gefi support wserver2003

SUPPORT DE COURS -DOCUMENTATION Centre de formation GEFI

Windows Server

2003 Semaine 1 et 2

GEFI – REPRODUCTION INTERDITE Réf:WS3MAI003-2S

Volume

19

TABLE DES MATIERES

TABLE DES MATIERES ............................................................................................... 1

OBJECTIFS DU COURS .............................................................................................. 6

LE RÔLE DU TECHNICIEN MICRO-RÉSEAU (PREMIER NIVEAU) ............................................ 6

PROGRAMME MCP ...................................................................................................... 7

RÔLES DE L'ORDINATEUR ...................................................................................... 10

WINDOWS 2003 SERVER .......................................................................................... 12

LES DIFFÉRENTES VERSIONS ................................................................................ 13

CALENDRIER DE SORTIE ............................................................................................... 14 LA FAMILLE WINDOWS SERVEUR EST COMPOSÉE DE QUATRE PRODUITS ......................... 14 CONFIGURATION REQUISE............................................................................................ 16 LES APPORTS PAR RAPPORT À WINDOWS NT4 .............................................................. 17

LES DIFFÉRENTS MODES DE LICENSING (VERSION SERVEUR) ....................... 20

LE MODE PAR UTILISATEUR/POSTE............................................................................... 21 LES LICENCES DONT VOUS AUREZ BESOIN ..................................................................... 22

WORKGROUP ET DOMAINE ..................................................................................... 24

WORKGROUP .............................................................................................................. 24 DOMAINE .................................................................................................................... 25 UN DOMAINE OFFRE LES AVANTAGES DÉCRITS CI-DESSOUS. .......................................... 32 STRUCTURE LOGIQUE D’ACTIVE DIRECTORY ................................................................. 35 STRUCTURE PHYSIQUE D’ACTIVE DIRECTORY ............................................................... 42 DISTINCTION ENTRE LE SYSTÈME DNS ET ACTIVE DIRECTORY ...................................... 46 ENREGISTREMENTS SRV ............................................................................................ 48 PROTOCOLE LDAP ..................................................................................................... 49 SCHÉMA ACTIVE DIRECTORY ....................................................................................... 53 CATALOGUE GLOBAL ................................................................................................... 54 OPÉRATIONS PRINCIPALES SIMPLES ............................................................................. 55 QUELQUES DIFFÉRENCES ENTRE LES NIVEAUX FONCTIONNELS DE FORÊT ....................... 58 DIFFÉRENCES ENTRE LES NIVEAUX FONCTIONNELS DE DOMAINE .................................... 59 QUESTIONS/RÉPONSES (DÉPLOIEMENT DE WINDOWS 2003) ......................................... 61

INSTALLATION WINDOWS SERVER 2003 .............................................................. 64

CONFIGURATION DE LA CARTE RÉSEAU AVEC UNE ADRESSE IP STATIQUE ....................... 70 TABLEAU DU PLAN D’ADRESSAGE DES MACHINES DE LA SALLE DE COURS ....................... 70 DISQUETTES D'INSTALLATION DE SERVER 2003 ............................................................ 71

SERVICES PACKS ..................................................................................................... 72

PLANIFICATION DES MISES À JOUR AUTOMATIQUES ....................................................... 73

LA CONSOLE DE RÉCUPÉRATION ......................................................................... 74

INSTALLATION DE LA CONSOLE DE RÉCUPÉRATION COMME OPTION DE DÉMARRAGE ........ 74 EXÉCUTION DE LA CONSOLE DE RÉCUPÉRATION À PARTIR DU CD-ROM ......................... 74 CRÉATION ET CONVERTION D’UN DISQUE EN NTFS ....................................................... 75

VÉRIFIER QUE « AUTORISER L’OUVERTURE DE SESSION D’ADMINISTRATION AUTOMATIQUE » EST DÉSACTIVER ............................................................................................................... 75

T A B L E D E S M A T I E R E S

CENTRE DE FORMATION G E F I - CRETEIL

2 TYPES D’OUVERTURE DE SESSION ....................................................................... 76

INTÉGRATION D’UNE MACHINE EN WORKGROUP DANS UN DC ........................................ 78

PROTOCOLE D’AUTHENTIFICATION ...................................................................... 81

NTLM ........................................................................................................................ 81 NTLM VERSION 1 ....................................................................................................... 82 NTLM VERSION 2 ....................................................................................................... 82

CONNEXION AVEC KERBEROS ............................................................................... 85

AUTHENTIFICATION DE CONNEXION INITIALE .................................................................. 86 RÉSOLUTION DE NOM DNS DU KDC ............................................................................. 89 ARCHITECTURE DE MULTIPLES SERVICES D’AUTHENTIFICATION ...................................... 91 QUESTIONS / RÉPONSES ............................................................................................. 94

CONFIGURATION DE LA MÉMOIRE VIRTUELLE ................................................... 95

POUR CONFIGURER LA MÉMOIRE VIRTUELLE .................................................................. 97 QUESTIONS/RÉPONSES ............................................................................................... 99

INSTALLER LES OUTILS D'ADMINISTRATION ..................................................... 100

INSTALLER LES OUTILS D'ADMINISTRATION WINDOWS EN LOCAL................................... 100

UTILISATION DU « SECOND LOGIN » ................................................................... 101

UTILISATION DES OUTILS D’ADMINISTRATION, ET UTILISATION DE RUNAS ...................... 103

CONFIGURATION DE L’HORLOGE WINDOWS ..................................................... 104

POUR ACTIVER/DÉSACTIVER LE SERVICE HORLOGE WINDOWS ..................................... 107 SYNCHRONISER L’HORLOGE DE SON ORDINATEUR ....................................................... 109

GESTION DU SYSTÈME WINDOWS ....................................................................... 111

CONNEXION À DES DOSSIERS PARTAGÉS ........................................................ 112

COMMENT RENDRE UN PARTAGE INVISIBLE ? ............................................................... 113 UTILISATION DES DOSSIERS PARTAGÉS D'ADMINISTRATION .......................................... 113 AFFICHAGE DE SESSIONS D’UTILISATEURS ET ORDINATEURS. ....................................... 115 POUR AFFICHER LES CONNEXIONS AUX RESSOURCES PARTAGÉES ............................... 116

CRÉER UNE CONSOLE MMC PERSONNALISÉE POUR GÉRER ET ANALYSER LES DOSSIERS PARTAGÉS SUR PLUSIEURS SERVEURS ........................................................................ 117 CRÉATION D’UN LECTEUR RÉSEAU, ET SE CONNECTER À UNE RESSOURCE PARTAGÉE ... 118 UTILISATION DE LA COMMANDE NET SHARE ............................................................. 120 UTILISATION DE LA COMMANDE NET USE .................................................................. 121 EXERCICE SUR LA COMMANDE NET USE ................................................................... 122 UTILISATION DE LA COMMANDE NET VIEW ................................................................. 123 EXERCICE SUR LA COMMANDE NET VIEW .................................................................. 123 NET START ............................................................................................................ 124 NET STOP .............................................................................................................. 124 UTILISATION DE LA COMMANDE NET SEND, NET STOP, NET START ...................... 125

NOTION DES GROUPES .......................................................................................... 126

GROUPES DANS UN DOMAINE ..................................................................................... 128 TYPE DE GROUPE ...................................................................................................... 128 PORTÉE DES GROUPES (ÉTENDUE DE GROUPE) ........................................................... 129

DES DIFFÉRENCES NOTABLES SELON LES SITUATIONS ET ENCORE DE GROSSES ÉVOLUTIONS PAR RAPPORT À WINDOWS NT 4.0. ................................................................................... 140 CRÉATION DE GROUPE ............................................................................................... 140 QUESTIONS/RÉPONSES ............................................................................................. 145

DANS CET EXERCICE, VOUS ALLEZ CRÉER UN GROUPE GLOBAL, LUI AJOUTER UN COMPTE D'UTILISATEUR, PUIS AJOUTER LE GROUPE GLOBAL À UN GROUPE DE DOMAINE LOCAL INTÉGRÉ.

................................................................................................................................ 147

PRÉSENTATION DES COMPTES D'UTILISATEURS ............................................. 148

COMPTE D’UTILISATEUR ............................................................................................. 149 GROUPES ET IDENTITÉS IMPLICITES ............................................................................ 149



3 RESPECTEZ LES INSTRUCTIONS CI-DESSOUS CONCERNANT LES CONVENTIONS DE DÉNOMINATION.

................................................................................................................................ 151 PRÉSENTATION DES NOMS D'OUVERTURE DE SESSION D'UTILISATEUR .......................... 152 LES COMPTES D'ORDINATEUR .................................................................................... 162 TÂCHES ADMINISTRATIVES COURANTES ...................................................................... 164 LOCALISATION DES COMPTES D'UTILISATEUR .............................................................. 164 DANS CET EXERCICE, VOUS ALLEZ CRÉER DEUX COMPTES D'UTILISATEUR LOCAUX. ....... 166 ADMINISTRATION DES COMPTES D'UTILISATEURS ......................................................... 167

PROFILS D'UTILISATEURS ..................................................................................... 169

CONFIGURATION DU PROFIL UTILISATEUR ................................................................... 171

LOGON SCRIPT ........................................................................................................ 175

POUR ASSIGNER UN SCRIPT DE DÉMARRAGE OU D’ARRÊT SYSTÈME ............................. 180

LE RÉPERTOIRE DE BASE ..................................................................................... 184

POUR AJOUTER UN RÉPERTOIRE DE BASE À UN PROFIL (DC) ........................................ 184 QUESTIONS/RÉPONSES ............................................................................................. 186

GESTION D’ACCÈS AUX RESSOURCES (RAPPEL) ............................................ 189

CONTRÔLE D’ACCÈS .................................................................................................. 189 AUTORISATIONS ........................................................................................................ 190 CRÉATION DE GROUPES ET PERMISSIONS NTFS ......................................................... 193

LA COMMANDE CACLS .......................................................................................... 196

UTILISATION DE LA COMMANDE CACLS ...................................................................... 198 QUESTIONS/RÉPONSES ............................................................................................. 199 APPLICATION D’UN SCRIPT EN LOCAL (RAPPEL) ........................................................... 202

STRATÉGIES DE GROUPES ................................................................................... 203

RÉSOLUTION DES CONFLITS ....................................................................................... 206 LA MICROSOFT MANAGEMENT CONSOLE .................................................................... 217

LE SERVICE PLANNING .......................................................................................... 228

PLANIFICATION DE TÂCHES EN LIGNE DE COMMANDE ................................................... 230

ARCHITECTURE RÉSEAU DE WINDOWS SERVER 2003 .................................... 231

NDIS ........................................................................................................................ 232 TDI .......................................................................................................................... 233

RÉSOLUTION DE NOMS ......................................................................................... 235

PROCESSUS DE RÉSOLUTION DE NOMS D'HÔTE ........................................................... 236 QUE SONT LES NOMS NETBIOS ? .............................................................................. 242 PROCESSUS DE RÉSOLUTION DE NOMS NETBIOS ....................................................... 246 TYPES DE NŒUDS NETBIOS ................................................................................ 252 SERVICES RÉSEAUX WINDOWS .................................................................................. 262 SMB ........................................................................................................................ 269 L’ORGANIGRAMME DE LA RÉSOLUTION DE NOMS NETBIOS (PREMIÈRE PARTIE) .............. 277 L’ORGANIGRAMME DE LA RÉSOLUTION DE NOMS NETBIOS (DEUXIÈME PARTIE) .............. 278 QUESTIONS/RÉPONSES ............................................................................................. 279

SERVICE EXPLORATEUR D'ORDINATEURS ........................................................ 283

PRÉSENTATION ......................................................................................................... 283 INSTALLATION ........................................................................................................... 284 RÔLE DES EXPLORATEURS ......................................................................................... 285 FONCTIONNEMENT .................................................................................................... 287 QUESTIONS/RÉPONSES ............................................................................................. 296

LE REGISTRE ........................................................................................................... 297

LE REGISTRE EST DIVISÉ EN CINQ ARBORESCENCES PRINCIPALES ............................... 298 OUTILS DE GESTION DU REGISTRE ............................................................................. 309 EXPORTATION ET IMPORTATION ................................................................................. 313



4 SAUVEGARDER UNE RUCHE ....................................................................................... 317 UTILISATION DE "SYSTEM RESTORE" OU RESTAURATION DU SYSTÈME ......................... 321 SAUVEGARDER LE REGISTRE RÉGULIÈREMENT ........................................................... 326 OPTIONS DE MENU AVANCÉ ....................................................................................... 329 CONSOLE DE RÉCUPÉRATION .................................................................................... 330 AUTOMATED SYSTEM RECOVERY ............................................................................... 331 RENOMMEZ UNE ICÔNE .............................................................................................. 333 PERSONNALISER LES ICÔNES ..................................................................................... 333 ADDITION D'ICÔNES AU BUREAU ................................................................................. 333 DISSIMULATION D'ICÔNES DU BUREAU ........................................................................ 335 PERSONNALISATION D'ASSOCIATIONS DE FICHIER ....................................................... 335 DÉMARRER L'EXPLORATEUR DE WINDOWS DANS UN DOSSIER PARTICULIER ................. 337 CONFIGURATION DU CONTENU DU MENU DE DÉMARRAGE ............................................. 337 PARAMÉTRER LA LISTE DES PROGRAMMES FRÉQUEMMENT EMPLOYÉE ........................ 338 EFFACER LA LISTE D'HISTORIQUE ............................................................................... 340 QUELLES APPLICATIONS S’EXÉCUTENT AU DÉMARRAGE DE WINDOWS ? ....................... 340 "LOGGING" AUTOMATIQUEMENT ................................................................................. 341 CHANGEMENT D'INFORMATION D'UTILISATEUR ............................................................ 342 AUTOPLAY ................................................................................................................ 342 PANNEAU DE CONFIGURATION .................................................................................... 342 AFFICHAGE DE VOS FAVORIS ...................................................................................... 343 MENUSHOWDELAY .................................................................................................... 343 VERROUILER LE PAVÉ NUMÉRIQUE (INITIALKEYBOARDINDICATORS) ............................. 343 FILENAME COMPLETION ............................................................................................. 343 LAMEBUTTONENABLED .............................................................................................. 344 INSERTMODE ............................................................................................................ 344 CACHEDLOGONSCOUNT ............................................................................................ 344



5

Support pour la première semaine Windows Server 2003

Système d'exploitation pour Machine Serveur.

EDOUARD DOS SANTOS

O B J E C T I F S D U C O U R S


6

OBJECTIFS DU COURS

Le rôle du technicien micro-réseau (premier niveau) Le technicien d’assistance en informatique installe et dépanne des matériels informatiques et des logiciels. Il assiste les utilisateurs ou les clients pour assurer la continuité du service rendu par les outils informatiques et bureautiques. Il peut intervenir sur le site même ou à distance (le plus souvent par téléphone), et doit respecter des procédures et des contrats de services. En entreprise, son rôle consiste à assurer la mise en relation physique des ordinateurs en interne (gestion du serveur interne) et avec les réseaux extérieurs (configuration des accès internet et extranet). • Appliquer les normes de sécurité et d'assurance qualité en assistance informatique • Planifier et gérer les interventions en assistance informatique • Rechercher des informations techniques et des outils • Assembler un équipement micro-informatique • Installer ou échanger un sous-ensemble matériel micro-informatique • Installer et configurer le logiciel d'un poste de travail informatique • Diagnostiquer un dysfonctionnement matériel ou logiciel en micro-infomatique • Assurer les évolutions et la continuité de service d'un poste de travail informatique • Sécuriser un poste de travail informatique et ses données • Raccorder un poste de travail à un réseau informatique • Assister les utilisateurs bureautiques • Déployer les postes clients d'un réseau d'entreprise • Communiquer au téléphone en assistance informatique • Résoudre un problème à distance en assistance informatique • Utiliser l'anglais dans son activité professionnelle en informatique (un plus) • Gestion du stockage. Inclut le contrôle du stockage des données, la récupération des données, la sauvegarde des données automatisées et l'archivage des données. •Gestion des événements. Inclut la collecte, le regroupement et la surveillance des informations sur les journaux et sur l'état

P R O G R A M M E M C P


7

PROGRAMME MCP

Microsoft Formations et Certifications propose diverses certifications pour les développeurs et les professionnels de l'informatique. Le programme MCP (Microsoft Certified Professional) est un programme de certification renommé qui valide votre expérience et vos connaissances pour assurer votre compétitivité sur un marché de l'emploi en pleine évolution. Le programme MCP comprend les certifications ci-dessous :

MCSA sur Microsoft Windows Server 2003 La certification MCSA (Microsoft Certified Systems Administrator) est destinée aux professionnels qui implémentent, gèrent et dépannent des environnements réseau et système fondés sur les plates-formes Microsoft Windows 2000, dont la famille Windows Server 2003. Leurs tâches d'implémentation comprennent l'installation et la configuration d'au moins une partie de ces systèmes. En matière de gestion, leurs responsabilités englobent l'administration et le support technique de ces systèmes.

MCSE sur Microsoft Windows Server 2003 La certification MCSE (Microsoft Certified Systems Engineer) est la principale certification pour les professionnels dont le rôle consiste à analyser les besoins des entreprises, pour ensuite concevoir et implémenter des infrastructures de solutions d'entreprise à partir de la plate-forme Microsoft Windows 2000 et des logiciels serveurs de Microsoft, dont la famille Windows Server 2003. Leurs tâches d'implémentation comprennent l'installation, la configuration et le dépannage des systèmes réseau.

MCAD La certification MCAD (Microsoft Certified Application Developer) pour Microsoft .NET est destinée aux professionnels qui emploient les technologies Microsoft pour développer et administrer des applications au niveau de leur département, des composants, des clients Web ou de bureau, ou encore des services de données back-end, ainsi qu'à ceux qui travaillent dans des équipes de développement d'applications d'entreprise. Cette certification englobe des tâches allant du développement et du déploiement jusqu'à la maintenance de ces solutions.

MCSD La certification MCSD (Microsoft Certified Solution Developer) est la principale certification pour les professionnels qui conçoivent et développent des solutions d'entreprise de pointe à l'aide d'outils de développement, de technologies, de plates-formes Microsoft et de l'architecture Microsoft Windows DNA. Parmi les types d'applications que les titulaires d'une certification MCSD sont susceptibles de développer, citons les applications de bureau et multi-utilisateurs, les applications Web, les applications multiniveaux et les applications transactionnelles. Les tâches qu'ils assument vont de l'analyse des besoins de l'entreprise jusqu à la maintenance des solutions mises en .uvre.

MCDBA sur Microsoft SQL Server. 2000 La certification MCDBA (Microsoft Certified Database Administrator) est la principale certification destinée aux professionnels chargés de l'implémentation et de



8 l'administration de bases de données Microsoft SQL Server. Cette certification valide les compétences dans les domaines suivants : mise à jour d'anciens modèles de bases de données physiques, développement de modèles de données logiques, création de bases de données physiques, création de services de données au moyen de Transact-SQL, gestion et maintenance des bases de données, configuration et gestion de la sécurité, surveillance et optimisation des bases de données, et installation et configuration de SQL Server.

MCP La certification MCP valide les compétences dans le domaine de l'implémentation d'un produit ou d'une technologie Microsoft intégrés à une solution d'entreprise au sein d'une organisation. Il est nécessaire de bénéficier d'une expérience pratique du produit pour obtenir cette certification.

MCT La certification MCT (Microsoft Certified Trainers) valide les compétences pédagogiques et techniques des personnes qui dispensent des cours MOC dans des centres de formation technique agréés Microsoft CTEC (Certified Technical Education Center).

Pour plus d'informations, consultez le site Web Microsoft Formations et Certifications à l'adresse http://www.microsoft.com/france/formation/

MCSE sur Windows Server 2003 : les conditions d'obtention Selon votre profil, vous devez obtenir 7 examens :

4 examens dans la catégorie Réseaux, + 1 examen dans la catégorie Système d'exploitation client, + 1 examen dans la catégorie Architecture, + 1 examen à choisir dans la liste des Examens complémentaires. Les examens à passer Réseaux Vous devez passer 4 examens : 70-290 - Administration et maintenance d'un environnement Windows Server 2003 70-291 - Mise en oeuvre, administration et maintenance d'une infrastructure réseau Windows Server 2003 70-293 - Planification et maintenance d'une infrastructure réseau Windows Server 2003 70-294 - Planification, mise en oeuvre et maintenance d'une infrastructure Active Directory Windows Server 2003 + Système d'exploitation client Vous devez passez 1 examen au choix : 70-270 - Installation, configuration et administration de Microsoft Windows XP Professionnel 70-210 - Installation, configuration et administration de Microsoft Windows 2000 Professionnel * * Les candidats qui détiennent l'examen 70-240 en reçoivent le crédit pour l'examen 70-210. + Architecture Vous devez passez 1 examen au choix : 70-297 - Conception d'une infrastructure réseau et Active Directory avec Windows Server 2003 70-298 - Conception de la sécurité pour un réseau Windows Server 2003



9 + Examens complémentaires Vous devez passez 1 examen au choix : 70-086 - Implémentation et support technique de Microsoft Systems Management Server 2.0 70-227 - Installation, configuration et administration de Microsoft Internet Security and Acceleration Server 2000 70-228 - Installation, configuration et administration de Microsoft SQL Server 2000 Édition Entreprise 70-229 - Conception et implémentation de bases de données avec Microsoft SQL Server 2000 Édition Entreprise 70-232 - Implémentation et maintenance de solutions Web à haute disponibilité avec les technologies de Microsoft Windows 2000 Server et Microsoft Application Center 2000 70-281 - Planification, déploiement et administration d'une solution de gestion de projet en entreprise 70-282 - Conception, déploiement et administration d'une solution réseau pour PME 70-284 - Implémentation et gestion de Microsoft Exchange Server 2003 70-285 - Conception d'une infrastructure de messagerie avec Microsoft Exchange Server 2003 70-297 - Conception d'une infrastructure réseau et Active Directory avec Microsoft Windows Server 2003 70-298 - Conception de la sécurité pour un réseau Microsoft Windows Server 2003 70-299 - Implémentation et administration de la sécurité dans un réseau Microsoft Windows Server 2003 Autres examens complémentaires alternatifs - Les certifications suivantes peuvent se substituer à un examen complémentaire : MCSA sur Microsoft Windows 2000, MCSE sur Microsoft Windows 2000, MCSE sur Microsoft Windows NT 4.0 (ce cursus n'est plus disponible dans les centres de tests), CompTIA Security+ (en anglais), Unisys UN0-101 : Implementing and Supporting Microsoft Windows Server 2003 Solutions in the Data Center (en anglais). A noter Les examens de mise à niveau 70-292 - Administration et maintenance d'un environnement Microsoft Windows Server 2003 pour une personne certifiée MCSA sur Windows 2000 et 70-296 - Planification, mise en oeuvre et maintenance d'un environnement Microsoft Windows Server 2003 pour une personne certifiée MCSE sur Windows 2000 sont proposés aux candidats possédant déjà la certification MCSE pour Windows 2000.

R Ô L E S D E L ' O R D I N A T E U R


10

RÔLES DE L'ORDINATEUR

Les serveurs jouent de nombreux rôles dans l'environnement réseau client/serveur. Certains serveurs sont configurés pour l'authentification et d'autres pour exécuter des applications. Certains fournissent des services réseau qui permettent aux utilisateurs de communiquer ou de trouver d'autres serveurs et ressources sur le réseau. En tant qu'administrateur système, vous devez connaître les principaux types de serveurs et les fonctions qu'ils exécutent sur le réseau.

Voici quelques rôles pouvant être implémentés au sein d’une infrastructure réseau par Windows 2003 Serveur : Contrôleur de domaine (Active Directory) Les contrôleurs de domaine stockent les données d'annuaire et gèrent les communications entre les utilisateurs et les domaines, y compris les processus d'ouverture de session utilisateur, d'authentification et de recherche dans l'annuaire. Serveur de fichiers Un serveur de fichiers fournit, sur le réseau, un emplacement central pour stocker les fichiers et les partager avec les autres utilisateurs du réseau. Lorsque les utilisateurs ont besoin d'un fichier important tel qu'un plan de projet, ils peuvent accéder au fichier sur le serveur de fichiers au lieu de le transférer entre leurs ordinateurs. Serveur d'impression Un serveur d'impression fournit, sur le réseau, un emplacement central dans lequel les utilisateurs peuvent imprimer. Il fournit aux clients des mises à jour des pilotes d'imprimantes et gère l'ensemble de la mise en file d'attente d'impression et la sécurité. Serveur DNS Le service DNS (Domain Name System) est un service de noms Internet et TCP/IP standard. Il permet aux ordinateurs clients du réseau d'enregistrer et de résoudre des noms de domaines DNS. Un ordinateur configuré pour fournir des services DNS dans un réseau est un serveur DNS. Ce serveur est nécessaire pour implémenter Active Directory.

R Ô L E S D E L ' O R D I N A T E U R


11 Serveur Terminal Server Un serveur Terminal Server permet d'installer une application dans un seul point et sur un serveur unique. Plusieurs utilisateurs peuvent alors accéder à l'application sans avoir à l'installer sur leurs ordinateurs. Ils peuvent exécuter les programmes, enregistrer des fichiers et utiliser les ressources réseau à partir d'un emplacement distant, comme si ces ressources étaient installées sur leur propre ordinateur. (encore d’autres rôles sont disponibles comme : Serveur DHCP, WINS, Radius, d’Accès distant , de Certificats etc…. L'outil Gérer votre serveur Lorsque Windows Server 2003 est installé et qu'un utilisateur ouvre une session pour la première fois, l'outil Gérer votre serveur démarre automatiquement. Cet outil permet d'ajouter ou de supprimer des rôles de serveur.

W I N D O W S 2 0 0 3 S E R V E R


12

WINDOWS 2003 SERVER

Windows XP (NT 5.1) (pour eXPerienced) (stations de travail) et Windows 2000 Serveurs (NT 5.0) est l'aboutissement du désir d'unification des plates-formes Windows entre les mondes personnel et professionnel. En particulier, l'utilisateur grand public va pouvoir enfin bénéficier de la technologie "NT" (Système d'exploitation 32 bits totalement préemptif), ainsi qu’une géneration de système Windows Server 2003 64 bits pour la nouvelle géneraltion de processeur 64 bits de chez INTEL (Itanium…..).

Microsoft décide de modifier le nom de la prochaine famille des serveurs Windows en Windows Server 2003 (NT 5.2 ou WNS2K3) (anciènnement .NET Server).

En effet, jusqu'alors, il existait 2 grandes familles du système d'exploitation de Windows, basées sur des noyaux radicalement différents :

L E S D I F F É R E N T E S V E R S I O N S


13

LES DIFFÉRENTES VERSIONS

Il y a 2 familles de versions, toutes basées sur le même noyau, lui-même issu de celui de Windows 2000 : Stations de travail : Windows XP 2 variantes :

Home (Familial) Successeur de Windows 9x et ME Mono-processeur, et ne peut pas intégrer un domaine Active Directory. (C'est la grande nouveauté)

Professional (Professionnel) Successeur de Windows 2000 Pro Bi-processeur

Serveurs : Windows Server 2003 (appelé pendant quelque temps Windows 2002 ou .NET Server) 4 variantes :

Windows 2003 Web Server Windows 2003 Standard Server Windows 2003 Entreprise Server Windows 2003 DataCenter Server



14 Calendrier de sortie

Windows 2000 est commercialisé depuis le 17 février 2000 pour les versions Professionnal, Server et Advanced Server. et depuis le 11 août 2000 pour la version Data Center Server Windows XP : 25 octobre 2001 Windows Server 2003 : 24 avril 2003

La famille Windows serveur est composée de quatre produits

Version Caractéristiques

Nouveau produit dans la famille serveur Windows, Windows 2003 Web Server est optimisé pour les fonctions de serveur et d'hébergement Web. Windows 2003 Web Server : Est facile à déployer et à gérer. Fournit une plate-forme destinée au développement et au déploiement rapide de services et d'applications Web qui utilisent la technologie Microsoft ASPServer 2003, pièce essentielle de la structure Server 2003. Peut être géré à l'aide d'une interface basée sur un navigateur à partir d'une station de travail distante. Prend en charge 2 processeurs maxi, et supporte jusqu’à 2 GB de mémoire physique. Contient un firewall (bloquant certaines applications), les connexions SMB sont limitées à 10 maxi, ne peut être DC, le Services Terminal ne permet que le mode administration, installation. Ne supporte pas les Services Certificats.

Windows Server 2003 Standard Server constitue le système d'exploitation réseau fiable qui permet d'obtenir rapidement et aisément des solutions professionnelles. Ce serveur flexible représente le choix idéal pour les besoins quotidiens d'entreprises de toute taille. Windows 2003 Standard Server : Prend en charge le partage de fichier et d'imprimante. Offre une connectivité Internet sécurisée. Permet un déploiement d'application de bureau centralisée. Permet une collaboration performante entre les employés, les partenaires et les clients. Prend en charge le traitement multiple symétrique bidirectionnel (4 CPU) et jusqu'à 4 giga-octets (Go) de mémoire. Prend en charge AD, les stratègies de groupes, le DNS dynamique, les applications serveur (DHCP, WINS, Impression etc.. ), prise en main du bureau à distance ainsi que l’équilibrage de charge (clusters de 2 noeuds).

Conçu pour les moyennes et grandes entreprises, Windows 2003 Enterprise Server propose les fonctionnalités requises pour une infrastructure d'entreprise, des applications professionnelles et des transactions de commerce électronique. Les Windows Server 2003, Entreprise Édition seront disponibles pour des plates-formes 32 bits et 64 bits. Windows 2003 Enterprise Server : Est un système d'exploitation comprenant toutes les fonctions et qui prend en charge jusqu'à huit processeurs SMP. Fournit des fonctionnalités de niveau professionnel, telles que le service de clusters à huit nœuds. Est disponible pour les ordinateurs basés sur Intel® Itanium™. 32 gigabytes (GB) de RAM pour l’édition 32-bits et 64 GB de RAM pour la version 64-bits. Cluster de 8 nœuds et jusqu’à 8 CPU.

Conçu pour les solutions critiques d'entreprise qui nécessitent les bases de données les plus dimensionnables et un traitement de transaction de grand volume, Windows 2003 Datacenter Server constitue également une plate-forme idéale pour la consolidation de serveur. Les Windows Server 2003, Datacenter Édition seront disponibles pour des plateformes 32 bits et 64 bits.



