'administrateur
réseau. 18
Negociation Netbios – résolution Netbios
pointage ».
2.La résolution NetBIOS est un mécanisme permettant
à une station cliente d'obtenir l'adresse IP d'une
station ciblée avec son nom NetBIOS.
✔ Name Bios Name Server: Serveur chargé d'arbitrer
les négociations de nom NetBIOS et leur résolution. 19
NetBIOS: Négociation d'un nouveau nom NetBIOS
b-node (b=broadcast):
✔ Station utilisant uniquement la technique de la diffusion
pour négocier son nom NetBIOS ou réaliser une
résolution NetBIOS.
22
NetBIOS avec ou sans NBNS ?
chaque station.
✔ Le voisinage réseau sera difficile à organiser (pas de liste
maintenue).
✔ Mise en oeuvre automatique.
cas de non-refus.
Avec NBNS:
✔ Les négociations et résolution NetBIOS étant engagées vers un
serveur dédicassé, la portée des noms NetBIOS sera étendue au
delà d'un réseau local.
✔ Le voisinage réseau sera facile à organiser (liste maintenue) 23
✔ Mise en oeuvre automatique.
Comment cacher la présence d'une station dans le réseau ?
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\
Policies\ Network\NoEntireNetwork = « 1 »
24
NetBIOS: Les différents type de noeuds
local,
✔ La liste des noms NetBIOS des ordinateurs par groupe de
travail ou domaine.
réseau peer-to-peer).
✔ Imposé dans un réseau avec serveurs (réseau
27
Election d'un explorateur maître: Poids d'un OS
contrôleur de domaine.
28
Type de ressources NetBIOS ?
29
Nomenclature des types de ressources NetBIOS
32
Commandes « net view » et « net use »
33
Résolution de noms sous Windows: conclusions
34
Résolution de noms sous Windows (source Technet)
35
Résolution de noms sous Windows (source Technet)
36
Listes de mots de passe: Historique
Conséquences:
Pour accèder à des partages différents protégés par mot de
passe, l'utilisateur d'une station cliente devait préciser
autant de mots de passe qu'il y avait de partages à
atteindre.
Pour éviter l'encodage récurrent des mots de passe,
un utilisateur sur une station Windows peut sauver
chaque mot de passe utilisé dans un fichier spécial
37
suffixé par .pwl
Listes de mots de passe: Inconvénients
S – 1 – 5 – 21 - D1 – D2 – D3 - RID
Identifie le domaine Identifie le
compte
Exemples de SID sur un équipement:
42
Authentification et contrôle d'accès à un partage
SAM
2me authentification
pour délivrer un jeton
Contrôleur de
d'accès au serveur
Authentification domaine
de fichier
engagée lors
du login
SI
SI nse
Ré i
Dé e
Co
D-
SA
pt
Ré fi
Dé
po
po
mp
m
SA
D-
Co
f
ns
te
T
e
Compte
Compte + Station de Défi Serveur de
mot de passe travail Réponse fichiers
✔ sobre,
✔ Intuitive,
✔ limitée.
✔ moins intuitive,
travail, serveur).
44
XP: Accès au gestionnaire de comptes basique
45
XP: Gestionnaire de comptes basique - Création
Liste de
comptes
prédéfinis
46
XP : Gestionnaire de comptes basique - Création
Encodage du
nom du compte
47
XP: Gestionnaire de comptes basique - Création
Impossibilité la première
fois de choisir un type
de compte autre
qu'administrateur
48
XP: Gestionnaire de comptes basique - Création
Le premier
compte créé est
automatiquement
administrateur
49
XP: Gestionnaire de comptes basique - Création
Encodage d'un
deuxième nom
du compte
50
XP : Gestionnaire de comptes basique - Création
Possibilité de
choisir un statut
limité
51
XP : Gestionnaire de comptes basique - Création
52
Gestionnaire de comptes basique - Conclusions
Remarque:
Sous Win 7, l'exploitation du
gestionnaire de comptes avancé
n'est possible que via la console
mmc.
54
XP : Gestionnaire de comptes intégré à la gestion de l'ordinateur
55
XP : Gestion de comptes - onglet « Général »
3 options permettent de
définir les modalités de
modifications du mot de
passe
56
XP : Gestion de comptes - onglet « membre de »
57
XP : Gestion des comptes - onglet « profil »
✔ Imprimantes, etc..
Précise le script à
éxécuter lors d'une
ouverture de session
avec ce compte
58
Win 2003 : Gestion des comptes – autres onglets
Présence d'onglets
supplémentaires
spécifiques pour
Win2003 Server
Onglets communs
au gestionnaire de
comptes de Win XP
59
XP : Gestion de comptes - Groupes prédéfinis
60
Win 2003 : Gestion de comptes - Groupes prédéfinis
61
Win 7 : Gestionnaire de comptes basique
Gestionnaire de
comptes basique
62
Win 7 : Gestionnaire de comptes basique
63
MMC : Microsoft Management Console
64
MMC : Ajout du composant pour gérer les comptes
65
MMC : Ajout du composant pour gérer les comptes
66
Win 7 : Liste des comptes
67
Win 7 : Liste des groupes prédéfinis
68
Gestion des groupes: liste de comptes
Boutons permettant
d'ajouter ou de
supprimer des
membres à un
groupe
69
Gestion des groupes: liste de comptes
Double tête
pour symboliser
un groupe
Simple tête
pour symboliser
un utilisateur
70
XP : Groupe gobal – Groupe local
d'utilisateurs.
