ISTA NADOR

Filière : « infrastructures digital »

Réalisé par

Redouane LAASRI

Rapport Sous le thème

Service de fichier et de stockage FSRM

Demandé Par Prof M. ZAZZA

Annèe 2023 - 2024

 I. Introduction

 Gantt Project

Une application de gestion et planification de projet :

Nous allons apprendre à installer le rôle FSRM ou "Gestionnaire de ressources du serveur de fichiers"
sous Windows Server 2022, de façon à pouvoir configurer ses fonctionnalités par la suite.

FSRM est un outil très puissant pour garder la maitrise de son serveur de fichiers sous Windows Server,
mais aussi gérer les données dans le temps. Vous verrez qu'il y a plusieurs fonctionnalités très intéressantes
lorsque l'on administre un serveur de fichiers :

 Gestion des quotas sur les répertoires et les volumes

Par exemple : limiter à 1 Go de stockage les répertoires "personnels" des utilisateurs

 Bloquer / autoriser uniquement certaines extensions de fichiers

Par exemple : bloquer les fichiers AVI, MP4, MKV, etc...

 Rapports sur le stockage

Par exemple : quotas, fichiers volumineux, etc.

  Classification de données

Par exemple : attributs spécifiques sur les fichiers

 GanttProject

Une application de gestion et planification de projet :

II. Installer FSRM

A. Avec l'interface graphique

Cette installation est réalisée à partir du Gestionnaire de serveur. Cliquez sur "Gérer" puis "Ajouter des
rôles et fonctionnalités". Passez la première étape... Avancez jusqu'à l'étape "Rôles de serveur".
B. Avec PowerShell

III. FSRM : Configure des quotas

Windows Server, par l'intermédiaire de FSRM, prend en charge deux types de quotas :

 Quota conditionnel : autorise les utilisateurs à dépasser la limite, mais l'administrateur peut recevoir
une alerte.
 Quota inconditionnel : empêche l'utilisateur de dépasser la limite (mode strict), dans ce cas il n'est plus
possible d'écrire dans le répertoire lorsque le quota est atteint.

Pour faciliter la création et la gestion de ces quotas, nous pouvons configurer des modèles de quotas.
D'ailleurs, FSRM est livré avec un ensemble de modèles prêts à l'emploi et personnalisables.

En matière d'alerte et reporting, FSRM est capable de réaliser différentes actions lorsqu'un pourcentage
du quota est atteint : notification par e-mail, rapports, observateur d'événements (logs) ou encore l'exécution
d'une commande.
Dans la liste des modèles de quotas, il y en a un qui s'intitule "Limite de 2 Go" et que l'on peut modifier
de manière à l'adapter à notre besoin

Limiter à 1 Go. Il suffit de faire un clic droit dessus puis "Modifier les propriétés du modèle" pour le
modifier.
Ici, on va changer le nom du modèle et adapter la limite afin de préciser 1 Go. Validez. On peut voir qu'il
s'agit d'un quota inconditionnel, donc il ne sera pas possible de dépasser la limite. Des notifications sont
également configurées :
 Par e-mail, lorsque le quota atteint 85%, 95% et 100%
 Par un événement dans l'Observateur d'événements de Windows, lorsque le quota atteint 95%
et 100%
Au moment de valider, l'assistant vous demandera "Comment voulez-vous appliquer les modifications du
modèle aux quotas existants ?". Cela signifie que si vous avez déjà utilisé ce modèle pour définir des
quotas sur des dossiers, vous pouvez faire en sorte de modifier le quota sur tous les dossiers qui utilisent
ce modèle. C'est un choix à faire, mais ici nous partons de zéro donc, peu importe le choix, cela n'aura
pas d'impact.

