Windows Server

Première partie
Principes de base
Plan

1- D’où viens Windows Server 2003 ?

2- Qu ’est-ce que Windows Server 2003 ?
3- Les versions Windows Server 2003
4- Le système de sécurité
– La SAD
– Les DACL
– Les droits utilisateur
– Les audit
5- Notion de domaine
6- Relation d’approbation
Historique de MicroSoft Windows
• 1955 : naissance à Seattle de William Henry Gates III KBE

• 1975 : fondation de Micro-Soft avec P. Allen

• 1975 : développement d’un interpréteur BASIC pour l’ordinateur ALTAIR

→ Premier coup de maître : la licence seule est accordée à ALTAIR
- Reversement de 35$ pour chaque ordinateur vendu
- BASIC se répand sur d’autres ordinateurs
Historique de MicroSoft Windows
• 1980 : deuxième coup de maître : IBM demande à MS un SE
• Achat pour 25 000 $ du SE QDOS
• Adaptation au cahier des charges d’IBM
→ naissance d’IBM PC-DOS 1.0
• Vente de la licence à IBM…
• … et aux autres constructeurs : MS-DOS

• 1985 : lancement de Windows 1.0, sans succès…

• 1992 : troisième coup de maître : Windows 3.1

• Ergonomie enfin aboutie
• Police TrueType
• Touche Windows sur le clavier
Historique de MicroSoft Windows
• 1995 : l’achèvement du succès : Windows 95
• Facilité d’utilisation et ergonomie excellente
• Introduction du multi-tâches

→ quasi monopole en grand public (90%)

Historique de Micro$oft Windows
• 2007 : Bill Gates est l’homme le plus riche du monde…
→ 60 000 000 000 $
Historique de MicroSoft Windows
Objectifs de NT (New Technology)
1988 : étude d ’un nouveau SE chez Microsoft
 Portabilité car NT écrit en C/C++
– Portable d’une machine Intel vers une machine Alpha, p. ex.

 Mise en place de sécurité

– Respect de la norme « C2 »

 Compatible avec la norme POSIX

– POSIX : norme respectée par tous les SE modernes

 Multitraitement
– Gestion multi processeur possible
Objectifs de Windows 2000

Principalement : fiabiliser NT !

Puis :
 Annuaire Active Directory
 Système de fichier NTFS 5
 …
 Windows Server 2003

 Evolution de Windows 2000 Server

– Incorporation de l’interface XP allégée
– Ajout de nouvelles fonctionnalités
– Amélioration de la gestion du réseau, de IIS et de l’annuaire Active Directory
– Réécriture partielle du code du noyau
Windows Server 2003
Et ensuite ?

 2008 : Windows Server 2003 remplacé par Windows

Server 2008
Plan

1- D’où viens Windows Server 2003 ?

2- Qu ’est-ce que Windows Server 2003 ?
3- Les versions Windows Server 2003
4- Le système de sécurité
– La SAD
– Les DACL
– Les droits utilisateur
– Les audit
5- Notion de domaine
6- Relation d’approbation
Windows Server 2003, c ’est :

 Un système d’exploitation...
 … multi taches...
– Plusieurs programmes peuvent fonctionner en même temps

 … multi thread…
– Cf. ASR4

 … multi traitement
– Peut tourner sur un ordinateur comportant plusieurs processeurs
Plan

1- D’où viens Windows Server 2003 ?

2- Qu ’est-ce que Windows Server 2003 ?
3- Les versions Windows Server 2003
4- Le système de sécurité
– La SAD
– Les DACL
– Les droits utilisateur
– Les audit
5- Notion de domaine
6- Relation d’approbation
 Windows Server
Windows Server 2003 2003
Standard Edition Datacenter Edition

Windows Server 2003

Enterprise Edition

Windows Server 2003

Web Edition

 Windows 2000 Professionnel remplacée par Windows Vista Professionnel

Les versions
Standard
Configuration requise Web Edition Enterprise Edition Datacenter Edition
Edition
 133 MHz pour les  400 MHz pour les
Vitesse minimale du PC x86 PC x86
133 MHz 133 MHz
processeur  733 MHz pour les  733 MHz pour les
PC Itanium PC Itanium
Vitesse recommandée
550 MHz 550 MHz 733 MHz 733 MHz
du processeur
Quantité minimale de
128 Mo 128 Mo 128 Mo 512 Mo
RAM
Quantité minimale de
RAM 256 Mo 256 Mo 256 Mo 1 Go
recommandée
 1,5 Go pour les PC  1,5 Go pour les PC
Espace disque pour x86 x86
1,5 Go 1,5 Go
l’installation  2 Go pour les PC  2 Go pour les PC
Itanium Itanium
 32 Go pour les PC  64 Go pour les PC
x86 x86
RAM maximale 2 Go 4 Go  64 Go pour les PC  512 Go pour les
Itanium PC Itanium
 au moins 8, 32
Plusieurs processeurs 1 ou 2 1 ou 2 Jusqu’à 8
max
Plan

1- D’où viens Windows Server 2003 ?