✔ Un groupe local peut contenir une liste d'utilisateurs et
Barre d'outils
Barre d'adresse
Volet
d'exploration
Barre d'état
74
Explorateur Windows: Personnalisation de l'affichage
75
Explorateur Windows: Barre d'outils
Permet d'activer ou de
désactiver les outils
d'exploration
76
Exploration Windows: Icônes de la barre d'outils
Active ou désactive
l'affichage de la
barre d'état
78
Explorateur Windows: Utilité de la barre d'état
Description complète
du fichier sélectionné
79
Explorateur Windows: Volet d'exploration vide
Affichage de
menus
80
Explorateur Windows: Volet d'exploration « rechercher »
Permet de lancer
de multiples
recherches
81
Explorateur Windows: Volet d'exploration « favoris »
Permet d'afficher
les favoris dans
le volet
d'exploration
82
Explorateur Windows: Volet d'exploration « historique »
Permet d'afficher
les ressources
visitées les jours
précédents
83
Explorateur Windows: Volet d'exploration « dossiers »
Permet d'afficher
les ressources
suivant un
schéma
hiérarchique
84
Exploration Windows: Affichage miniature
85
Exploration Windows: Affichage mosaïques
86
Exploration Windows: Affichage icônes
87
Exploration Windows: Affichage détaillé
88
Exploration Windows: Choix des colonnes d'un
affichage détaillé
89
Explorateur Windows: Liste détaillée
90
Explorateur Windows: Liste détaillée
91
Exploration Windows: Options des dossiers
92
Exploration Windows: Options des dossiers
L'onglet sécurité
L'onglet partage n'est disponible
n'est disponible que dans le cas
que si le partage d'une partition
de fichiers est NTFS
activé
Fenêtre de Fenêtre de
propriétés en propriétés en 94
cas de FAT32 cas de NTFS
Propriétés d'un répertoire sous Win 7
95
FAT, FAT16, FAT32 (File Allocation Table)
97
Conversion d'une partition FAT en NTFS
98
Sécurité d'un partage – Sécurité NTFS
\\pc\videos
La sécurité d'un partage
est appliquée à l'entrée
Service de partage d'un équipement
de fichiers
(NetBIOS)
Système de gestion
NTFS
La sécurité NTFS
est appliquée au niveau
du disque, des répertoires 99
et des fichiers
Win XP : Création d'un partage de fichier simple
Cocher pour
activer le partage
Nom du partage
Possibilité de
déclarer un accès
en lecture ou en
lecture/écriture.
Impossibilité de
définir des ACLs.
100
Win 2000 Pro: Partage de fichiers = Faille de sécurité
✔Attention ! Sous Win 2000, un partage est par défaut
accessible en lecture/écriture (faille utilisateur).
101
Win XP Pro: Création d'un partage « avancé »
Possibilité de déterminer le
nombre maximum d'accès
concurrentiels au partage.
Limité à
● 10 sous Win XP Pro
Bouton à utiliser
Remarque: pour éditer les
ACLs
Les options de
partage avancés
ne sont pas
proposées dans les
versions familliales. 102
Partage « avancé»: Edition d'une ACL
L'autorisation
initiale est un
accès public en
lecture seule
103
Partage « avancé » : Ajout d'une ACE
Cliquer sur ce bouton
pour présélectionner des
utilisateurs, groupes ou
types d'utilisateurs
104
Les entités de sécurité intégrées
Utilisateurs authentifiés
Réseau
Utilisateurs interactifs
Créateur propriétaire
etc...
105
Partage non simplifié: Ajout d'un ACE
Sélectionner un utilisateur,
un groupe ou un type
d'utilisateur pour lequel
personnaliser une ACL et
cliquer sur le bouton OK
106
Partage « avancé »: Ajout d'une ACE
Précise l'utilisateur
d'une station ou d'un
domaine pour qui l'ACE
sera définie
107
Partage « avancé » : Affichage et édition d'une ACL
108
Win 7: Assistant partage « coché »
Le bouton « partager »
est disponible
Possibilité d'accéder à
des options de partage
« grand public »
110
Win 7: Assistant partage « coché »
2 options de sécurité
sont proposées:
● Lecture
● Lecture/Ecriture
Solution plus rationnelle pour partager des ressources dans un modèle peer-to-peer.
✔ Solution non supportée par Win Vista, Win XP, Win 2000 Pro
Amélioration dans le cadre d'une utilisation non-professionnelle.
112
Win 7 Pro: Assistant partage « non coché »
Le bouton « partager »
n'est plus disponible
113
Obligation d'exploiter le partage avancé.
Win 7 Pro: Assistant partage « non coché »
Possibilité d'accéder
seulement aux options
de partage avancé
114
Win 7 Pro: Assistant partage « non coché »
Bouton permettant
d'accéder aux options
pour définir des ACE 115
sur le partage
Sécurité sur les partages: conclusions
Modifier
Lecture
à un répertoire.
Objectifs:
✔ Protéger le système d'exploitation et éviter qu'il ne soit corrompu.
✔ Contrôler finement toutes les ressources stockées sur un disque.
117
NTFS: Onglet sécurité
118
NTFS: Autorisations élémentaires (atomiques)
Lecture du dossier/ Autorisation permettant d'afficher les noms des fichiers et des sous-
Lecture de données dossiers.
Attributs de lecture Autorisation permettant d'afficher les attributs des fichiers et des
sous-dossiers tels que « lecture seule » ou « masqué »
Lire les attributs Autorisation permettant d'afficher les attributs étendus des fichiers
étendus et des sous-dossiers.
Attributs d'écriture Autorisation permettant de modifier les attributs des fichiers et des
sous-dossiers tels que « lecture seule » ou « masqué »
120
NTFS: Autorisations élémentaires
Attributs d'écriture Autorisation permettant de modifier les attributs étendus des fichiers
étendus et des sous-dossiers autres que « lecture seule » ou « masqué »
121
NTFS: Autorisations générales (moléculaires)
122
NTFS : Lecture ?
123
NTFS : Affichage du contenu du dossier ?
124
NTFS : Lecture et exécution ?
125
NTFS : Ecriture ?
126
NTFS : Modification ?
127
NTFS : Contrôle total ?
128
NTFS: Entrée de sécurité (ACE) et liste de contrôle (ACL)
Une entrée de sécurité (ACE) NTFS
✔ S'applique (se définit) sur
un disque,
un répertoire
un fichier.
Un groupe d'utilisateur,
Les 4 autorisations se
proprageront par héritage
dans tous les sous-dossiers
de E:\Users\michel\tmp
131
NTFS: Neutralisation de l'héritage
134
NTFS: Appropriation
135
Protection d'un partage ou Protection NTFS
Répertoire NTFS:
✔ La protection du partage s'avère inutile: Un accès en
lecture/écriture pour « tout le monde » est recommandé.
