Gestion Centralise Windows 1re solution

Patrick Juen
CNRS LDC Grenoble
V1.1 31/01/03
1

Active directory

Active directory
Un chef d'orchestre charg de la gestion d'un parc informatique
P.S. : Attention aux fausses notes !

Active Directory

Active Directory
Un service d'annuaire
Un annonceur de service

Une architecture centralise Prise en charge du DNS Compatible LDAP Prise en compte des domaines Cration d'une architecture de grande taille
5

Normes supportes par Active Directory

TCP/IP, DHCP, X509 et Kerberos (authentification) SNTP (Simple Network Time Protocole) LDAP, LDIF Data Interchange Format
(synchronisation de rpertoire)

LDAP'C: API de programmation LDAP

Comment installer Active Directory? En installant un contrleur de domaine!

Un Windows 2000 serveur par exemple

Domaine et approbation

Approbation Active Directory : Outil

Notion de mode
Natif (uniquement des contrleurs de domaines 2000 et +)
La scurit est maximale

Mixte (il y a des contrleurs de domaines NT4 et 2000)

La politique de scurit ne pourra pas protger les systmes efficacement La scurit correspond celle d'un NT4

Mode d'un domaine

Passage de mixte natif possible Passage de natif mixte inpossible
pas de downgrade

Le mode natif est rellement conseiller Toujours prvoir une machine de secours
10

Gestion des serveurs et services

Active Directory utilise une rplication multimatre Dans un petit rseau :
slection arbitraire d'un contrleur

Dans un grand rseau (WAN, Wide Area Network) :

problme de vitesse de connexion sur certains contrleurs
11

Gestion des serveurs et services

Ajout d'un nouveau site

Dplacement d'un site

12

Gestion des serveurs et services

Les ordinateurs sont affects un site en fonction de leur adresse IP

13

Gestion des serveurs et services

Paramtrage des rplications inter-sites

14

Gestion des utilisateurs et ordinateurs

Type d'informations gres

Unit organisationnelle

15

Gestion des utilisateurs et ordinateurs

Un conteneur (pas de GPO) Une Unit Organisationnelle (UO)
Pour voir tous les objets, cocher : "Affichage" "Fonctionnalit avances" Builtin : Contient les groupes de scurit par dfaut Computers : Emplacement par dfaut des comptes d'ordinateur Domain Controllers : Emplacement par dfaut des contrleurs de domaine ForeignSecurityprincipals: Contient les SID des domaines externes approuvs Users : Emplacement par dfaut des comptes d'utilisateur et des groupes LostAndFound : Les objets orphelins, dont les conteneurs ont t supprims System : Contient les paramtres systme de AD
16

Gestion des utilisateurs et ordinateurs

Gestion des groupes d'utilisateurs
Cartographier les utilisateurs par les logiciels qu'ils utilisent (groupes de distribution) par les droits qu'ils ont (groupes de scurit)

Groupe d'utilisateurs

17

Gestion des utilisateurs et ordinateurs

On peut crer un groupe dans une UO ou la racine du domaine.

18

Gestion des utilisateurs et ordinateurs (Fonctions)

Gestion des ressources publies :
Imprimantes
Inutile de publier les imprimantes partages par un DC

Dossiers partags

19

Etendue de groupe en Mode Natif

Les groupes avec une tendue universelle peuvent contenir :
des comptes de n'importe quel domaine des comptes d'ordinateur, d'autres groupes avec une tendue universelle de n'importe quel domaine des groupes avec une tendue globale de n'importe quel domaine

Les groupes avec une tendue de domaine global peuvent contenir :

des comptes de tout domaine des groupes avec une tendue universelle de tout domaine des groupes avec une tendue globale de tout domaine d'autres groupes avec une tendue locale du mme domaine
20

Etendue de groupe en Mode Natif

(Suite)
Les groupes avec une tendue de domaine global peuvent contenir :
des comptes de tout domaine des groupes avec une tendue universelle de tout domaine des groupes avec une tendue globale de tout domaine d'autres groupes avec une tendue locale du mme domaine

21

Etendue de groupe en Mode Mixte

Les groupes avec une tendue globale ne peuvent avoir comme membres que des comptes. Les groupes avec une tendue de domaine locale peuvent avoir comme membres d'autres groupes avec une tendue globale et des comptes.