Le modèle de quota étant prêt, nous allons l'appliquer. Effectuez un clic droit sur "Quotas" puis cliquez
sur "Créer un quota".
Un assistant s'ouvre... Il va falloir commencer par préciser le chemin du répertoire sur lequel appliquer
un quota. Cliquez sur "Parcourir" (1), sélectionnez le répertoire "Partage" (2) et validez avec "OK" (3). Ce
quota doit appliquer les règles de notre modèle, donc choisissez "Limite de 1 Go" sous "Dériver les
propriétés de ce modèle de quota (recommandé)" (4) et cliquez sur "Créer" (5). L'autre possibilité
consiste à ne pas utiliser de modèle et définir manuellement le quota sur ce dossier.
Sur la copie d'écran ci-dessus, on peut voir deux options très importantes :
"Créer un quota sur le chemin d'accès", ce qui permet d'appliquer le quota directement sur le répertoire
sélectionné
"Appliquer automatiquement le modèle et créer des quotas sur les sous-dossiers existants et nouveaux",
ce qui permet d'appliquer le quota sur chaque sous-dossier de la racine sélectionnée. Ainsi, chaque
sous-dossier aura un quota de 1 Go. C'est un mode de fonctionnement différent et très pratique pour les
profils utilisateurs.

Le quota étant créé, il apparaît dans la liste. On peut aussi voir le pourcentage utilisé pour le moment, ici
35% par rapport au quota de 1 Go

Tester le quota : À partir du serveur ou d'un poste de travail ayant accès au partage, il suffit de déposer
 des données dans le partage de façon à dépasser le quota pour vérifier s'il fonctionne. Ici, j'essaie de
déposer une archive ZIP qui fait plus d'un 1 Go... Résultat, je ne peux pas ! Le message "Espace disque
insuffisant" s'affiche ! Le quota inconditionnel est entré en action.

Dans le même temps, un événement a été créé dans le journal "Application" de l'Observateur
d'événements du serveur. Tous les événements liés à FSRM ont la source SRMSVC.

IV. FSRM et le filtrage de fichiers

Nous intéressant à la section "Gestion du filtrage de fichiers" du Gestionnaire de ressources du serveur
de fichiers. En mettant en place ce filtrage, nous allons pouvoir, par exemple, bloquer les exécutables, images
ISO, package MSI, etc... Sur un partage destiné aux utilisateurs. Ce type de fichiers peut être malveillant et doit
être stocké sur un partage spécifique et réservé au service informatique.

Dans une école, on pourrait utiliser le filtrage de fichiers pour bloquer (ou surveiller) certaines
extensions correspondantes aux fichiers vidéo (MKV, AVI, MP4, etc.…) et audios (MP3). Il y a deux types de
filtrage :

 Actif : empêche les utilisateurs d'enregistrer des fichiers non autorisés

 Passif : autoriser les utilisateurs à enregistrer des fichiers (utilisé pour l'analyse)
 La configuration du filtrage de fichiers au travers de FSRM s'effectue en trois étapes via la section
"Gestion du filtrage de fichiers" de la console de gestion.

 Filtres de fichiers : les filtres de fichiers en place sur les répertoires du serveur
 Modèles de filtres de fichiers : règles de filtrage, actives ou passives, qui s'appuient sur un ou
plusieurs groupes de fichiers

La configuration du filtrage de fichiers au travers de FSRM s'effectue en trois étapes via la section "Gestion du
filtrage de fichiers" de la console de gestion.

Filtres de fichiers : les filtres de fichiers en place sur les répertoires du serveur
Modèles de filtres de fichiers : règles de filtrage, actives ou passives, qui s'appuient sur un ou plusieurs
groupes de fichiers

Groupes de fichiers : liste d'extensions de fichiers, regroupées par catégories

Dans cet exemple, nous allons appliquer un filtrage de fichiers sur le répertoire partagé "Partage" dans le but
d'empêcher le stockage de fichiers exécutables, ainsi que d'images ISO.