✔ On sera attentif uniquement à établir correctement les
droits d'accès NTFS vers les répertoires et fichiers du
partage.
Répertoire FAT32:
✔ La simplicité des mécanismes de protection dans une
FAT32 nécessite de « déporter » l'établissement des
droits d'accès sur le partage.
136
Scripting
sous
Windows
26/02/2014
M. Villers – F. Lenartowski Diapo 1
Script ?
Exemples connus:
26/02/2014
M. Villers – F. Lenartowski Diapo 2
La mauvaise réputation du scripting
Exemples de propos:
26/02/2014
M. Villers – F. Lenartowski Diapo 3
Limites des interfaces graphiques
✔ En différé.
26/02/2014
M. Villers – F. Lenartowski Diapo 5
Productivité côté administration et support technique
26/02/2014
M. Villers – F. Lenartowski Diapo 7
Outils de scripting
Sous DOS:
✔ L'interpréteur de commande « command.com »
✔ Langage interprété:
26/02/2014
M. Villers – F. Lenartowski Diapo 8
VBScript: Quelques caractéristiques
26/02/2014
M. Villers – F. Lenartowski Diapo 9
VBScript: Les différentes versions
26/02/2014
M. Villers – F. Lenartowski Diapo 10
Premier exemple de script en VBScript
Fichier hello.vbs:
mon_message="Hello"
wscript.echo mon_message
26/02/2014
M. Villers – F. Lenartowski Diapo 11
Execution en « mode console » ou en « mode windows »
Sortie du message ne
nécessitant par un clic sur OK.
Quelques liens:
http://www.microsoft.com/technet/scriptcenter/default.mspx
26/02/2014
M. Villers – F. Lenartowski Diapo 14
VBScript: Déclaration de constantes
Const MyAge = 49
4 déclarations de constantes:
• Une chaîne
• Un nombre
• Une date
• Une heure
26/02/2014
M. Villers – F. Lenartowski Diapo 15
VBScript: Types de variables
✔ VBScript étant un langage interprété, une variable est non
typée et est appelée « Variant ».
✔ Une variable stocke une valeur numérique ou une chaîne
de caractères.
✔ La signification de la variable dépend du contexte
d'utilisation.
✔ Les doubles guillemets sont utilisés pour délimiter une
chaîne de caractères.
✔ Le type de contenu d'une variable peut changer.
✔ VBScript gérera une information de contrôle appelée sous-
type.
26/02/2014
M. Villers – F. Lenartowski Diapo 16
VBScript: Sous-type de variables
26/02/2014
M. Villers – F. Lenartowski Diapo 17
VBScript: Déclaration de variables
Dim DegreesFahrenheit 'Déclaration d une variable
Dim Top, Bottom, Left, Right 'Déclaration de plusieurs variables
Dim A(10) 'Déclaration de tableau avec un
'indice pouvant varier de 0 à 10
Dim B(20,5) 'Déclaration de tableau à 2 indices
Tableau statique:
Dim TabStat(9) ' Déclaration de tableau statique
Tableau dynamique:
Dim TabDyn() ' Déclaration de tableau dynamique
ReDim TabDyn(9) ' Redimensionnement avec perte de données
ReDim Preserve TabDyn(9)
' Redimensionnement en conservant les
' données existantes
Erase TabDyn ' Destruction des composantes du tableau et
' libération de l espace mémoire.
Conversion d'une
chaîne en un type date
Vérification qu'une
variable contient une
information de type date
26/02/2014
M. Villers – F. Lenartowski Diapo 21
VBScript: Fonctions de conversions sur les chaînes
Dim MyNumber
MyNumber = Asc("A") ' Returns 65.
MyNumber = Asc("a") ' Returns 97.
Conversion d'un
MyNumber = Asc("Apple") ' Returns 65.
code ASCII en
caractère
26/02/2014
M. Villers – F. Lenartowski Diapo 22
VBScript: Conversion en booléen
Dim A, B, Check
A = 5: B = 5 ' Initialize variables.
Check = CBool(A = B) ' Check contains True.
A=0 ' Define variable.
Check = CBool(A) ' Check contains False.
A = 2.5 ' Define variable.
Check = CBool(A) ' Check contains True.
26/02/2014
M. Villers – F. Lenartowski Diapo 23
VBScript: Fonctions de conversion entière
Dim MyVar, pi
pi = 3.14159
MyVar = Round(pi, 2) ' MyVar contains 3.14.
26/02/2014
M. Villers – F. Lenartowski Diapo 26
VBScript: Conversion en hexadécimal ou octal
Dim MyHex
MyHex = Hex(5) ' Returns 5.
MyHex = Hex(10) ' Returns A.
MyHex = Hex(459) ' Returns 1CB.
Dim MyOct
MyOct = Oct(4) ' Returns 4.
MyOct = Oct(8) ' Returns 10.
MyOct = Oct(459) ' Returns 713.
26/02/2014
M. Villers – F. Lenartowski Diapo 27
VBScript: Opérateurs arithmétiques et de comparaison
^ Exposant
- Changement de signe
* Multiplication
/ Division
\ Division entière
mod Reste de la division par
+ Addition
- Soustraction
& Concaténation
= Egalité
<> Inégalité
< Plus petit que
<= Plus petit ou égal que
> Plus grand que
>= Plus grand ou égal que
Is Equivalence de 2 objets
Permet de comparer que 2
objets sont issu de la même
classe
26/02/2014
M. Villers – F. Lenartowski Diapo 28
VBScript: Les opérateurs logiques
Not Négation
And Conjonction
Or Disjonction
Xor Exclusion
Eqv Equivalence
Impl Implication Table de vérité
A B A And B A Or B A Xor B A Eqv B A Impl B
If condition Then
[statements] L'absence de code derrière
[ElseIf condition-n Then
Then indique que
[elseifstatements]] . . .