15 Windows 2003 Datacenter Server : Représente le système d'exploitation de serveur le plus puissant et fonctionnel que Microsoft n'a jamais conçu. Il prend en charge jusqu'à 32 (8 minimum) traitements multiples symétriques. Huit nœud en cluster 64 gigabytes (GB) de RAM pour l’édition 32-bits et 128 GB de RAM pour la version 64-bits



16

Configuration requise

Configuration requise pour la version Bêta 3.²

Configuration requise

Serveur Web Serveur standard

Serveur d'entreprise

Datacenter Server

Vitesse minimale du processeur

133 MHz 133 MHz 133 MHz pour les ordinateurs basés sur x86 733 MHz pour les ordinateurs basés sur Itanium

400 MHz pour les ordinateurs basés sur x86 733 MHz pour les ordinateurs basés sur Itanium

Vitesse de processeur recommandée

550 MHz 550 MHz 733 MHz 733 MHz

Quantité de mémoire RAM minimale

128 Mo 128 Mo 128 Mo 512 Mo

Quantité minimale de mémoire RAM recommandée

256 Mo 256 Mo 256 Mo 1 Go

Quantité de mémoire RAM maximale

2 Go 4 Go 32 Go pour les ordinateurs basés sur x86 64 Go pour les ordinateurs basés sur Itanium

64 Go pour les ordinateurs basés sur x86 128 Go pour les ordinateurs basés sur Itanium

Prise en charge de multi-processeurs

1 ou 2

1 ou 4 Jusqu'à 8 Minimum de 8 requis. Maximum de 32 pour les ordinateurs basés sur x86 Maximum de 64 pour les ordinateurs basés sur Itanium

Espace disque pour l'installation

1,5 Go 1,5 Go 1,5 Go pour les ordinateurs basés sur x86 2,0 Go pour les

1,5 Go pour les ordinateurs basés sur x86 2,0 Go pour les



17 ordinateurs basés sur Itanium

ordinateurs basés sur Itanium

Service de cluster

Non Non Oui Oui

ICS (Internet Connection Sharing)

Oui Oui Oui Non

Ajout de mémoire à chaud

Non Non Oui, version 32 bits uniquement

Oui, version 32 bits uniquement

Pour les ordinateurs x86, un lecteur de disquette haute densité. Pour les ordinateurs RISC, un lecteur de CD-ROM SCSI (12X), non requis si installation réseau. Carte graphique (VGA, 800x600) ou meilleur définition si possible.

Souris ou autre dispositif de pointage.

Les apports par rapport à Windows NT4 (liste incomplète!) Matériel port USB port IEEE 1394 port Infra-rouge (IRDA) Gestion de l'alimentation (pour les portables essentiellement) ACPI = Advanced Cofniguration and Power Interface) Plug and Play TOTAL! Prise en charge I20 : (Intelligent Input/Output permet d’améliorer les performances d’entrée/sortie (E/S) sur vos serveurs en transférant certaines opérations d’E/S sur un processeur secondaire. Déconnexion / reconnexion EN MARCHE de périphériques (et pas seulement USB), sans avoir besoin de redémarrer Cartes à puce (SmartCard,...)



18 Logiciel Démarrage en mode sans échec : permet de démmarer le sytème d’exploitation avec un nombre minimal de pilotes et de services. Console de récupération : permet de démarrer une console ligne de commande sur un système présentant un problème logiciel qui empêche le système de démarrer … Protection des fichiers systèmes : s’exécute en arrière plan et empêche les autres programmes de modifier les fichiers nécessaires au SE (sys, .dll, .ocx, .ttf, .fon, .exe) Récupération automatique du système : ASR vous permet de récupérer votre système en cas de défaillance du disque dur ou d’endommagement grave du système. Mode compatibilité : assure une compatibilité standard pour les nombreuses applications couirantes (Windows 95, 98, NT4.0 ou Windows 2000). Conformité au standard (TCP/IP v4 et TCP/IP v6) abandon de NetBEUI, WINS, .. (mais on peut toujours les ajouter si on le désire) Tout est basé sur les protocoles et services TCP/IP (DNS, LDAP,..) Système de fichiers NTFS5 (quotas + chiffrement) Défragmenteur de disque intégré ("DisKeeper") Possibilité de démarrer le système en mode sans échec (comme sous Win9x, mais avec la sécurité NT) Mise en veille prolongée du système (liée à ACPI) Restauration automatique des EXE et DLL vitaux Configuration réseau dynamique (sans redémarrage) Gestion centralisée du PC à l'aide de MMC (Microsoft Management Console) Sécurité accrue, p.ex. par l'authentification Kerbéros (système de clés asymétriques, publique et privée), remplaçant l'antique système NTLM (NT LanManager) qui présentait des failles de sécurité. P.ex. le mot de passe ne circule plus sur le réseau. DFS (Distributed File System), permettant de "fusionner" en une seule ressource plusieurs unités de disques réseau ADS (Active Directory Service) La nouveauté MAJEURE de Windows 2000/2003 !!! Remplace les "domaines NT". basé sur un annuaire LDAP, avec une arborescence illimitée Outil de migration Active Directory : ADMT peut vous aidez à migrer les comptes d’utilisateurs, les groupes ainsi que les comptes d’ordinateurs des domaines Windows NT4.0 vers les domaines Active Directory. Personnalisation totale des comptes utilisateurs Très grande stabilité du système Service d’installation à distance : vous pouvez créez des images d’installation des systèmes d’exploitation ou des configurations complètes d’ordinateurs et mettre à la disposition des utilisateurs sur les ordinateurs clients (les cartes réseaux doivent prendre en charge la ROM PXE (Pre-Boot eXecution). DirectX7 "Windows Installer" natif. Permet une installation très élaborée des applications, avec possibilité de "rollback" au cours de l'installation, et désinstallation "intelligente" (gestion des DLL partagées par plusieurs applications) Les versions serveur offrent d'origine les fonctionnalités multi-utilisateur apparues avec Windows Terminal Server. Répartition de charge réseau (Network balancing) pour la version Advanced Server. Nouveau protocole L2TP (Layer 2 Tunneling Protocol) pour réaliser des réseaux virtuels privés (VPN = Virtual Private Network), remplaçant PPTP (meilleure sécurité) Certification des exécutables et bibliothèques (EXE et DLL). Serveur DNS dynamique (versions serveurs)



19 Partage de connexions Internet (ICS). Planificateur de paquets QoS : permet un contrôle du trfic réseau (définition des priorités). Authentification IEEE 802.1x : carte à puce, EAP, MD5 etc… Et Windows 2000/2003 permet TOUJOURS de faire tourner des applications DOS (même graphiques) et Windows 16 bits, du moment qu'elles ne fassent pas appel directement au matériel. Qualité de service : Dans Windows 2000, le QoS est un ensemble de conditions que le réseau doit satisfaire afin d'offrir un niveau de service approprié pour la transmission des données. Ce service vous permet de contrôler l'allocation de bande passante réseau aux applications. Il assure également un système de remise des informations de bout en bout, fiable et rapide, sur le réseau. Mise en cluster : Windows 2000/2003 permet de regrouper plusieurs ordinateurs pour leur faire exécuter un ensemble d'applications communes. Ce regroupement apparaît comme un système unique au client et à l'application. Ce procédé est appelé la « mise en cluster » ou utilisation de clusters, et les groupes d'ordinateurs sont appelés des « clusters ». Cette organisation évite d'avoir un point unique de défaillance. Si un ordinateur est défaillant, tout autre ordinateur du cluster peut assurer les mêmes services à sa place. Multi-tâche : La fonction multi-tâche permet aux utilisateurs d'exécuter simultanément plusieurs applications sur un même système. Le nombre d'applications qu'un utilisateur peut exécuter simultanément et les performances associées du système dépendent de la quantité de mémoire disponible. Évolutivité SMP : Le multi-traitement symétrique (SMP, Symmetric MultiProcessing) est une technologie qui permet à un système d'exploitation d'utiliser simultanément plusieurs processeurs afin d'améliorer les performances du système en réduisant le temps d'exécution des transactions. Cette fonction SMP prend en charge jusqu'à 32 processeurs (ce nombre varie selon l'édition de Windows Server 2003). Services Terminal Serveur permettent de faire fonctionner des applications Windows sur des stations qui, sinon, ne pourraient pas exécuter ces applications. Le traitement et le stockage des donées se font sur le serveur, la station cliente a seulement besoin d’exécuter un client leger, ce qui demande que de mémoire et d’espace disque. Etc ….

L E S D I F F É R E N T S M O D E S D E L I C E N S I N G ( V E R S I O N S E R V E U R )


20

LES DIFFÉRENTS MODES DE LICENSING (VERSION SERVEUR)

Comment fonctionne le système de licence de Windows 2003 Server Trois modalités d'achat de licences Avant tout, il convient de rappeler les trois modalités d'acquisition des produits Microsoft. Première possibilité: l'achat des licences en même temps que le PC. Dans ce cas, les licences sont incluses dans le prix du PC sur lequel les outils correspondants sont installés suite à un accord OEM (Original Equipment Manufacturer) avec le fabricant. La seconde option consiste à acheter au détail les licences en même temps que les kits d'installation dans un point de vente quelconque. Ces deux cas concernent en général les particuliers ou les très petites entreprises. La dernière option, elle, s'adresse aux PME/PMI ou aux grandes entreprises. Il s'agit de l'acquisition de licences en volume Open et OSL (Open Souscription).

La licence Open est une formule d’acquisition souple et économique, destinée à toutes les entreprises qui souhaitentacquérir des logiciels Microsoft en plusieurs exemplaires. La licence Open propose des tarifs avantageux, à partir de 5 logiciels, et un niveau de prix garanti pendant 2 ans. Tous les logiciels Microsoft sont disponibles au tarif Open et peuvent être acquis au fur et à mesure du budget disponible. La licence OSL est une formule d’abonnement simple et avantageuse qui s’adresse aux entreprises qui possèdent 10 micro-ordinateurs minimum (pas de seuil maximum) et qui souhaitent standardiser tout leur parc informatique. OSL propose un abonnement "Tout Compris" aux 3 logiciels majeurs de Microsoft (mise à jour Windows, Office et Core Cal : Windows 2000 Server, Exchange 2000 Server, Share Point Portal Server, SMS Server). De plus, les clients peuvent souscrire pour des produits additionnels en Serveurs et Applications. Le paiement est étalé sur 3 ans et inclut l’envoi systématique de toutes les mises à jour, ainsi qu’un support technique de la part de Microsoft.

Le mode de licence de Windows Server 2003 se base sur l'idée que vous achetez une version et une licence Server 2003 pour pouvoir l'installer sur une machine, toutefois vous ne pouvez utiliser le système que si vous disposez d'une licence client. Une licence est juste un morceau de papier (pas de code ou mot de passe) spécifiant que vous pouvez utiliser un client. Une licence client coûte environ 47,04 € (pas loin de 308 francs), ce qui veut dire que vous devez acheter Windows 2003 Server + 5 licences clients (1229 € =7208,96743 F ) et ensuite le nombre suffisant de licences client (x 308 francs); ajoutez à cela, il y a le coût des logiciels clients et de leurs propres licences !



21

Le mode par Utilisateur/Poste

Une licence serveur par serveur installé avec le logiciel Des licences d‘accès client = CAL par poste/utilisateur connecté aux

serveurs.

CAL (Client Access Licence ou CAL) permet d‘accéder à tous les serveurs de même type dans l‘entreprise. Le prix de la CAL Utilisateur = prix de la CAL Périphérique

Cette utilisation des logiciels du groupe Serveurs s'opère selon trois modes distincts :

Chaque ordinateur client, quel que soit le système d'exploitation s'exécutant sur cet ordinateur, nécessite une licence d'accès client si le client accède au serveur pour l'un des services réseau de base suivants :

• Services de fichiers Partage et gestion de fichiers ou d'espace disque. • Impression de services.Partage et gestion d'imprimantes. • Connectivité Macintosh. Partage de fichiers et impression de services. • Services de fichiers et d'impression pour la connectivité NetWare.

Partage de fichiers et services d'impression pour les clients NetWare. • Services d'accès distant Accès au serveur depuis un ordinateur distant via un

lien de communication.

Le nombre de connexions client n'est pas toujours égal au nombre d'utilisateurs. Par exemple, lorsque le même utilisateur se connecte de manière concomitante depuis deux stations de travail, puis se connecte simultanément à un serveur à partir de ces deux stations de travail, on considère qu'il y a deux connexions. Inversement, lorsque deux utilisateurs se connectent au réseau successivement sur la même station de travail, puis se connectent à un serveur, ils peuvent être couverts par une seule licence d'accès client.

Le mode de licence "par Siège"

Chaque poste de travail a sa propre CAL pour accéder au logiciel Serveur correspondant. Il est nécessaire d'avoir autant de CAL que de postes de travail utilisant les fonctions du logiciel Serveur.

La licence d'accès client (Client Access Licence ou CAL) qui permet à un poste de travail d’accéder aux services fournis par un seul logiciel Serveur.



22 Exemple: 2 serveurs Windows et 650 postes connectés. Nécessité de 2 licences Windows Server et de 650 CAL

Licence d’accès client Utilisateur (User Cal)

Permet à un utilisateur d’accéder à un serveur Microsoft à partir de plusieurs périphériques.

Le mode de licence "par Serveur" Dans ce mode, qui n'est plus utilisé que par Windows 2003 Serveur, l'ensemble des postes au sein d'un réseau ont la possibilité d'utiliser les fonctions du logiciel Serveur. Le nombre de CAL sera alors défini au niveau du serveur, et lorsque ce nombre sera atteint, il ne sera plus possible d'utiliser ses services Exemple: 2 serveurs Windows avec 50 accès simultanés sur chacun. Nécessité de 2 licences Windows Serveurs et 50 CAL liées au serveur 1 et 50 CAL liées serveur 2.

Mode de licence et ordinateurs LAC nécessaires

Option Par serveur

Nombre de connexions simultanées nécessaires sur le serveur 1 Nombre de connexions simultanées nécessaires sur le serveur 2 Nombre de connexions simultanées nécessaires sur le serveur N Nombre de LAC nécessaires = serveur 1 + serveur 2 +… + serveur N A

Option Par siège

Nombre d'ordinateurs accédant à tout serveur B

Ajoutez le nombre maximum de connexions attendues pour chaque serveur pour calculer la valeur A, nombre de LAC nécessaires pour la licence Par serveur. Comptez le nombre d'ordinateurs clients qui accèdent à tout serveur pour obtenir la valeur B, nombre de LAC pour la licence Par siège. Utilisez ensuite le critère suivant pour décider de l'utilisation de l'option Par serveur ou Par siège.

• Si A est inférieur à B, utilisez la licence Par serveur. • Si B est inférieur à A, utilisez la licence Par siège.

Les licences dont vous aurez besoin

-Une licence pour chaque Serveur exécutant Windows Serveur 2003 -Une licence pour chaque station de travail exécutant Windows XP

ou 2000 Pro -Une licence d’accès client pour chaque connexion d’authentification au serveur

Il est possible de convertir (une seul fois) le mode de licence par serveur en par siège.



23 Windows Server 2003 Standard Edition + 5 Licences Acces Client coûte environ 1229 € soit 7208,96 FRF. Windows Server 2003 Entreprise Edition + 5 Licences Acces Client coûte environ 4564,42 € soit 27740,42 FRF. Remarque : En général lorsque vous achetez une version Windows Server 2003 Entreprise Edition ou une version Windows Server 2003 Standard Edition la plupart du temps celle-ci comprend une licence pour le serveur et cinq licences pour les clients.

W O R K G R O U P E T D O M A I N E


24

WORKGROUP ET DOMAINE

Les groupes de travail (Workgroups) et les domaines (Domains) sont des environnements réseau ; en revanche, ils présentent de nombreuses différences dans la manière dont les comptes d'utilisateur, l'authentification et la sécurité sont traitées. Pour configurer Microsoft® Windows® XP Pro/2000/Server 2003 pour qu'il fonctionne dans un groupe de travail ou un domaine, vous devez créer et configurer correctement des comptes d'utilisateur, et configurer la sécurité du réseau.

Workgroup Sur un réseau point à point, il n'existe aucun serveur dédié, ni aucune hiérarchie des ordinateurs. Tous sont égaux et sont par conséquent considérés comme « homologues ». Chaque ordinateur fonctionne à la fois comme client et comme serveur et aucun administrateur n'est généralement chargé de la gestion du réseau. La sécurité est assurée par la base de données locale du service d'annuaire sur chaque ordinateur. Ce sont les utilisateurs qui définissent sur chaque ordinateur les données à partager sur le réseau. Les groupes de travail sont des regroupements informels d’ordinateurs ou chaque machine est administrée séparément. _ Les utilisateurs sont au nombre de dix au maximum. _ Les utilisateurs partagent des ressources et des imprimantes, sans serveur dédié. _ La sécurité n'est pas une priorité. _ Dans un futur proche, la croissance de l'entreprise et du réseau sera limitée.

Chaque ordinateur possède sa propre base de données locale pour le Gestionnaire de comptes de sécurité (SAM : Security Account Manager), les utilisateurs doivent disposer d’un compte d’utilisateur sur tous les ordinateurs auxquels ils ont besoin d’accéder

Les ordinateurs exécutant des logiciels serveur dans un groupe de travail sont nommés serveurs autonomes. Bien que les groupes de travail puissent être très utiles, ils deviennent peu maniables si le réseau comprend plus de dix ordinateurs.



25 Chaque utilisateur doit disposer d'un compte d'utilisateur local sur chacun des ordinateurs auxquels il souhaite accéder. Ainsi, si cinq employés disposent de cinq ordinateurs appartenant à un groupe de travail et qu'ils ont tous besoin d'accéder aux ressources des uns et des autres, le groupe de travail contiendra 25 comptes d'utilisateur, soit un compte d'utilisateur local par employé sur chaque ordinateur. Physiquement, la base de données fait partie du registre et est stocké dans le répertoire %SystemRoot%\System32\CONFIG. Les informations à l’intérieur de ces fichiers sont stockées sous une forme hautement chiffrée afin de prévenir les attaques (normalement !!! ☺).

Sam

Registry key HKEY_LOCAL_MACHINE\SAM Ici, sont stockées les informations concernant les comptes utilisateurs et les groupes cryptés ☺.

Security Registry key HKEY_LOCAL_MACHINE\SECURITY Les droits et les permissions des utilisateurs de la machine locale.

Software Registry key HKEY_LOCAL_MACHINE\SOFTWARE Contient les informations relatives à la configuration logicielle de l'ordinateur local

System Registry key HKEY_LOCAL_MACHINE\SYSTEM Données de configuration pour contrôler le système (le nom de l'ordinateur dans le réseau, ...). Les pilotes, les périphériques. Le jeu de configuration utilisé lors du dernier démarrage du système (lastknowgood). Les différents profils matériels

Attention une copie de ces fichiers se trouve aussi dans le répertoire « windows\repair », pour une utilisation avec la disquette de récupération Système Automatique (ASR), voir plus cours XP PRO..

Domaine Un domaine (Domain) représente un groupement logique d’ordinateurs sur un réseau avec une base de données de sécurité centrale servant à stocker les informations de sécurité. Un domaine est une configuration en réseau avec une unité centrale, ou serveur, pour laquelle les aspects administration, ressources et sécurité sont centralisés sur le serveur. L'environnement d'utilisation du réseau est beaucoup plus rigide et sécurisant et les ressources partagées sont gérées en fonction de droits d'accès. La centralisation de l’administration et de la sécurité s’avère fort importante pour les ordinateurs d’un domaine parce qu’elle permet à un administrateur de facilement gérer les ordinateurs géographiquement éloignés l’un de l’autre.



26 Le fait d'intégrer un domaine permet aux utilisateurs disposant de comptes d'utilisateur de domaine d'accéder aux ressources contenues dans ce domaine. Le fait d'intégrer un ordinateur à un domaine soumet également l'ordinateur et les utilisateurs à la stratégie de groupe, aux stratégies de compte et aux paramètres de sécurité configurés pour le domaine.

Les éléments ci-dessous sont nécessaires pour intégrer un domaine.

_ Un nom de domaine.

Vous devez connaître le nom exact du domaine auquel vous voulez intégrer l'ordinateur.

_ Un compte d'ordinateur.

Avant de pouvoir être intégré à un domaine, un ordinateur doit disposer d'un compte dans le domaine. Un administrateur de domaine peut créer le compte en utilisant le nom unique de l'ordinateur ou vous pouvez créer le compte pendant l'installation si vous disposez des privilèges appropriés. Si vous créez le compte pendant l'installation, le programme d'installation vous demande de spécifier le nom et le mot de passe d'un compte d'utilisateur qui dispose des droits nécessaires pour ajouter des comptes d'ordinateur de domaine.

_ Un serveur DNS (Domain Name System), qui soit un contrôleur de domaine disponible et un serveur exécutant le service Serveur DNS. Au moins un contrôleur de domaine du domaine auquel vous intégrez un ordinateur et un serveur DNS doit être en ligne quand vous installez l'ordinateur dans le domaine. Après avoir intégré un domaine, l'utilisateur, le groupe et les stratégies de compte configurées pour le domaine seront toujours prioritaires sur les stratégies configurées sur l'ordinateur local.

Contrôleur du domaine

Le contrôleur du domaine n'est là que pour faire la gestion du réseau. C'est lui qui possède chaque compte utilisateur, leur environnement de travail, leurs privilèges. C'est lui également qui s'occupera de la gestion générale du réseau entier à l'aide de ses différents outils (audit, gestion des imprimantes,). Et c'est lui qui centralisera toute la sécurité des différents serveurs et stations de travail. Ce serveur n'est pas utilisé pour garder les programmes réseaux ni les différents fichiers sur son disque dur. Cette tâche est réalisée par un serveur de fichier ou un serveur d'applications, Néanmoins, il arrive fréquemment que le serveur de fichier ou le serveur d'application fasse office de contrôleur du domaine. Cette station ne possède pas forcément un gros disque dur mais, en revanche, en fonction de sa tâche administrative, le processeur ainsi que sa mémoire vive peuvent être sollicités. On veillera donc à disposer d'un processeur assez rapide et d'une mémoire relativement importante.

Chaque domaine et chaque ordinateur du domaine porte un nom unique. Tous comptes d’utilisateur du domaine sont stockés dans une base de données d’annuaire, cette base de données est utilisée par le service Active directory. Les utilisateurs n’ont besoin que d’un seul compte d’utilisateur de domaine dans Active Directory pour accéder aux ressources réseau partagées du domaine.



27 Prend facilement en charge un petit groupe d’ordinateurs jusqu’à plusieurs milliers d’ordinateurs

Le fait d'intégrer un domaine permet aux utilisateurs disposant de comptes d'utilisateur de domaine d'accéder aux ressources contenues dans ce domaine.

Le fait d'intégrer un ordinateur à un domaine soumet également l'ordinateur et les utilisateurs à la stratégie de groupe, aux stratégies de compte et aux paramètres de sécurité configurés pour le domaine. Les utilisateurs ont le choix entre ouvrir une session sur l'ordinateur local et ouvrir une session sur un domaine dont l'ordinateur est membre. En raison de ce choix, l'écran de bienvenue affiché dans un groupe de travail n'est pas disponible dans un domaine.

Quand les utilisateurs ouvrent une session sur un domaine Windows Server 2000/2003, leurs informations d'identification sont contrôlées par rapport au sous-système de sécurité du domaine, à savoir la base de données Active Directory. Quand des utilisateurs disposant de comptes d'utilisateur de domaine ouvrent une session sur un ordinateur, une copie de leurs informations d'identification est mise en cache dans une zone sécurisée du Registre de l'ordinateur local. Ces informations d'identification mises en cache sont utilisées pour permettre à l'utilisateur d'ouvrir une session sur l'ordinateur si Active Directory n'est pas disponible pour authentifier l'utilisateur. Active Directory risque de ne pas être disponible quand le contrôleur de domaine est hors connexion, d'autres problèmes se produisent au niveau du réseau ou l'ordinateur n'est pas connecté au réseau, par exemple, quand les utilisateurs itinérants sont en déplacement. Chaque fois qu'un ordinateur ou un compte d'utilisateur est créé dans un domaine ou sur un ordinateur local, un identificateur de sécurité (SID, Security IDentifier) unique lui est attribué. Sur les réseaux exécutant Windows XP Professionnel et Windows 2000, les processus internes du système d'exploitation se réfèrent à l'identificateur de sécurité d'un compte plutôt qu'au nom d'utilisateur ou de groupe du compte.



28 Chaque objet, ou ressource de l'annuaire est protégé par des entrées de contrôle d'accès (ACE, Access Control Entry) qui identifient les utilisateurs ou les groupes autorisés à accéder à cet objet. Il est possible qu'un utilisateur dispose d'un compte d'utilisateur local et d'un compte d'utilisateur de domaine ayant les mêmes noms d'utilisateur et mots de passe. Cependant, étant donné qu'un identificateur de sécurité est créé pour chaque compte, les identificateurs de sécurité des deux comptes seront différents. Pour avoir accès à une ressource quelconque sur le réseau, un utilisateur doit disposer d'un jeton d'accès. Un jeton d'accès est crée pour l'utilisateur durant le processus d'ouverture de session, et contient des attributs qui établissent les informations d'identification de sécurité de cet utilisateur sur l'ordinateur local.

Le SID est l'identificateur de sécurité pour l'utilisateur qui a ouvert une session.

Un identificateur de sécurité permet au système d'exploitation d'identifier, de façon unique, chaque compte d'utilisateur et de groupe, même si ce compte est renommé ou possède le même nom qu'un autre compte.

L'identificateur de groupe est une liste de groupes auxquels l'utilisateur appartient.

Les droits d'utilisateur sont les privilèges de l'utilisateur. Security Identifier (SID): S-1-5- y1-y2-y3- y4 - y5 z.B. Administrateur S-1-5-21-118078878-12354432-1234578765-500 S-1-5 = (1=SID Version) y1-y2-y3 = identifiant de Domaine y4-y5 = identifiant du User Account y5 = user Type – 500 (administrateur) – 501 (guest) – 1001 (1. User), 1002 (2. User), ...

Active directory Active Directory est avant toute chose un annuaire, comme le sont également NDS, de Novell, ou iPlanet, de Sun. Microsoft n’est en rien un pionnier. En effet, bien avant lui, Novell proposait son annuaire, NDS, et le concept même d’annuaire avait été formalisé par une norme, X.500, qui définit précisément la façon d’accéder à un service d’annuaire. La norme X.500 étant un peu lourde et s’adaptant assez mal aux besoins existant, une version allégée de X.500, appelée LDAP fut normalisée par la suite.

Security Access Token – User SID – Group SIDs – Specific Rights



29 Un service d'annuaire est un service réseau qui identifie toutes les ressources d'un réseau et met ces informations à la disposition des utilisateurs ainsi que des applications. Les services d'annuaires sont importants, car ils fournissent un moyen cohérent de nommer, décrire, localiser, administrer et sécuriser les informations relatives à ces ressources et d'y accéder. Active Directory est le service d'annuaire de la famille Windows Server 2003.

C’est un service d’annuaire à tolérance de panne, évolutif et facile à administrer, obligatoire sur les contrôleurs de domaine Windows 2000 et Windows Server 2003 et recommandé sur les serveurs DNS. Cela vous donne la possibilité d’ajouter, de retirer et de localiser les ressources facilement.

Ainsi, nous avons : - Une administration simplifiée : Active Directory offre une administration de toutes les ressources du réseau d’un point unique. Un administrateur peut se loguer sur n’importe quel ordinateur pour gérer les ressources de tout ordinateur du réseau. - Une mise à l’échelle : Active Directory permet de gérer des millions d’objet réparti sur plusieurs sites si cela est nécessaire. - Un support standard ouvert : Active Directory utilise DNS pour nommer et de localiser des ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de domaine DNS. Active Directory fonctionne avec des services de clients différents tels que NDS de Novell. Cela signifie qu’il peut chercher les ressources au travers d’une fenêtre d’un browser web. De plus, le support de Kerberos 5 apporte la compatibilité avec les autres produits qui utilisent le même mécanisme d’authentification.

Active directory, à l’instar du service d’annuaire de Windows NT, utilise le domaine comme unité fondamentale de structure logique. Permettent de définir une structure de réseau qui reflète la structure, politique ou géographique, de l’entreprise. Chaque domaine exige n contrôleur de domaine au moins pour contenir les données du domaine, chaque contrôleur étant un maître du domaine. Le service d'annuaire est l'un des éléments les plus importants d'un système informatique étendu. Il arrive fréquemment que les utilisateurs et les administrateurs ne connaissent pas le nom exact des objets qui les intéressent. Ils peuvent connaître un ou plusieurs des attributs des objets et interroger l'annuaire pour obtenir une liste des objets possédant ces attributs, en formulant par exemple une requête du type : " Trouver toutes les imprimantes recto-verso du bâtiment 26". Un service d'annuaire permet à l'utilisateur de trouver n'importe quel objet à partir de l'un de ses attributs.



30 Active Directory est le service d'annuaire de Windows Standard Server, Windows Enterprise Server et Windows Datacenter Server (il ne s'exécute pas sur Windows Web Server, mais peut en revanche administrer les ordinateurs Windows Web Server).



31 Les données de l'annuaire sont stockées dans le fichier Ntds.dit (Directory Information Tree, ou arborescence d’informations de l’annuaire) sur le contrôleur de domaine. Il est recommandé de stocker ce fichier sur une partition NTFS. Certaines données sont stockées dans le fichier de base de données de l'annuaire, tandis que d'autres sont conservées dans un système de fichiers répliqué, tel que des scripts d'ouverture de session et des stratégies de groupe. Le fichier ntds.dit, qui se trouve dans le dossier %systemroot%\ntds est l'équivalent Windows NT 4.0 du fichier SAM. C'est lui qui stocke la plupart des données de l'annuaire. En général, le DIT est plus grand que la SAM car Active Directory contient plus d'informations et de types d'objets que le service d'annuaire de NT 4.0. Dans un domaine, le contenu du fichier ntds.dit se duplique dans tous les contrôleurs de domaines. Infos : Elle peut stocker plusieurs millions d’objets, et atteindre une taille maximale théorique de 70To. En comparaison, la base utilisée pour stocker les utilisateurs de Windows NT 4.0 pouvait au maximum contenir 40 000 entrées. Sous Windows 2000 et Windows 2003 Server, les types de rôles de serveur diffèrent légèrement de ceux qui existent sous Windows NT. Un serveur Windows NT4.0 peut jouer l’un des quatres rôles suivants : contrôleur principal de domaine (PDC), contrôleur secondaire (BDC), serveur membre, serveur autonome.