Nous allons réutiliser le modèle "Fichiers exécutables" car il contient déjà une liste d'extensions pertinentes.
Mais, on va le modifier.
Puisque nous souhaitons aussi bloquer les images ISO, on va éditer le titre du modèle pour qu'il reste parlant
et ajouter l'extension "*.iso", comme sur l'image ci-dessous. On peut aussi constater qu'il est possible
d'exclure certains fichiers.
Au-delà de choisir le(s) groupe(s) de fichiers, c'est aussi l'occasion de configurer les notifications.
Contrairement aux quotas où l'événement peut être différent en fonction du seuil d'utilisation du quota, ici, à
la moindre alerte, on pourra déclencher une ou plusieurs actions : envoyer un e-mail, créer un événement
dans les logs Windows, exécuter une commande ou alimenter un rapport. La section "Message électronique"
permet d'envoyer une notification à l'utilisateur à l'origine du dépôt de fichiers et/ou à l'administrateur, que
ce soit un filtre actif ou un filtre passif.
Effectuez un clic droit sur "Filtres de fichiers" et cliquez sur "Créer un filtre de fichiers". Un formulaire doit
être complété.
Tout d'abord, cliquez sur "Parcourir" pour préciser le répertoire sur lequel s'applique ce filtre (1). Ensuite, on
sélectionne le répertoire "Partage" (2) et on valide avec "OK" (3). Il ne reste plus qu'à sélectionner le modèle
"Bloquer les fichiers exécutables" que l'on a configuré précédemment (4) et à valider pour que la règle soit
créée (5).
Tester le filtrage de fichiers : Cette nouvelle configuration doit être testée. Cela est simple puisqu'il suffit de
tenter de déposer un fichier en principe interdit sur le partage. Un message d'erreur s'affiche, évoquant un
problème d'autorisation, pourtant j'ai bien des droits sur le dossier : c'est le filtrage de fichiers qui
m'empêche de déposer ce fichier exécutable.
 V. FSRM et les rapports de stockage
FSRM peut générer des rapports de stockage à la demande ou de façon automatique grâce à la
planification. On va pouvoir, par exemple, obtenir des informations sur :

 Les fichiers dupliqués,

 Les fichiers ouverts le moins récemment,
 Les fichiers ouverts le plus récemment,
 Les fichiers par groupes de fichiers (extensions),
 Les fichiers par propriétaire,
 Les fichiers volumineux,
 L'utilisation des quotas sur le serveur de fichiers
 Etc...

À titre d'exemple, nous verrons comment générer un rapport sur l'utilisation des quotas sur le serveur de
fichiers Windows Server. Toute la configuration des rapports s'effectue dans la section "Gestion des rapports
de stockage" de la console FSRM. Ici, on va faire un clic droit sur la section en question et choisir "Planifier
une nouvelle tâche de rapport".

Pour chaque rapport, on peut accéder à quelques options pour personnaliser la sortie. Pour cela, il faut
sélectionner le rapport en cliquant sur son nom, et cliquer sur "Modifier les paramètres" à droite. Par défaut,
le rapport sur l'utilisation du quota va intégrer tous les quotas utilisés à 0% et plus, donc tous les quotas
seront analysés. On pourrait augmenter cette valeur.
En ce qui concerne le format de sortie, le format DHTML est sélectionné par défaut et il me convient
personnellement. Les autres formats, notamment CSV, ne donne pas toujours des résultats facilement
lisibles.
Ensuite, dans l'onglet "Etendue", il va falloir préciser le ou les répertoires à analyser. En l'occurrence ici, on
sélectionne notre partage correspondant au chemin "P:\Partage" et comme il y a un quota configuré sur ce
dossier, ce sera analysé lorsque la tâche de rapport s'exécutera. La partie supérieure fait référence à la
classification de données, mais nous n'avons pas encore abordé ce point.
Passons à l'onglet "Remise" qui permet de recevoir par e-mail les rapports générés. Ce n'est pas obligatoire
d'activer cette option.
Enfin, l'onglet "Planification" sert à planifier l'exécution de ce rapport. Ce qui peut être toutes les semaines
ou tous les mois, voire même tous les jours.... Et il faudra aussi indiquer une heure.
Une fois que l'on valide, la tâche de génération de rapports de stockage est créée. Elle est visible dans la
console FSRM. Pour exécuter cette tâche maintenant sans attendre la prochaine exécution, il suffit de faire
un clic droit dessus et de choisir l'option adéquate.