2- Qu ’est-ce que Windows Server 2003 ?
3- Les versions Windows Server 2003
4- Le système de sécurité
– La SAD
– Les DACL
– Les droits utilisateur
– Les audit
5- Notion de domaine
6- Relation d’approbation
 SECURITE : point important

 On peut contrôler :
– qui accède à quoi
– quel action un individu peut réaliser sur un objet

 On peut auditer des événements et les récupérer dans un journal d ’audit

Vue d’ensemble
Stratégies
Stratégiesdede Configurent
Configurentdes
desstratégies
stratégiespour
pourles
les mots
mots de
de passe
passeet
etles
les
compte
compte comptes
comptes
Stratégies
Stratégies Configurent
Configurentl'audit,
l'audit,les
lesdroits
droitsd'utilisateur
d'utilisateuretetles
les options
options de
de
locales
locales sécurité
sécurité
Stratégies Configurent
Configurentles
lesagents
agentsde derécupération
récupérationde dedonnées
donnéescryptées,
cryptées,les
les
Stratégiesde
de racines de domaines, les autorités de certification approuvées,
racines de domaines, les autorités de certification approuvées,
clé publique
clé publique etc.
etc.
Stratégies
Stratégies Configurent
Configurentla
lasécurité
sécuritéIP
IPsur
surun
unréseau
réseau
IPSec
IPSec
Journal
Journaldesdes Configure
Configureles
lesparamètres
paramètresdes
desjournaux
journauxdes
desapplications,
applications,des
des
événements
événements journaux
journauxsystème
systèmeet etdes
des journaux
journaux de
desécurité
sécurité
Groupes
Groupes Configurent
Configurentl'adhésion
l'adhésionaux
auxgroupes
groupes sensibles
sensibles en
entermes
termes de
de
restreints
restreints sécurité
sécurité
Services
Services Configurent
Configurentles
lesparamètres
paramètresde desécurité
sécuritéet
etde
dedémarrage
démarragedes
des
système
système services
servicesexécutés
exécutéssur
surun
un ordinateur
ordinateur
Registre
Registre Configure
Configurela
lasécurité
sécuritéau
auniveau
niveaudes
desclés
clésdu
duregistre
registre
Système
Systèmede de Configure
Configurela
lasécurité
sécuritéau
auniveau
niveaudes
deschemins
cheminsd'accès
d'accèsde
defichiers
fichiers
fichiers
fichiers spécifiques
spécifiques
 Architecture du système de
sécurité
 Local Security Authority (LSA)
– Cœur du système de sécurité

 Security Account Manager (SAM)

– En charge de la SAD (Security Account Database), base de données des utilisateurs autorisés à se connecter sur la
machine
– Chaque utilisateur étant identifié par un SID (Security Identifiant)
Security Account Database (SAD)
Gérée via l’application « gestion de l’ordinateur »
Security Account Database (SAD)
Gestion des groupes d’utilisateurs
 Architecture du système de
sécurité (suite)
 Security Reference Monitor
– Vérifie qu’un utilisateur ou un programme peut accéder à un objet donné via les DACL (Discretionnary Access Control List)
– Les objets suivants possèdent une DACL
 Fichiers
 Répertoires
 Imprimantes
Exemple de DACL pour un répertoire
Exemple de DACL pour un fichier
Exemple d ’ACL pour une imprimante (NT)
 Exemple de DACL pour une imprimante
(Windows 2000)

Autorisations
Autorisations
d'impression
d'impression
 Privilèges utilisateur
 Droits qui ne sont pas associés à un objet particulier
– Sauvegarde du système,
– Arrêt de la machine
– Changement de l’heure
– Création de nouveaux utilisateurs
– …
 Certains groupes prédéfinis possèdent des droits particuliers

Administrateurs Tous les droits lui sont automatiquement affectés

Utilisateurs Dispose uniquement des droits qui lui ont été
spécifiquement affectés
Utilisateurs avec pouvoir Peut réaliser les tâches
administratives de base mais n’a
pas le contrôle total du système.
Opérateurs de sauvegarde Possède des droits uniquement sur
les fichiers et sur les tâches
administratives de sauvegarde et de
restauration.
Gestion des droits utilisateur
Gestion des privilèges utilisateur
 L ’administrateur attribue à l’utilisateur Lagaffe le privilège de
changer l ’heure
 Audits
 Permet de visualiser des informations sur le système et le réseau
– Ex sous NT:
Résultats d ’audit inscrits dans « l ’observateur
d ’événements »
Audits  Sous Windows 2000
Résultats d ’audit inscrits dans « l ’observateur
d ’événements »
Plan

1- D’où viens Windows Server 2003 ?