Un domaine Windows NT s’articule autour d’un modèle à maître unique. Les domaines Windows 2000 ou Windows Server 2003 sont basés sur un modèle à maîtres multiples, dans lequel tous les contrôleurs de domaine sont mutuellement équivalents. N’importe quel contrôleur peut faire des modifications sur le domaine à sa guise. Toutes les données du domaine sont stockées dans Active Directory (AD), qui gère les réplications entre tous les contrôleurs de domaine. L’incovénient est qu’il ne peut y avoir de contrôleurs de domaine Windows 2000 ou Windows Server 2003 » sur un domaine Windows NT tant que le PDC du domaine n’a pas été mis à niveau vers Windows 2000 ou Windows Server 2003. Vous pouvez promouvoir un serveur membre ou autonome Windows 2000 ou Windows Server 2003 au rang de contrôleur de domaine, et inversement vous pouvez rétrograder un contrôleur de domaine pour en faire un serveur membre ou autonome, sans être obliger de réinstaller le système d’exploitation (voir plus loin la commande DCPROMO.EXE.). Evitez toutefois au maximum les modifications de rôle. Les domaines qui utilisent les services Active Directory sont nommés domaines Active Directory (ou Windows Server 2003). Si les domaines Active Directory ne peuvent fonctionner qu’avec un contrôleur de domaine (DC), il convient de configurer plusieurs autres contrôleurs pour le domaine. Si un contrôleur tombe en panne, les autres peuvent alors prendre le relais pour gérer l’authentification et d’autres tâches critiques.



32

Un domaine offre les avantages décrits ci-dessous.

Organisation des objets

Lorsque vous créez un objet, les propriétés, ou attributs, de cet objet contiennent des informations qui le décrivent. Les utilisateurs peuvent localiser des objets dans Active Directory en recherchant des attributs spécifiques. Par exemple, un utilisateur peut rechercher une imprimante dans un bâtiment donné en recherchant l’attribut Emplacement de la classe d’objet des imprimantes.

Objets et OU : Les objets d'un domaine peuvent être organisés en unités. Une unité d'organisation est un ensemble d'objets d'un domaine. Les objets sont des représentations des composants physiques réels qui se trouvent sur le réseau d'une entreprise. Ils sont associés à un ou plusieurs domaines : utilisateurs, groupes spécifiques d'utilisateurs, ordinateurs, applications, services, fichiers ou listes de distribution. Classe : Description structurelle d’objet tels les comptes d’utilisateurs, ordinateurs, domaines, ou unités organisationnelles.

Prenez l'exemple d'un domaine dans le réseau d'une entreprise. Pour simplifier la gestion de l'ensemble des ressources sur ce réseau, les ressources de chaque département de l'entreprise peuvent être organisées en unités. Chacune de ces unités d'organisation peut être gérée par un employé du département correspondant.

Ainsi, chaque département au sein de l'entreprise constitue une unité d'organisation et l'administrateur réseau peut gérer des groupes d'unités plutôt que des ressources individuelles.

Localisation simple des données

Publier une ressource signifie placer celle-ci dans la liste des objets du domaine, ce qui permet de la localiser et de l'utiliser facilement.



33

Par exemple, si une imprimante installée dans un domaine est publiée, les utilisateurs peuvent la localiser et la sélectionner dans la liste des objets du domaine. Si elle n'est pas publiée, ils peuvent toujours accéder à cette imprimante, mais ils doivent au préalable en connaître l'emplacement.

Accès simple aux ressources

L'application d'une stratégie à un domaine permet de définir le mode d'accès des utilisateurs aux ressources du domaine, ainsi que la manière dont celles-ci peuvent être configurées et utilisées. Ceci permet de renforcer la gestion des ressources et de la sécurité.

Une stratégie s'applique uniquement à l'intérieur d'un domaine et non à l'ensemble des domaines. Active Directory fournit également un contrôle d’accès centralisé aux ressources réseau en permettant aux utilisateurs d’accéder à l’ensemble de ces ressources en ouvrant une seule session.



34 Technologie Fonctions Document de référence Protocole DHCP (Dynamic Gestion des adresses de RFC 2131 Host Configuration Protocol) réseau Protocole de mise à jour Gestion des noms RFC 2052 et 2163 dynamique DNS d'hôte Protocole SNTP (Simple Service de gestion du RFC 1769 Network Time Protocol) temps distribué Protocole LDAP (Lightweight Accès au répertoire RFC 2251 Directory Access Protocol) client version 3 Protocole LDAP L' API d'annuaire RFC 1823 Format LDIF (LDAP Data Synchronisation Interchange Format) d'annuaires Projet IETF (Internet Protocole LDAP Schéma RFC 2247, 2252 et 2256 Engineering Task Force) d'annuaire Kerberos V5 Méthodes RFC 1510 d'authentification Certificats X.509 version 3 Méthodes ISO (International

d'authentification Organization for Standardization) X.509

Protocole TCP/IP Transport réseau RFC 791 et 793 (Transmission Control Protocol/Internet Protocol)

Les objets Active Directory représentent les ressources réseau telles que les utilisateurs, groupes, ordinateurs et imprimantes. En outre, tous les serveurs, domaines et sites du réseau apparaissent également en tant qu’objets.

Délégation de l'autorité

Les domaines permettent de déléguer à un administrateur la gestion des objets de l'ensemble d'un domaine ou d'une ou plusieurs unités d'organisation du domaine. Dès lors, il n'est plus nécessaire de disposer de plusieurs administrateurs aux droits étendus et aux responsabilités qui se chevauchent.



35 Chaque domaine est géré par un contrôleur de domaine. Pour simplifier la gestion de plusieurs domaines, ceux-ci sont regroupés dans des structures appelées « arborescences » ou « forêts ».

Structure logique d’Active Directory

La structure logique d’Active Directory est souple et offre une méthode pour concevoir une hiérarchie au sein d’Active Directory, compréhensible aussi bien par les utilisateurs que par les administrateurs.

Les composants logiques de la structure d’Active Directory sont les suivants:

• •les domaines; • •les unités d’organisation; • •les arborescences et les forêts; • •le catalogue global.

Il est important de comprendre le rôle et la fonction des composants logiques de la structure d’Active Directory pour réaliser différentes tâches telles que l’installation, la configuration, l’administration et le dépannage d’Active Directory.

Une unité d’organisation Une unité d’organisation (OU) est un objet conteneur utilisé pour organiser les objets d’un domaine. Une unité d’organisation contient des objets tels que des comptes d’utilisateur, des groupes, des ordinateurs, des imprimantes, ainsi que d’autres unités d’organisation.



36

Remarque : Les unités d'organisation (UO) permettent aux administrateurs de créer des limites administratives au sein d'un domaine. Grâce aux UO, les administrateurs peuvent déléguer des tâches administratives à d'autres administrateurs subordonnés sans leur accorder de privilèges administratifs étendus sur l'ensemble du domaine.

Et si votre organisation a besoin d'unités d'organisation au sein d'unités d'organisation? Est-il possible d'imbriquer des UO ? La réponse à cette question est Oui, mais il existe certaines limites dues à la perte de performances. Vous pouvez imbriquer des UO, mais vous rencontrerez des problèmes de performances si vous les imbriquez sur plus de 15 niveaux.

Hiérarchie des unités d’organisation Vous pouvez utiliser les unités d’organisation pour regrouper des objets en une hiérarchie logique répondant aux besoins de votre entreprise. Par exemple, vous pouvez créer une hiérarchie d’unités d’organisation pour représenter les éléments d’une entreprise décrits ci-dessous. •Un modèle d’administration de réseau reposant sur des responsabilités administratives. Par exemple, une société peut charger un administrateur donné de l’ensemble des comptes d’utilisateur et un autre de l’ensemble des ordinateurs. Dans ce cas, vous créerez une unité d’organisation pour les utilisateurs et une autre pour les ordinateurs. •Une structure organisationnelle reposant sur des services ou des limites géographiques.



37 La hiérarchie des unités d’organisation au sein d’un domaine donné est indépendante de la structure hiérarchique des unités d’organisation dans d’autres domaines ; chaque domaine peut implémenter sa propre hiérarchie d’unités d’organisations.

Contrôle d’administration des unités d’organisation

Vous pouvez déléguer le contrôle d’administration sur les objets présents dans une unité d’organisation. Pour ce faire, vous accordez des autorisations spécifiques pour l’unité d’organisation et les objets qu’elle contient à un ou plusieurs utilisateurs et groupes.

Pour une unité d’organisation, vous pouvez accorder un contrôle d’administration complet (par exemple, un contrôle total sur tous les objets présents dans l’unité



38 d’organisation) ou limité (par exemple, la capacité de modifier des informations de courrier électronique sur des objets utilisateur présents dans l’unité d’organisation).

Contrôleur de domaine (DC)

Un ordinateur exécutant Windows 2000/2003 Server gère chaque domaine. Cet ordinateur est appelé « contrôleur de domaine ». Un contrôleur de domaine gère en termes de sécurité toutes les interactions entre les utilisateurs et le domaine.

Arborescences Une arborescence est une organisation hiérarchique de domaines Windows 2000 ou supérieur partageant un espace de noms contigu. Lorsque vous ajoutez un domaine à une arborescence, le nouveau domaine est un domaine enfant d’un domaine parent existant. Le nom d’un domaine enfant est combiné au nom de son domaine parent pour former son nom DNS. Chaque domaine enfant à une relation d’approbation transitive bidirectionnelle avec son domaine parent. Voici quelques raisons justifiant la création de plusieurs domaines : _ Des contraintes différentes en matière de mots de passe, selon les organisations ; _ Un grand nombre d'objets ; _ Des noms de domaine Internet différents ; _ Un meilleur contrôle de la duplication ; _ L'administration décentralisée du réseau.

Forêts Une forêt comprend une ou plusieurs arborescences. Le premier domaine créé dans la forêt est le domaine racine. De ce domaine dépendent l’administration de la forêt et l’ajout de nouveaux domaines. Les arborescences de domaine à l’intérieur d’une forêt ne forment pas un espace de noms contigu. En revanche, les arborescences d’une forêt partagent un schéma et un catalogue global commun. Une arborescence unique, qui n’est associée à aucune autre arborescence, forme une forêt d’une seule arborescence. Ainsi, chaque domaine racine d’une arborescence a une relation d’approbation transitive avec le domaine racine de la forêt. Le nom du domaine racine de la forêt est utilisé pour désigner une forêt donnée.



39 Dans une forêt, tous les domaines ont pour « ancêtre commun » le domaine racine.

Chaque arborescence d’une forêt dispose d’un espace de noms uniques qui lui est propre. Par exemple, Contoso, Ltd. crée une société distincte nommée Northwind Traders. Contoso, Ltd. décide de lui affecter un nouveau nom de domaine Active Directory, Nwtraders.msft. Les deux sociétés ne partagent aucun espace de noms commun ; pourtant, en ajoutant un nouveau domaine Active Directory en tant que nouvelle arborescence d’une forêt existante, les deux sociétés sont en mesure de partager des ressources et des fonctions administratives. Le premier contrôleur de domaine du domaine racine de la forêt est configuré pour enregistrer les informations relatives aux catalogues globaux. Le domaine racine de la forêt contient les informations de configuration et de schéma relatives à la forêt. Le domaine racine de la forêt contient deux groupes prédéfinis à l'échelle de la forêt, Administrateurs de l'entreprise et Administrateurs du schéma. Ces groupes n'existent que dans le domaine racine d'une forêt Active Directory. Vous ajoutez des utilisateurs qui exécutent des tâches administratives pour la forêt de ces groupes. Lorsqu'un domaine passe du mode mixte au mode natif, ces deux groupes globaux prédéfinis sont transformés automatiquement en groupes universels. Le rôle de ces groupes est le même en mode mixte et en mode natif, seule l'étendue du groupe change. Tous les arbres d'une forêt donnée s'accordent une confiance mutuelle par l'intermédiaire de relations d'approbation Kerberos transitives et hiérarchiques



40 Approbations transitives bidirectionnelles

Les approbations sont des mécanismes qui permettent à un utilisateur authentifié dans son propre domaine d’accéder aux ressources de tous les domaines approuvés. Dans Windows Server 2003, il existe deux types d’approbations : transitives et non transitives. Les relations d’approbations transitives bidirectionnelles, sont les relations par défaut entre les domaines Windows 2000 et supérieur. Une approbation transitive bidirectionnelle est la combinaison d’une approbation transitive et d’une approbation bidirectionnelle. Approbations transitives/non transitives Dans une approbation transitive, la relation d’approbation étendue à un domaine est automatiquement étendue à tous les autres domaines qui approuvent ce domaine. Par exemple, le domaine D approuve directement le domaine E, qui approuve directement le domaine F. Etant donné que les deux approbations sont transitives, le domaine D approuve indirectement le domaine F et inversement. Les approbations transitives sont automatiques. Une approbation parent/enfant est un bon exemple d’approbation. Les approbations non transitives ne sont pas automatiques et peuvent être configurées. Par exemple, une approbation non transitive peut être externe, comme l’approbation entre deux domaines de deux forêts distinctes.

Direction de l’approbation Dans Windows Server 2003, il existe trois directions d’approbation : unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un domaine B, vous avez configuré une approbation unidirectionnelle entrante entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent être authentifiés dans le domaine Q. Si vous avez configuré une approbation unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs du domaine Q peuvent être authentifiés dans le domaine B. Dans une approbation bidirectionnelle, les deux domaines peuvent authentifier les utilisateurs de l’autre domaine.



41 Les approbations raccourcies Les approbations raccourcies sont partiellement transitives car la transitivité de l’approbation est uniquement étendue vers le bas de la hiérarchie à partir du domaine approuvé, et non vers le haut de la hiérarchie. Par exemple, s’il existe une approbation raccourcie entre le domaine E et le domaine A, Active Directory étend l’approbation vers le domaine enfant (le domaine C), mais pas vers le haut de la hiérarchie vers le domaine racine de la forêt. Les utilisateurs du domaine E ne peuvent accéder qu’aux ressources du domaine racine de la forêt par l’intermédiaire de l’approbation parent/enfant avec le domaine D et de l’approbation arborescence/racine que le domaine D entretient avec le domaine racine de la forêt. Les approbations de forêt Les approbations de forêt ne sont également que partiellement transitives car elles peuvent uniquement être créées entre deux forêts et ne peuvent pas être implicitement étendues à une troisième forêt. Par exemple, si la forêt 1 approuve la forêt 2, et que la forêt 2 approuve la forêt 3, les domaines des forêts 1 et 2 approuvent respectivement de manière transitive les domaines des forêts 2 et 3. Toutefois, la forêt 1 n’approuve pas de manière transitive la forêt 3.

Un domaine Windows 2000/2003 et un domaine de sécurité du protocole de sécurité Kerberos V5.

Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux domaines entre lesquels elle est établie (elle n'est pas transitive).

Windows Server 2003 prend en charge les types d’approbation suivants, dans les catégories transitives et non transitives.



42

Structure physique d’Active Directory Dans Active Directory, la structure logique est séparée de la structure physique. Vous utilisez la structure logique pour organiser vos ressources réseau, tandis que vous utilisez la structure physique pour configurer et gérer votre trafic réseau. Ce sont les contrôleurs de domaine et les sites qui forment la structure physique d’Active Directory. La structure physique d’Active Directory définit le lieu et le moment où est généré le trafic lié à la duplication et aux ouvertures de session. Pour être en mesure d’optimiser le trafic réseau et le processus d’ouverture de session, il est essentiel de comprendre les composants physiques d’Active Directory. En outre, une bonne connaissance de la structure physique aide à résoudre les problèmes de duplication et d’ouverture de session.



43

Sites

Pour améliorer l'efficacité de la réplication, Active Directory s'appuie sur des sites. Le bon fonctionnement d’Active Directory dépend de la réplication des données entre tous les contrôleurs de domaine. En effet Active Directory fonctionne suivant le principe de la réplication multi-maître, et chaque contrôleur de domaine peut être utilisé pour modifier les objets du domaine (création d’utilisateurs, modification de stratégie, etc…). Il importe donc que les données soient bien synchronisées entre les contrôleurs. Cependant, il importe également que le trafic utilisé par la réplication ne devienne pas trop important. Les sites sont donc des groupes d'ordinateurs correctement connectés qui déterminent la manière dont les données d'annuaire sont répliquées. Active Directory réplique des informations de l'annuaire dans un site précis plus régulièrement qu'à travers plusieurs sites. De cette manière, les contrôleurs de domaine les mieux connectés, c'est-à-dire ceux qui sont les plus susceptibles d'avoir besoin d'informations précises sur l'annuaire, reçoivent en premier les mises à jour répliquées. Les contrôleurs de domaine des autres sites reçoivent également les modifications, mais moins fréquemment, ce qui réduit la consommation de bande passante du réseau. Ils ne font pas partie d’un espace de nommage d’Active Directory, et ils contiennent seulement les ordinateurs, les objets et les connexions nécessaires pour configurer la réplication entre sites. Ils permettent d’intégrer la topologie physique du réseau dans Active Directory. Deux raisons fondamentales justifient la création de sites: •Optimiser le trafic lié à la duplication; •Permettre aux utilisateurs d’ouvrir une session sur un contrôleur de domaine en utilisant une connexion rapide fiable. Afin d'optimiser la bande passante du réseau lors de la duplication, vous devez prendre en considération les facteurs qui influencent cette duplication. Les trois facteurs déterminants lors de la duplication sont détaillés ci-dessous. _ Latence de la duplication.Temps nécessaire à un contrôleur de domaine pour recevoir une modification apportée à un autre contrôleur de domaine.



44 _ Efficacité de la duplication. Capacité à traiter l'ensemble des modifications envoyées avec chaque mise à jour. _ Coût de la duplication. Quantité de bande passante nécessaire pour dupliquer des modifications entre divers contrôleurs de domaine. Les sites facilitent diverses activités au sein de Active Directory telles que : Réplication, Authentification, Services Active Directory

Réplication intra-site La réplication est automatiquement prise en charge, et dans un site unique les informations mises à jours sont transférées toutes les 5 minutes aux autres contrôleurs. Pour éviter toute désynchronisation, l’ensemble des données est répliqué toutes les 24h.

Certaines données très urgentes sont cependant répliquées immédiatement (modification de mots de passe…). Cette réplication immédiate dépend du bon fonctionnement de l’émulateur de PDC.

Réplication inter-sites La réplication Active Directory fonctionne différemment lorsqu’il est question de liaisons WAN plus lentes, et donc de sites multiples. Il est important de déclarer des sous-réseaux IP différents pour chaque site, et de déclarer chaque site (et les DC qu’il contient) dans la console MMC Sites et Services. Les clients s’authentifieront sur les DC les plus proches (les DC de leur site) grâce à ces différences de sous-réseaux IP. Vous devez vous assurer que chaque site contient un ou plusieurs GC.

Un processus appelé KCC (Knowledge Consistency Checker) est lancé à intervalles réguliers sur chaque DC (par défaut toutes les 15 minutes), et prend en charge l’établissement de liaisons virtuelles entre les DC, en vue de la réplication.

=> Attention, il ne s’agit pas ici des liens inter-sites, mais plutôt du routage virtuel des informations de réplication. Les liens inter-sites doivent exister pour que le KCC fonctionne ; ils sont abordés plus loin.

Pour chaque site, le KCC déclare automatiquement un DC en tant que « serveur tête de pont ». Celui-ci assurera à lui seul pour ce site la communication vers les contrôleurs des autres sites. En cas de modification de la topologie réseau ou en cas de panne, le KCC modifiera en conséquence cette attribution. Vous pouvez cependant forcer un serveur tête de pont dans le cas par exemple où un firewall serait configuré pour ne laisser sortir du site qu’un seul DC bien précis.

Liens inter-sites Vous créerez les liens dans la console MMC Sites et Services. Après avoir crée des liens, vous devez les utiliser pour relier vos sites. Si les sites ne sont par reliés par ces liens, ils ne pourront pas communiquer.

Deux types de liens existent : les liens IP (le cas général) et les liens SMTP.

Les liens IP nécessite une liaison fiable, ils peuvent relier n’importe quels sites quel que soient le ou les domaines qui y sont présents.



45 Les liens SMTP (Simple Mail Transfert Protocol) ne doivent être utilisés que dans le cas où la liaison est peu fiable, et uniquement entre domaines différents. Ils font appel à la transmission par e-mail.

Les liens intra-sites sont cryptés. Les liens inter-sites sont cryptés et compressés. Un DC ne peut appartenir qu’à un seul site.

Pour les architectures les plus complexes, il est à noter qu’un même domaine peut être réparti (présence de contrôleurs et/ou de clients) sur plusieurs sites de la forêt ; au moins un GC par domaine et par site est à prévoir.



46

Distinction entre le système DNS et Active Directory

Active Directory peut comporter un ou plusieurs domaines. Vous les identifiez à l'aide des noms DNS que vous leur affectez. Bien que le domaine Active Directory et le domaine DNS correspondant aient le même nom, chacun joue un rôle différent. Ces deux domaines stockent des informations différentes et gèrent des objets différents. Les serveurs DNS stockent et gèrent des enregistrements de ressources dans un fichier de base de données de zone. Un fichier de base de données de zone DNS contient tous les enregistrements de ressources concernant un seul domaine DNS ou une partie isolée d'une arborescence de domaines DNS. Active Directory stocke et gère des objets de domaine. Les objets du service Active Directory peuvent être des utilisateurs, des ordinateurs, des imprimantes, des serveurs, des stations de travail, des services et des partages. Tous les objets sont stockés dans Active Directory et gérés à l'aide de scripts ou d'outils dans la console MMC (Microsoft Management Console). Comme les noms de domaine Active Directory et DNS sont identiques et que le système DNS correspond au mécanisme utilisé pour la résolution de noms, à chaque domaine Active Directory doit correspondre un domaine DNS. À l'inverse, chaque domaine DNS ne requiert pas de domaine Active Directory correspondant.

Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active Directory. _ Résolution de noms. Le système DNS propose la résolution de noms en transposant les noms d'ordinateur en adresses IP (Internet Protocol) afin que les ordinateurs puissent se repérer. _ Convention de dénomination pour les domaines Windows 2000. Active Directory utilise les conventions de dénomination du système DNS pour nommer les domaines Windows 2003. Dans un réseau Windows 2003, les noms des domaines DNS et Active Directory partagent une même structure de dénomination hiérarchique. _ Localisation des composants physiques d'Active Directory. Le système DNS identifie les contrôleurs de domaine par rapport aux services spécifiques qu'ils



47 proposent, comme l'authentification d'une demande de connexion ou la recherche d'informations dans Active Directory. Comme Active Directory est étroitement intégré au système DNS, vous devez respecter les standards DNS lorsque vous planifiez la stratégie de dénomination pour Active Directory. Lorsque vous définissez le modèle Active Directory, vous devez effectuer les tâches suivantes :

_ déterminer l'étendue d'Active Directory dans votre entreprise ; _ créer un nom DNS hiérarchique ; _ utiliser une stratégie de dénomination pour choisir les noms de domaine Active Directory.

Représentation de toute l'entreprise par le nom DNS

Étant donné qu'Active Directory ne prend en charge qu'un seul nom racine DNS, vous devez choisir un nom qui représente toute l'entreprise. Tous les utilisateurs de l'entreprise pourront ainsi accéder à l'ensemble de ses informations et ressources.

Il se peut cependant que l'entreprise ait besoin de plusieurs noms racines. Par exemple, si l'entreprise a acquis une société qui disposait déjà d'une identité connue sur Internet, vous souhaiterez peut-être conserver le nom DNS de cette société nouvellement acquise.

Possibilité d'utiliser le nom Active Directory comme nom Internet

Active Directory peut exister dans l'étendue de la structure DNS Internet. Le cas échéant, vous devez inscrire le nom racine DNS auprès de l'ICANN (Internet Corporation for Assigned Names and Numbers). Cette inscription garantit l'unicité de tous les noms DNS. Vous disposerez de l'autorité nécessaire pour gérer votre hiérarchie de domaines enfants, de zones et d'hôtes dans le domaine racine.

Le premier domaine créé dans Active Directory constitue le point de départ, ou la racine, d'Active Directory. Tous les autres domaines sont dérivés du domaine racine. Un seul nom peut être utilisé pour le domaine racine. Si vous prévoyez d'utiliser ce nom racine sur Internet, vous devez vous assurer qu'il est unique sur Internet.

Si Active Directory comporte plusieurs domaines, une hiérarchie de dénomination est constituée. Par exemple, un réseau comportant un seul domaine peut porter le nom de ce domaine unique contoso.msft. Si, pour des raisons professionnelles, vous devez diviser le



48 réseau en trois domaines, Namerica, Europe et Africa, les noms de domaine peuvent être namerica.contoso.msft, europe.contoso.msft et africa.contoso.msft. Chaque nom de domaine est distinct, mais appartient à la même arborescence Active Directory. Les contrôleurs de domaine sont identifiés par un nom de domaine complet dans le système DNS, par un nom complet d'ordinateur dans Windows 2000/2003 ainsi que par les services particuliers qu'ils offrent. Windows 2000/2003 utilise le système DNS pour déterminer l'emplacement des contrôleurs de domaine en résolvant un nom de domaine ou d'ordinateur en adresse IP. Cela est possible grâce aux enregistrements de ressource SRV (Service Resource Record), qui mappent un service particulier sur le contrôleur de domaine offrant ce service. Le format d'un enregistrement SRV contient ces informations, ainsi que des données propres au protocole TCP/IP (Transmission Control Protocol/Internet Protocol). Lorsqu'un contrôleur de domaine démarre, le service Netlogon qui s'exécute sur ce contrôleur utilise la fonctionnalité de mise à jour dynamique DNS pour inscrire avec la base de données DNS les enregistrements SRV pour tous les services liés à Active Directory offerts par le contrôleur de domaine. Un ordinateur exécutant Windows 2000/2003 peut ainsi consulter un serveur DNS lorsqu'il a besoin de contacter un contrôleur de domaine. Les enregistrements SRV permettent aux ordinateurs clients de localiser des serveurs offrant des services Active Directory particuliers. Les enregistrements SRV lient le nom d'un service au nom de l'ordinateur DNS du contrôleur de domaine qui offre ce service. Les enregistrements SRV contiennent également des informations permettant à un serveur DNS de déterminer l'emplacement des éléments suivants : _ Un contrôleur de domaine localisé dans un domaine ou une forêt Windows 2000/2003 spécifique ; _ Un contrôleur de domaine localisé sur le même site que l'ordinateur client _ Un contrôleur de domaine configuré en tant que serveur de catalogue global _ Un ordinateur exécutant le service KDC (Key Distribution Center) Kerberos.

Enregistrements SRV

Lorsqu'un contrôleur de domaine démarre, il consigne des enregistrements SRV contenant des informations relatives aux services qu'il offre, ainsi qu'un enregistrement de ressource A contenant son nom d'ordinateur DNS et son adresse IP. Un serveur DNS utilise ensuite ces informations combinées pour résoudre les requêtes DNS et renvoyer l'adresse IP d'un contrôleur de domaine afin que l'ordinateur client puisse localiser ce dernier.

Format d'enregistrement SRV Par exemple, l'enregistrement SRV suivant : _ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft. Serait enregistré par un ordinateur qui :

_ offre le service LDAP ; _ offre le service LDAP en utilisant le protocole de transport TCP ; _ effectue l'enregistrement SRV dans le domaine DNS contoso.msft ; _ possède le nom de domaine complet london.contoso.msft.



49 Les contrôleurs de domaine exécutant Windows 2003 inscrivent également des enregistrements SRV dans le format suivant : _Service._Protocole.Type_CD._msdcs.Domaine_DNS ou Forêt_DNS Le composant _msdcs de ces enregistrements SRV fait référence à un sous-domaine dans l'espace de noms DNS propre à Microsoft. Celui-ci permet aux ordinateurs de déterminer l'emplacement des contrôleurs de domaine exerçant des fonctions propres à Windows 2000/2003 au sein du domaine ou de la forêt. Les valeurs possibles pour le composant Type_CD, qui est un préfixe pour le sous-domaine _msdcs, spécifient les types de rôles de serveur suivants : _ dc pour un contrôleur de domaine ; _ gc pour un serveur de catalogue global. La présence du sous domaine _msdcs signifie que les contrôleurs de domaine exécutant Windows 2000/2003 inscrivent également les enregistrements SRV suivants : _ldap._tcp.dc._msdcs.Domaine_DNS. _ldap._tcp.Site._sites.dc._msdcs.Domaine_DNS. _ldap._tcp.gc._msdcs.Forêt_DNS. _ldap._tcp.Site._sites.gc._msdcs.Forêt_DNS. _kerberos._tcp.dc._msdcs.Domaine_DNS. _kerberos._tcp.Site._sites.dc._msdcs.Domaine_DNS.

Protocole LDAP

LDAP (Lightweight Directory Access Protocol) est un protocole du service d’annuaire utilisé pour interroger et mettre à jour Active Directory. Conformément aux critères du protocole LDAP, un objet Active Directory doit être représenté par une série de composants de domaine, unités d’organisation et noms usuels qui constituent un chemin d’accès LDAP au sein d’Active Directory. L'utilisation du service Active Directory (tant sur Windows 2000 que sur Windows 2003) exige une bonne compréhension du protocole LDAP puisque ce protocole est utilisé partout pour avoir accès à l'information de la base. Se familiariser avec LDAP est aussi nécessaire pour travailler avec beaucoup d'outils et les utilitaires, comme Active Directory Administrative Tool (Ldp.exe), ADSI Edit , chercher des scripts .vbs , LDIF Directory Exchange (LDIFDE.exe) et d'autres sont aussi nécessaires pour le scripting. Chaque objet possède un nom complet LDAP (par exemple, mailAddress et machinePasswordChangeInterval) et un nom commun (SMTP-Mail-Address et Machine-Password-Change-Interval pour les deux exemples ci-dessus) et un Identificateur d'objet (OID) unique attribué par l'ISO. Les chemins d’accès LDAP servent à accéder aux objets Active Directory et comprennent les éléments suivants: •les noms uniques (distinguished name : DN); •les noms uniques relatifs (relative distinguished name : RDN).



50 Nom unique (DN)

Chaque objet Active Directory porte un nom unique. Le nom unique identifie le domaine dans lequel est situé l’objet, ainsi que son chemin d’accès complet (composé du nom de l'objet et de tous ses objets parents jusqu'à la racine du domaine). Chaque nom RDN est stocké dans la base de données Active Directory et contient une référence à son parent. Au cours d'une opération LDAP, le nom unique est construit entièrement en suivant les références à la racine. Dans un nom unique LDAP complet, le nom RDN de l'objet à identifier commence sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la racine, comme le montre l'exemple suivant : (CN pour Common Name, OU pour Organizational Unit, et DC pour Domain Component): => cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dc=NomOrg.dc=com Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet parent de MDurand) est ou=Widgets, etc.