22

Performances de active directory

2 types de groupes Groupe de scurit
Le plus utile pour un site de 100 machines

Groupe de distribution
Action plus rapide Utile quand la scurit n'est pas en jeu (mail) Pas de distribution de logiciel avec ce groupe
23

Performances de Active Directory

La vitesse d'ouverture d'une session utilisateur est proportionnelle au nombre de groupes de scurit auxquels il appartient.
Attention aux trs gros sites! (500 dossiers partags accessibles = 500Jetons)

Surtout lies au rseau

24

Active directory : l'usage

Dfragmentation de Active Directory
http://www.laboratoire-microsoft.org/articles/win/ad_defrag/

gain de place non ngligeable sur les grosses bases (300Mo) : bof ! Optimisation de la base automatique toutes les 12 heures. La dfragmentation impose un arrt du contrleur de domaine

25

Au cur de AD
Journalisation (rsiste aux coupures secteurs)
La base de donne reste toujours jour La base de donnes de Active Directory est stocke dans c:\winnt\ntds\Ntds.dit Les journaux sont dans les.log
On ne peut pas les lire via notepad ! Principe de la journalisation
Ecriture du fichier log Ecriture en mmoire Confirmation de la transaction Ecriture de Ntds.dit
26

Intellimirror

27

Intellimiror
Des fonctionnalits conues pour la gestion des modifications et des configurations des postes clients :
Gestion des donnes de l'utilisateur Installation et maintenance du logiciel Gestion des paramtres de l'utilisateur Services d'installation distance
28

Intellimiror
Gestion des donnes de l'utilisateur
Utilisation de :
Active Directory Stratgie de groupe Dossiers / Fichiers hors connexion Gestionnaire de synchronisation Quota disques Re-direction de dossiers
29

Intellimiror
Installation et maintenance des logiciels

Utilisation de :
Active Directory Stratgie de groupe Windows Installer

30

Intellimiror
Gestion des paramtres de l'utilisateur

Utilisation de :
Active Directory Stratgie de groupes Dossiers / Fichiers hors connexion Profils d'utilisateurs itinrants

31

Intellimiror
Services d'installation distance Utilisation de :
Active Directory Stratgie de groupe Services d'installation distance DHCP

32

Services d'installation distance

33

Services d'installation distance

But du service
remplacer une machine par une autre sans l'intervention d'un informaticien ! sans intervention manuelle (ou presque) avec tous les logiciels utiles l'utilisateur avec toutes les configurations faites

34

Services d'installation distance les 2 phases d'installation

Installation d'un nouveau systme (via un serveur RIS)
Active Directory n'est pas utile dans cette phase DHCP est indispensable Cette phase n'est pas indispensable

Entre de la machine dans le domaine active directory

Application de la stratgie de groupe aux nouveaux systmes Active Directory est exploit DHCP n'est pas indispensable 35

Mthode de dploiement
Services dinstallation distance (RIS)

1re Phase: Utilisation d un serveur RIS

Supporte 2 types dimages Installation partir du CDROM de Windows
Utilise RISetup

Installation partir dune image dun systme existant (clone dun poste type)
Utilise RIPrep
36

Mthode de dploiement
Services dinstallation distance (RIS)

Remote Install Server

Active Directory

DHCP Server

DNS Server

PXE boot ROM ou boot disk Client PXE

37

Client RIS:

Mthode de dploiement
Services dinstallation distance (RIS)

Avantages :
Normalise les installations Permet la personnalisation de linstallation de lutilisateur final selon votre stratgie

Inconvnients :
Doit tre installer sur le lecteur C :
On peut fixer la taille de la partition format le disque-dur !

Nouvelles installations seulement (pas de mise jour) Un + : technologie PXE sur les clients
38

Services dinstallation distance (RIS) Mise en uvre (Serveur)

39

Services dinstallation distance (RIS) Mise en uvre (Serveur)

40

Service RIS Mise en oeuvre (Cration d'une image)

Installer une machine de rfrence 2000 Pro ou XP manuellement Installer toutes les applications en local sur l'ordinateur client Configurez le client (non modifiable aprs transfert vers le serveur) Utiliser RIPrep.exe sur le client pour mettre jour limage du serveur (outils graphique simple) Par dfaut le service d'installation distance ne peut dployer que Windows 2000 Pro. Pour dployer Windows XP, il suffit lors de la configuration du service RIS d'utiliser un CD-ROM Windows XP la place de Windows 2000. Puis il faudra appliquer le correctif Q313069 ou utiliser le SP3 de 2000 Serveur.
41

Service RIS Mise en oeuvre (Client) Disquette

Pour les ordinateurs auxquels il manque une ROM d'amorage distance DHCP PXE RbfG.exe est situ dans le rpertoire \RemoteInstall\admin\I386 Ce rpertoire est sur le serveur RIS

Avec carte rseau PXE (Preboot eXecution Environnment)

Appuyer sur F12 au Boot du client
42

Cartes supportes par Rbfg.exe

C'est tout...
43

Services d'installation distance

2me phase de l installation distance

Entre de la machine dans le domaine active directory Il y a personnalisation de la machine. (compte, logiciel, script)
44

Services d'installation distance 2 techniques d'installation des logiciels

Mise disposition d'un logiciel la connexion d'un utilisateur Mise disposition d'un logiciel au dmarrage d'un ordinateur
installation distante mise jour dsinstallation
45

Comment diffuser un nouveau logiciel ?