[Else l'instruction conditionnelle
[elsestatements]] est programmée sur
End If plusieurs lignes
Variable ou expression à
tester
26/02/2014
M. Villers – F. Lenartowski Diapo 31
VBScript: Boucle Loop
While condition
statements
Wend
26/02/2014
M. Villers – F. Lenartowski Diapo 33
VBScript: Déclaration de procédure et de fonction
Résultat de la fonction
26/02/2014
M. Villers – F. Lenartowski Diapo 34
VBScript: Appel de procédure ou de fonction
26/02/2014
M. Villers – F. Lenartowski Diapo 35
VBScript: La fonction MsgBox
vbOkOnly 0 Bouton OK
vbOkCancel 1 Boutons OK et Annuler
vbAbortRetryIgnore 2 Boutons Abandonner, Réessayer, Ignorer
vbYesNoCancel 3 Boutons Oui, Non, Annuler
vbYesNo 4 Boutons Oui, Non
vbRetryCancel 5 Boutons Réessayer, Annuler
vbCritical 16 Pour afficher un message avec une
croix blanche sur un disque rouge
vbQuestion 32 Pour afficher un message avec une
bulle et point d'interrogation
vbExclamation 48 Pour afficher un message avec un
point d'exclamation dans un triangle jaune
vbInformation 64 Pour afficher un message avec une
bulle et le i de information
vbDefaultButton1 0 Pour sélectionner le bouton par défaut
vbDefaultButton2 256
vbDefaultButton3 512
vbDefaultButton4 768
vbSystemModal 4096 Pour suspendre toutes les applications tant
que l'utilisateur ne répond pas
Pour la lisibilité des scripts, il vaut
26/02/2014 mieux utiliser les noms de constante
M. Villers – F. Lenartowski Diapo 37
MsgBox: Valeur retournée
vbOk 1 Bouton OK
vbCancel 2 Bouton Annuler
vbAbort 3 Bouton Abandonner
vbRetry 4 Bouton Réessayer
vbIgnore 5 Bouton Ignorer
vbYes 6 Bouton Oui
vbNo 7 Bouton Non
26/02/2014
M. Villers – F. Lenartowski Diapo 38
MsgBox: Exemple
' Script=msgbox1.vbs
' Ce script permet de tester l'utilisation de la fonction MsgBox
Dim Rep, Boutons, code(9), Bouton
code(0)=0
code(1)=1
code(2)=2
code(3)=3
code(4)=4
code(5)=5
code(6)=16
code(7)=32
code(8)=48
code(9)=64
For Each Boutons In code
Rep = MsgBox ("Le 2me argument de la fonction MsgBox est " & boutons,boutons,
"Essai d'utilisation de MsgBox")
Select Case Rep
Case vbOK Bouton="OK"
Case vbCancel Bouton="Annuler"
Case vbAbort Bouton="Arrêter"
Case vbRetry Bouton="Réessayer"
Case vbIgnore Bouton="Ignorer"
Case vbYes Bouton="Oui"
Case vbNo Bouton="Non"
End Select
Wscript.echo "Le bouton utilisé est " & Bouton
Next
26/02/2014
M. Villers – F. Lenartowski Diapo 39
MsgBox: Exemple
vbCritical vbQuestion
vbExclamation vbInformation
26/02/2014
M. Villers – F. Lenartowski Diapo 40
VBScript: La fonction InputBox
Position de la boîte de
Réponse par défaut
dialogue.
26/02/2014
M. Villers – F. Lenartowski Diapo 41
InputBox: Exemple
' inputbox1.vbs
' Exemple de script utilisant une boîte de dialogue.
Dim Rep
Rep=InputBox("Précisez votre nom SVP","Inscription","Sans réponse")
WScript.echo "La réponse est: " & Rep
26/02/2014
M. Villers – F. Lenartowski Diapo 42
VBScript: Objets
26/02/2014
M. Villers – F. Lenartowski Diapo 43
VBScript: Définition d'une classe
Nom de la classe
Un destructeur class_terminate
Dim nom_objet
✔ L'initialisation d'un objet est assurée avec l'instruction
set et le mot-clé New déclenche l'instanciation:
nom_objet.nom_propriété = nouvelle_valeur
nom_objet.nom_procedure(arguments,...)
26/02/2014 Variable = nom_objet.nom_fonction(arguments,...)
M. Villers – F. Lenartowski Diapo 45
VBScript: Exemple de création d'objet
' class1.vbs
' Exemple de définititon et création de classe
Option Explicit
Définition d'une classe
Class Compte
Public nom Déclaration d'une propriété publique
Private mot_de_passe et d'une propriété privée
Private Sub Class_Initialize()
nom="Inconnu" Constructeur
mot_de_passe=""
End Sub
26/02/2014
M. Villers – F. Lenartowski Diapo 46
VBScript: Exemple de création d'objet
26/02/2014
M. Villers – F. Lenartowski Diapo 47
VBScript: Les « accesseurs »
propriétés
✔ VBScript permet cette rigueur de programmation par le
biais de fonctions appelées « accesseurs »:
Let comparable à une propriété à écriture seule
Set
26/02/2014
M. Villers – F. Lenartowski Diapo 48
VBScript: Les « accesseurs »
Class Personne
Private PrStrPrenom
Private PrStrSurnom
Private PrStrTitreNom
End Class
26/02/2014
M. Villers – F. Lenartowski Diapo 50
WSH ?
JavaScript,
26/02/2014
M. Villers – F. Lenartowski Diapo 51
WSH: Version actuelle
Windows Me
Windows 2000
Windows 98
MSIE 5.0
Windows NT4
26/02/2014
M. Villers – F. Lenartowski Diapo 52
L'objet WScript
Les propriétés:
Wscript.Arguments Contient la collection d'arguments WshArguments.
Wscript.BuildVersion Version de WSH.
Wscript.Version Version de WSH.
Wscript.Interactive Booléen précisant si le script est exécuté interactivement.
Si faux les entrées et sorties WSH ne sont pas opérationnelles.
Wscript.Name Nom de l'interpréteur utilisé: Cscript.exe ou Wscript.exe
Wscript.Path Nom du répertoire contenant l'intrepréteur utilisé.
Wscript.FullName Chemin d'accès de l'interpréteur utilisé:
C:\WINNT\System32\Cscript.exe ou C:\WINNT\System32\Wscripte.exe
Wscript.ScriptName Nom du script exécuté.
Wscript.ScriptFullName Chemin complet du script exécuté.