Nom unique relatif (RDN)

Le nom unique relatif LDAP est la partie du nom unique LDAP qui permet d’identifier l’objet dans son conteneur (OU).

Sa composition varie en fonction de l’étendue du contexte de recherche existant établi par le client. Le contexte de recherche peut aller du composant de domaine au nom usuel. Dans l’exemple précédent, le nom unique relatif de l’objet utilisateur David Dubois est David Dubois:

Le tableau suivant donne des exemples de nom unique, le contexte de recherche et les noms uniques relatifs Nom unique OU=Sales, DC=contoso, DC=msft => CN=David Dubois, OU=Sales, DC=contoso, DC=msft Nom unique relatif OU=Sales CN=David Dubois



51

Noms d'URL LDAP Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole LDAP. Une telle URL est composée du préfixe «LDAP», du nom du serveur contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique). Par exemple : LDAP://serveur1.France.NomOrg.com/cn=MDurand, ou=Widgets,ou=Fabrication, dc=France,dcNomOrg,dc=com

Noms canoniques LDAP d’Active Directory Par défaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les descripteurs d'attribut d'affectation de nom Bourges.eds/Staff/John Smith

Fully Qualified Domain Name (FQDN) Fully Qualified Domain Name (FQDN) est aussi connu comme le nom informatique complet; c'est une concaténation du nom d'hôte (le nom NetBIOS) et le suffixe de DNS primaire, par exemple : netdc2.subdom.bourges.eds

Noms UPN Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de session de l'utilisateur), le caractère @ et le suffixe UPN (en général, un nom de



52 domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte. Par exemple, le nom UPN de l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est [email protected].

SAM (Pre-Windows 2000) Account Names SAM (Pre-Windows 2000) Account Names. Les noms de comptes SAM sont exigés pour la compatibilité avec des clients anciens. Un nom SAM doit être unique dans un domaine. NomDuDomaine\NomUtilisateur Des nouveaux outils LDAP, comme DsQuery.exe, DsAdd.exe, DsMod.exe, etc, permettent aux administrateurs d'optimiser des routines et ainsi que des séquences Batch avec les objets de la base Active Directory.

En résumé on distingue quatre méthodes pour nommer un compte utilisateur : - Le nom d’ouverture de session (login) : thoboi_l - Le nom d’ouverture de session pré-windows : ESI\thoboi_l - Le nom d’utilisateur principal : [email protected] - Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan Un login ne peut dépasser les 20 caractères, il prend en compte la casse et ne peut contenir de caractère spéciaux comme : " / \ [ ] : ; | = , + * ? < >.



53

Schéma Active Directory

Comme dans une base de données, chaque objet est associé à des propriétés. L’ensemble des propriétés possibles pour n’importe quel objet, et la définition de tous les objets pouvant exister forment le schéma de la forêt. Le schéma d’Active Directory contient les définitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes, stockés dans Active Directory. Dans Windows 2000/2003, il n’y a qu’un seul schéma pour l’ensemble de la forêt, de sorte que tous les objets créés dans Active Directory se conforment aux mêmes règles. Le schéma comprend deux types de définitions les classes d’objets (description d’un objet en regroupant plusieurs attributs) et les attributs d’objets (description d’une caractéristique d’un objet). Les classes d’objets décrivent les objets de l’annuaire qu’il est possible de créer. Chaque classe est un regroupement d’attributs. Les attributs et les classes sont définis séparément. Chaque attribut est défini une seule fois et peut être utilisé dans plusieurs classes. Par exemple, l’attribut Description est utilisé dans de nombreuses classes, mais il n’est défini qu’une seule fois dans le schéma, afin d’en garantir la cohérence. Le schéma est stocké dans la base de données d’Active Directory. Ce stockage dans une base de données signifie que le schéma: •Est dynamiquement disponible pour toutes les applications utilisateur (cela signifie que ces dernières peuvent lire le schéma pour connaître les objets et propriétés utilisables); •Peut être mis à jour dynamiquement, ce qui permet à une application d’enrichir le schéma avec de nouveaux attributs et classes d’objets, puis d’utiliser immédiatement ces nouveaux éléments. Seuls les membres du groupe Administrateurs du schéma peuvent modifier celui-ci, par le biais de la console MMC (Microsoft Management Console) d’Administration du Schéma. Cette console n’est pas installée par défaut, vous pouvez l’installer à partir du package adminpak.msi situé sur le CD Windows 2000 Server.



54

Catalogue global Le catalogue global (ou GC – Global Catalog) est un référentiel d’informations qui contient un sous-ensemble d’attributs relatifs à tous les objets Active Directory. Par défaut, les attributs stockés dans le catalogue global sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom et le nom d’ouverture de session d’un utilisateur). Le catalogue global contient les informations nécessaires pour déterminer l’emplacement de tout objet figurant dans l’annuaire. Ces catalogues contiennent non seulement les données de leur propre domaine mais également certaines informations des autres domaines de la forêt. Ils permettent d’accélérer les recherches d’objets dans la forêt. Le catalogue global permet aux utilisateurs d’effectuer deux tâches importantes: _ (Authentification des noms d'utilisateur principaux)Il permet à un utilisateur d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations sur l'adhésion à un groupe universel lorsqu'un processus d'ouverture de session est lancé. _ (Recherche d'objets)Il permet à un utilisateur de trouver des informations d'annuaire dans la forêt entière, quel que soit l'emplacement des données. Vous pouvez configurer d'autres contrôleurs de domaine comme serveurs de catalogue global pour répartir le trafic lié à l'authentification des ouvertures de session et aux requêtes. Lorsqu'un utilisateur ouvre une session sur un domaine en mode natif, le serveur de catalogue global fournit, au contrôleur de domaine qui traite les informations sur l'ouverture de session de l'utilisateur, des informations sur l'adhésion à un groupe universel correspondant au compte de l'utilisateur. Si aucun serveur de catalogue global n'est disponible lorsqu'un utilisateur engage le processus d'ouverture de session réseau et que l'utilisateur a précédemment ouvert une session sur le domaine. Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt Windows 2000/2003 et chaque forêt doit en posséder au moins un. En mode Natif, il est important de noter qu’un contrôleur de catalogue global doit être disponible dans le site pour que les utilisateurs puissent se connecter dans le domaine : en effet ces contrôleurs permettent de vérifier l’appartenance des utilisateurs à des groupes universels. En cas de panne de ces contrôleurs, seuls les administrateurs du domaine peuvent se loguer. Vous aurez donc besoin de placer suffisamment de GC pour assurer une redondance en cas de panne. Vous devez cependant noter que la réplication de leurs informations est plus volumineuse en données sur le réseau que pour les autres contrôleurs.



55

Opérations principales simples

Afin d'éviter des conflits, certaines opérations sont réalisées en mode maître unique (c'est-à-dire qu'elles ne peuvent pas avoir lieu à plusieurs endroits du réseau simultanément) avec l'aide d'un contrôleur de domaine responsable de l'opération. De telles opérations sont regroupées dans des rôles précis au sein de la forêt ou d'un domaine. Ces rôles sont appelés rôles de maître d'opérations.

Un contrôleur de domaine peut apporter des modifications d'annuaire uniquement au rôle de maître d'opérations qu'il contient. Le contrôleur de domaine responsable d'un rôle donné est appelé maître d'opérations de ce rôle.

Active Directory stocke des informations indiquant les rôles que contiennent les contrôleurs de domaine.

Tout contrôleur de domaine peut être maître d'opérations.

Il est possible de déplacer un rôle de maître d'opérations sur d'autres contrôleurs de domaine. Un maître d'opérations est un contrôleur de domaine auquel ont été affectés un ou plusieurs rôles d'opérations principales simples dans un domaine ou une forêt Active Directory. Les contrôleurs de

Chaque forêt Active Directory doit disposer de contrôleurs de domaine qui remplissent deux des cinq rôles d'opérations principales simples. Les rôles à l'échelle de la forêt sont les suivants : _ Maître de schéma ; _ Maître de dénomination de domaine.

Chaque domaine Active Directory doit disposer de contrôleurs de domaine qui remplissent trois des cinq rôles d'opérations principales simples. Les rôles à l'échelle du domaine sont les suivants : _ Maître d'identificateur relatif (RID, Relative Identifier) ; _ Emulateur de contrôleur principal de domaine ; _ Maître d'infrastructure. Maître de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les mises à jour et les modifications appliquées au schéma. Le schéma définit chaque objet (et ses attributs) qui peuvent être enregistré dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de schéma.

Maître de dénomination de domaine Le contrôleur de domaine qui tient le rôle de maître d'affectation de nom de domaine contrôle l'ajout et la suppression de domaines dans la forêt. Lors de la création d'un domaine enfant, l'Assistant Installation de Active Directory contacte le maître d'attribution de nom de domaine et demande l'ajout ou la suppression d'un domaine. Le maître d'attribution de nom de domaine est responsable de l'unicité des noms de domaine. Notez que si le maître d'attribution de nom de domaine n'est pas disponible, vous ne pouvez pas ajouter de domaine, ni en supprimer.



56 Le contrôleur de domaine qui contient le rôle de maître d'attribution de nom de domaine doit également être serveur de catalogue global. En effet, lorsque le maître d'attribution de nom de domaine crée un objet qui représente un nouveau domaine, il interroge le serveur de catalogue global pour s'assurer qu'aucun autre objet, y compris les objets de domaine, ne porte le même nom que ce nouvel objet.

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine dans la forêt :

Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs relatifs (RID) à chaque contrôleur de son domaine. Chaque fois qu'un contrôleur de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé d'un identificateur de sécurité de domaine (identique pour tous les SID créés dans le domaine) et d'un identificateur relatif (unique pour chaque SID créé dans le domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en demande un autre au maître RID.

Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des contrôleurs de domaine secondaires Windows NT, l'émulateur PDC (Primary Domain Controller) agit comme un contrôleur de domaine principal Windows NT.

_ Il joue le rôle d'un contrôleur CPD pour les contrôleurs CSD existants.

_ Il gère les changements de mots de passe des ordinateurs qui exécutent Windows NT, Windows 95 ou Windows 98, changements qui doivent être inscrits dans l'annuaire.

_ Il réduit le délai de duplication en cas de modification des mots de passe.

_ Il synchronise l'heure de tous les contrôleurs de domaine en fonction de sa propre horloge.

_ Il élimine les risques d'écrasement des objets Stratégie de groupe (GPO, Group Policy Object).

Il traite les changements de mots de passe client et réplique les mises à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la réplication préférentielle des changements de mots de passe effectués par d'autres contrôleurs du domaine.

En cas d'échec d'authentification d'ouverture de session au niveau d'un autre contrôleur de domaine en raison d'un mot de passe incorrect, le contrôleur transmet la demande d'authentification à l'émulateur PDC avant de rejeter la tentative d'ouverture de session.

Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à jour de toutes les références croisées des domaines lors du déplacement d'un objet référencé par un autre. Par exemple, chaque fois que des membres de groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un membre d'un groupe (et que ce membre réside dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le maître d'infrastructure du domaine du groupe en question est responsable de la mise à jour du groupe, qui connaît ainsi le nouveau nom ou le nouvel emplacement du membre (n'existe pas dans le cas d'un serveur unique).



57 Il existe donc 5 types de maîtres, qui sont les seuls à pouvoir remplir leur fonction dans leur forêt ou dans leur domaine :

Maître Existence RôleContrôleur de schéma 1 par forêt Permet de modifier le schéma de la forêt (par les

membres du groupe Administrateurs du Schéma). Contrôleur d’attribution de nom de domaine

1 par forêt - Permet d’ajouter des domaines à la forêt.

- Est également contrôleur de catalogue global.

Emulateur de PDC 1 par domaine - Mode Natif : Synchronise les heures des DC ; bénéficie d’une réplication immédiate des mots de passe modifiés pour permettre aux autres DC de vérifier qu’il ne vient pas d’être changé avant de rejeter une tentative de login.

- Mode Mixte : Gère également la réplication des informations de domaine vers les BDC sous NT4.

Maître RID (d’identificateur relatif)

1 par domaine Distribue des plages de numéros aux DC pour éviter les doublons lors de l’attribution des SID (identificateurs uniques) aux objets.

Maître d’infrastructure 1 par domaine - Met à jour les références vers les objets d’autres domaines.

- Ne doit pas être contrôleur de catalogue global (sauf contrôleur unique).

En cas de perte du contrôleur de domaine hébergeant un ou plusieurs rôles, ou simplement si le besoin de transférer un rôle apparaît, vous avez la possibilité de transférer ou de saisir ce ou ces rôles sur un autre contrôleur. Vous pouvez effectuer cette procédure dans deux situations.

• S’il s’agit d’un transfert entre serveurs en activité, vous pourrez utiliser l’interface graphique (Consoles Sites et Services pour les trois maîtres de domaine, console Schéma d’une part et console Domaines et approbations d’autre part pour les deux maîtres de forêt). Vous pouvez aussi avoir recours à l’outil en mode texte ntdsutil (fonction « transfer »). • S’il s’agit de saisir un rôle perdu en raison d’un maître définitivement hors-ligne, seul ntdsutil (fonction « seize » pour « saisir » le rôle) est utilisable.

Pour traiter le problème du « mode de domaine » du Windows 2003 Serveur une fois pour toutes, Microsoft a présenté le concept de « niveaux fonctionnels ». C'est juste un autre nom de gestion pour l’administration système de différentes versions d’OS actuelles et futures portatives. Les niveaux fonctionnels de Windows 2003 Serveur s'appliquent non seulement auc DCs et domaines, mais ils sont aussi applicables aux forêts. Ils permettent aux niveaux fonctionnels de domaine et de forêt d'être augmentés quand tout les DCs dans le domaine ou la forêt a atteint le niveau approprié. Vous pouvez migrer vers Windows Server 2003, Standard Edition, à partir des systèmes d’exploitation Windows 2000 Server;Windows NT 4 Server avec le Service Pack 5 ou ultérieur et Windows NT 4 Terminal Services avec le Service Pack 5 ou ultérieur.



58 Quelques différences entre les niveaux fonctionnels de forêt

Active Directory possède de nombreux niveaux fonctionnels qui dictent les fonctionnalités disponibles et les versions de Windows qui peuvent faire office de contrôleur de domaine. Une forêt qui contient un contrôleur de domaine Windows Server 2003 possède trois niveaux fonctionnels de forêt et quatre niveaux fonctionnels de domaine. Cela est bien supérieur au seul niveau fonctionnel de forêt et aux deux niveaux fonctionnels de domaine disponibles avec Windows 2000.

Fonctionnalité Windows 2000 Windows 2003 Server version préliminaire

Windows 200 3 Server natif

Contrôleurs de domaines pris en compte

Windows 2003 Server, Windows 2000, BDC Windows NT 4.0

Windows NT 4.0, Windows 2003 Server

Windows 2003 Server

Changement de nom d’un domaine

NON NON OUI * voir (Rendom.exe)

Réplication Active Directory améliorée

NON NON OUI

Réplication partielle des appartenances aux groupes

NON OUI OUI

Approbations de forêts transitives

NON NON OUI

Réplication de catalogue global améliorée

Lorsque les deux contrôleurs de domaines sont des serveurs Windows 2003 Server

OUI OUI

Nombre maximum de membres dans un groupe

5000 Plus de 5000 Plus de 5000



59

Différences entre les niveaux fonctionnels de domaine Fonctionnalité Windows

2000 mixte Windows 2000 natif

Windows 2003 version préliminaire

Windows 2003 Server

Contrôleurs de domaine pris en charge

Windows 2003 Server, Windows 2000 et BDC Windows NT 4.0

Windows 2003 Server et Windows 2000

Windows Server 2003 et Windows NT 4.0

Windows Server 2003

Nombre d’objets par domaine

Inférieur à 40000 (20000 comtes utilisateurs) recommandé

1 million 1 million 1 million

Réplication multimaître

OUI OUI OUI OUI

Types de groupe Global, Local Universel, Domaine Global, Domaine Local

Global, Local Universel, Domaine Global, Domaine Local

Groupes imbriqués

NON OUI NON OUI

Administration interdomaine

Limitée Complète Limitée Complète

Filtres de mots de passe

Installés manuellement sur chaque contrôleur de domaine

Installés automatiquement sur tous les contrôleurs de domaine

Installés manuellement sur chaque contrôleur de domaine

Installés automatiquement sur tous les contrôleurs de domaine

Requêtes utilisant Destop Change/Configuration Management

Uniquement pour les contrôleurs de domaine Windows 2000

OUI Uniquement pour les contrôleurs de domaine Windows Server 2003

OUI

Protocoles d’authentification

NTLM, Kerberos

Kerberos NTLM, Kerberos

Kerberos

Réplication des appartenances aux groupes

Liste entière des appartenances aux groupes

Liste entière des appartenances aux groupes

Uniquement les modifications d’appartenances

Uniquement les modifications d’appartenances

Nombre maximal de sites par domaine

300 300 300 3000

SIDHistory NON OUI NON OUI Attribut lastLogonTimestamp user / computer

NON NON NON OUI

Mot de passe utilisateur inetOrgPerson

NON NON NON OUI



60 Attention : Le basculement en mode natif est irréversible. Après le basculement dans le mode Windows 2000/2003 natif, vous ne pouvez plus utiliser les contrôleurs de domaine Windows NT dans le domaine. Après le basculement dans le mode Windows Server 2003, vous ne pouvez plus utiliser les contrôleurs de domaines Windows 2000 ou Windows NT 4 dans votre domaine. Vous pouvez migrer le niveau fonctionnel d’une forêt si tous les domaines qu’elle contient fonctionnent en mode natif. Après la migration d’une forêt, vous ne pouvez ajouter que des domaines qui fonctionnent dans un domaine identique ou supérieur. L’ajout d’un domaine avec un niveau fonctionnel inférieur nécessite la création d’une nouvelle forêt.

Basculement de n iveaux fonct ionne ls

==============================================================================================================================================================================Cliquez sur Démarrer, sélectionnez Outils d’administration, puis Domaines et approbations Active Directory. Sélectionnez le domaine (bourges.eds) ou la forêt (Domaines et approbations Active Directory) qui change de niveau fonctionnel et appelez la commande Augmenter le niveau fonctionnel du domaine (ou Augmenter le niveau fonctionnel de le forêt) du menu Action. Sélectionnez le niveau fonctionnel, puis cliquez sur Augmenter. Lorsque Windows vous demande de vérifier la sélection, cliquez sur OK. Cliquez sur OK dans la boite de dialogue suivante. ==============================================================================================================================================================================



61

Questions/Réponses (Déploiement de Windows 2003) 1. Quels sont les minimums requis pour installer Windows Server 2003 Entreprise ? HDD : 1,5 Go CPU : De 1 à 8 Fréquence CPU : 133 MHz pour les ordinateurs basés sur x86, 733 MHz pour les ordinateurs basés sur Itanium RAM : 128 Mo VIDEO : VGA (16 couleurs) 2. Quelle commande utiliser pour convertir un disque C : de FAT32 en NTFS ? Convert C : /FS : NTFS 3. Quelle est la différence principale entre un groupe de travail et un domaine ? La différence principale entre un groupe de travail et un domaine est où réside l'information pour l'authentification de connection de l'utilisateur Pour un groupe de travail, l'information sur l'utilisateur réside dans la base de données de sécurité locale sur chaque ordinateur du groupe de travail (sur un réseau, ou vous voulez être sûr que l'administrateur pourra le gérer en déployant un minimum d'efforts. = Réseau point à point). Pour le domaine, l'information sur l'utilisateur réside dans la base de données d'Active Directory (un plus grand éloignement entre les ordinateurs et l'augmentation du trafic ont entraîné une extension de votre réseau.= Réseau client-serveur) 4. Expliquez ce qui arrive quand un utilisateur se connecte à un domaine ? Windows XP envoie l'information de connection à un contrôleur de domaine, qui le compare à l'information de l'utilisateur dans la liste d'adresses (AD). Si les les informations "match", le contrôleur de domaine authentifie l'utilisateur et publie un jeton d'accès pour l'utilisateur. 5. Quel est le but d'Active Directory ? Active Directory est un service de renseignements inclus à Windows Serveur 2003. Il stocke l'information sur des objets sur un réseau et rend cette information disponible aux administrateurs de réseau et aux utilisateurs. Active Directory donne l'accès aux utilisateurs en réseau aux ressources permises n'importe où sur le réseau employant un simple processus de connexion . Il fournit aux administrateurs réseau une vue intuitive et hiérarchique du réseau et un simple point d'administration pour tous les objets de réseau. 6. Quels sont les diférents types de serveurs 2003 ? Windows Server 2003 Standard ; Windows Server 2003 Entreprise ; Windows Server 2003 Web; Windows 2003 Server Data Center. 7. Quelles sont les versions Serveur prévues en 64 bits ? Windows 2003 Server Entreprise; Windows 2003 Server Data Center. 8. Quels sont les diférents rôles que peut avoir un Windows Serveur 2003 au sein d’un réseau ? Lorsque vous installez Windows Server 2003 sur un nouveau système, vous pouvez configurer le serveur en tant que Serveur membre, contrôleur de domaine ou Serveur autonome. 9. Dans un groupe de travail, où sont stockés les comptes d'utilisateur ? Dans la base de données de sécurité de l'ordinateur local (SAM : Security Account Manager). 10. Quels avantages présente l'utilisation de domaines (AD) dans Windows 2000/2003 ? Organisation des objets de domaine. Recherche simple des informations relatives aux objets de domaine. Accès simplifié aux objets de domaine. Délégation de l'autorité. 11. À quels besoins des entreprises répond Active Directory ? Réduction du coût total de possession. Administration simplifiée. Administration souple. Évolutivité. 12. Quels services le système DNS fournit-il à Active Directory ? Le système DNS fournit la résolution de noms, la capacité de mapper les noms d'ordinateur avec les adresses IP correspondantes ainsi qu'une définition d'espaces de noms. Le système DNS permet aux clients de localiser les serveurs disposant des services dont ils ont besoin, tels le catalogue global et l'authentification.



62 13. Un utilisateur, qui dispose d'un compte d'utilisateur de domaine, n'est pas satisfait car bien qu'il ait ouvert une session, chaque fois qu'il tente d'accéder à une ressource sur un serveur, il est invité à spécifier son nom d'utilisateur et son mot de passe. Quelle est la cause probable de son problème et pourquoi le problème se produit-il ? Il est possible qu'il ait ouvert une session sur l'ordinateur local, plutôt que sur le domaine. Ceci est probable si ses comptes d'utilisateur local et de domaine ont les mêmes noms d'utilisateur et mots de passe. Bien que les noms d'utilisateur et les mots de passe soient les mêmes, les comptes ont des identificateurs de sécurité différents. 14 . Avec un système Windows Serveur 2003 Server gérant un domaine AD, combien il y at’il de niveaux fonctionnels de forêt et de domaine ? Une forêt qui contient un contrôleur de domaine Windows Server 2003 possède trois niveaux fonctionnels de forêt et quatre niveaux fonctionnels de domaine. 15. Donnez une définition des sites et des domaines et indiquez en quoi ils diffèrent ?. Un site est une combinaison d'un ou de plusieurs sous-réseaux IP connectés par une liaison à haute vitesse. Un domaine est un regroupement logique de serveurs et d'autres ressources réseau sous un nom de domaine unique. Un site est un composant de la structure physique d'Active Directory, et un domaine un composant de sa structure logique. 16. Le service d’annuaire AD fournit aux composants réseau les structures à la fois logiques et physiques, lesquels ? Les structures logiques sont :

• Unités d’organisation (sous-groupe de domaines reflétant souvent la structure professionnelle ou fonctionnelle de la société).

• Domaines (groupes d’ordinateurs partageant une base de données d’annuaire commune). • Arborescences de domaines (un ou plusieurs domaines partageant un espace de nom

contigu). • Forêts de domaines (une ou plusieurs arborescences de domaine partageant des

informations communes de l’annuaire). Les structures physiques sont :

• Sous-réseaux (groupe de réseaux, chaque réseau possédant un masque de réseau et une plage d’adresses IP spécifiques).

• Sites (un ou plusieurs sous-réseaux qui servent à configurer la réplication et l’accès à l’annuaire).

17. Les fonctions d’un domaine sont limitées et contrôlées par le niveau fonctionnel du domaine, lesquels ? a) Mode mixte Windows 2000 (prend en charge les contrôleurs de domaine fonctionnant sous Windows NT, 2000 et Server 2003). b) Mode natif Windows 2000 (prend en charge les contrôleurs de domaine fonctionnant sous Windows 2000 et Server 2003). c) Mode Windows Server 2003 version intermédiaire (prend en charge les contrôleurs de domaine fonctionnant sous Windows NT 4.0 et Server 2003). d) Windows Server 2003 (prend en charge les contrôleurs de domaine fonctionnant sous Windows Server 2003). 18. Les fonctions d’une forêt sont limitées et contrôlées par le niveau fonctionnel de la forêt, lesquels ? Mode Windows 2000 Mode Windows Server 2003 version intermédiaire Windows Server 2003 19. Que sont les arborescences et les forêts et en quoi sont-ils différents ? Qu'ont-ils en commun ? Une arborescence est un groupe d'un ou plusieurs domaines, chacun partageant un espace de noms DNS contigu. Une forêt est un ensemble d'une ou plusieurs arborescences. Les arborescences d'une forêt forment un espace de noms DNS non contigu. Dans les arborescences et les forêts, tous les domaines partagent des relations d'approbation transitives, un schéma commun et un catalogue global commun. 20. Quelles sont les fonctions offertes par un système DNS sur un réseau exécutant Active Directory ? La résolution de noms, une convention de dénomination standard et un service de localisation.



63 21. Quelles sont les différences entre les espaces de noms du système DNS et d'Active Directory ? L'espace de noms du système DNS consiste en enregistrements de ressource stockés dans des zones. L'espace de noms d'Active Directory consiste en objets stockés dans des domaines. 22. À quoi servent les enregistrements de ressource SRV utilisés dans un domaine Active Directory ? Les enregistrements de ressource SRV sont utilisés pour déterminer l'emplacement des serveurs offrant un service dont a besoin le client. Par exemple, si le client effectue une requête dans un serveur de catalogue global, un enregistrement de ressource SRV contiendra les informations dont a besoin le client pour localiser un serveur fonctionnant en tant que serveur de catalogue global. 23. Quels sont les deux raisons principales qui motivent l'implémentation d'une structure d'unité d'organisation au sein d'un domaine ? Améliorer le contrôle d'administration. Contrôler l'application de la stratégie de groupe. 24. Pourquoi créez-vous des approbations raccourcies ? Les approbations raccourcies permettent de réduire le chemin d'approbation utilisé pour l'authentification des ressources. 25. Quel est le rôle du catalogue global au sein d’un domaine active directory ? Par défaut, les attributs stockés dans le catalogue global sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom et le nom d’ouverture de session d’un utilisateur). Le catalogue global contient les informations nécessaires pour déterminer l’emplacement de tout objet figurant dans l’annuaire. 26. Vous souhaitez limiter le trafic de duplication entre deux contrôleurs de domaine connectés par une liaison étendue. Vous souhaitez également que ce lien soit uniquement employé pour la duplication de nuit. Que devez-vous faire ? Placez les contrôleurs de domaine dans des sites distincts, et creez un lien de site entre eux avec un duplcation planifiée de sorte qu’elle ne se produise que la nuit

I N S T A L L A T I O N W I N D O W S S E R V E R 2 0 0 3


64

INSTALLATION WINDOWS SERVER 2003

1). Vérifier la séquence de démarrage au niveau du « Setup » de votre machine. Vérifiez que le CD-ROM dans la séquence de boot est en premier, Insérer le CD-ROM de Windows Server 2003 Entreprise FR, et l’install Commence.

Ecran « Installation de Windows Server 2003, Entreprise Edition », appuyez sur « Entrer » pour continuer. ☺ A ce niveau, l’Install charge les drivers nécessaires pour poursuivre l’Install.

L’écran "time limited" apparaît avec comme option “Continuer Install” ou “Quitter”. Presser “ENTER” pour Continuer l’Install ou « F3 » pour Quitter et rebouter le système.

L’écran "Bienvenue !!!" apparaît avec comme option “Continuer Install”, “Réparer une Installation”, ou “Quitter”. Presser “ENTER” pour continuer l’Install, “R” pour Réparer, ou “F3” pour Quitter et rebouter le système

L’écran "Contrat de Licence Windows", connu sous le nom "EULA", affiche le copyright.

Presser la touche “F8” valider le contrat, “ESC” si vous n’êtes pas d’accord « PAGE UP » ou « PAGE DOWN » pour faire défiler l’écran. Note: Si vous n’êtes pas d’accord avec les termes de licence, l’Install s’arrête et reboute le system.

Le partitionnement du disque est maintenant affiché, cela variera en fonction de chaque configuration matérielle. Supprimer toute partition déjà existante……. Appuyez sur « C » pour créez une nouvelle partition (indiquez sa taille = 3500 pour 3,5 Go), puis ENTRER pour Créer. Sélectionner le disque C :, puis ENTRER pour l’Installation Sélectionner Formater la partition en



65

sélectionnant le système de fichier NTFS puis ENTRER pour continuer. Remarque : « D » pour supprimer la partition sélectionnée, ou « F3 » pour Quitter et rebouter le système.

Copie des fichiers vers votre disque dur.

L’Install crée plusieurs fichiers d’informations requis pour continuer l’Install.

Premier Démarrage.

Si vous êtes impatient, pressez la touche « Entrer » avant que les 15 secs soient expirées

Mode Graphique : Install de Windows.



66 Si vous avez déjà installé Windows, ce type d’écran vous sera familier Chaque système Windows ou version d’OS nous sort la même revendication. « Plus rapide et mieux ». Il est permit de débattre si vraiment il pourrait devenir "un peu plus mauvais."

Ecran : Installation de Windows

☺ « Options régionales et Linguistiques » : Choisir ou

ajouter selon le cas comme Pays la « France » (☺ bouton

Personnalise, onglet Options régionales) ainsi que le clavier Français (☺

bouton Details onglet Paramètres), appuyez

ensuite sur « Suivant pour continuer».

« Personnalisez votre logiciel » : dans Name mettre votre

« Prénom », dans Organization mettre « Gefi »,

appuyez sur « Suivant » pour continuer.

“Votre “Clé du Produit” : “QHRFD-DXKC3-T93Y8-7JF6H-PKJH6”

Appuyez sur « Suivant » pour continuer.

« Mode de licences » : sélectionnez « Par serveur » et

mettre le nombre « 24 », appuyez sur « Suivant » pour continuer.