Quand la tâche sera exécutée, cela va donner lieu à des fichiers de sortie dans le dossier "C:\StorageReports\
Interactive". Ici, on retrouve deux fichiers, car nous avons sélectionné deux types de rapports différents lors
de la création de la tâche.

Si l'on ouvre le fichier qui commence par "Utilisation du quota...", on a le rapport correspondant à
l'utilisation des quotas sur le serveur, par rapport aux dossiers sélectionnés. Le dernier tableau contiendra
une ligne par quota avec des détails sur le taux d'utilisation actuel et le taux d'utilisation maximale.
Pour configurer les propriétés par défaut des rapports de stockage, il faut se rendre dans les options de FSRM
: clic droit sur la racine de la console puis "Configurer les options", où il y aura un onglet nommé "Rapports
de stockage". Ces options sont aussi accessibles quand on configure un rapport, comme mentionné ci-
dessus.
 VI. FSRM et l'assistance en cas d'accès refusé
Le constat : sous Windows, lorsqu'un utilisateur essaie d'accéder à un répertoire partagé auquel il n'a pas
accès, une erreur "Windows ne peut pas accéder à \\....." s'affiche à l'écran, et dans le détail c'est clairement
qu'il s'agit d'un problème d'autorisation. Ce message bloque l'utilisateur, mais ne lui indique pas la marche à
suivre s'il estime qu'il devrait avoir accès à ce répertoire.

Tout d'abord, à partir de la console FSRM, effectuez un clic droit sur la racine de l'arborescence et choisissez
"Configurer les options".

Ici, c'est l'onglet "Assistance en cas d'accès refusé" qui va nous intéresser. Nous devons cocher l'option
"Activer l'assistance en cas d'accès refusé" et définir un message d'erreur personnalisé (zone de texte en
dessous). Ce message s'affichera lorsqu'un accès refusé sera généré sur Windows (comme celui montré en
introduction).
Cliquez ensuite sur le bouton "Configurer les demandes par courrier électronique". Si vous souhaitez
permettre à l'utilisateur de faire une demande d'accès par e-mail, c'est cette section qu'il faut renseigner.
Tout d'abord, il faut cocher l'option "Autoriser les utilisateurs à demander de l'assistance" avant de
s'intéresser aux autres options.
Quand votre configuration est prête, cliquez sur le bouton "Aperçu" visible sur la fenêtre principale des
options. Cela permet d'avoir une prévisualisation de la fenêtre "Accès refusé" telle qu'elle sera côté
utilisateur.

Tester la configuration : Après avoir mis en place cette configuration, nous allons effectuer un test comme à
chaque fois. Ici, il suffit de prendre un utilisateur n'ayant pas accès à un répertoire spécifique, que ce soit un
sous-répertoire d'un partage ou un répertoire racine. Et là, on voit le message "Problème d'accès à \\...." qui
s'affiche avec :
Le message d'erreur personnalisé défini dans FSRM
Le bouton pour demander de l'aide
Si l'on clique sur le bouton "Demander de l'aide", une zone de saisie s'affiche afin que l'utilisateur puisse
expliquer pourquoi il a besoin d'accéder à ce répertoire. Une fois qu'il a complété sa demande, il ne lui reste
plus qu'à cliquer sur "Envoyer un message".

Côté administrateur, un e-mail sera reçu (envoyé depuis FSRM) avec les détails de la demande : utilisateur à
l'origine de la mande, chemin d'accès concerné, justification de l'utilisateur, ainsi que les autorisations
actuelles de cet utilisateur. Ensuite, libre à vous de répondre positivement ou non à cette demande.
Message d'erreur spécifique sur un dossier
-