Il faut passer par la stratgie de groupe de Active Directory...

46

Les stratgies de groupe et GPO

47

stratgies de groupe
Active Directory permet d'utiliser des objets stratgie de groupe (appels GPO pour Group Policy Object) afin de dployer une stratgie de scurit sur un domaine Windows

48

Stratgie locale ou globale

Stratgie locale pour la machine
c'est une partie de la configuration de windows

Stratgie globale
environnement Active Directory ncessaire stocke sur un contrleur de domaine associe l'objet Stratgie de Groupe

49

Suppression de la stratgie de domaine par dfaut

Supprimer la politique global par dfaut

Il faut supprimer la politique par dfaut est en recrer une...

50

Stratgie globale

Les stratgies de groupe permettent un utilisateur de disposer d'un logiciel mme si le logiciel en question n'est pas install sur la machine (Intellimirror)

51

Cration d'une stratgie globale

On ne peut les crer que sur le domaine et sur les UO

Clic droit puis proprits sur le Domaine

52

Stratgie de diffusion d'un logiciel

Deux stratgies d'installation existent

la stratgie attribue
Un clic sur l'icne du logiciel dans le menu Dmarrer provoque l'installation

la stratgie publie
Un double clic sur un fichier portant l'extension associe un programme provoque l'installation dudit programme

53

Utilisation d'un logiciel limite certain utilisateurs

Si un utilisateur ne fait pas partie de la stratgie :
Il n'a pas d'icne du logiciel dans son menu "Dmarrer" Il ne possde pas les droits d'accs au logiciel Le lanement manuel du programme est impossible

54

Choix de l'tendue du logiciel

Qui peut utiliser le logiciel?
Toute personne ayant un compte sur une machine
On click sur Configuration ordinateur

Certains utilisateurs du domaine

On click sur Configuration utilisateur
55

Diffusion d'un logiciel

Click avec la touche de droite

On ne peut installer que des .msi

56

Diffusion d'un logiciel

Mettre le nom du fichier .msi au complet
\\serveur\repertoire_de_partage\truc.msi
Ne jamais stopper ce partage pendant toute la vie du client (rinstallation automatique!)

Pour que la politique soit applique, il faut:

Fermer l'diteur de stratgie Attendre qu'elle soit prise en compte
ouverture de session ou reboot du client ou dlai de prise en compte

57

Forcer la prise en compte d'une stratgie

Sur 2000
secedit /refreshpolicy machine_policy
ou

secedit /refreshpolicy user_policy

Sur XP
gpupdate
58

Autres paramtres de la stratgie

Limiter l'usage d'un compte certaines applications

59

Autres paramtres de stratgie

Il y en a plus de 550 Attention aux hritages de stratgie entre Units d'Organisation
Une stratgie de haut niveau peut empcher l'application d'une autre stratgie.

Voir les stratgies comme un arbre ou chaque nud (modification de stratgie) 550 paramtres! Faites simple
60

Sauvegarde du systme et de Active Directory

Via l'interface graphique ntbackup.exe Via un script :
ntbackup.exe backup systemstate @c:\backup.bks /v:yes /hc:on /r:no /l:f /m normal /rs:yes /p "DLT" /um Le fichier backup.bks contient les chemins sauver un par ligne, termin par \ Pour sauver le disque C entierement mettre : c:\
61

Sauvegarde

Sauver Active Directory et le systme Le fichier des rpertoires sauver peut tre cre via l'interface graphique

62

Suppression de Active Directory

(2000 Serveur et +)
Dcpromo.exe supprime Active Directory Permet de rtrograder le contrleur de domaine en serveur membre Si le contrleur de domaine est le dernier du domaine, le serveur devient alors un serveur autonome
63

WinInstall Lite

64

WinInstall LE
Ce logiciel permet de reconditionner n'importe quel logiciel en un package Windows Installer (MSI). Pourquoi? Pour pouvoir dployer une application via active directory Fonctionnement par image du systme pris avant et aprs installation dun nouveau logiciel. Le systme utilis pour crer limage doit ressembler au systme cible.

Pour les initis!

65

WinInstall LE : Usage
Utiliser une machine ayant un OS Clean Installation de base avec service pack. Pas de soft install! Installer et configurer une seule application la fois ! sinon vous ne pourrez plus mettre jour les logiciels indpendamment Le nom du fichier msi utilis apparatra dans le menu de dsinstallation. La boite cocher Enhanced Registry Scan ne sert rellement rien. Ne re-packager jamais un .msi modifiez le via un .mst
66

WinInstall LE : Les bugs

Vrifiez toujours le package cre (indispensable) Les clefs HKeyCurrentUser sont sans doute modifier
Lire le fichier texte .nai le modifier Utiliser la Veritas Software Console puis touche de droite sur Windows Package editor open pour ouvrir puis rgnrer le package.