67 « Nom de l’ordinateur et mot de passe Administrateur” : Computer Name : (voir tableau page suivante)

Administrator password : P@sswrdXXXX

Confirm password : P@sswrdXXXX Note : XXXX réprésente un chiffre de votre choix ☺ attention normalement le mot de passe doit faire 6 caractères, ne pas contenir le terme « Administrateur » ou « Admin », contenir des majuscules, minuscules, chiffres et caractères non alphanumériques.

Appuyer sur « Suivant » pour confirmer.

“Réglage de la date et de l’heure” : Mettre à l’heure du jour, sur puis sur « Fuseau horaire » mettre

« Madrid, Paris » [+01].


Attendez pendant que le Réseau s'installe. Vous pourriez lire tout le blabla marketing, mais je ne le recommande pas. :)

“Paramètres de gestion réseau” : Choisir

« Paramètres par défaut”,


Cet écran ne va pas vous êtes proposé, cela dépend de votre sélection antérieure ……. Les propriétés de TCP/IP contiennent les options standard. Ajustez-les pour vos besoins particuliers comme exigés. Pour le moment, gardez les propositions par défaut. Normalement, il emploie DHCP pour configurer TCP/IP. Choisissez le bouton « Avancé » pour plus loin configurer vos options de TCP/IP (plus tard n’y toucher pas pour l’instant).



68 « Groupe de travail ou Domaine d’ordinateurs » :

Choisir « Non, cet ordinateur ne se trouve pas sur un réseau ou le réseau n’a pas de Domaine… … », mettre comme

nom : GefiNet.


Le système réamorcera après que tous les fichiers aient été copiés sur la partition d'amorçage. Il faut encore attendre :(

Second Démarrage de Windows Server 2003 Entreprise Le moment que nous avons tous attendu, Windows Server 2003 démarre "pour la première fois".

Ouvrir une session pour la combinaison de touches

« Ctrl+Alt+Suppr »,

User name : Administrateur

Password : P@sswrdXXXX

Attendez s'il vous plaît tandis que le compte Administrateur soit configuré "pour la première fois".



69 Un écran d'accueil est inclus avec des outils pour gérer le serveur. La résolution d'écran initiale est de 640 x 480. Vous pouvez cliquer sur le menu contextuel pour augmenter jusqu'à 800 x 600 automatiquement (zone de notification en bas à droite).

Dans la boîte de dialogue « Gérer votre Serveur » choisir

« Fermer » pour sortir de cet Assistant de configuration réseau.



70

Configuration de la carte réseau avec une adresse IP statique

☺ TP à réaliser. ============================================================================================================================================1. Bouton « Démarrer », puis « Panneau de configuration», « Connexions réseau », puis « Connexions réseau local », bouton droit propriétés sur “Connexion au réseau local”. 2. Cochez la case : Afficher une icône dans la zone de notification une fois la connexion établie 3. Sélectionnez le protocole TCP/IP, puis Propriétés. 4. Sélectionnez “Utiliser l’@IP suivante” : -IP address : 192.168.x.y -Subnet mask : 255.255.255.0 -Default gateway : (pas de passerelle par défaut), puis OK, Fermer pour valider la boîte. Remarque : Un petit ordinateur (votre connexion réseau) apparaît dans la zone de notification). ============================================================================================================================================ Remarque : Pour les valeurs « X » et « Y » de votre @IP voir le tableau de la page suivante et attendre que le formateur vous affecte votre N°

Tableau du plan d’adressage des machines de la salle de cours



71

Numéro de stagiaire

Adresse IP Nom Ordinateur Workgroup FQDN

1 192.168.x.1 Vancouver GefiNet Vancouver.namerica1.bourges.eds 2 192.168.x.2 Denver GefiNet Denver.namerica1. bourges.eds 3 192.168.x.3 Perth GefiNet Perth.spacific1. bourges.eds 4 192.168.x.4 Brisbane GefiNet Brisbane.spacific1. bourges.eds 5 192.168.x.5 Madrid GefiNet Lisbon.europe1. bourges.eds 6 192.168.x.6 Bonn GefiNet Bonn.europe1. bourges.eds 7 192.168.x.7 Lima GefiNet Lima.samerica1. bourges.eds 8 192.168.x.8 Santiago GefiNet Santiago.samerica1. bourges.eds 9 192.168.x.9 Tokio GefiNet Tokio.asia1. bourges.eds 10 192.168.x.10 Manila GefiNet Manila.asia1. bourges.eds 11 192.168.x.11 Karthoum GefiNet Karthoum.africa1. bourges.eds 12 192.168.x.12 Nairobi GefiNet Nairobi.africa1.gefi. eds 200 machine du formateur

192.168.x .200 Servnet GefiNet Bourges

Servnet.bourges.eds

Ou « x » est le numéro assigné par le formateur pour cette classe !!!!!

Le N° « X » de mon réseau est : __________ Mon adresse IP est : _________ Mon Nom affecté par le formateur est : _________

Disquettes d'installation de Server 2003 Disquettes généralement utilisées lorsque le système ne peut pas amorçcer à partir du CDROM ‘Installation. Sous Windows NT3.x, l'installation du système se faisait uniquement en démarrant à l'aide de 3 disquettes d'installation, la 1ère étant bootable. Sous Windows NT4, le CD-ROM est devenu bootable. Dans le cas où l'ordinateur ne permettait pas de booter sur CD, on pouvait créer ces 3 disquettes à l'aide de la commande winnt /ox (sous DOS) ou winnt32 /ox (sous Windows), ces deux exécutables se trouvant dans le répertoire \i386 du CDROM. Sous Windows 2000, le nombre de disquettes est passé à 4, et leur création s'effectue à l'aide de la commande makeboot (sous DOS) ou makebt32 (sous Windows), ces deux exécutables se trouvant dans le répertoire \bootdisk du CDROM. Sous Windows XP ou Server 2003, le nombre de disquettes est passé à 6, et il n'est plus possible de les générer depuis le CDROM de Server 2003. Elles sont uniquement téléchargeables depuis le site de Microsoft, sous la forme d'un fichier compressé auto exécutable, différent suivant les versions de XP ("HOME" ou "PRO") et Server 2003. Chaque exécutable se compose de 6 fichiers images de disquettes de 1.44Mo (cdboot1.img à cdboot6.img) ainsi que de 2 exécutables destinés à leur création (makeboot.exe et makebt32.exe)

S E R V I C E S P A C K S


72

SERVICES PACKS

D’ordinaire, les Service Packs regroupent de manière très pratique les mises à jour d’un produit (exemple, le SP1 de Windows Serveur 2003). Outre les dernières mises à jour de Windows Server 2003, SP1 contient de nouvelles fonctionnalités et améliorations conçues pour augmenter la sécurité et la fiabilité, et simplifier l’administration. Windows Server 2003 SP1 complète Windows Server 2003 et constitue un changement dans le modèle de sécurité des serveurs. Vous pouvez installer Windows Server 2003 SP1 sur des serveurs Windows existants ou nouvellement installés. Microsoft édite périodiquement des Services Packs pour consolider les mises à jour logicielles et de sécurité. Remarque : Appliquez les derniers Services Packs, si ceux-ci ont été validés par votre équipe d’administration. Windows NT 4.0 : SP1, SP2 (jamais), SP3, SP4, SP5, SP6a Windows 2000 : SP1, SP2, SP3, SP4 Windows XP : SP1, SP2 (firewall activé par défaut) Windows 2003 : SP1 en 2005 à venire le SP2 en 2006 ? S'appuyant sur le haut degré de sécurité, de fiabilité et de performance de Windows Server 2003 Service Pack 1 (SP1), Windows Server 2003 R2 étend la connectivité et le contrôle aux ressources locales et distantes

•Windows Server 2003 R2 Standard Edition

•Windows Server 2003 R2 Enterprise Edition

•Windows Server 2003 R2 Datacenter Edition

•Windows Server 2003 x64 Editions Le SP3 de Windows XP débarquera au second semestre 2007 Le SP2 de Windows 2003 débarquera au second semestre 2006

S E R V I C E S P A C K S


73

Planification des Mises à jour automatiques Dans Windows Server 2003 et Windows XP Pour configurer une planification de Mises à jour automatiques

1. Cliquez sur Démarrer, sur Panneau de configuration, puis double-cliquez sur Système. 2. Sous l'onglet Mises à jour automatiques, cliquez sur Télécharger automatiquement les mises à jour, et les installer en fonction de la planification que je spécifie. 3. Sélectionnez le jour et l'heure auxquels vous souhaitez télécharger et installer les mises à jour.

Lorsque des mises à jour critiques sont détectées, la fonctionnalité Mises à jour automatiques les télécharge automatiquement en arrière-plan pendant que vous êtes connecté à Internet. Une fois le téléchargement terminé, les mises à jour ne sont installées qu'aux dates et heures planifiées. À ce moment-là, tous les utilisateurs locaux reçoivent le message suivant, accompagné d'un compte à rebours de cinq minutes : Windows est prêt à commencer l'installation des mises à jour disponibles pour votre ordinateur. Voulez-vous que Windows installe les mises à jour maintenant ? (Windows redémarrera si aucune action n'est enregistrée dans les 5:00 minutes) Si vous êtes connecté en tant qu'administrateur, à l'affichage du message, vous pouvez cliquer sur Oui pour installer les mises à jour ou sur Non pour faire en sorte qu'elles soient installées aux dates et heures planifiées suivantes. Si vous n'effectuez aucune action lors des cinq minutes suivantes, Windows installe automatiquement les mises à jour. Important Vous devrez peut-être redémarrer votre ordinateur pour terminer l'installation des mises à jour. Si vous désactivez le service AutoUpdate en accédant à la page de propriétés AutoUpdate, vous mettez l'ordinateur pour des mises à jour manuelles. Cela provoque l'icône AutoUpdate disparaître de la zone de notification, mais le service de mise à jour automatique exécutera toujours.

L A C O N S O L E D E R É C U P É R A T I O N


74

LA CONSOLE DE RÉCUPÉRATION

Installation de la Console de récupération comme option de démarrage

Interface de ligne de commande qui propose un jeu restreint de commandes d’administration utiles pour réparer un ordinateur.

Si vous voulez installer la Console de récupération comme option de démarrage, vous devez le faire lorsque Windows Server 2003 fonctionne correctement. Pour installer la Console de récupération comme option de démarrage, exécutez la procédure ci-dessous.

☺ TP à réaliser. ====================================================================== 1. Tandis que Windows Server 2003 s'exécute, insérez le CD-ROM Windows Server 2003 dans votre lecteur. 2. Cliquez sur Démarrer, sur Exécuter, puis tapez cmd 3. Basculez vers votre lecteur de CD-ROM : lecteur D: (vérifier via l’explorateur de Windows : = + E). 4. Tapez \i386\winnt32.exe /cmdcons si vous utilisez un ordinateur 32 bits, ou \ia64\winnt32.exe /cmdcons si vous utilisez un ordinateur 64 bits, puis appuyez sur ENTRÉE. 5. Cliquez sur Oui pour installer la Console de récupération, puis suivez les instructions à l'écran. ☺ Dans la fenêtre de recherche de mise à jour, cocher : Ignorer cette étape et continuer l’installation de Windows, cliquez sur OK pour terminer l’installation Comment pouvez-vous vérifier que cette option est maintenant disponible dans le menu de démarrage de Windows (boot.ini) ? …………………………………………………………………………………………………………………………………………………………………………………………………………………………………… ======================================================================

Exécution de la Console de récupération à partir du CD-ROM

☺ Infos. ====================================================================== 1. Insérez le CD-ROM Windows Server 2003 dans votre lecteur, puis redémarrez l'ordinateur. 2. Lorsque le message « Appuyez sur n'importe qu'elle touche pour démarrer du CD-ROM » s'affiche, appuyez sur ENTRÉE. 3. Attendez le chargement de tous les fichiers. 4. Dans l'écran Bienvenue !, tapez r pour la récupération. 5. Choisissez une installation à réparer, puis tapez le mot de passe pour le compte Administrateur. ======================================================================

L A C O N S O L E D E R É C U P É R A T I O N


75

☺ TP à réaliser.

Création et convertion d’un disque en NTFS ====================================================================== 1. Bouton démarrer, Propriétés de Poste de travail, puis Gérer 2. Choisir Gestion des disques 3. Faites un clic droit sur la partie représentant l'espace non alloué, et sélectionnez Nouvelle partition.

4. Cliquez sur Suivant pour ouvrir l'assistant de création de partition. 5. Cochez Partition étendue et cliquez sur Suivant. 6. Faites un clic droit sur votre partition étendue et cliquez sur Créer un nouveau lecteur logique. 7. Cliquez sur Suivant.

Rentrez la taille de la partition que vous voulez créer : 1000 pour 1Go. 8. Une fois la taille sélectionnée, cliquez sur Suivant. 9. Sélectionnez la lettre que vous voulez affecter à votre nouvelle partition (E dans notre exemple) puis cliquez sur Suivant. 10. Sélectionnez le système de fichiers FAT32, donnez un nom à votre lecteur (ici mettre DATAS) et cliquez sur Suivant. 11. Cliquez sur Terminer et Windows lancera le formatage de votre nouvelle partition. 12. Ouvrez une invite de commande, puis saisissez : C:\> Convert E : /fs :NTFS, puis « O » pour valider l’action, affecter lorsque demandé comme nom de volume « DATAS ». 13.. Vérifiez que dans les propriétés (explorateur = + E) du disque E: celui-ci est bien en ntfs. ======================================================================


Vérifier que « Autoriser l’ouverture de session d’administration automatique » est Désactiver

====================================================================== 1. Bouton Démarrer, puis Exécuter, puis saisir « mmc », menu Fichier et ajouter/supprimer….., puis Ajouter, ajoutez le composant logiciel "Editeur de Stratégie de groupes ", puis Terminer, puis Fermer et OK de nouveau. 2. Parcourez dans la console d’administration : Racine de la console/Stratégie ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité Double-cliquez sur " autoriser l' ouverture de session d'administration automatique " catégirie : Console de récupération et cochez l' option " Activé " ou " Désactivé " (ici pour des questions de sécurité, il vaut mieux laisser la valeur par défaut, c'est-à-dire Désactiver). 3. Fermer la console sans enregistrer dans console1 comme proposé. ======================================================================

T Y P E S D ’ O U V E R T U R E D E S E S S I O N


76

TYPES D’OUVERTURE DE SESSION

L'authentification de l'identité des utilisateurs pendant la connexion est la première étape pour l'obtention de l'accès au système. Pour des machines locales ne participant pas activement à un domaine, le protocole Windows NT LAN Manager (NTLM) est toujours utilisé pour vérifier le nom d'un utilisateur et le mot de passe. Cependant, dans des environnements de domaine Microsoft a couplé des services Active Directory avec la norme d'industrie naissante pour l'authentification du MIT connu sous le nom de Kerberos. Une fois que l'on accorde l'accès, des clefs sont échangées qui permettent l'accès spécifique à d'autres ressources du système sur le domaine. Cela combine la technologie Kerberos sous-jacente avec l'Infrastructure à Clef Publique (PKI). Les concepts entourant tant Kerberos que PKI sont relativement nouveaux dans des environnements Microsoft et ils sont des technologies importantes pour des administrateurs de système pour comprendre Interactive : Ouverture de session sur un ordinateur local auquel vous avez des accès physiques directs (de même que les ouvertures de sessions à distance ou par Terminal Server). Réseau : Accès à un système exécutant un accès par le réseau, depuis lequel la session a été ouverte. Dans ce cas la LSA de votre station tentera d’établir votre identité avec la LSA de l’ordinateur distant. Service : Quand un service basé sur WIN32 démarre, il ouvre une session sur l’ordinateur local avec les informations d’identification du compte d’utilisateur local ou de domaine. En utilisant soit : Compte de domaine : Un utilisateur se connecte au réseau avec un mot de passe ou une carte à puce en utilisant les informations d’identification stockée dans l’Active Directory. Compte d’utilisateur local : Un utilisateur ouvre un compte sur un ordinateur local en utilisant les informations d’identification stockées dans la base de données SAM.

Processus d'ouverture de session de réseau

Une ouverture de session de réseau se produit lorsqu'un utilisateur établit une connexion réseau à un ordinateur distant exécutant Windows 2000/2003, par exemple lors d'une connexion à un dossier partagé. Le processus d'authentification est très similaire à un processus interactif d'ouverture de session.

L'ordinateur client obtient un ticket de session serveur auprès du service Kerberos s'exécutant sur un contrôleur de domaine dans le domaine de l'utilisateur. L'ordinateur client envoie alors un ticket de session serveur au sous-système de sécurité local sur le



77 serveur qui extrait les informations d'identification de sécurité de l'utilisateur et établit un jeton d'accès pour l'utilisateur distant. Ce jeton d'accès sert à authentifier l'utilisateur lorsqu'une ressource du serveur est accédée.

Processus d'ouverture de session secondaire

L'ouverture de session secondaire donne la possibilité de démarrer ou d'exécuter une application au moyen d'informations d'identification de sécurité d'un autre utilisateur, sans pour autant terminer la session en cours. Par exemple, vous pouvez exécuter les outils d'administration alors qu'une session est ouverte avec un compte d'utilisateur standard.



78

Intégration d’une machine en Workgroup dans un DC


a). Travail sur la machine qui fera office de DC, (� machine du formateur) (installer Active Directory + DNS sans le configurer) attendre que cela soit réalisé afin de réaliser votre partie. a1) Installation de Active Directory ==============================================================================A1) Installation d’Active Directory Bouton « Démarrer », puis « Exécuter… », puis taper « DCPROMO ». Dans Assistant Installation de Active directory, cliquez sur « Suivant », dans la boite Compatibilité du système d'exploitation cocher sur "Suivant" (les machines Windows 95 et NT 4.0 SP3 ne pourront pas se connecter au Domaine windows 2003), dans le boite Type de contrôlleur de domaine, cochez « Contrôlleur de domaine pour un nouveau domaine”puis sur “Suivant”. Dans la boite Créer un nouveau domaine, cocher : “Domaine dans une nouvelle forêt” (premier domaine dans l'organisation) puis sur “Suivant”.. Dans la boite Installer ou configurer le service DNS cochez la case "Non, je veux installer et configurer le service DNS sur cet ordinateur" puis sur "Suivant", dans la boite Nouveau nom de domaine, taper dans “Nom DNS complet pour le nouveau domaine” : bourges.eds Puis sur “Suivant”, taper comme “Nom de domaine NetBIOS” : BOURGES Puis sur “Suivant”, dans la boite Dossiers de la base de données et du journal - Ou voulez-vous stocker la base de données Active Directory : C:\WINDOWS\NTDS - Ou voulez-vous stocker le journal Active Directory : C:\WINDOWS\NTDS puis “Suivant”, Dans la boite Volume système partagé entrer un emplacement pour le volume sysvol : E:\SYSVOL (attention ce volume doit être en NTFS). Cliquez sur “Suivant”, dans la boite Autorisations, cocher la case “Autorisations compatibles uniquement avec les systèmes d'exploitation serveurs Windows 2000 ou Windows Server 2003”, puis “Suivant”. Dans la boite Mot de passe administrateur de restauration des services d'annuaire Pas de mot de passe pour la restauration d’Active Directory, puis faire “ Suivant ”, dans la boite résumé faire “ Suivant ” (attendre, cela peut prendre quelques mn, il faut une @IP statique sur votre Serveur AD et DNS), puis “Terminer” et “Redémarrer maintenant”. ==============================================================================A2) Création d’un compte utilisateur Lorsque la machine vous propose, ouvrir une session en tant : Attention ce premier redémarrage est un peu long Nom : Administrateur Mot de passe : P@sswrd1 Bouton « Démarrer », puis « Outils d’administration », « Utilisateurs et ordinateurs Active Directory» Développer “bourges.eds”, puis bouton droit sur “Utilisateur ou Users”, puis « Nouveau », puis « Utilisateur ». Prénom : Marcel Initiales : aucun Nom : Dupond Nom complet : ne rien modifier (Marcel Dupont) Nom d'ouverture de session utilisateur : Marcel@ bourges.eds Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) : BOURGES\ Marcel Puis « Suivant», Mot de passe : P@sswrd1 Confirmer le mot de passe : P@sswrd1 Décocher la case : L'utilisateur doit changer le mot de passe à la prochaine ouverture de session Cocher la case : L'utilisateur ne peut pas changer de mot de passe Cocherla case : Le mot de passe n'expire jamais Puis sur « Suivant», et sur « Terminer». Remarque : Normalement il ne faut pas déclarer de station de travail comme sous NT4.0 cela sera automatique lors de la jonction au domaine de la station de travail. Voir dans : "Démarrer" puis "Outils d'administration" puis " Stratégie de sécurité du domaine", "Paramètres Windows", "Paramètres de sécurité", "Stratégies locales", "Attribution des droits utilisateurs", double click sur « Ajouter des stations de travail au domaine», cocher la case "Définir ces paramètres de stratégies", bouton "Ajouter un utilisateur ou un groupe", Parcourir Avancé, Rechercher et vérifier que vous avez « Utilisateurs authentifiés» (sinon ajouter le), valider toutes les boites par "OK" et fermer la boite. ==============================================================================



79

b). Sur la station de travail (stagiaires) Ouvrez une session en tant que : Nom : Administrateur Mot de passe : P@sswrdXXXX Domaine : Nom de votre machine (SAM local) Bouton droit sur « Connexion au réseau local », puis « Ouvrir les connexions réseau » , propriétés de « Connexion au réseau local (bouble-click sur ordinateur dans la zone de notification)», puis propriétés de « TCPIP », bouton « Avancé… », onglet « DNS », cliquez sur « Ajouter… », mettre l’@IP du serveur DNS :192.168.x.200, puis « Ajouter » puis « OK », « OK », « OK », puis « Fermer » la boite. Ouvrez une ligne de commande et saisir : net time \\Servnet /set /yes (votre machine sera à la même heure que le DC du domaine bourges.eds), puis fermer l’invite de commande. Bouton « Démarrer », bouton droit Propriétés sur « Poste de travail », Onglet « Nom de l’ordinateur », bouton « Modifier », puis bouton « Autres… ». Dans « Suffixe DNS principal de cet ordinateur », mettre : bourges.eds Cliquez sur “OK” Sélectionnez dans membre de : « Domaine » et mettre comme nom de domaine « Bourges », puis OK. Lorsque votre machine vous le propose, ouvrez une session entant : Nom : Marcel Password : P@sswrd1. Puis, « OK » (message = Bienvenu dans le domaine de bourges), puis « OK », « OK », « OK », « OK » (redémarrer). Ouvrez une session en tant qu’utilisateur du domaine Bourges (faire « CTRL+ALT+SUPPR ») : Eventuellement cliquez sur le bouton Options (voir le champ Domaine) Utilisateur : Marcel Mot de passe : P@sswrd1 Se connecter à : Bourges, Puis sur « OK » (attendre, cela peu prendre plusieurs mn la première fois). ==============================================================================

Remarque : attention le simple utilisateur ne peut intégrer que 10 stations au niveau du domaine

Quand des utilisateurs disposant de comptes d'utilisateur de domaine ouvrent une session sur un ordinateur, une copie de leurs informations d'identification est mise en cache dans une zone sécurisée du Registre de l'ordinateur local. Ces informations d'identification mises en cache sont utilisées pour permettre à l'utilisateur d'ouvrir une session sur l'ordinateur si Active Directory n'est pas disponible pour authentifier l'utilisateur. Active Directory risque de ne pas être disponible quand le contrôleur de domaine est hors connexion, d'autres problèmes se produisent au niveau du réseau ou l'ordinateur n'est pas connecté au réseau, par exemple, quand les utilisateurs itinérants sont en déplacement.

Si un contrôleur de domaine est indisponible et que les informations d'ouverture de session d'un utilisateur se trouvent dans le cache, l'utilisateur reçoit une invite avec le message suivant :

Le contrôleur de domaine pour votre domaine n'a pu être contacté. La session a été ouverte en utilisant les informations cachées de votre compte. Les changements effectués sur votre profil depuis votre dernière session ne sont peut-être pas disponibles.

Si un contrôleur de domaine est indisponible et que les informations d'ouverture de session d'un utilisateur ne se trouvent pas dans le cache, l'utilisateur reçoit une invite avec le message suivant :

Le système n'a pas pu ouvrir de session car le domaine <NOM_DOMAINE> n'est pas disponible.

REMARQUE : Vous devez posséder des autorisations administratives pour l'ordinateur local afin d'installer et d'exécuter les Outils d'administration Windows 2000/2003 et des autorisations administratives de domaine pour le domaine sur lequel vous souhaitez exécuter des tâches administratives dans le but d'administrer un serveur à distance.



80

Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible).

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeur par défaut : 10. La valeur maximale de ce paramètre est 50.

Af f ichage des membres d 'un réseau

Une fois la session ouverte, vous pouvez afficher la boîte de dialogue Propriétés système sur votre ordinateur afin de déterminer le type de réseau auquel vous appartenez, à savoir domaine ou groupe de travail. _ Pour afficher la boîte de dialogue Propriétés système � Cliquez avec le bouton droit sur l'icône Poste de travail du bureau, puis cliquez sur Propriétés. La boîte de dialogue Propriétés système comporte cinq onglets. Cliquez sur l'onglet Nom de l’ordinateur pour déterminer si votre ordinateur appartient à un groupe de travail ou à un domaine.

============================================================

P R O T O C O L E D ’ A U T H E N T I F I C A T I O N


81

PROTOCOLE D’AUTHENTIFICATION

L'authentification est le processus qui permet de vérifier l'identité d'un utilisateur du réseau. Lorsqu'un utilisateur est authentifié sur un réseau, celui-ci fournit un compte et un mot de passe. Lorsque la demande d'authentification est terminée, l'accès aux ressources est autorisé sur le réseau, et peut être soumis aux restrictions d'usage. Windows 2000/Server 2003 prend en charge différentes méthodes d'authentification, y compris l'authentification Kerberos version 5 basée sur un certificat et le protocole NTLM, afin de confirmer l'identité de l'utilisateur du réseau.

Protocole Kerberos V5 : Protocole d’authentification par défaut pour Windows 2000 et Windows XP Pro et 2003 Server.

Protocole NTLM : Protocole d’authentification par défaut pour Windows NT 4.0.

NTLM

Le protocole NTLM authentifie les utilisateurs et les ordinateurs selon un mécanisme de défi / réponse. Quand le protocole NTLM est utilisé, un serveur de ressources doit contacter un service d’authentification de domaine sur le contrôleur de domaine du compte utilisateur ou d’ordinateur du domaine pour vérifier son identité, si un nouveau jeton d’accès est nécessaire.

NTLM est supporté pour la compatibilité ascendante avec Windows NT mais n’est pas conseillé (mode mixte) !

Windows NT 4.0 et les versions antérieures de Windows ne prennent pas en charge les nouveaux protocoles d'authentification tels que Kerberos version 5. Windows 2000/2003 prend en charge le protocole NTLM et garantit ainsi la compatibilité avec les clients et les serveurs qui exécutent des versions antérieures de Windows. Le protocole NTLM est également utilisé pour authentifier les demandes d'ouverture de session sur des ordinateurs autonomes exécutant Windows 2000/2003.

Le protocole NTLM est utilisé dans les cas décrits ci-dessous.

_ Un ordinateur Windows 2000/XP est authentifié avec un serveur autonome Windows 2000/2003.

_ Un ordinateur Windows 2000/XP est authentifié avec un serveur Windows NT 4.0.

_ Un ordinateur exécutant Microsoft Windows 95, Microsoft Windows 98 ou Windows NT, et configuré avec le logiciel Windows 2000 Directory Services Client (client Active Directory), est authentifié avec un contrôleur de domaine Windows 2000/2003.



82 _ Un client Windows 2000/XP ne peut pas être authentifié avec un contrôleur de domaine Windows 2000 à l'aide de Kerberos. Le client Windows 2000/XP tentera alors de procéder à une authentification en utilisant le protocole NTLM.

NTLM Version 1

Forme plus sécurisée d’authentification défi / réponse que LM, disponible pour les ordinateurs qui se connectent aux serveurs de domaine Windows NT ayant au moins un contrôleur de domaine exécutant Windows NT 4.0 Service Pack 3 ou précédent (56 bits).

NTLM Version 2

Forme d’authentification défi / réponse la mieux sécurisée prise en charge par Windows, utilisée quand les ordinateurs se connectent aux serveurs d’un domaine NT dans lequel tous les contrôleurs de domaines ont évolués vers Windows NT 4.0 Service Pack 4 ou ultérieur.

Le protocole NTLM version 2 est disponible sur les ordinateurs exécutant Windows 95 et Windows 98, une fois le logiciel Windows 2000 Directory Services Client installé (128 bits). Depuis Windows 2000 le chiffrage est activé d'office (Syskey) S’il n'est pas chiffré, on peut voler le fichier SAM en rebootant le serveur avec une disquette créée à cet effet.

S’il est chiffré, il faut être administrateur pour pouvoir voler les hashs avec des outils comme pwdump2

Le crackeur doit d'abord se procurer une copie des hash de mots de passe Comme il ne peut pas inverser les hashs il va

• deviner des mots de passe (dictionnaire) • générer les hashs de ces mots (force brute) • comparer avec les hashs volés pour savoir s'il a bien deviné

Les programmes de crackage génèrent des hashs à partir des mots d'un dictionnaire ou en énumérant toutes les combinaisons de caractères. Un PC puissant peut générer de 200000 à 2000000 de hashs par seconde suivant le type de hash. Utiliser des réseaux Windows 2000 (AD) ou Unix purs (pas de Win9X) Désactiver le LanMan hash sous Windows 2000 SP2 ou XP Sécuriser le fichier qui contient les hash " NT: utiliser syskey (défaut sous win2k) " Unix: utiliser fichier /etc/shadow Utiliser Kerberos dans win2k Sécuriser l'accès physique aux serveurs contenant les hashs Appliquer les derniers patchs de sécurité Appliquer des outils qui obligent les utilisateurs à avoir des bons mots de passe (voir stratégie de mot de passe). Auditer les mots de passe régulièrement Utiliser des mots de passe difficiles (au moins 8 caractères, casse mixte, avec des chiffres et des caractères spéciaux)



83 Mettre les caractères spéciaux dans les 7 premiers caractères du mot de passe Utiliser des mots de passe différents pour différents systèmes. Changer de mot de passe régulièrement Ne pas vous fier aux mots de passe stockés sur votre machine Win9X


VERIFICATION DE VOTRE POSTE POUR EXIGER NTLM ====================================================================== 1. Démarrer, puis Exécuter, puis mmc. 2. Menu Fichier, puis Ajouter/Supprimer, puis Ajouter, puis choisir Editeur d’objets de stratége de groupe. 3. Puis Ajouter, Terminer, Fermer, OK. 4. Vous pouvez inhiber les authentifications utilisant les variantes les plus faibles en paramètrant l’option de sécurité réseau, catégorie Sécurité réseau « Niveau d’authentification Lan Manager » dans Stratégie ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité ou dans le modèle de sécurité approprié. Double-cliquez sur Niveau d’authentification Lan Manager puis noter quelle est la méthode ici utilisée par défaut : _____________________________________. 5. Faire OK, Ok Fermer la console sans enregistrer celle-ci. ====================================================================== L'installation du « dsclient » pour obtenir le support de NTLMV2 est peut-être la raison la plus importante à installez-le sur les postes clients. Par défaut, Windows 2000 permet aux clients d'utiliser leurs protocoles d'identification par défaut (LM pour Windows 9.x et NTLM pour Windows NT 4.0).