Wscript.StdErr Objet à utiliser pour les messages d'erreur
Wscript.StdIn Objet correspondant à StdIn pour organiser les lectures console
Wscript.StdOut Objet correspondant à StdOut pour organiser les sorties console
Les méthodes:
Wscript.ConnectObject()
Wscript.DisconnectObject()
Wscript.CreateObject() Méthode permettant de créer un objet d'automation COM de WSH.
Wscript.GetObject() Méthode permettant de récupérer un objet en mémoire ou un objet
persistant à partir d'un fichier sur le disque.
Wscript.echo() Méthode pour sortir un message vers le console ou
une boîte de message.
Wscript.sleep() Méthode permettant de réaliser une temporisation exprimée en msecs.
Wscript.quit() Méthode pour arrêter un script et délivrer un code d'erreur.
26/02/2014
M. Villers – F. Lenartowski Diapo 53
L'objet WshScript: Exemple
' wshscript1.vbs
' Exemple d'exploitation de l'objet WshScript
26/02/2014
M. Villers – F. Lenartowski Diapo 54
L'objet WshArgument
Les méthodes:
WshArguments.count Méthode évaluant le nombre d'éléments de la collection
26/02/2014
M. Villers – F. Lenartowski Diapo 55
L'objet WshArgument: Exemple
' wshargument.vbs
' Exemple dexploitation de l'objet WshArgument
Set argsN = WScript.Arguments.Named
Set argsU = WScript.Arguments.Unnamed
If argsN.exists("A") then
WScript.Echo "L'argument A= " & argsN.item("A")
else
WScript.Echo "L'argument A n'existe pas"
End If
If argsN.exists("B") then
WScript.Echo "L'argument B= " & argsN.item("B")
else
WScript.Echo "L'argument B n'existe pas"
End If
WScript.Echo "Il y a " & argsU.Count & " arguments non nommés:"
For i = 0 to argsU.Count-1
WScript.Echo "Arg" & i & "= " & argsU(i)
Next
26/02/2014
M. Villers – F. Lenartowski Diapo 56
L'objet WshShell
Les propriétés:
WshShell.CurrentDirectory Propriété précisant le répertoire courant
Les méthodes:
WshShell.RegRead() Méthode pour lire une valeur d'une clé dans la base de registre
WshShell.RegWrite() Méthode pour changer la valeur d'une clé dans la base de registre
WshShell.RegDelete() Méthode pour supprimer une clé dans la base de registre
WshShell.ExpandEnvironmentStrings
Méthode permettant d'accéder à une variable d'environnement
complémentaire
26/02/2014
M. Villers – F. Lenartowski Diapo 57
L'objet WshEnvironment
Les collections d'environnements:
WshSheel.Environment(« SYSTEM ») désignent les collections de variables
WshSheel.Environment(« USER ») d'environnement du Système,
WshSheel.Environment(« VOLATILE ») de l'utilisateur, etc...
WshSheel.Environment(« PROCESS»)
Liste des variables d'environnements adressables avec l'objet WshEnvironment:
NUMBER_OF_PROCESSORS Nbre de processeurs de l'ordinateur
PROCESSOR_ARCHITECTURE Type de processeur de l'ordinateur
PROCESSOR_IDENTIFIER ID du processeur de l'ordinateur
PROCESSOR_LEVEL
PROCESSOR_REVISION
OS Système d'exploitation utilisé
COMSPEC Commande exécutée
HOMEDRIVE Lettre de la partition principale
HOMEPATH Répertoire par défaut de l'utilisateur
PATH Valeur de la variable d'environnement PATH
PATHEXT Extensions des fichiers exécutables
PROMPT Chaine indicative du DOS (prompt)
SYSTEMDRIVE Lettre du disque contenant le système d'exploitation
SYSTEMROOT Chemin vers la racine du répertoire du système
d'exploitation
WINDIR Chemin vers la racine du répertoire du système
d'exploitation
TEMP Chemin vers le répertoire temporaire
26/02/2014
TMP
M. Villers – F. Lenartowski Chemin vers le répertoire temporaire Diapo 58
L'objet WshSpecialFolders
' wshshell1.vbs
' Exemple de script extrayabt différentes informations du système
'
' Lecture d'une clé de la base de registre
Set MonShell=WScript.CreateObject("WScript.Shell")
CleProduit=MonShell.RegRead("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ProductId")
WScript.StdOut.WriteLine "La clé de produit est " & CleProduit
'
' Lecture d'une variable d'environnement
Set MonEnvironment=MonShell.Environment("SYSTEM")
WScript.StdOut.WriteLine "Le système d'exploitation est " & MonEnvironment("OS")
'
' Détermination de répertoires spéciaux
MesDocs=MonShell.SpecialFolders("MyDocuments")
WScript.StdOut.WriteLine "Mes Documents est " & MesDocs
MonBureau=MonShell.SpecialFolders("Desktop")
WScript.StdOut.WriteLine "Mon bureau est " & MonBureau
26/02/2014
M. Villers – F. Lenartowski Diapo 60
Les objets WshController, WshRemote,
WshRemoteError
✔ WSH propose une technologie permettant d'exécuter des
scripts sur une machine distante.
✔ L'exploitation de cette technologie n'est possible qu'en
autorisant au préalable le lancement de script distant sur
l'ordinateur distant:
La clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
doit valoir 1
WshController
WshRemote
WshRemoteError
26/02/2014
M. Villers – F. Lenartowski Diapo 61
L'objet WshNetwork
Les propriétés:
WshNetwork.ComputerName Propriété précisant le nom de l'ordinateur
WshNetwork.UserDomain Propriété précisant le nom de domaine
WshNetwork.UserName Propriété précisant le nom d' l'utilisateur
Les méthodes:
WshNetwork.MapNetworkDrive() Méthode permettant d'assigner un partage réseau à une
lettre de lecteur.
WshNetwork.RemoveNetworkDrive() Méthode permettant de désassigner une lettre de
lecteur avec un partage réseau.
WshNetwork.EnumNetworkDrives() Méthode permettant de connaître les lettres de
lecteurs assignées à des partage réseau.
WshNetwork.AddPrinterConnection() Méthode permettant d'assigner une imprimante réseau à
une porte d'imprimante LPT1, LPT2: ...