Vrifiez le reste des information avec la Veritas Software Console La cration des raccourcis ne marche pas bien! N'hsitez pas retirer les noms de fichiers suspects (fichiers des antivirus par exemple ou la destruction du raccourci de 67 winInstall !)

WinInstall LE Les bugs

Mettre les droits associs chacun des fichiers du package en exploitant la VERITAS Software Console.
Indispensable en XP sinon aucun fichier install par le package ne sera modifiable lors de lexploitation du programme. La protection de XP considre que le logiciel est altr et demande voire excute sa rinstallation.

68

WinInstall LE : Installation
O le trouver ?
CDROM de 2000 \valueadd\3rdparty\mgmt\winstle

Installation via :
SWIADMLE.MSI

Lancement

69

WinInstall LE (Usage)
Lancer VERITAS Discover afin danalyser la configuration (long !).

70

WinInstall LE : Usage
Installez votre application. Quitter Discover Lancer VERITAS Discover une 2me fois pour analyser les changements faits dans les registres et fichiers.

71

WinInstall LE (Usage)
Utiliser une machine ayant un OS Clean
Installation de base avec service pack. Pas de soft install !

Installer et configurer une seule application la fois ! Le nom du fichier msi utilis apparatra dans le menu de dsinstallation. La boite cocher Enhanced Registry Scan ne sert rellement rien. Ne re-packager jamais un .msi
72

Les registres (Introduction)

73

Rle
Mmoriser les configurations Centralise tout les paramtrages Remplace les fichier INI dautrefois Dfinir des droits par paramtre

74

Unix/NT
NT

Unix
Configuration dans des Fichiers Localisation
/etc
...

Configuration dans le Registre

Systme ! Logiciels

Base de donnes
Organisation impose Chaque paramtre des droits

Droit du fichier
75

Base de Registre
HKEY_LOCAL_MACHINE HKLM

HKLM\Software HKLM\System

Configuration GENERIQUE des applications Configuration du systme

HKEY_CURRENT_CONFIG HKCC

HKEY_CURRENT_USER HKCU

HKEY_CLASSES_ROOT HKCR

HKEY_PERFORMANCE_DATA HKPD HKEY_USERS HKCU

Contient la diffrence d'information entre le profil matriel et HKEY_LOCAL_MACHINE Contient les prfrences de l'utilisateur connect. Pointe sur la sous-clef de HKEY_USERS correspondant l'utilisateur. Contient les informations sur les types de fichiers et les extensions "shell" associes. Contient les CLSID, progID et IID pour les objets COM utilisables sur le systme. Accs aux compteurs de performance, n'est pas une vritable ruche. HKEY_USERS Contient la configuration des utilisateurs HKEY_USERS\.DEFAULT Configuration par dfaut applique lors de la premire connexion. 76

Base De Registre
REG_SZ REG_DWORD REG_BINARY REG_EXPAND_SZ REG_MULTI_SZ Une chaine ASCIIZ Une valeur numrique sur 32bits Untableau d'octets Une chaine qui contient des variables comme %WINDIR% Un tableau de chaines ASCIIZ

77

Exemple de clefs
Cl : HKCU \Software \Microsoft \Command Processor Entre : CompletionChar Systme : NT, 2K Signification : Caractre de remplissage Type : REG_DWORD 0x09 : Active la touche de tabulation comme sous Unix en NT4.
78

Associations de fichier
REGEDIT4 [HKEY_CLASSES_ROOT\.aim] @="aimfile" "Content Type"="application/x-aim" [HKEY_CLASSES_ROOT\aimfile] @="AOL Instant Messenger Launch" [HKEY_CLASSES_ROOT\aimfile\DefaultIcon] @="d:\\PROGRA~1\\netscape\\Program\\AIM\\aim.exe,0" [HKEY_CLASSES_ROOT\aimfile\shell] [HKEY_CLASSES_ROOT\aimfile\shell\open] [HKEY_CLASSES_ROOT\aimfile\shell\open\command] @="d:\\PROGRA~1\\netscape\\Program\\AIM\\aim.exe"
79

Les variables d'environnement

Les variables de l'utilisateur sont prioritaires Les variables d'environnement communes tous les utilisateurs sont dans :
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

Les variables d'un utilisateur sont dans :

HKU\S.\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
80

Gestion des services

REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackLog] "Type"=dword:00000010 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"="C:\Program Files\BackLog\AuditService.EXE" "DisplayName"="BackLog EventLog Forwarder" "ObjectName"="LocalSystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackLog\Enum] "0"="Root\\LEGACY_BACKLOG\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackLog\Security] "Security"=hex:01,00,14,80,c0,00,00,00..

81