CONFIGURATION DES SERVEURS POUR EXIGER NTLMV2 1. Ouvrir Active Directory Users and Computers. 2. Cliquer avec le bouton droit sur l'Unité d'Organisation du Contrôleurs de Domaine et choisir Propriétés. Vous verrez la fenêtre de Propriétés de Contrôleurs de Domaine 3. Dans la fenêtre Propriétés du Contrôleurs de Domaine, cliquez sur Group Policy. 4. Selectionner le Contrôleurs de Domaine par Défaut et cliquer Edit. 5. Une fois dans la fenêtre de Group Policy, naviguez à Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options 6. Dans la partie détails (a droite), double cliquez sur LAN Manager Authentication (Niveau d’authentification Lan Manager) Level 7. Choisir le paramètre de la stratégie de Sécurité et cliquez sur OK. 8. Fermer la fenêtre de la stratégie de Groupe et fermer Active Directory and Computers.

Send LM & NTLM responses Send LM & NTLM - use NTLMv2 session security if negotiated Send NTLM response only Send NTLMv2 response only Send NTLMv2 response only\refuse LM Send NTLMv2 response only\refuse LM & NTLM

!!!!!!!!! Ouverture de sessions interractives : Nombres d’ouverture de sessions précédantes réalisées en utilisant le cache (lorsque aucun DC n’est présent)

CONFIGURATION DES CLIENTS WINDOWS NT 4.0 POUR UTILISER NTLMV2

1. Ouvrir le registre, comme regedit ou regedt32. 2. Naviguer à HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa. 3. Ajouter la valeur suivante (si la valeur est déjà présente, vérifiez-le) :

Nom : de Valeur LMCompatibilityLevel Type de Données : REG_DWORD Valeur : 3 (des valeurs possibles sont 0 à 5)



84

CONFIGURATION DES CLIENTS WINDOWS 9. X POUR UTILISER NTLMV2

1. Installer Internet Explorer 4.x ou plus s'il n'est pas déjà installé. Microsoft recommande de mettre à niveau le support 128 bits si la loi d'exportation le permet. Pour des clients Windows 95, vous avez besoin de la fonction active desktop activee avant de passer a la prochaine etape. 2. Installer le client de services. Il peut être trouvé sur le CD de Windows 2000 à client\Windows9x\dsclient.exe. 3. Ouvrir le registre, comme regedit ou regedt32. 4. Naviguer à HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\Lsa. 5. Ajouter la valeur suivante (si la valeur est déjà présente, vérifiez-le) :

Nom : de Valeur LMCompatibilityLevel Type de Données : REG_DWORD Valeur : 3 (des valeurs Possibles sont 0 à 5)

C O N N E X I O N A V E C K E R B E R O S


85

CONNEXION AVEC KERBEROS

Deux chercheurs du Xerox Palo Alto Center, Roger Needham et Michael Schroeder, ont défini, vers la fin des années 70, une plateforme sécurisée permet tant d'authentifier les utilisateurs. Ils ont mis en place deux protocoles, dont l'un utilisant des clés privées de cryptage, et qui est à la base de Kerberos.

Kerberos a été conçu dans le but de proposer un protocole d'authentification multi - plateforme, disposant d'un système de demande d'identification unique, et permet tant de contacter ensuite autant de services que souhaité. Il s'agit d'un protocole sécurisé, dans le sens où il ne transmet jamais de mot de passe en clair sur le réseau. Il transmet des messages cryptés à durée de vie limitée.

Le terme « single sign- on », décrit le fait que l'utilisateur final n'a besoin de s'authentifier qu'une fois pour utiliser toutes les ressources du réseau supportant Kerberos au cours de sa journée de travail (en réalité, au cours du temps de session spécifié par l'administrateur : environ vingt heures, en général).

Le système Kerberos repose sur un « tiers de confiance » (Trusted thirdparty), dans le sens où il s'appuie sur un serveur d'authentification centralisé dans lequel tous les systèmes du réseau ont confiance. Toutes les requêtes d'authentification sont ainsi routées au travers de ce serveur Kerberos centralisé.

Le système d'authentification mutuelle utilisé permet non seulement de prouver que l'utilisateur derrière son clavier est bien qui il prétend être, mais aussi que le service qu'il tente d'utiliser correspond également. De cette manière, la communication instaurée assure la confidentialité des données sensibles.

Avec Windows 2000/XP/2003 Server, Microsoft a décidé de ne plus miser sur NTLM (NT Lan Manager) pour le protocole d’accès au réseau (le système offre toujours le soutien de NTLM). Kerberos (nom grec du gardien des enfers Cerbères) est un protocole retenu d’authentification entre une station client et un serveur d’authentification réseau nommé KDC ( Key Distribution Centrer – Centre de distribution de clé).



86 Un grand nombre de nouveaux services distribués dans Windows 2000/2003 utilisent l’authentification Kerberos dont notamment :

- les mécanismes d’authentification auprès d’Active Directory utilisant LDAP pour les requêtes ou la gestion d’annuaire ; - le protocole d’accès à des fichiers distants CIFS/SMB ; - la gestion et les références de système de fichiers distribués ; - les mises à jour d’adresses DNS sécurisées ; - les services de spouleur d’impression ; - les mécanismes d’authentification IPsec facultative d’hôte à hôte dans ISAKMP/Oakley ; - les demandes de réservation pour la qualité de service (QoS) réseau ; - les mécanismes d’authentification Intranet auprès d’Internet Information Server ; - les mécanismes d’authentification des demandes de certificats de clés publiques auprès de Microsoft Certificate Server pour des utilisateurs et des ordinateurs du domaine ; - les processus de gestion de serveur ou de poste de travail distant utilisant une connexion RPC authentifiée et DCOM.

Remarque : Il faut noter que l'implémentation de ce protocole par Microsoft inclut des extensions autorisées de la norme. Cela signifie que, dans la pratique, cette implémentation prend en charge tous les clients compatibles avec la RFC 1510, mais qu'il sera nécessaire d'utiliser cette implémentation semi-propriétaire pour une prise en charge totale des réseaux Windows 2003, au sens ou l'entend Microsoft.

Par défaut, Windows 2000/2003 utilise le protocole d'authentification par ticket Kerberos version 5. Le centre de distribution de clés (KDC, Key Distribution Center) de Kerberos émet aux clients des tickets d'accord de tickets (TGT, Ticket-Granting Ticket) et des tickets de service (ST, Service Tickets) en vue d'une authentification (le client qui interroge un serveur DNS sur l'enregistrement de ressource SRV Kerberos).

Avec l'apparition d'Active Directory, Kerberos V5 est devenu le principal protocole d'authentification des réseaux Windows. Il est désormais possible grâce à ce nouveau protocole de mettre en interaction des domaines Windows et des services d'annuaire de type Linux ou Mac. Concrètement, il s'agira de relier Active Directory avec par exemple Open LDAP sous Linux ou Open Directory sous Mac Os X

L'utilisation de l'authentification Kerberos version 5 dans Windows 2000/2003 fournit les fonctions suivantes : _ ouverture de session unique ; _ authentification mutuelle ; _ mise en cache des tickets.

Remarque : La durée de vie maximale des tickets de service et des tickets utilisateur est définie dans la stratégie de groupe d'un domaine. Kerberos nécessite que l'utilisateur et le service bénéficient de clés enregistrées auprès du KDC, et requiert la synchronisation des horloges des clients et des serveurs du réseau.

Authentification de connexion initiale Le protocole Kerberos est un protocole d'authentification sur un réseau non sécurisé, grâce auquel il est possible de faire partager des clefs de cryptage entre un utilisateur et un service.



87 Ce protocole repose sur l'échange de blocs de données nommés tickets. Un ticket est un ensemble d'informations, délivrées par une autorité de (KDC), pour un client donné, à destination d'un service donné. Ceci est un gros avantage car du coup les mots de passes des utilisateurs ne circulent pas sur le réseau, ou bien dans certains cas particuliers, comme le changement de mot de passe mais dans ce cas le transport se fait de façon sécurisée.

Si un pirate arrivait à se procurer un ticket et tentait de le décrypter, cela ne lui servirai a rien, car Kerberos utilise une notion de péremption de ticket ce qui les rend inutilisable au bout d'une durée fixé par l'autorité de confiance. Voici les étapes de fonctionnement du protocole Kerberos

Lorsqu'un utilisateur ouvre une session pour la première fois sur le réseau, il doit fournir des informations d'identification. Comme le montre l'illustration précédente, l'authentification de connexion utilisateur initiale Kerberos version 5 suit la procédure ci-dessous.

======================================================================1. Au moment de l'ouverture de session, l'utilisateur s'authentifie auprès d'un centre KDC. 2. Le centre KDC fournit à l'utilisateur un ticket TGT crypté. Ce ticket TGT contient un dateur et les informations d'authentification de l'utilisateur. 3. Le client décrypte le ticket TGT à l'aide de la clé privée de l'utilisateur, puis place le ticket TGT décrypté localement à un emplacement protégé. Le ticket TGT contient une clé de service pour les prochaines transactions avec le centre KDC. =====================================================================



88

Demande de service

Une demande de service Kerberos version 5 est utilisée lorsqu'un utilisateur tente de se connecter à des serveurs d'impression ou d'applications sur le réseau.

Comme le décrit l'illustration précédente, les demandes de service fonctionnent comme suit. ======================================================================1. L'utilisateur fournit des informations d'identification en envoyant le ticket TGT obtenu auparavant au centre KDC et demande un ticket de service pour un serveur cible. 2. Le centre KDC vérifie les informations d'identification de l'utilisateur en décryptant le ticket TGT et transmet de manière sécurisée le ticket de service à l'ordinateur de l'utilisateur, où il sera mis en cache localement, dans un emplacement protégé. 3. L'utilisateur présente le ticket de service au serveur cible qui lui accorde l'accès en fonction des autorisations d'accès demandées et des autorisations qui lui sont attribuées. 4. Une session est établie entre l'ordinateur client et le serveur cible. =====================================================================

Centre de distribution des clés

KDC s’exécute avec Active Directory en tant que processus privilégié.

KDC stocke les informations relatives à la sécurité, dont les clés secrètes à long terme.

KDC génère et gère les clés de session.

Deux services Windows Server 2003 : • Service d’authentification : Authentication Service • Service d’octroi de tickets : Ticket Granting Service



89 Lorsque le client demande l’accès au réseau, le client Kerberos prend le mot de passe de l’usager et lui applique un code haché pour créer une clé de chiffrement. Cette clé est unique à l’usager et valide pour la seule session en cours.

Outre son seuil de sécurité beaucoup plus élevé que la simple procédure d’accès traditionnel, le protocole Kerberos revêt également un autre avantage stratégique. Une fois que le client possède un billet de session, il n’a qu’à présenter ce billet directement à la ressource pour pouvoir l’utiliser immédiatement. Le processus, en éliminant de passer chaque fois par un contrôleur, est donc plus rapide.

D'un côté le serveur d'authentification (« Authentication Server ») ; de l'autre, le serveur d'obtention de ticket (« Ticket - Granting Server »). Le serveur d'authentification est chargé de produire les tickets pour le TGS.

Le client fourni un mot de passe, en échange duquel le TGS lui donne un ticket (« Ticket - Granting Ticket ») et la clé de session associée.

Celui-ci est valable en général pendant huit heures. Il s'agit de la seule communication entre le client et le serveur d'authentification. Comme le TGT est le premier ticket obtenu, il est aussi appelé « ticket initial ». Ensuite, quel que soit le service dont voudra bénéficier le client, il enverra le TGT au TGS afin d'obtenir un ticket ordinaire. Il n'aura donc plus besoin d'entrer son mot de passe, puisque le KDC et lui- même partagent la clé de session. L'utilisateur peut donc simplement adresser un message au TGS, contenant le TGT ainsi qu'un nouvel « authenticator », ce qui l'identifiera immédiatement.

Une clé de session n’est valable que pendant la durée de session et est renouvelée à chaque nouvelle connexion. Authentification Kerberos :

Résolution de nom DNS du KDC

L’implémentation Kerberos de Microsoft utilise la résolution DNS pour localise le KDC du domaine (par définition, tout contrôleur de domaine Windows Server 2003 est un KDC).

Un KDC Windows Server 2003 est repéré par un enregistrement SRV (Service location) dans le DNS, sous la forme _kerberos._udp.NomDuDomaine.



90 Dans un système Kerberos différent d’un domaine Windows Server 2003, chaque machine Windows Server 2003 stocke le nom du serveur KDC dans son registre puis retrouve l’adresse IP par un enregistrement A (hôte) dans le DNS.

Le tableau suivant récapitule les ports utilisés par le serveur Kerberos, ainsi que la description du service correspondant.

Le protocole V5 permet de gérer les algorithmes de manière modulaire, et intègre par défaut Triple- DES (clés de 168 bits, contre 56 bits avec DES), qui est bien plus sécurisant et solide. Cependant, le système de cryptage DES est gardé pour des raisons de compatibilité avec le protocole V4 de Kerberos.



91

Architecture de multiples services d’authentification

Le protocole SSL

(Secure Sockets Layer) permet de protéger diverses applications, notamment celles servant à naviguer sur le Web, aux requêtes LDAP (Lightweight Directory Access Protocol) et à la lecture des News. Ce protocole permet également aux clients de messagerie d'authentifier et de récupérer du courrier électronique. Il assure la confidentialité des communications, l'authentification et l'intégrité des messages grâce à une combinaison de clés publiques et de cryptage symétrique.

Ce protocole est également destiné aux applications Web qui ont besoin d'une liaison sécurisée, telles que les applications de commerce électronique, ou pour contrôler l'accès aux services Web réservés à des abonnés.

Protocole TLS

Le protocole TLS (Transport Layer Security) ressemble beaucoup au protocole SSL en ce qu'il assure aussi la confidentialité des communications, l'authentification et l'intégrité des messages grâce à une combinaison de clés publiques et de cryptage symétrique. Il propose une option qui permet, si nécessaire, de revenir à la prise en charge de SSL. Il existe toutefois d'importances différences entre ces deux protocoles. Par exemple, le protocole TLS accepte des algorithmes de cryptage différents de ceux de SSL, et il s'agit d'un projet de standard IETF (Internet Engineering Task Force). Nombreux sont ceux qui voient en TLS le successeur vraisemblable et à long terme de SSL.

Le standard S/MIME (Secure Multipurpose Internet Mail Extension) est une extension MIME qui permet de crypter et de signer numériquement les messages électroniques circulant entre les clients de messagerie. Il s'agit d’un standard IETF conçu pour élargir le standard MIME afin d'offrir des fonctions de messagerie sécurisées. Les extensions MIME définissent une méthode d'insertion de données binaires dans un message électronique au format texte. Avec le standard S/MIME, vos pouvez signer numériquement et crypter le courrier confidentiel circulant entre les clients, quelle que soit la plate-forme et quel que soit le système d'exploitation. Le processus de



92 cryptage s'effectue sur les ordinateurs clients, et les serveurs de messagerie ne doivent pas obligatoirement prendre en charge le standard S/MIME.

Comme S/MIME, le protocole PGP (Pretty Good Privacy) permet de crypter et de signer numériquement le courrier électronique circulant entre les clients de messagerie. Ce protocole assure la confidentialité et l'authentification à l'aide de paires de clés privées/publiques. Il est offert gratuitement à ceux qui s'en servent à des fins personnelles. Contrairement à S/MIME, le protocole PGP n'est pas contrôlé par un organisme de standardisation.

Un paquet SMB (Server Message Block) transporte les données d'un fichier entre un client et un serveur Windows 2000/2003. La signature SMB (ou système commun de fichiers Internet [CIFS, Common Internet File System]) assure une authentification réciproque d'un client et d'un serveur au cours d'une session de communication en plaçant une signature numérique dans chaque bloc SMB. Vous êtes ainsi certain que le client se connecte au serveur approprié et non à celui qui tient lieu de serveur original. La signature SMB permet l'authentification réciproque des ordinateurs Windows 2000/2003 et Microsoft Windows NT® version 4 (Service Pack 3 [SP3] ou version ultérieure). « La sécurité, ce n’est pas une technologie, encore moins un produit, mais un processus sans cesse recommencé. » Qu’importe, en effet, la licence de votre logiciel si vous n’avez pas remplacé une version présentant des failles ou si vous n’effetuez pas régulièrement des sauvegardes. La sécurité est avant tout affaire de procédures, de compétences et d’éducation des utilisateurs.



93

☺ TP à réaliser. ======================================================================================= Ouvrez une session en tant que : Nom : Administrateur Mot de passe : P@sswrdXXXX Se connecter à : choisir le nom de votre PC (SAM local) Installer les outils du ressource kit de Windows serveur 2003 (rktools.exe) à partir d’un partage situé sur la machine du formateur (lui demander si le partage est ok). Démarrer\Exécuter : \\ServNet\temp, exécuter rktools.exe. Démarrer\Exécuter : \\ServNet\temp, exécuter kerbtray_setup.exe. Fermer la session et ouvrez de nouveau la session sur le domaine en tant que Marcel, mot de passe P@sswrd1 Menu Démarrer, puis Exécuter, puis Kerbtray.exe (voir icône dans la zone de notification, et le lancer) Ouvrez une invite de commande et saisissez : klist tickets, puis klist tgt. Dans la zone de notification faire bouton droit sur le programme kerberos puis list tickets. Toujours en invite de commande saisissez : setspn –L servnet (permet de voir les différents spn enregistrés sur le domaine de bourges (la commande setspn => voir dans CD-ROM dossier Support tools, Suptools.msi). =======================================================================================



94

Questions / Réponses 1. Quels sont les risques liés aux données sur un réseau ? Ces risques sont la perte ou la destruction de données, ainsi que le vol ou l'utilisation non autorisée de données. La perte ou l'utilisation non autorisée de données entraînent une perte de confiance vis-à-vis de l'entreprise et une perte de prestige. 2. Quels sont les risques liés aux services sur un réseau ? Les risques liés aux services sont les attaques de type refus de services qui peuvent entraîner une interruption des accès aux services internes et externes. Ces attaques de type refus de services peuvent se traduire par une perte en termes de chiffre d'affaires et par conséquent nuire à l'image et au prestige de l'entreprise. 3. Quels sont les protocoles utilisés par un système Windows 2003 Serveur pour l’authentification des utilisateurs pendant la connexion ? L'authentification de l'identité des utilisateurs pendant la connexion est la première étape pour l'obtention de l'accès au système. Pour des machines locales ne participant pas activement à un domaine, le protocole Windows NT LAN Manager (NTLM) est toujours utilisé pour vérifier le nom d'un utilisateur et le mot de passe. Cependant, dans des environnements de domaine Microsoft a couplé des services Active Directory avec la norme d'industrie naissante pour l'authentification du MIT connu sous le nom de Kerberos. 4. Par quel type d’enregistrement est reconnu un Serveur AD Windows 2003 ? Un KDC Windows Server 2003 est repéré par un enregistrement SRV (Service location) dans le DNS, sous la forme _kerberos._udp.NomDuDomaine. 5. Citez quelques caractéristiques sur Kerberos ? Kerberos V est le protocole d’authentification réseau dans AD Kerberos repose sur la notion de « tickets » Cryptographie à base de clés secrètes (symétriques) Authentification mutuelle (client serveur) Authentification limitée dans le temps et anti re-jeux Améliorations par rapport à la V.4 : prise en charge de tickets transférables, renouvelables et post-datables Normalisation IETF Remplace avantageusement, et est plus performant que NTLM Supporte la délégation d’authentification Permet la mise en œuvre de relations d’approbation transitives Protocoles réseaux mentionnés ont été modifieé pour supporter Kerberos Authentification des sessions SMB/CIFS Authentification des sessions LDAP Authentification des appels MSRPC Authentification des mises à jour dynamiques de DNS 6. Quel type d'informations un jeton d'accès contient-il ? Un jeton d'accès contient les identificateurs de sécurité (SID, Security Identifier) qui définissent les droits et les privilèges des utilisateurs. Outre votre SID unique, les SID des groupes dont vous êtes membre sont stockés dans le jeton d'accès qui contient toutes les informations associées à votre identité et au contexte de sécurité au cours d'une session.

C O N F I G U R A T I O N D E L A M É M O I R E V I R T U E L L E


95

CONFIGURATION DE LA MÉMOIRE VIRTUELLE

Avec la mémoire virtuelle, employez l’espace disque pour augmenter la quantité de mémoire disponible pour le système. Cette fonctionnalité à pour effet de copier le contenu de la mémoire RAM sur un disque selon un processus nommé pagination : segment de la RAM, 32 Mo par exemple, est écrit sur le disque sous la forme d’un fichier d’échange (pagefile.sys) ou il restera accessible en cas de besoin.

Microsoft recommande de créer un fichier d’échange pour chaque volume physique du système, sur la plupart des systèmes l’existance de plusieurs fichiers d’échange peut améliorer les performances de la mémoire virtuelle.

Les disques amovibles n’ont pas besoin de fichiers d’échange.

Pour otimiser les performances du système, donnez la même valeur à la taillle initiale et à la taille maximale.

Afin d’éviter les défragmentations, les tailles maximale et minimale de la mémoire virtuelle seront identiques, soit 384 (1,5x256) Mo pour 256 Mo de mémoire vive et 192 pour 128 Mo de mémoire vive, toutefois pour les volumes de mémoire RAM plus important (notamment au-delà de 2 Go), il est préférable de suivre les recommandations du constructeur.

De cette manière la structure du fichier d’échange ne sera jamais modifiée et il sera toujours écrit sous forme d’un fichier d’un seul tenant (si l’espace disponible sur le volume le permet).



96 Microsoft recommande de créer un fichier d’échange pour chaque volume physique du système. Sur la plupart des systèmes, l’existence de plusieurs fichiers d’échange peut améliorer les performances de la mémoire virtuelle. Créez plutôt plusieurs petits fichiers d’échange, qu’un unique fichier de grande taille.

Toutefois, vous améliorerez les performances de Windows en plaçant le fichier d’échange sur une partition réservée. Si vous disposez de deux disques durs, mieux vaut créer cet espace sur l’unité la plus véloce. Cette partition sera formatée en Fat16 et non NTFS.



97


Pour configurer la mémoire virtuelle ====================================================================== 1. Ouvrez Gestion de l"ordinateur (local). Pour ouvrir Gestion de l"ordinateur, cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d"administration, puis double-cliquez sur Gestion de l"ordinateur. 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Gestion de l'ordinateur (local), puis sélectionnez Propriétés. 3. Sous l'onglet Options avancées, cliquez sur Options de performances et, sous Mémoire virtuelle, cliquez sur Modifier. 4. Dans la liste Lecteur, cliquez sur le lecteur contenant le fichier de pagination ou fichier d'échange à modifier. 5. Sous Taille du fichier d'échange pour le lecteur sélectionné, entrez la nouvelle taille du fichier d'échange en mégaoctets dans la zone Taille initiale (Mo) ou Taille maximale (Mo) et cliquez sur le bouton Fixer la valeur. 6. Pour de meilleurs résultats, spécifiez une taille initiale supérieure ou égale à la taille recommandée figurant sous Taille totale du fichier d'échange pour tous les lecteurs. La taille recommandée équivaut à 1,5 fois la mémoire vive de votre système. ====================================================================== Il est généralement conseillé de laisser au fichier d'échange sa taille recommandée, mais vous pouvez l'augmenter pour une utilisation fréquente d'applications qui nécessitent une grande quantité de mémoire. Pour supprimer un fichier d'échange, attribuez la valeur zéro à la taille initiale et à la taille maximale. Si vous diminuez la taille minimale ou maximale du fichier d'échange, vous devez redémarrer votre ordinateur pour vous rendre compte des effets de ces modifications. L'augmentation de la taille ne demande généralement pas de redémarrage. ======================================================================

Le fichier d’échange est également utilisé pour le débogage en cas d’erreur STOP dans le système. Si la taille du fichier d’échange du disque du système d’exploitation est inférieure au volume minimal nécessaire pour écrire les informations de débogage, cette fonction sera désactivée.

Pour pouvoir utiliser le débogage, vous devez définir un fichier d’échange de taille au moins égale à la RAM du système.

Remarque : La mémoire virtuelle est aussi employée pour le stockage d’informations et notamment le stockage temporaire des mots de passe et dautres données réputées confidentielles. Si vous craignez que quelqu’un accède à ces données à votre insu, vous pouvez faire en sorte que le système les supprime à chaque fermeture de session.

Pour cela, ouvrez léditeur de registre :

☺ TP à réaliser. ====================================================================== 1. Bouton Démarrer, puis Exécuter, puis Regedit, puis localiser la clé HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagment, puis double-cliquez sur ClearPageFileAtShutdown et lui donner la valeur de 1. 2. Redémarrer votre PC. ======================================================================



98

Et pour éviter que Windows n’utilise pour lui-même cette mémoire virtuelle, affectez la valeur 1 à la clé DisablePagingExecutive (HKEY_LOCAL_MACHINE \SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Manangement\). Toujours à l’aide de l’éditeur de registre.

Le noyau de Windows XP/2000/2003 reste alors constamment chargé en mémoire vive et ne souffre plus des lenteurs du disque dur. Évitez cette manipulation si vous ne disposez pas de suffisamment de mémoire vive, car le système risque de devenir instable: 256 Mo au minimum, 512 Mo idéalement.



99

Questions/Réponses 1. Comment s’appelle le fichier d’échange pour un système Windows 2000 et 2003 Server ? PageFile.sys 2. Que devez vous faire afin d’optimiser les performances de votre système, et limiter les accès au disque dur ? Pour otimiser les performances du système, donnez la même valeur à la taillle initiale et à la taille maximale pour le fichier d’échange (de 1,5 à 2,5 fois la RAM) sur votre disque le plus rapide, éventuellement vous pouvez dédier une partition au fichier d’échange (façon linux !!) ou bien encore créer plusieurs fichiers d’échanges sur plusieurs disques

I N S T A L L E R L E S O U T I L S D ' A D M I N I S T R A T I O N


100

INSTALLER LES OUTILS D'ADMINISTRATION

Le fichier Adminpak.msi installe les outils d'administration Active Directory et d'autres outils d'administration, y compris le Client Terminal Server et l'Administrateur de cluster. Cela permettra à l’utilisateur d’administrer un domaine Active Directory, le serveur DNS, DHCP, WINS, etc…, à partir de son poste client.

Domaines et approbations Active Directory Schéma Active Directory Sites et services Active Directory Utilisateurs et ordinateurs Active Directory Autorité de certification Administrateur de cluster Kit d'administration de Connection Manager DHCP Système de fichiers distribués DNS Service d'authentification Internet Gestionnaire des services Internet Contrôle d'admission QoS Générateur de disquette d'accès à distance (faisant partie des services d'installation à distance) Stockage étendu Routage et accès distant Téléphonie Gestionnaire des services Terminal Server, Gestionnaire de licences et Gestionnaire de connexion client WINS

Installer les Outils d'administration Windows en local.

☺ TP à réaliser. ====================================================================== 1. Ouvrez une session en local : Nom administrateur Mot de passe : P@sswrdXXXX Se connecter : choisir le nom de votre machine (SAM local) 2. Ouvrez le dossier I386 du CD-ROM Windows 2000/2003 Server approprié. La dernière version des Outils d'administration Windows 2000/2003 se trouve sur le CD-ROM du Service Pack de Windows 2000/2003 le plus récent. 2. Double-cliquez sur le fichier Adminpak.msi (14Mo). 3. Cliquez sur Suivant, puis sur Terminer. 4. Vérifier dans le menu Outils d’administration la présence de nouveaux programmes pour l’administration du domaine ======================================================================

U T I L I S A T I O N D U « S E C O N D L O G I N »


101

UTILISATION DU « SECOND LOGIN »

À l'aide de la commande Exécuter en tant que, qui correspond à l'ouverture d'une session secondaire, les administrateurs peuvent ouvrir une session avec un compte non administratif et, sans fermer la session, effectuer des tâches en exécutant des programmes approuvés pour la réalisation de tâches administratives. Pour utiliser la commande Exécuter en tant que dans le cadre de l'exécution de tâches administratives, les administrateurs système doivent disposer de deux comptes d'utilisateur : un compte normal disposant des privilèges de base et un compte administratif. Les administrateurs peuvent avoir chacun un compte administratif différent ou partager le même compte administratif. Utilisez la commande Exécuter en tant que pour la plupart des activités. L'ouverture d'une session en tant que membre du groupe Administrateurs peut poser un problème de sécurité. Certains éléments, tels que l'Explorateur Windows, le dossier Imprimantes et les éléments du Bureau, sont lancés indirectement par Windows ; ils ne peuvent pas être activés à l'aide de la commande Exécuter en tant que.

Pour effectuer cette action sans fermer la session et en rouvrir une autre, ouvrez une session avec un compte d'utilisateur normal et utilisez la commande « runas » pour exécuter les outils qui nécessitent des autorisations plus étendues.

Pour cela :

Clic droit sur le raccourci de l’application à lancer, sélectionnez ensuite dans le menu contextuel « Exécuter en tant que … » afin de lancer l’application avec des privilège d’administrateur.

User Account

Process

User Account

Process

User Account

Process

Adm inistrativeAccount

Process

User Account

Process

User Account

Process

User Account

Process

Adm inistrativeAccount

Process



102

Vous pouvez aussi utiliser cette commande en invite de commande :

Bouton « Démarrer », puis « Exécuter »

runas /user: domain_name\administrator_account program name

ex : runas /user:GEFIDOM\administrator mmc

ex : runas /user:GEFIGROUP\administrator eventvwr

(Observateur d’évenements), saisir le password pour l’Administrateur.

runas [/profile] [/env] [/netonly] /user:nom_compte_utilisateur program

Paramètres

/profile Indique le nom du profil de l'utilisateur, s'il doit être chargé.