WshNetwork.AddWindowsPrinterConnection()
Méthode permettant de définir l'accès à un partage
d'impression
WshNetwork.RemovePrinterConnection() Méthode permettant de supprimer l'accès à un partage
d'impression
WhsNetWork.SetDefaultPrinter() Méthode permettant de définir l'imprimante par
défaut
WhsNetWork.EnumPrinterConnections() Méthode permettant de connaître les imprimantes
accessibles
26/02/2014
M. Villers – F. Lenartowski Diapo 63
Wsh: Conclusions
26/02/2014
M. Villers – F. Lenartowski Diapo 64
Wsh: Les insuffisances
26/02/2014
M. Villers – F. Lenartowski Diapo 65
Solution: Objet Externe ou ActiveX
WSH =
VBScript +
FSO ADSI
WMI
Hardware,
Lecteur, répertoire, fichier Software Active Directory
26/02/2014
M. Villers – F. Lenartowski Diapo 66
Script RunTime ou FSO (File System Object)
26/02/2014
M. Villers – F. Lenartowski Diapo 67
FSO ?
' FSO_methode.vbs
' Exemple d'appel de méthode FSO
Option Explicit
Dim objFSO
Set objFSO = CreateObject("Scripting.FileSystemObject")
If objFSO.FolderExists("C:\TMP") then
Wscript.StdOut.WriteLine ("Le répertoire C:\TMP existe déjà")
Else
objFSO.CreateFolder("C:\TMP")
Wscript.StdOut.WriteLine ("Création du répertoire C:\TMP")
End If
26/02/2014
M. Villers – F. Lenartowski Diapo 72
FSO: Propriétés de l'objet Drive
Instanciation:
For Each Drive in objFSO.Drives
Propriétés:
Drive.AvailableSpace Espace disponible en octets du lecteur. Si les quotas sont
activés, capacité disponible pour l'utilisateur.
Drive.DriveLetter Lettre assignée au lecteur.
Drive.DriveType Valeur indiquant le type de périphérique (1=Disque amovible,
2=Disque dur, 3=Disque réseau, 4=CD/DVD, 5=Disque RAM)
Drive.FreeSpace Espace disque libre en octets pour le lecteur.
Drive.FileSystem Type de système de fichier (FAT, FAT32, NTFS, etc...)
Drive.IsReady Booléen précisant si le lecteur est prêt.
Drive.Path Chemin d'accès au péréiphérique: Une lettre pour un disque
local, un chemin UNC pour un disque réseau.
Drive.RootFolder Chemin d'accès au répertoire racine du lecteur.
Drive.SerialNumber Numéro de série du média. 0 pour les lecteurs de disquettes
et disque réseau.
Drive.ShareName Nom de partage assigné à un disque réseau.
Drive.TotalSize Capacité totale du disque en octets.
Drive.VolumeName Nom de volume du périphérique.
26/02/2014
M. Villers – F. Lenartowski Diapo 73
FSO: Exemple d'utilisation de l'objet Drive
' FSO_Drive.vbs
' Exemple d'utilisation d'objet FSO_Drive
Option Explicit
Dim objFSO, colDrives, objDrive, DriveType
26/02/2014
M. Villers – F. Lenartowski Diapo 74
FSO: Objet Folder
Instanciation:
Set Folder = objFSO.GetFolder(« C:\chemin_du_répertoire »)
Propriétés:
Folder.DateCreate Date de création du répertoire
Folder.DateLastAccessed Date du dernier accès utilisateur au répertoire
Folder.DateLastModified Date de la dernière modificiation du répertoire
Folder.Drive Lettre du lecteur hébergeant le répertoire
Folder.Name Nom du répertoire
Folder.ParentFolder Chemin du répertoire parent
Folder.Path Chemin complet (lettre:\....\repertoire) du répertoire
Folder.ShortName Nom du répertoire en nomenclature DOS (8 caractères)
Folder.ShortPath Chemin complet du répertoire en nomenclature DOS
Folder.Size Taille du répertoire en octets
Folder.Type Chaîne décrivant le type de répertoire
26/02/2014
M. Villers – F. Lenartowski Diapo 75
FSO: Objet File
Instanciation:
Set File = objFSO.GetFile(« C:\chemin_du_fichier »)
Propriétés:
File.DateCreate Date de création du fichier
File.DateLastAccessed Date du dernier accès utilisateur au fichier
File.DateLastModified Date de la dernière modificiation du fichier
File.Drive Lettre du lecteur hébergeant le fichier
File.Name Nom du fichier
File.ParentFolder Chemin du répertoire hébergeant le fichier
File.Path Chemin complet (lettre:\....\fichier.suffixe) du fichier
File.ShortName Nom du fichier en nomenclature DOS (8.3 caractères)
File.ShortPath Chemin complet du fichier en nomenclature DOS
File.Size Taille du fichier en octets
File.Type Chaîne décrivant le type de fichier suivant les dénominations
enregistrées dans la base de registre
26/02/2014
M. Villers – F. Lenartowski Diapo 76
FSO: Exemple d'utilisation de l'objet Folder
' FSO_Folder.vbs
' Exemple d'utilisation d'objet FSO_Folder
Option Explicit
Dim objFSO, objFolder, colSubfolders,objSubfolder,Typefolder
26/02/2014
M. Villers – F. Lenartowski Diapo 77
FSO: Objet TextStream
Instanciation:
Set Stream = objFSO.CreateTextFile(...) ou
Set Stream = objFSO.OpenTextFile(...)
Propriétés:
Stream.AtEndOfLine Vrai si le pointeur est à la fin de ligne.
Stream.AdEndOfStream Vrai si le pointeur est à la fin du fichier.
Stream.Line Numéro de la ligne courante actuellement accédée par le pointeur.
Stream.Column Position actuelle du caractère accédé par le pointeur.
Méthodes:
Stream.Close() Permet de fermer le fichier.
Stream.Read(n) Permet de lire n caractères.
Stream.ReadLine() Permet de lire tous les caractères d'une ligne.
Stream.Skip(n) Permet d'ignorer les n caractères suivants.
Stream.SkipLine() Permet de passer à la ligne suivante.