2- Qu ’est-ce que Windows Server 2003 ?
3- Les versions Windows Server 2003
4- Le système de sécurité
– La SAD
– Les DACL
– Les droits utilisateur
– Les audit
5- Notion de domaine
6- Relation d’approbation
Modèles d’environnement réseau

 Deux modèles réseau existent sous Windows 2003 :

– Le groupe de travail (workgroup)

– Le domaine
Le groupe de travail
 Machines reliées entre elles par un réseau et apparaissant dans le même groupe quand on parcourt le réseau
 Aucune centralisation des ressources ou de la sécurité
– Chaque machine possède :
 Sa propre SAD
 Ses propres profils utilisateurs
Le domaine
 Groupe de machines partageant les même comptes utilisateur et la même politique
de sécurité
– Ex : domaine du département Informatique

 Avantages:
– Gestion centralisée des comptes utilisateur et de la sécurité
– Réseau divisé en domaine
 Respect de l’organisation physique et logique de l’entreprise
Composition d’un domaine
 Au moins un contrôleur de domaine
– Contient un exemplaire d’Active Directory
 Entre autre, Active Directory=base de données des utilisateurs autorisés à se connecter sur le domaine
– Valide les demandes de connexion des utilisateurs

CD
Composition d’un domaine (suite)

 Plusieurs contrôleurs de domaine conseillés

– pour pallier une panne d ’un autre CD
– pour des raisons de rapidité

CD

 Chaque CD contient un exemplaire d’Active Directory

– donc tous peuvent valider les connexions

CD
Aperçu d ’Active Directory
 AD : présent uniquement sur un CD
 Sur tout autre machine : SAD
 Composition d ’un domaine (suite)
 Des machines 2000/NT ou autres
– Appelées « serveurs membres »
 Deux types de connexion sont donc possibles :
– Connexion locale
 Si utilisateur déclaré dans la SAD de la machine
– Connexion sur le domaine
 Si utilisateur déclaré dans l’Active Directory du domaine

CD

2000/NT 2000
/NT

CD
 En résumé
 Active Directory :
– Présent uniquement sur un contrôleur de domaine
– Permet une connexion sur toutes les machines du domaine

 SAD :
– Présent sur toute machine non CD
– Permet uniquement une connexion locale
 Récapitulatif
Comptes
Comptes d'utilisateur
d'utilisateurlocaux
locaux

 Permettent
Permettent aux
aux utilisateurs
utilisateurs d'ouvrir
d'ouvrir des
des sessions
sessions et
et
d'accéder
d'accéder aux
aux ressources
ressources d'un
d'un ordinateur
ordinateur particulier
particulier

 Résident
Résident dans
dans SAD
SAD

Comptes
Comptesd'utilisateur
d'utilisateurde
dedomaine
domaine

 Permettent
Permettent aux
aux utilisateurs
utilisateurs d'ouvrir
d'ouvrir des
des sessions
sessions sur
sur le
le
domaine
domaine pour
pour utiliser
utiliser les
les ressources
ressources réseau
réseau

 Résident
Résident dans
dans Active
Active Directory
Directory
 Exemple 1
 Esteban veut se connecter sur le domaine

CD ?

PC2 PC1
Mendoza AD
Zia
Esteban
CD OK
?
Maïna

Au boulot, Esteban !
Exemple 2
 Tao veut se connecter en local sur la machine PC1

Mendoza AD Au boulot, Tao !

Zia
Esteban
Maïna CD
Pas de TAO !
Mais c’est pas grave !

PC2 PC1

Tao SAD PC1

Pichu
CD
OK !
Plan

1- D’où viens Windows Server 2003 ?

2- Qu ’est-ce que Windows Server 2003 ?
3- Les versions Windows Server 2003
4- Le système de sécurité
– La SAD
– Les DACL
– Les droits utilisateur
– Les audit
5- Notion de domaine
6- Relation d’approbation
 Relation d ’approbation
 Gaspard veut se connecter sur la machine PC12 du domaine 1

Mendoza AD Problème !!!

Zia Solution = relation
CD1 Gomez AD
Esteban
Maïna
d ’approbation Pisaro
CD2
Gaspard

CD1-1
Rel. App. CD2-1

PC12 PC11
1 PC22 PC21
2

CD1-2
CD2-2
Relation d’approbation
Si le domaine A approuve le domaine B, alors :
 Les utilisateurs déclarés sur le domaine A peuvent se connecter sur le domaine B
– et réciproquement si la relation d’approbation est bi-directionnelle

Si les domaines A et B s’approuvent et si B et C s’approuvent, alors:

 les domaines A et C s’approuvent
– La relation d’approbation est transitive