/env Spécifie l'emploi de l'environnement réseau actuel au lieu de l'environnement local de l'utilisateur.

/netonly Indique que les informations utilisateur spécifiées ne servent qu'à l'accès distant.

/user:nom_compte_utilisateur Indique le nom du compte d'utilisateur sous lequel le programme doit être exécuté. Le compte d'utilisateur doit être spécifié sous le format utilisateur@domaine ou domaine\utilisateur.

program Indique le programme ou la commande à exécuter à l'aide du compte spécifié par /user.



103 Pour gagner du temps, vous pouvez configurer des raccourcis sur le Bureau, associés à la commande Exécuter en tant que, vers les outils d'administration que vous utilisez le plus souvent.

☺ TP à réaliser. ========================================================================Pour configurer un raccourci associé à la commande Exécuter en tant que vers l'outil Performances : 1. Ouvrez une session ent tant que : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX Domaine : Nom de votre machine (SAM local) 2. Cliquez avec le bouton droit sur le Bureau, pointez sur Nouveau, puis cliquez sur Raccourci. 3. Sur la page Création d'un raccourci, tapez runas /user:Bourges\administrateur «mmc %windir%\system32\perfmon.msc» dans le champ Entrez l'emplacement de l'élément, puis cliquez sur Suivant. tapez Performances dans le champ Entrez un nom pour ce raccourci, puis cliquez sur Terminer. 4. Double-cliquez sur le raccourci Performance, puis lorsque vous y êtes invité, saisir la mot de passe pour l’administrateur du domaine Bourges.eds : P@sswrd1. 5. Cela fonctionne t’il ? _______________________________ 6. Supprimer le raccourci Performance de votre bureau. ========================================================================

Gestion de l'ordinateur runas /user:bourges\administrateur «mmc %windir%\system32\compmgmt.msc» Gestionnaire de runas /user:bourges\administrateur «mmc %windir%\system32\devmgmt.msc» périphériques Utilisateurs et ordinateurs runas /user:bourges\administrateur «mmc %windir%\system32\dsa.msc» Active Directory MMC runas /user:bourges\administrateur mmc Invite de commandes runas /user:bourges\administrateur cmd Gestion des disques runas /user:bourges\administrateur «mmc %windir%\system32\diskmgmt.msc»

Utilisation des Outils d’administration, et utilisation de Runas

☺ TP à réaliser. ======================================================================a. Ouvrez une session ent tant que : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX Domaine : Nom de votre machine (SAM local) b. Essayez de lancer l’utilitaire « Utilisateurs et ordinateurs Active Directory » c. Y parvenez-vous ? …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… d. Essayez de nouveau, en faisant bouton droit avec la touche SHIFT sur Utilisateurs et ordinateurs Active Directory, puis en choisissant Exécuter en tant que… : Choisir : L’utilisateur suivant Utilisateur : BOURGES\Administrateur Mot de passe : P@sswrd1 e. Y parvenez-vous ? …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… f. Fermer l’application Utilisateurs et ordinateurs Active Directory g. Essayez de nouveau, en faisant, Démarrer, Exécuter…, runas /user:bourges\administrateur «mmc /a dsa.msc» (saisir le password pour l’Administrateur de bourges) Remarque : vérifier que le service « Ouverture de session secondaire » est bien démarré si cela ne fonctionne pas (Outils d’administration, icône Services). ======================================================================

C O N F I G U R A T I O N D E L ’ H O R L O G E W I N D O W S


104

CONFIGURATION DE L’HORLOGE WINDOWS

La synchronisation des machines et serveurs est assurée par l'utilisation du protocol NTP. L'une des caractéristiques principales d'un réseau NTP est sa structure pyramidale. Des références de temps (signaux radio, GPS) synchronisent des serveurs NTP qui leur sont directement raccordés. Les serveurs de strate 0, qui sont des horloges atomiques. Ce sont les serveurs de référence. Les serveurs de strate 1. Ils se synchronisent sur les serveurs de strate 0. Leur dérive est de 1 seconde pour 10 000 ans... Les serveurs de strate 2. Ils se synchronisent sur les serveurs de strate 1. Ce sont généralement des serveurs publics. Les serveurs de strate 3. Ils se synchronisent sur les serveurs de strate 2. Ce sont généralement les serveurs que l'on installe dans une entreprise pour synchroniser tous les ordinateurs du réseau Les machines de votre réseau local se synchroniseront sur ce serveur NTP de strate 3.Il est recommandé de se synchroniser sur trois serveurs. Si la synchronisation sur un des serveurs échoue, votre serveur NTP en utilisera un autre.

L’heure d’un système informatique joue un rôle croissant dans l’informatique moderne en raison des mécanismes de cryptage et d’authentification, comme Kerberos qui est utilisé par défaut dans Windows Server 2003. Avec Kerberos, tous les systèmes d’un même réseau doivent être réglés sur la même heure.



105Si l’écart est trop important entre les horloges, les tickets d’authentification seront invalidés dès qu’ils parviendront à leur destination.

L’horloge interne de chaque ordinateur se dérègle toujours légèrement avec le temps et l’utilisateur ou une application peut accidentellement la modifier.

Pour résoudre ce problème, le service Horloge Windows permet de synchroniser l’ordinateur sur une horloge de référence (cadencée par une horloge atomique comme « time.window.com » ou encore comme « www.time.gov », « ntp.unice.fr » etc…) ; il en existe plusieurs accessibles par Internet. Ainsi tous les ordinateurs d’une entreprise peuvent être synchronisés de façon très précise sur l’heure internationale (GMT). Voir dans \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters\NtpServer = time.windows.com,0x1 et Type = NTP.

***Le service Horloge Windows 2000 utilise une version simplifiée du protocole NTP (Network Time Protocol) nommée SNTP (Simple Network Time Protocol), Windows Serverveur 2003 utilise quand à lui le protocol NTP***.

Par défaut, il interroge le serveur d’autorité toutes les quatres heures. Les valeurs MinPolInterval et MaxPolInterval, placées dans le Registre sous \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Config contrôlent cette périodicité.

Les paramètres UpdateInterval et FrequencyCorrectRate, placés dans le Registre \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Config contrôlent la vitesse du rattrapage.

Valeurs de Registre pour le service W32Time

AvoidTimeSyncOnWan : REG_DWORD (facultatif) Empêche l'ordinateur de se synchroniser avec un ordinateur d'un autre site. 0 = le site de la source de temps est ignoré [valeur par défaut] 1 = l'ordinateur ne se synchronise pas avec une source de temps d'un autre site

GetDcBackoffMaxTimes : REG_DWORD (facultatif) Nombre maximum de fois que l'intervalle de recul est doublé lorsque plusieurs tentatives successives de recherche d'un contrôleur de domaine échouent. Un événement est consigné à chaque attente de durée maximale. 0 = l'attente entre plusieurs tentatives successives est toujours minimale et aucun événement n'est consigné. 7 = [valeur par défaut]

GetDcBackoffMinutes : REG_DWORD (facultatif) Nombre initial de minutes à attendre avant de rechercher un contrôleur de domaine en cas d'échec de la dernière tentative. 15 = [valeur par défaut]

LocalNTP : REG_DWORD Permet de démarrer le serveur SNTP. 0 = ne démarre pas le serveur SNTP sauf si l'ordinateur est un contrôleur de domaine [valeur par défaut] 1 = démarre toujours le serveur SNTP

NtpServer : REG_SZ (facultatif) NtpServer : REG_SZ (facultatif) Permet de configurer manuellement la source de temps. Utilisez le nom DNS ou l'adresse IP du serveur NTP qui sert de référence lors de la synchronisation. Vous pouvez



106 modifier cette valeur à partir de la ligne de commande à l'aide de la commande net time. La valeur par défaut est : time.windows.com.

Period : REG_DWORD ou REG_SZ Permet de contrôler la fréquence à laquelle le service de temps procède à une synchronisation. Si vous spécifiez une valeur de chaîne, vous devez utiliser l'une des valeurs répertoriées ci-dessous. Si vous spécifiez la valeur de chaîne sous forme d'un nombre (65535 par exemple), créez une entrée REG_DWORD. Si vous spécifiez la valeur de chaîne sous forme d'un mot (Bidaily par exemple), créez une entrée REG_SZ. 0 = une fois par jour 65535, "BiDaily" = une fois tous les 2 jours 65534, "Tridaily" = une fois tous les 3 jours 65533, "Weekly" = une fois par semaine (7 jours) 65532, "SpecialSkew" = une fois toutes les 45 minutes jusqu'à obtenir 3 synchronisations, puis une fois toutes les 8 heures (3 par jour) [valeur par défaut] 65531, "DailySpecialSkew" = une fois toutes les 45 minutes jusqu'à obtenir une synchronisation, puis une fois par jour freq = fréquence fois par jour

ReliableTimeSource : REG_DWORD (facultatif) Permet d'indiquer que le temps de cet ordinateur est fiable. 0 = n'indique pas que cet ordinateur est une source de temps fiable [valeur par défaut] 1 = indique que cet ordinateur est une source de temps fiable (utile sur un contrôleur de domaine)

Type : REG_SZ Permet de contrôler la manière dont l'ordinateur se synchronise. Nt5DS = se synchronise avec la hiérarchie du domaine [valeur par défaut] (machine client du domaine se synchronise avec le contrôleur du domaine) NTP = se synchronise avec une source configurée manuellement (machine non client du domaine), voir entrée NtpServer NoSync = ne synchronise pas le temps Le paramètre Nt5DS ne peut pas utiliser une source configurée manuellement.

Les valeurs Adj et msSkewPerDay permettent de préserver les informations relatives à l'horloge d'un ordinateur entre chaque redémarrage. Ne modifiez pas ces valeurs manuellement.

Le protocole SNTP et NTP emploie UDP comme couche transport, sur le port 123. Si ce port n’est pas ouvert sur Internet au niveau du pare-feu, il ne sera pas possible de synchroniser l’ordinateur sur une horloge de référence sur Internet.

Ici 992, correspond à l’instance « svchost.exe » liée au service w32time.

Dans un domaine, un contrôleur de domaine est automatiquement sélectionné pour devenir source d’autorité de l’heure sur le domaine.

Si ce serveur devient indisponible, un autre contrôleur de domaine prend le relais. Il n’est pas possible de modifier la configuration de l’Horloge Windows. Si vous souhaitez avoir un meilleur contrôle de l’heure dans un domaine, vous devez installer des composantes



107complémentaires, il en existe deux principaux qui sont : Client Windows NTP et Serveur Windows NTP.

Tout système Windows Server 2003 peut fonctionner comme client Windows NTP ou comme serveur Windows NTP, ces deux rôles pouvant être joués simultanément.

Le même serveur Windows NTP peut être configuré comme client afin qu’il puisse se synchroniser sur un serveur de référence sur Internet.

L’activation et la configuration des rôles client Windows NTP et serveur Windows NTP s’effectuent via la stratégie de groupe, sous Configuration ordinateur\Modèles d’administration\Système\Service Horloge Windows.

Ou dans le registre :

Pour activer/désactiver le service Horloge Windows ======================================================================1). Double-cliquez sur Date et heure dans le panneau de configuration et sélectionnez l’onglet Temps Intenet. 2). Pour activer le service de synchronisation, cochez la case Synchroniser automatiquement avec un serveur de temps Internet, et choisissez le serveur que vous souhaitez utiliser. Pour spécifier un serveur, tapez simplement son nom DNS complet dans le champ Serveur. Vérifiez ensuite dans l’utilitaire Services que le service Horloge Windows fonctionne. 3). Cliquez sur OK



108 Remarque : l’onglet « Temps Internet » n’apparaît plus si vous êtes en Domaine => il faudra passer par une stratégie de groupe et la base de registre. ==================================================================== L'Émulateur PDC du domaine racine de la forêt devrait synchroniser son horloge avec un serveur de temps externe ou vous pouvez le laisser "tel quel".

Afin de spécifier un serveur de temps externe, utiliser la commande net time /SETSNTP: liste_serveurs_NTP.

Cette liste peut contenir des adresses IP ou des noms DNS, séparés par des espaces. Si vous utilisez plusieurs serveurs de temps, vous devez entourer la liste de guillemets

Sur les Windows 2003 DCs, vous pouvez utiliser la commande

C:\>w32tm /config /manualpeerlist: timeSrvName /update

Sur des DC Windows 2003, pour mettre hors service la synchronisation avec un serveur de temps externe, vous pouvez mettre la valeur dans le registre Parameters\Type à Nosync, effacer la valeur Parameters\NtpServer et arrêter le Client NTP en mettant la valeur TimeProviders\NtpClient\Enabled a zéro).

Sous Windows, les stratégies correspondantes se retrouvent en parcourant : - Racine de la console/Stratégie ordinateur local/Configuration ordinateur/Modèles d’administration/Système/Service de temps Windows

Remarque : Les serveurs DHCP peuvent fournir aux clients DHCP l’option NTP Servers (42). Qui permet de spécifier en ordre de préference l’adresse IP des serveurs Network Time Protocol (NTP) pour les clients. Votre pare-feu personnel ou celui du réseau empêche la synchronisation de l'horloge. La plupart des pare-feu d'entreprise ou d'organisation empêchent la synchronisation de l'horloge, de même que certains pare-feu personnels. Pour les ordinateurs à domicile, il est conseillé de lire la documentation du pare-feu pour plus d'informations sur le déblocage du protocole de temps réseau (NTP). En principe vous devriez être en mesure de synchroniser l'horloge si vous basculez vers le pare-feu de connexion Internet Microsoft.



109Sur les machines Windows 2000 ou XP : Par défaut le "Windows Time Service" est lancé (W32Time) Il lance en fait la commande : svchost.exe -k netsvcs Ce service est capable de "causer" le protocole SNTP (simple network time protocol) Pour configurer un serveur de temps NTP, il faut utiliser la commande (en admin) :

c:\>NET TIME /SETSNTP:"ip_serveur1 ip_serveur2 ...."

Cette command va juste modifier la registry en ajoutant ces serveurs. Vous pouvez mettre l'ip de votre passerelle comme serveur, puisque le routeur est serveur NTP) ex: NET TIME /SETSNTP:195.220.226.254 (les " sont nécessaires si vous avez + d'un serveur) ensuite, pour lancer une synchro, redémarrez le service :

c:\>NET STOP W32Time c:\>NET START W32Time la machine devrait ce synchroniser en quelques secondes si le serveur est accessible. Vous pouvez lister les serveurs de temps configuré avec un :

c:\>NET TIME /QUERYSNTP Apres ca, il n'y a plus rien a faire et le service ce lancera a chaque démarrage de la machine (avec le compte system, donc pas de problème de droit)

Sous XP : C'est encore plus simple à mettre en place, puisque lorsque vous double-cliquez sur l'horloge, la fenêtre qui s'ouvre possède un onglet "Temps Internet". Il suffit de mettre son serveur à cet endroit.

Le service "W32Time" est configuré par défaut pour ce re-synchroniser toutes les 45 minutes cela 3 fois de suite. Si les 3 fois le serveur a répondu à la requête, le service passe à une synchro toutes les 8 heures. (si le serveur ne répond plus, il repasse en "mode" 45 minute).

Synchroniser l’horloge de son ordinateur

☺ TP à réaliser. ====================================================================== ****Le serveur du domaine Bourges (ServNet) doit avoir au départ une heure différente de votre machine, indiquer ici l’heure : ______________________ a. Ouvrez une session ent tant que : Utilisateur : Administrateur Mot de passe : P@sswrd1 Domaine : Bourges (Vous êtes donc client du domaine) Indiquer ici l’heure de votre machine : ________________________ b. Ouvrez une ligne de commande, puis saisissez : C:\> net time /domain:bourges /set /y c. vérifier que votre heure est identique à celle du contrôleur de domaine Bourges. ****Le serveur du domaine Bourges (ServNet) doit avoir au départ une heure différente de votre machine, indiquer ici l’heure : ______________________ d. Ouvrez une ligne de commande, puis saisissez : C:\> w32tm /config /manualpeerlist: bourges /update e. C:\> net stop w32time && net start w32time f. Exécutez la commande suivante sur les ordinateurs autres que le contrôleur de domaine afin d'ajuster l'heure des ordinateurs locaux sur celle du serveur de temps : w32tm -s g. Vérifier que votre heure est identique à celle du contrôleur de domaine Bourges. h. Saisir en invite de commande : net time /querysntp, vérifiervotre serveur NTP : __________________ i. Vérifier celle-ci dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\Parameters => NtpServer=Bourges



110 j. Vérifier dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\TimeProviders\NtpClient => Enable=0x00000001 (vous êtes client sntp) k. Vérifier dans le Registre : HKLM\System\CurrentControlSet\Services\W 32Time\TimeProviders\NtpServer => Enable=0x00000000 (vous n’êtes pas serveur sntp) Remarque : Sur le serveur SNTP (machine du formateur), NtpServer => Enable=0x00000001 l. Qu’affiche la commande suivante : w32tm /tz _____________________________________________ m. Essayer la commande suivante : w32tm /stripchart /computer :Servnet permet de mesurer le décalage horaire entre votre machine et la machine référente (ici ServNet). Faire CTRL+C pour arrêter la séquence…. m. Essayer la commande suivante : w32tm /resync, permet de synchroniser un Client de temps avec un serveur de temps (uniquement si vous êtes client du domaine). Remarque : La commande w32tm /config /syncfromflags:manual /manualpeerlist:PeerList puis w32tm /config /update permet de synchroniser le serveur de temps Interne avec un serveur de temps Externe. ======================================================================

G E S T I O N D U S Y S T È M E W I N D O W S


111

GESTION DU SYSTÈME WINDOWS

Souvent lorsque vous êtes en train de travailler sur l’ordinateur d’un utilisateur ou un serveur distant, vous devez examiner quelques informations sur le système, comme qui est actuellement connecté, l’heure système, localiser certains fichiers etc …. Voici quelques commandes qui pourront vous aider dans votre tâche quotidienne.

☺ TP à réaliser. ====================================================================== a. Ouvrez une session ent tant que : Utilisateur : Administrateur Mot de passe : P@sswrd1 Domaine : Bourges (Vous êtes donc client du domaine) b. Ouvrez une ligne de commande, puis saisissez : C:\> whoami (personne actuellement connectéé) c. Saisir ensuite la commande suivante : C:\> where /T /R c:\Windows *.dll (localiser un fichier) ====================================================================== d. Saisir ensuite la ligne de commande : C:\> systeminfo (affiche toutes les infos systèmes) ======================================================================

Gestion des processus e. Saisir la commande suivante : C:\> tasklist (affiche tous les processus en cours d’exécution) f. Saisir la commande suivante : C:\> tasklist /s Nom_Machine_Voisin /u Bourges\administrateur /p P@sswrd1 (affiche tous les processus en cours d’exécution sur une machine distante) g. Saisir la commande suivante : C:\> tasklist /Svc /s Nom_Machine_Voisin /u Bourges\administrateur /p P@sswrd1 (affiche tous les processus en cours d’exécution mis en relation avec les services sur une machine distante) h. Saisir la commande suivante : C:\> tasklist /m winspool.drv (affiche tous les processus en cours d’exécution qui utilise ce driver) i. Saisir la commande suivante : C:\> tasklist /fi «Username eq administrateur» (affiche tous les processus lancés par l’administrateur)/ j. Saisir la commande suivante : C:\> tasklist /fi «MemUsage gt 2000» (affiche tous les processus lancés qui utilisent plus de 2000 KB) k. Saisir la commande suivante : C:\> tasklist /fi «CPUTime gt 00:00:20» (affiche tous les processus lancés depuis plus de 20 sec) l. Saisir la commande suivante : C:\> tasklist /fi «SESSIONNAME Console» /fi «CPUTime gt 00 :00 :20» (affiche tous les processus lancés sur la console, et sont lancés depuis plus de 20 sec) ====================================================================== m. Saisir la commande suivante : C:\> start /MIN notepad.exe (démarre le bloc notes réduit dans la barre de tâches). n. Saisir la commande suivante : C:\> tasklist /fi «Imagename eq notepad.exe» (affiche le processus du bloc notes), indiquer ici son PID : ________________ o. Saisir la commande suivante : C:\>taskkill /f /pid N°PID (ex : taskkill /pid 2492, /f force à s’arrêter le processus spécifié) Remarque : C:\> taskkill /im cmd.exe /fi «status eq not responding» (arrête tous les processus ayant comme nom CMD.EXE et ne fonctionnant plus) C:\> taskkill /fi «PID gt 4» /fi «status eq not responding» (arrête tous les processus ayant un PID supérieur à 4 et ayant comme état : ne fonctionnant plus) p. Saisir la commande suivante : C:\> start /MAX notepad.exe (démarre le bloc notes agrandi). q. Saisir la commande suivante : C:\> tasklist /fi «Imagename eq notepad.exe» (affiche le processus du bloc notes), indiquer ici son PID : ________________ r. Saisir la commande suivante : C:\>taskkill /t /pid N°PID (ex : taskkill /t /pid 2492, /t (arrête le processus spécifié ainsi que tous les processus parents et dépendances….) s. Saisir la commande suivante : C:\> taskkill /fi «modules eq winspool.drv» (arrête tous les processus utilisant la DLL Winspoll.drv, observer le résultat …) ====================================================================== a. Saisir la commande suivante : C:\> driverquery (affiche la liste des pilotes installés) b. Saisir la commande suivante : C:\> driverquery /v (affiche la liste des pilotes installés, mode verbose) c. Saisir la commande suivante : C:\> driverquery /SI (affiche la liste des pilotes installés, signés) ======================================================================

C O N N E X I O N À D E S D O S S I E R S P A R T A G É S


112

CONNEXION À DES DOSSIERS PARTAGÉS

A). Pour vous connecter à un dossier partagé en utilisant Favoris réseau, procédez comme suit : 1. Ouvrez Favoris réseau à partir du bouton démarrer (si pas visible : propriétés du bouton démarrer, puis personnaliser, puis onglet Avancé, vérifier que Favoris réseau est coché) et double-cliquez sur Ajout d'un Favori réseau. 2. Dans la page Bienvenue de l'Assistant Ajout d'un Favori réseau, cliquez sur Suivant. 3. Dans la page Où voulez-vous créer cet emplacement réseau ?, cliquez sur Choisissez un autre emplacement réseau, puis sur Suivant. 4. Dans la page Quelle est l'adresse de cet emplacement réseau ?, tapez le chemin UNC du dossier partagé ou cliquez sur Parcourir.

a. Si vous cliquez sur Parcourir, développez Tout le réseau. b. Développez Réseau Microsoft Windows. c. Développer le domaine et le serveur auxquels vous voulez vous connecter. d. Cliquez sur le dossier partagé à ajouter, puis sur OK.

5. Cliquez sur Suivant. 6. Dans la page Quel nom voulez-vous attribuer à cet emplacement ?, tapez le nom de l'emplacement de réseau, puis cliquez sur Suivant. 7. Dans la page Fin de l'assistant Ajout d'un Favori réseau, cliquez sur Terminer. B). Pour vous connecter à un dossier partagé en utilisant Favoris réseau, procédez comme suit : 1. Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur Connecter un lecteur de réseau. 2. Dans la zone Lecteur de la boîte de dialogue Connecter un lecteur réseau, sélectionnez l'unité à utiliser. 3. Dans le champ Dossier, tapez le nom du dossier partagé auquel vous voulez vous connecter ou cliquez sur Parcourir. 4. S'il s'agit d'un dossier partagé qui sera fréquemment utilisé, activez la case à cocher Se reconnecter à l'ouverture de session pour vous connecter automatiquement au dossier partagé dès que vous ouvrez une session.



113 C). Lorsque vous utilisez la commande Exécuter du menu Démarrer pour vous connecter à une ressource du réseau, aucune lettre de lecteur n'est nécessaire. Ainsi, vous pouvez vous connecter au dossier partagé un nombre illimité de fois, indépendamment des lecteurs disponibles. 1. Cliquez sur Démarrer, puis sur Exécuter. 2. Dans la boîte de dialogue Exécuter, tapez un chemin UNC (\\Serveur\Partage), puis cliquez sur OK. Lorsque vous entrez le nom du serveur, la liste des dossiers partagés disponibles apparaît. Windows Server 2003 vous donne la possibilité de choisir l'une des entrées en fonction des dossiers partagés disponibles.

Comment rendre un partage invisible ?

Lors de la création d’un partage rajouter à la fin du nom de partage le signe $, ex : toto$

De même pour y accéder, ex : bouton « Démarrer », puis « Exécuter… », Tapez un nom UNC

\\nom d'ordinateur\toto$

Rien ne peut être caché à l’administrateur, qu’on se le dise. L’outil « Gestion de l’ordinateur » permet d’afficher tous les partages, sur n’importe quel ordinateur ayant adhéré au domaine. Cet outil permet aussi d’en créer oud’en supprimer

Utilisation des dossiers partagés d'administration

Les dossiers partagés d'administration permettent aux administrateurs de réaliser des tâches administratives : bouton droit sur la poste de travail, puis gérer

Les dossiers partagés d'administration sont masqués aux utilisateurs sans droits administratifs

Par défaut, les administrateurs disposent de l'autorisation Contrôle total.

Windows crée automatiquement des partages spéciaux pour les tâches administratives et le système.

Appelés ainsi car réservés aux membres du groupe « Administrateurs », ces partages ont plusieurs rôles :

- Certains services s’appuient sur ces partages pour échanger des données. Il est déconseillé de les supprimer.

- L’administrateur peut s’en servir pour atteindre n’importe quel lecteur de n’importe quel ordinateur. C’est un avantage du point de vue de ce dernier !.



114 - Certaines applications s’en servent aussi.

- Ces partages administratifs sont automatiquement recréés s’ils sont supprimés. Une clé dans le registre permettra de s’en affranchir tout en apportant certainement des problèmes futurs à cause des utilisations citées ci-dessus.

- Plusieurs partages sont aussi possibles pour les racines des lecteurs.

Lecteur$ (C$, D$...)

Répertoire racine d'un périphérique de stockage sur l'ordinateur (nom des disques durs…).

Seuls les membres des groupes Administrateurs, Opérateurs de sauvegarde et Opérateurs de serveur peuvent se connecter à ce type de partage.

ADMIN$

Ressource utilisée par le système pendant l'administration à distance d'un ordinateur. Seuls les membres des groupes 'Administrateurs', 'Opérateurs de sauvegarde' et 'Opérateurs de serveur' peuvent se connecter à ce partage.Donne accès au répertoire %SystemRoot% du système d’exploitation.

IPC$

Ressource partageant les 'Canaux Nommés' essentiels à la communication entre les programmes distants et l’examen de ressources partagées.

PRINT$

Ressource qui prend en charge les imprimantes partagées en donnant accès aux pilotes d’impression.

Ce répertoire correspond à \Windows\System32\Spool\Drivers, il contient tous les drivers d’imprmantes installées sur le serveur.

REPL$

Ressource créée par le système lorsqu'un ordinateur Windows Server 2003 est configuré en tant que serveur d'exportations de duplications.

NETLOGON

Ressource utilisée par le 'Service Accès réseaux' sur les 'Contrôleurs de Domaine' pour traiter les demandes de connexion aux domaines (ouverture de session et permet d’émettre des requêtes entre machines pour connaitre les réssources disponibles). Correspond au répertoire \Windows\Sysvol\Sysvol\Scripts (pour Windows 2000/2003).



115

SYSVOL

Prend en charge Active Directory. Ce partage est utilisé pour stocker les données et les objets pour Active Directory. C’est le répertoire \Windows\Sysvol\Sysvol, qui contient les strategies de groupes ainsi que les classiques scripts d’ouverture de session (logon scripts).

FAX$

Prend en charge les télécopies réseau, ce partage est utiliser par les clients de télécopies lors d’envoie de télécopies.

Remarque : Pour désactiver les partages administratifs de Windows Server 2003, affectez la valeur 0 au paramètre suivant

Profitons-en pour supprimer les partages "Administratif" par défaut "C$ et ADMIN$" Pour un serveur dans HKLM\CurrentControlSet\Services\ LanManServer\Parameters, mettez AutoShareServer à 0. Pour une station de travail mettez AutoShareWks à 0. Si l'entrée n'est pas présente dans la Base de Registres, ajoutez une valeur de type REG_DWORD. La valeur 0 désactive le partage et la valeur 1 (valeur par défaut) l'active.

Cette entrée n'affecte pas les partages définis manuellement.

Cependant, ces partages sont là pour que votre machine puisse être administrée par les serveurs, alors si vous les détruisez les administrateurs systèmes pourraient avoir leur mot à dire !

Affichage de sessions d’utilisateurs et ordinateurs.

La console Gestion de l’ordinateur (bouton droit sur Poste de travail, puis Gérer) peut assurer le suivi de toutes les connexions aux ressources partagées sur un système Windows Server 2003. Dès qu’un utilisateur ou un ordinateur se connecte à une ressource partagée, la connexion est listée dans le nœud Sessions.



116

Pour afficher les connexions aux ressources partagées

======================================================================1). Dans Gestion de l’ordinateur, connectez-vous à l’ordinateur sur lequel se trouve le partage. 2). Dans l’arborescence de la console, dévelopez Outils système et Dossiers partagées, puis sélectionnez Sessions. 3). Vous pouvez voir maintenant les utilisateurs et les ordinateurs connectés aux partages. ======================================================================Le nœud Sessions vous donne des infos importantes sur les connexions des utilisateurs et des ordinateurs. Ces infos sont les suivantes :

Utilisateur. Noms des utilisateurs ou des ordinateurs connectés aux ressources partagées. Le noms d’ordinateurs sont affichés avec un suffixe $ que les différencie des utilisateurs.

Ordinateur. Adresse IP de l’ordinateur utilisé.

Type. Type d’ordinateur utilisé.

Nombre de fichiers ouverts. Nombre de fichiers avec lequel l’utilisateur travaille. Pour en savoir plus, accédez au nœud Ouvrir les fichiers.

Durée de connexion. Temps écoulé depuis la connexion.

Durée d’inactivité. Temps écoulé depuis la dernière utilisation de la connexion.

Invité. Indique si l’utilisateur a ouvert une session en tant qu’invité.

L'onglet "Partage" n'est pas visible : Rendez vous dans la configuration des services (SERVICES.MSC) et démarrez le service "Serveur"

Pour voir les utilisateurs connectés ainsi que les fichiers ouverts : Démarrer > Exécuter : FSMGMT.MSC

La gestion des sessions et des partages est une tâche administrative courante. Av d’arrêter un serveur ou une application qui s’exécute sur un serveur, vous pouvez déconnecter les utilisateurs des ressources partagées. Vous pouvez également avoir besoin de déconnecter les utilisateurs pour plusieurs raisons : modifier les autorisations d’accès, supprimer totalement un partage ou mettre fin au verrouillage des fichiers. Vous déconnectez les utilisateurs des ressources partagées en fermant leurs sessions.