Stream.Write(chaîne) Permet d'écrire la chaîne dans le fichier sans retour à la ligne.
Stream.WriteLine(chaîne) Permet d'écrire la chaîne dans le fichier avec un retour à
la ligne.
Stream.WriteBlankLines(n) Permet d'écrire n lignes blanches dans le fichier.
26/02/2014
M. Villers – F. Lenartowski Diapo 78
Les types de groupes
Groupe local:
✔ Groupe intra-domaine
✔ Utilité limitée au domaine et à l'organisation de la sécurisation des ressources du
domaine. Inexploitable par les domaines approuvants.
✔ Géré par l'administrateur d'un domaine approuvant.
✔ Référencé pour définir des ACE
✔ Complété avec
✔ Des utilisateurs du domaine (autorisés mais déconseillés)
Groupe global:
✔ Groupe inter-domaine
✔ Dans un domaine approuvé:
✔ préparé par l'administrateur du domaine approuvé
✔ de groupes du domaine
Les unités organisationnelles (OU) peuvent s'imbriquer les unes dans les autres.
Contrainte: un utilisateur, un groupe ou un ordinateur ne peut être défini que dans une
seule unité organisationnelle.
09/03/2014 2
Rôles FSMO
09/03/2014 5
✔ Découverte de Win 2012 R2 après une installation de base
✔ Opérations prépartoires avant promulgation de l'Active Directory
✔ Promulgation d'un premier contrôleur de domaine (bxl.belgium.lan) dans un nouvelle forêt
✔ Rattachement de stations de travail à un domaine Windows
09/03/2014 1
Découverte de Win 2012 R2
après une installation
de base
09/03/2014 2
Win2012R2 : Ecran avant l'entrée en session
09/03/2014 3
Win2012R2 : Entrée en session sur un serveur « autonome »
09/03/2014 4
Win2012R2 : Bureau vide – via touche « escape »
09/03/2014 5
Win2012R2 : Menu principal – clic « bouton Windows droit »
09/03/2014 6
Win2012R2 : Programmes et fonctionnalités
09/03/2014 7
Win2012R2 : Mises à jour installées
09/03/2014 8
Win2012R2 : Options d'alimentation
09/03/2014 9
Win2012R2 : Observateurs d'événement
09/03/2014 10
Win2012R2 : Système
09/03/2014 11
Win2012R2 : Gestionnaire de périphériques
09/03/2014 12
Win2012R2 : Connexions réseau
09/03/2014 13
Win2012R2 : Gestion des disques
09/03/2014 14
Win2012R2 : Gestion de l'ordinateur - Utilisateurs
09/03/2014 15
Win2012R2 : Gestion de l'ordinateur - Groupes
09/03/2014 16
Win2012R2 : Panneau de configuration
09/03/2014 17
Win2012R2 : Tous les panneaux de configuration
09/03/2014 18
Win2012R2 : Bureau d'accueil – clic « bouton Windows gauche »
09/03/2014 19
Win2012R2 : Gestionnaire de serveur
09/03/2014 20
Win2012R2 : Gestionnaire de serveur – Menu « outils »
09/03/2014 21
Win2012R2 : Windows PowerShell
09/03/2014 22
Win2012R2 : Outils d'administration
09/03/2014 23
Opérations préparatoires avant promulgation de l'Active Directory
09/03/2014 24
Configuration IP et DNS du futur contrôleur de domaine
09/03/2014 25
Le serveur sera client DNS de lui même
Configuration du nom du futur contrôleur de domaine
09/03/2014 26
Configuration « utilisation à distance »
09/03/2014 27
Création d'une nouvelle forêt avec un 1er contrôleur de domaine
bxl.belgium.lan
LDAP
+
DNS
192.168.56.253
09/03/2014 28
09/03/2014 29
09/03/2014 30
09/03/2014 31
09/03/2014 32
09/03/2014 33
09/03/2014 34
Sélection de l'installation du rôle « AD DS »
09/03/2014 35
Sélection de l'installation de la fonctionnalité « services de stockage »
09/03/2014 36
Rappel du rôle « AD DS »
09/03/2014 37
Confirmer la demande d'installation de nouveaux rôles
et fonctionnalités
09/03/2014 38
Démarrage de l'installation des nouveaux rôles et fonctionnalités
09/03/2014 39
Fin l'installation du rôle « AD DS » - Invitation à promulguer le DC
09/03/2014 40
Invitation à promulguer le DC via une notification
09/03/2014 41
Configuration d'un nom DNS racine pour une nouvelle forêt.
09/03/2014 42
Configuration des niveaux fonctionnels de la forêt et du domaine
Configuration du mot de passe de restauration de l'annuaire
09/03/2014 43
Rappel de la nécessité d'installer un service DNS
09/03/2014 44
Configuration du nom NetBIOS « dérivé »
09/03/2014 45
Configuration des répertoires pour le déploiement de l'AD
et du répertoire partagé SYSVOL
09/03/2014 46
Rappel des configurations demandées
09/03/2014 47
Rappel des configurations demandées
09/03/2014 48
Rappel des configurations demandées
09/03/2014 49
Démarrage des opérations d'initialisation de l'annuaire
09/03/2014 50
Installation du service DNS sur l'AD
09/03/2014 51
Initialisation des objets dans l'annuaire
09/03/2014 52
Redémarrage du serveur à la fin de la promulgation de l'AD.
09/03/2014 53
Ecran d'entrée en session dans le serveur promulgué DC
09/03/2014 54
Présence de nouvelles fenêtres dans le gestionnaire du serveur
09/03/2014 55
AD: Rôle « AD DS »
09/03/2014 56
AD: Rôle « DNS »
09/03/2014 57
AD : Outils d'administration - Nouvelles options
09/03/2014 58
AD : Outils d'administration - Nouvelles options
09/03/2014 59
AD : Absence de comptes et de groupes locaux
09/03/2014 60
AD : Utilisateurs et groupes initiaux dans l'annuaire
09/03/2014 61
AD : Liste des contrôleurs de domaine dans l'annuaire
09/03/2014 62
DNS : Le service DNS précise les noms des contrôleurs de domaine
09/03/2014 63
09/03/2014 64
Rattachement d'une station de travail à un contrôleur de domaine
bxl.belgium.lan
pc1.belgium.lan pc2.belgium.lan
LDAP
+
DNS
09/03/2014 65
Ecran d'entrée en session sur une station de travail isolée
09/03/2014 66
Prérequis : chaque PC souhaitant rejoindre un domaine doit être client DNS
du contrôleur de domaine
09/03/2014 67
Ouvrir les propriétés du poste de travail sur la station de travail
09/03/2014 68
Modifier les paramètres sur la station de travail
09/03/2014 69
Préciser le nom du poste de travail et le domaine à rejoindre
09/03/2014 70
Préciser un compte d'administration du domaine et un mot de passe avant
d'engager le rattachement de la station de travail
09/03/2014 71
Confirmation du rattachement de la station de travail au domaine
09/03/2014 72
Obligation de redémarrer la station de travail après son rattachement au domaine
09/03/2014 73
Ecran d'entrée en session d'une station de travail rattachée à un domaine
09/03/2014 74
Ecran d'entrée en session d'une station de travail rattachée à un domaine
09/03/2014 75
bxl.belgium.lan : Liste des stations de travail rattachées à un domaine
09/03/2014 76
bxl.belgium.lan : Liste des adresses IP des stations dans le serveur DNS
09/03/2014 77
Création des ressources de stockage dans un domaine
09/03/2014 78
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 79
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 80
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 81
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 82
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 83
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 84
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 85
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 86
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 87
bxl.belgium.lan: Hébergement des répertoires utilisateurs
09/03/2014 88
bxl.belgium.lan: Hébergement des profils itinérants
09/03/2014 89
bxl.belgium.lan: Création du partage home
09/03/2014 90
bxl.belgium.lan: Création du partage home
09/03/2014 91
bxl.belgium.lan: Création du partage home
09/03/2014 92
bxl.belgium.lan: Création du partage « home »
09/03/2014 93
bxl.belgium.lan: Création du partage « home »
09/03/2014 94
bxl.belgium.lan: Création du partage « home »
09/03/2014 95
bxl.belgium.lan: Création du partage caché « profiles »
09/03/2014 96
bxl.belgium.lan: Création du partage caché « profiles »
09/03/2014 97
Mise en place d'une relation d'approbation entre 2 domaines
bxl.belgium.lan
pc1.belgium.lan pc2.belgium.lan
LDAP
+
DNS
09/03/2014 98
Relation d'approbation externe ?
Une relation d'approbation externe est une disposition permettant de continuer à établir
un partenariat uniquement entre 2 domaines explicites.
● non automatique
09/03/2014 99
Etapes de mise en place d'une relation d'approbation
Problème 1:
Les DC des 2 domaines pour lequel une relation d'approbation doit être établie doivent
être en mesure de se localiser.
Conséquence:
Avant d'envisager une coopération active entre les DC des 2 domaines, il sera nécessaire
d'organiser une coopération entre les serveurs DNS des 2 domaines pour qu'ils puissent
exploiter et redistribuer leurs définitions DNS mutuelles.
09/03/2014 100
roma.italia.lan: ajout d'une redirection DNS conditionnelle
09/03/2014 101
roma.italia.lan: ajout d'une redirection DNS conditionnelle
09/03/2014 102
roma.italia.lan: redirection DNS conditionnelle opérationnelle
09/03/2014 103
bxl.belgium.lan: ajout d'une redirection DNS conditionnelle
09/03/2014 104
bxl.belgium.lan: ajout d'une redirection DNS conditionnelle
09/03/2014 105
bxl.belgium.lan: Redirection DNS conditionnelle opérationnelle
09/03/2014 106
Etapes de mise en place d'une relation d'approbation
Problème 2:
Dès que les DC des 2 domaines pour lequel une relation d'approbation doit être établie
sont en mesure de se contacter, il sera nécessaire de procéder à un accord pour
permettre et/ou limiter aux équipements ou utilisateurs issus des 2 domaines d'accéder
aux information de l'annuaire et aux ressources de l'autre domaine.
Dans roma.italia.lan:
L'approbation entrante doit être interprétée comme étant le fait que des
informations d'identifications dans le domaine italia.lan pourront être
exploitées par les équipements du domaine belgium.lan ainsi que le service
d'authentification du domaine italia.lan.
●Convenir d'un mot de passe associé à la relation d'appobation pour la
« contresigner »
Dans bxl.belgium.lan:
L'approbation sortante doit être interprétée comme étant le fait que les
ressources (PC, partages) du domaine belgium.lan pourront être accessibles
aux utilisateurs authentifiés dans le domaine italia.lan.
●Convenir d'un mot de passe associé à la relation d'appobation pour la
« contresigner »
09/03/2014 108
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 109
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 110
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 111
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 112
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 113
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 114
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 115
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 116
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 117
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 118
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 119
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 120
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 121
Roma.italia.lan: Configuration d'une relation d'approbation externe entrante
09/03/2014 122
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 123
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 124
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 125
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 126
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 127
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 128
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 129
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 130
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 131
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 132
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 133
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 134
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 135
bxl.belgium.lan: Configuration d'une relation d'approbation externe sortante
09/03/2014 136
Création d'un site
bxl2.belgium.lan bxl.belgium.lan
pc1.belgium.lan pc2.belgium.lan
LDAP LDAP
+ +
DNS DNS
09/03/2014 137
09/03/2014 138
09/03/2014 139
09/03/2014 140
09/03/2014 141
09/03/2014 142
09/03/2014 143
09/03/2014 144
09/03/2014 145
09/03/2014 146
09/03/2014 147
09/03/2014 148
09/03/2014 149
09/03/2014 150
09/03/2014 151
09/03/2014 152
09/03/2014 153
09/03/2014 154
09/03/2014 155
09/03/2014 156
09/03/2014 157
09/03/2014 158
09/03/2014 159
09/03/2014 160
09/03/2014 161
09/03/2014 162
09/03/2014 163
Création d'un site avec un DC
bxl2.belgium.lan bxl.belgium.lan
pc1.belgium.lan pc2.belgium.lan
LDAP LDAP
+ +
DNS DNS
192.168.56.254
192.168.57.254
192.168.57.253
LDAP
+
DNS