Remarque : N’oubliez pas que vous déconnectez les utilisateurs des ressources partagées mais pas du domaine. Vous ne pouvez obliger les utilisateurs à mettre fin à leur session sur le domaine qu’à l’aide des horaires d’accès et de la stratégie de groupe. Les déconnecter ne met donc pas fin à leur session sur le réseau, mais les déconnecte simplement des ressources partagées.



117


Créer une console MMC personnalisée pour gérer et analyser les dossiers partagés sur plusieurs serveurs

======================================================================1. Ouvrez une session sur le domaine : Bourges avec le compte Marcel et le mot de passe P@sswrd1. 2. Dans le menu Démarrer, cliquez sur Exécuter. 3. Dans la boîte de dialogue Exécuter, tapez mmc et cliquez sur OK. 4. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter, puis ajoutez un composant logiciel enfichable Gestion de l'ordinateur, puis Ajouter vérifier que l’option ordinateur local est sélectionné, puis Terminer. 5. Sélectionner de nouveau gestion de l’ordinateur, puis cliquez de nouveau sur Ajouter, sélectionner un autre ordinateur, cliquez sur Parcourir puis Avancé et Rechercher sélectionner servnet, puis OK et OK Terminer puis Fermer et OK. 6. Dans l'arborescence de l'outil Gestion de l'ordinateur (local), développez Outils système, développez Dossiers partagés, puis cliquez sur Partages. 7. Déterminez si vous pouvez analyser les dossiers partagés de votre ordinateur : _____________________ 8. Dans l'arborescence de l'outil Gestion de l'ordinateur (Bourges), développez Outils système, développez Dossiers partagés, puis cliquez sur Partages. 9. Déterminez si vous pouvez analyser les dossiers partagés de l'ordinateur Bourges : _________________ 10. Enregistrez la console sur le Bureau sous MMC1. 11. Fermez MMC1. 12. À l'aide de la commande Exécuter en tant que, ouvrez MMC1 en tant qu'utilisateur suivant : bourges\administrateur de domaine. 13. Vérifiez que vous pouvez analyser les partages sur l'ordinateur local et sur l'ordinateur Bourges. 14.Fermer MMC1 ======================================================================



118

Création d’un lecteur réseau, et se connecter à une ressource partagée ☺ TP à réaliser.

Dans cet exercice, vous allez travailler avec votre partenaire (désigné par le formateur) afin de réaliser les éléments ci-dessous : (exercice à réaliser par les 2 partenaires) ======================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX (de votre SAM local) Domaine : choisir le nom de votre machine b. Lancer l'Explorateur, puis bouton droit sur le dossier C:\temp (le créer s’il n’existe pas), sélectionner Partage et sécurité.... c.Onglet Partage, cochez Partager ce dossier, puis mettre comme : Nom de partage : Temp1 Description : Partage visible sur le réseau Nombre maximal d'utilisateurs : cochez Nombre d'utilisateurs autorisés, et mettre comme valeur :2. (ne pas toucher aux autres boutons concernant la sécurité NTFS) c. Faire Appliquer, puis OK d. Vérifier par l'Explorateur qu'une main est apparue sur le dossier TEMP e. Toujours via l'Explorateur, développer Favoris réseau, puis Tout le réseau, puis Réseau Microsoft Windows, sélectionner le nom de votre Domaine (Bourges), puis celui de votre nom Machine. f. Voyez-vous le partage Temp1 qui correspond à votre ressource C:\Temp ? g. Faire de nouveau Propriétés de C:\temp, sélectionner Partage et sécurité.... h. Onglet Partage, puis Nouveau Partage Nom du partage : Temp2$ Description : Partage invisible sur le réseau Nombre maximal d'utilisateurs : cochez Nombre d'utilisateurs autorisés, et mettre comme valeur : 2. i. Puis OK, et OK. Toujours via l'Explorateur, développer Favoris réseau, puis Tout le réseau, puis Réseau Microsoft Windows, sélectionner le nom de votre Domaine (Bourges), puis celui de votre nom Machine. Voyez-vous le partage Temp2$ qui correspond à votre ressource C:\Temp ? : _______________ Créer un utilisateur Bob sur votre SAM local J. Bouton démarrer, puis bouton droit sur Poste de travail, puis Gérer, puis dèvelopper Utilisateurs et groupes locaux, puis Utilisateurs, bouton droit, Nouvel utilisateur… Nom d’utilisateur : Bob Mot de passe : P@sswrd1 Confirmer le mot de passe : P@sswrd1 Décocher : L’utilisateur doit changer de mot de passe à la prochaine ouverture de session puis cliquez sur Créer, cliquez sur Fermer pour fermer la boîte de dialogue Nouvel utilisateur, fermez la console Gestion de l'ordinateur. Remarque : Demander à votre partenaire si celui-ci a terminer sa partie, si oui vous pouvez continuer le TP. j. Toujours via l'Explorateur, bouton droit sur «Favoris réseau», puis « Connecter un lecteur réseau». k. Dans « Lecteur» choisissez une lettre pour le lecteur réseau comme par exemple « Z : », dans « Dossier» choissez le nom UNC de la ressource distante comme par exemple « \\Nom_Machine_Partenaire\Temp1 », (attention si vous cochez la case « Se reconnecter à l'ouverture de session», le lecteur sera de nouveau disponible au démarrage du PC après authentification par le mot de passe). l. Sélectionner Se connecter sous un nom d'utilisateur différent, dans Nom d'utilisateur mettre : Bob Mot de passe : P@sswrd1 m. Puis « Terminer». Normalement dans l’exploreur vous devez avoir un lecteur qui apparaît (Z :) qui pointe sur la ressource distante ?. n. Bouton Démarrer, puis Exécuter..., puis \\Nom_Machine_Partenaire\Temp2$, puis OK. o.Identifiez-vous par ** demandé : Nom d'utilisateur mettre : Bob

Mot de passe : P@sswrd1 Accédez-vous à la ressource cachée du partenaire? ======================================================================

Fermeture de sessions Individuelles 1). Dans Gestion de l’ordinateur, connectez-vous à l’ordinateur sur lequel se trouve le partage. 2). Dans l’arborescence de la console, developpez Outils système et Dossiers partagés, puis sélectionnez Sessions. 3). Cliquez-droit sur les sessions d’utilisateurs auxquelles mettre fin, puis choisissez Fermer la session. 4). Cliquez sur OK pour confirmer l’opération.



119Arrêt des partages de fichiers ou de dossiers

Pour arrêter le partage d’un dossier :

1). Dans Gestion de l’ordinateur, connectez-vous à l’ordinateur sur lequel se trouve le partage et accédez au nœud Partages.

2). Cliquez-droit sur le partage à supprimer, puis choisissez Arrêter le partage. Cliquez sur OK pour confirmer l’opération.

Si vous préférez créer un répertoire partagé, en mode texte

Exécutez la commande C.-\> net share.

Cette commande affiche tous les partages locaux administratifs (cachés), et non cachés.

Dans l'exemple ci-après, le répertoire Projets accepte 25 connexions simultanées et le commentaire est légèrement différent de celui de l'exemple précédent :

C :\> net share projets=d:\projets /users:25/remark: «Développement Server 2003»

Vous pouvez également modifier les propriétés d'un partage à l'aide de cette même commande. Par exemple, le répertoire partagé projets accepte un nombre illimité de connexions dans la première commande, ce qui supprime la limite de 25, alors que le partage est désactivé dans la deuxième :

C:\> net share projets /unlimited

(Spécifie un nombre illimité d'utilisateurs autorisés à accéder simultanément à la ressource partagée)

C:\> net share projets /delete

(supprime le partage projets)

C:\> net share liste="c:\liste images"

(Pour partager un répertoire avec un chemin contenant un espace, placez le lecteur ainsi que le chemin d'accès du répertoire entre guillemets)



120

Utilisation de la commande NET SHARE

☺ TP à réaliser. ==============================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX (de votre SAM local) b. Bouton Démarrer, puis Exécuter..., puis cmd. c. tapez net share d. Indiquer les différents partages que vous voyez ? ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… e. Supprimer le partage Temp2$ qui correspond à votre ressource C:\Temp ? par la commande : ……………………………………………………. f. recréez de nouveau ce partage en ligne de commande pour 12 utilisateurs maximum, ayant comme commentaire : ceci est un partage caché. par la commande : ……………………………………………………. ==============================================================================



121

UTILISATION DE LA COMMANDE NET USE

Connecte ou déconnecte une ressource partagée

Pour établir une connexion sous un nom d'utilisateur et un mot de passe valides

À l'invite de commandes, ajoutez vos noms d'utilisateur et mot de passe sur la ligne de commande en tapant ce qui suit :

/user: nom_d'utilisateur mot_de_passe

Par exemple, pour utiliser le lecteur G afin de vous connecter sous le nom Annie et le mot de passe Guimauve au répertoire \donnees\mesdonn du volume Thor qui se trouve sur un serveur appelé Nw4, tapez ce qui suit :

C: \> net use G: \\nw4\thor\donnees\mesdonn /user:annie guimauve

C: \> net use K: \\pele\kona /user:chavez * /persistent:Yes

Par défaut, les connexions de lecteur réseau disparaissent d'une session à une autre. Avec l'option /persistent:yes, l'option par défaut de la commande net use a un caractère permanent jusqu'à ce queue soit explicitement changée.

La commande ci-après supprime la connexion du partage au lecteur j:

C: \ > net use J: /delete

La commande ci-après affiche la liste des ressources partagées distantes auxquelles l'ordinateur local est connecté.



122

Exercice sur la commande NET USE

☺ TP à réaliser. ==============================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX (de votre SAM local) b. Bouton Démarrer, puis Exécuter..., puis cmd. c. tapez net use d. Indiquer les différents lecteurs réseau que vous voyez ? ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… e. Supprimer le lecteur réseau z : qui correspond à votre ressource « \\Nom_Machine_Partenaire\Temp1 »,? par la commande : ……………………………………………………. f. recréez de nouveau ce lecteur en ligne de commande ayant comme lettre de lecteur réseau r :, nom de login Bob, mot de passe : P@sswrdXXXX sur la ressource de votre partenaire. par la commande : ……………………………………………………. ==============================================================================



123

Utilisation de la commande NET VIEW

Affiche la liste des machines de votre Workgroup ou Domaine.

Comment visualisez les ressources partagées d'une machine distante ?

C:\> net view \\nom de la machine

Evidemment vous ne vérer pas les partages cachés.

Comment générer une liste complète des comptes d'ordinateurs du domaine ?

C:\>net view /DOMAIN:nom du domaine >liste.txt

Cette syntaxe vous génerera un fichier "liste.txt" contenant la liste complète des machines de votre domaine.

Exercice sur la commande NET VIEW

☺ TP à réaliser. ==============================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrd1 Domaine : Bourges b. Bouton Démarrer, puis Exécuter..., puis cmd. c. tapez net view Que voyez-vous ? ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… d. Tapez net view \\Nom_VOTRE_MACHINE Que voyez-vous ? ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… e. Tapez net view /domain:bourges Que voyez-vous ? ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… ==============================================================================



124

NET START

Démarre un service sur le système.

net start [service]

Tapez « net start » sans paramètre pour afficher la liste des services en cours.

Service comprend : alerter, client service for netware, clipbook server, content index, computer browser, dhcp client, directory replicator, eventlog, ftp publishing service, hypermedia object manager, logical disk manager, lpdsvc, media services management, messenger, Fax Service, Microsoft install server, net logon, network dde, network dde dsdm, nt lm security support provider, ole, plug and play, remote access connection manager, remote access isnsap service, remote access server, remote procedure call (rpc) locator, remote procedure call (rpc) service, schedule, server, simple tcp/ip services, site server ldap service, smartcard resource manager, snmp, spooler, task scheduler, tcp/ip netbios helper, telephony service, tracking service, tracking (server) service, ups, Windows time service et workstation. Les services suivants sont disponibles uniquement sur Windows Server : file service for macintosh, gateway service for netware, microsoft dhcp service, print service for macintosh, windows internet name service.

NET STOP

Arrête un service sur le système.

Tapez « net start » sans paramètre pour afficher la liste des services en cours.

Graphiquement vous pouvez passer par « Administrative Tools », « Services » ; sélectionner un service puis bouton droit et choisissez soit « Stop » ou « Start » (cela est disponible également sur la partie gauche du service sélectionné).



125

Utilisation de la commande NET SEND, NET STOP, NET START

☺ TP à réaliser. ==============================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrd1 Domaine : Bourges b. Bouton Démarrer, puis bouton droit sur Poste de travail, puis Gérer... c. Développer Services et applications, puis Services d. Vérifier que le service Affichage des messages (service Messenger) est démarré, sinon pour le démarrer => bouton droit sur le service Affichage des messages, puis Démarrer (Type de démarrage en Automatique). (Demander à votre partenaire si celui-ci à aussi démarrer le service Affichage des messages) Remarque : Vérifier aussi que le « service Terminal serveur » est aussi démarré car sinon cela pertubra le fonctionnement de la commande net send. d. En invite de commande tapez net send Machine_Partenaire texte_a_envoyer Cela fonctionne t'il ? ? ………………………………………………………………………………………………………………………………………………………………………………………………………………………… e. Tapez net send /domain:bourges texte_a_envoyer Cela fonctionne t'il ? ? ………………………………………………………………………………………………………………………………………………………………………………………………………………………… f. Bouton Démarrer, puis Exécuter..., puis cmd g. Saisir : net stop messenger h. Tapez net send Machine_Partenaire texte_a_envoyer, (dire à votre partenaire de vous envoyer aussi un message). Cela fonctionne t'il ? ………………………………………………………………………………………………………………………………………………………………………………………………………………………… i. Saisir à nouveau : net start "Affichage des messages" Remarque : Vous pouvez aussi recevoir les messages en silence si vous désactivez le Périphérique « Beep » => valeur Start = 4 (voir la base de registre). Ou utiliser la commande net stop beep. Vous pouvez utiliser la commande sc à l'invite de commandes pour configurer les services et obtenir des informations sur eux. j. Tapez C:\> sc query type= service state= all (affiche tous les services configurés dans votre système de façon détaillés) k. Tapez C:\> sc query type= service | find /v « x0 » (affiche tous les services configurés dans votre système, mais uniquement les lignes les plus importantes, c'est-à-dire sans les lignes contenant les chaînes de caractères « x0 ») l. Tapez C:\> sc getkeyname «Affichage des messages». (Affiche le nom du service spécifié) m. Tapez C:\> sc qc Messenger. (Affiche toutes les informations sur le service Messenger) Remplir les éléments suivants :

Service_Name : Start_Type : Display_Name : Dependencies :

n. Tapez C:\> sc stop Messenger. (Arrête le service messagerie) o. Tapez C:\> sc start Messenger. (Démarre le service messagerie) p. Tapez C:\> sc config Messenger start= disabled. (Désactive le service de messagerie) q. Tapez C:\> sc qc Messenger, observer la valeur du champ Start_Type : _______________ r. Tapez C:\> sc config Messenger start= auto (positionne ce service en mode automatique) s. Tapez C:\> sc qc messenger, observer la valeur du champ Start_Type : ________________ ==============================================================================

N O T I O N D E S G R O U P E S


126

NOTION DES GROUPES

Lorsque vous affectez des autorisations d'accès à des ressources, il est conseillé d'affecter ces autorisations à un groupe de sécurité plutôt qu'à des utilisateurs individuels. Chaque utilisateur qui est ajouté à un groupe de sécurité reçoit les autorisations définies pour ce groupe.

Les groupes permettent de contrôler les utilisateurs et leurs accès aux ressources. Les problèmes fondamentaux inhérents à la gestion de l'accès aux ressources au niveau utilisateur augmentent de façon significative les coûts d'administration.

Les groupes sous Windows Server 2003 sont aussi des objets Active Directory qui contiennent des utilisateurs, des contacts, des ordinateurs et, potentiellement d’autres groupes. Les groupes fournissent une méthode pour organiser logiquement d’autres objets dans Active Directory.



127

Les administrateurs utilisent les groupes pour :

Gérer l’accès aux ressources partagées telles que les objets Active Directory et leurs propriétés, les partages réseau, les fichiers, les répertoires, les files d’attente d’imprimantes, filtrer la stratégie de groupe, créer des listes de distribution par e-mail.

L'augmentation des coûts qui résulte de la gestion de l'accès aux ressources au niveau utilisateur vient essentiellement du temps passé dans le suivi de la mise en place des droits d'accès. Dans un scénario relativement courant mais simple, quand un utilisateur quitte une entreprise, la première chose que fait un administrateur est le plus souvent de désactiver ou au pire de supprimer son compte. Si une autre personne remplace ce premier utilisateur, l'administrateur renommera l'ancien compte et le lui affectera. Cette méthode est acceptable lorsqu'il s'agit de transférer les droits d'accès au nouvel employé, mais elle présente toutefois plusieurs limitations. En particulier, si l'employé dont il est question change de fonction au sein de la même entreprise et s'il est remplacé par une personne devant accéder aux mêmes ressources, la gestion des autorisations devient un peu plus ardue.

En effet, la suppression des autorisations d'accès de l'ancien employé et l'attribution de droits d'accès au nouvel embauché sont loin d'être des opérations rapides si vous devez procéder de la sorte pour chaque objet partagé et déterminer si des modifications sont nécessaires. Le fait de renommer un compte peut conduire à des problèmes de confidentialité. Le nouvel employé peut ainsi avoir accès accidentellement aux données personnelles de son prédécesseur, violant ainsi sa vie privée. Lorsque de nouveaux comptes sont créés pour chaque employé et que les permissions sont gérées au travers de groupes, les employés ont uniquement accès aux ressources explicitement accordées aux groupes auxquels ils appartiennent. Si vous utilisez des groupes pour définir une procédure générale dédiée à la gestion des contrôles d'accès, vous limiterez considérablement la charge de travail de l'administrateur et vous améliorerez du même coup la sécurité.

Les groupes fonctionnent différemment dans un groupe de travail et dans un domaine. Cette différence concerne les emplacements auxquels ils sont créés et auxquels ils résident, ainsi que leur mode d'utilisation.



128 Groupes dans un domaine

Les caractéristiques des groupes dans un domaine sont présentées ci-dessous. _ Ils sont créés uniquement sur des contrôleurs de domaine. _ Ils résident dans le service d'annuaire Active Directory™. _ Ils permettent d'accorder des autorisations sur des ressources et des droits pour des tâches système sur n'importe quel ordinateur du domaine.

Type de groupe

Le type de groupe détermine le type de tâche que vous gérez avec le groupe. L'étendue de groupe détermine si le groupe s'étend sur plusieurs domaines ou s'il est limité à un seul. Chaque type de groupe de domaine est pourvu d'un attribut étendu qui identifie dans quelle mesure le groupe s'applique au réseau.

Remarque : Groupes locaux

Groupes définis sur un ordinateur local sont utilisés uniquement sur l’ordinateur local. Vous créez à l’aide de l’utilitaire Groupes et utilisateurs locaux (vous n’êtes pas en domaine).

Groupes de sécurité

Les groupes de sécurité sont très semblables aux groupes d’un domaine Windows NT. Le groupe de sécurité est un ensemble d'utilisateurs du domaine utilisé par les administrateurs pour accorder l'accès aux ressources réseau ; il est employé de façon intensive sur tout le réseau pour contrôler l'accès aux ressources. Vous les définisez dans les domaines à l’aide de Utilisateurs et ordinateurs Active Directory.

Listes de distribution

Une liste de distribution est un ensemble d'utilisateurs Active Directory que les applications peuvent utiliser. L'exemple le plus courant d'une application utilisant des listes de distribution est Microsoft Exchange Server. Les administrateurs peuvent gérer des listes de distribution pour informer les utilisateurs en cas de problèmes. Des listes de distribution peuvent également être utilisées pour l'envoi de bulletins d'information d'entreprise.

Vous les définissez dans les domaines à l’aide des Utilisateurs et ordinateurs Active Directory.



129

Portée des groupes (étendue de groupe) En définissant un groupe, l'administrateur contrôle également sa portée. L'utilisation d'un groupe peut se limiter au contrôleur de domaine local, ou il peut être mis à la disposition d'autres serveurs du domaine ou de la totalité du réseau. Il existe trois types de groupes : « les groupes locaux du domaine », « les groupes globaux » et « les groupes universels ».

Groupes Locaux prédéfinis

Les serveurs membres, les serveurs autonomes et les machines Windows 2000 Server (Service Pack 3 ou suivant), Windows 2000 Pro (Service Pack 3 ou suivant ou Windows XP PRO (Service Pack 1 ou suivant) ont des groupes locaux prédéfinis permettant de faire certaines tâches sur la machine locale.

C'est un groupe de sécurité sur lequel on peut accorder des droits et des permissions seulement pour des ressources sur l'ordinateur sur lequel le groupe est créé. Des groupes locaux peuvent avoir n'importe quels comptes d'utilisateur qui sont locaux à l'ordinateur comme membres, aussi bien des utilisateurs, des groupes et des ordinateurs d'un domaine auquel l'ordinateur appartient.



130

Groupes locaux du domaine prédéfinis

Ses membres peuvent provenir de n’importe quel domaine, mais vous ne pouvez lui accorder des permissions que sur des ressources du domaine dans lequel vous avez créé le groupe. Les membres d’un groupe local du domaine ont un besoin commun d’accéder à certaines ressources d’un certain domaine. Un groupe local de domaine peut avoir les membres suivants :

Autres groupes locaux de domaine appartenant au même domaine Gorupes globaux de tous les domaines Groupes universels de tous les domaines Utilisateurs de tous les domaines

Pour simplifier et raccourcir le temps d’intégration d’un domaine Active Directory, Microsoft donne d’office des groupes par défaut qui sont avec ou sans membres et avec un certain nombre de droits utilisateurs. Les listes des groupes par défaut ci-dessous sont exhaustives (liste complet en annexe, lien ci dessous), vous y trouverez le nom, le SID par défaut (identifiant unique), un bref descriptif, les droits par défaut et les membres par défaut.

Les groupes présents dans BUILTIN possèdent des droits utilisateurs seulement sur les contrôleurs de domaine du domaine. Donc ils ne pourront effectuer aucune action sur les autres ordinateurs (exemple: ne pourront pas ouvrir une session locale sur un ordinateur). Si l'utilisateur 'Administrateur' possède des droits sur les contrôleurs de domaine et sur le domaine, c'est parce qu'il est membre du groupe 'Administrateurs' du container BUILTIN et membre du groupe 'Administrateur du domaine' du container USERS. On peut comparer les groupes du container BUILTIN aux groupes locaux "classique". La portée des groupes présents dans le conteneur USERS s’applique à tous les objets du domaine sauf les contrôleurs de domaine. Un certain nombre de groupe permettent de lister les membres présent dans le domaine (exemple: groupe 'ordinateur du domaine' liste tous les ordinateurs du domaine). Il existe des groupes qui sont présents seulement sur le domaine root (domaine qui ne possède pas de parents).



131Un certain nombre de groupes spéciaux existe. Ils ne sont pas listés dans Active Directory. Mais on peut leur attribuer des autorisations à ces groupes lors d'un partage d'une ressource. Les membres de ce groupe sont dynamiques donc on ne peut les lister.

Nom Descriptif Droit(s) par défaut Tout le monde

(ne possède pas de SID)

Liste tous les utilisateurs actuels du réseau, y compris les invités, sauf ceux du groupe ‘Anonymous logon’ et les utilisateurs des autres domaines. Toute fois, du fait que le groupe Session anonyme peut devenir membre du groupe Tout le monde, il n’est pas recommandé d’utiliser ce groupe pour accorder des autorisations supérieures à l’autorisation Lecture seule.

Accéder à cet ordinateur à partir du réseau.

Réseau

(SID : S-1-5-2) Liste tous les utilisateurs qui accèdent à des ressources via le réseau.

Aucun.

Interactif (SID : S-1-5-4)

Liste tous les utilisateurs qui accèdent à des ressources en local.

Aucun.

Anonymous logon

(SID : S-1-5-7) Liste tous les utilisateurs qui accèdent à une ressource sans authentification

Aucun.

Enterprise Domain Controllers

(SID : S-1-5-9)

Liste tous les contrôleurs de domaine de toute la forêt.

Accéder à cet ordinateur à partir du réseau

Utilisateurs Authentifiés

(SID : S-1-5-11)

Liste tous les utilisateurs et ordinateurs authentifiés par les contrôleurs de domaine de la forêt.

Accéder à cet ordinateur à partir du réseau, Ajouter des stations de travail au domaine.

Remote Interactive Logon

(SID : S-1-5-14)

Liste tous les utilisateurs qui ouvrent une session via ‘Bureau à Distance’

Aucun.

System Le système d’exploitation Windows Server 2003 lui-même possède cette identité. Elle est employée lorsque le système doit exécuter une fonction au niveau système.

Aucun

Session anonyme Le groupe Session anonyme représente les utilisateurs et services qui accèdent à un ordinateur et à ses ressources via le réseau sans un nom de compte, un mot de passe ou un nom de domaine.

Si vous voulez créer un partage de fichier pour les utilisateurs anonyme, accordez les autorisations au groupe anonyme.

Aucun

Créateur Propriétaire

Le groupe système Créateur propriétaire inclut le compte de l'utilisateur qui a créé et pris possession d'une ressource.

Si un membre du groupe Administrateurs crée une ressource, ce groupe devient propriétaire de la ressource.



132

Groupes globaux prédéfinis C’est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs de son propre domaine comme membres. On peut accorder aux groupes de sécurité globaux des droits et des permissions sur des ressources dans n'importe quel domaine dans sa forêt. Des groupes globaux ne peuvent pas être créés ou maintenus sur des ordinateurs exécutants Windows XP Pro. Cependant, pour des ordinateurs sous Windows XP Pro qui participent à un domaine, les groupes globaux du domaine peuvent avoir des permissions et des droits sur ces postes de travail et peut devenir membres de groupes locaux sur ces postes de travail. Les groupes globaux intégrés par Windows pendant l’installation n’ont pas de privilèges intrinsèques ; c’est à l’administrateur d’affecter les privilèges aux groupes.

En revanche, ces groupes reçoivent automatiquement certains membres.



133

Universal group (groupe universel) C'est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs de n'importe quel domaine dans sa forêt comme membres. On peut accorder aux groupes de sécurité Universels des droits et des permissions sur des ressources dans n'importe quel domaine dans la forêt. Des groupes de sécurité universels sont disponibles seulement dans des domaines mode natifs (Full Active Directory). Remarque : Les groupes universels sont très utiles dans les grandes entreprises disposant de plusieurs domaines. Si votre réseau est conçu correctement, utilisez ces groupes pour simplifier l’administration du système. Les membres des groupes universels ne devraient pas changer fréquemment. Chaque fois que vous modifiez leurs membres, répliquez ces modifications sur tous les catalogues globaux de l’arborescence de domaines ou de la forêt. Pour éviter ces modifications, assignez les autres groupes au groupe universel plutôt qu’à des comptes.



134



135Les propriétés des groupes de sécurité figurent dans le tableau suivant :

Domaine en mode natif Domaine en mode mixte

Groupe Universel

Peut contenir

• Utilisateurs de n’importe quel domaine de la forêt

• Groupes globaux de n’importe quel domaine de la forêt

Reçoit des permissions Dans n’importe quel domaine

Conversions possible

Groupe Global

Peut contenir

• Utilisateurs du même domaine que ce groupe

• Groupes globaux du même domaine

Utilisateurs du même domaine que ce groupe

Reçoit des permissions

Dans n’importe quel domaine de la forêt

Dans n’importe quel domaine de la forêt

Conversion possible Groupe Universel

Groupe de Domaine

Local

Peut contenir


• Groupes universels et groupes globaux de n’importe quel domaine de la forêt, ainsi que des groupes loacaux du domaine du même domaine


• Groupes globaux de n’importe quel domaine de la forêt

Reçoit des permissions

Uniquement dans le domaine du groupe

Uniquement sur les contrôleurs de domaine du même domaine que ce groupe

Conversion possible Groupe Universel



136

La liste ci-dessous donne la liste des groupes présents dans le conteneur BUILTIN, leur descriptif, les droits utilisateurs par défaut ainsi leur membre par défaut.

Nom Descriptif Droit(s) par défaut Membre par défaut Accès compatible avec les versions antérieures à Windows 2000 (SID : S-1-5-32-554)

Ce groupe permet une comptabilité avec les versions antérieurs à Windows 2000. Ils permettent la consultation en lecture seul à la foret Active Directory

Accéder à cet ordinateur à partir du réseau, Ignorer le contrôle de parcours.

Utilisateurs authentifiés (G).

Administrateurs (SID : S-1-5-32-544)

Le groupe ‘Administrateurs’ possède la majorité des droits sur les contrôleurs de domaine. A utiliser avec beaucoup de parcimonie.

Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire d'un processus, Sauvegarder des fichiers et des répertoires, Outrepasser le contrôle de parcours, Modifier l'heure du système, Créer un fichier paginé, Déboguer des programmes, Permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation, Forcer l'arrêt à partir d'un système distant, Augmenter la priorité de planification, Charger et décharger les pilotes de périphérique, Permettre l'ouverture d'une session locale, Gérer le journal d'audit et de sécurité, Modifier les valeurs d'environnement de microprogrammation, Optimiser un processus, Optimiser les performances système, Retirer un ordinateur d'une station d'accueil, Restaurer des fichiers et des répertoires, Arrêter le système, Prendre possession des fichiers ou d'autres objets.

Administrateur (U), Administrateur de l’entreprise (G) , Admins du domaine (G).

Duplicateurs (SID : S-1-5-32-552)

Ce groupe ne doit posséder aucun utilisateur. Il permet juste le bon déroulement de la duplication de la forêt Active Directory.

Aucun. Aucun.

Générateurs d’approbation de forêt entrante (SID : S-1-5-32-557)

Ce groupe permet aux membres de donner l’approbation d’insertion d’une nouvelle forêt dans la forêt existante. Ainsi, les ressources de la nouvelle forêt seront disponibles dans la forêt.

Aucun Aucun.

Groupe d’accès d’autorisation Windows (SID : S-1-5-32-560)

Les membres de ce groupe pourront lire l’attribut tokenGroupsGlobalAndUniversal (TGGAU) sur les objets utilisateurs, ordinateurs et groupes. Généralement utilisé dans les applications décisionnelles pour Active Directory.

Aucun. ENTERPRISE DOMAIN CONTROLLERS (U).

Invités (SID : S-1-5-32-546)

Idem que le compte utilisateurs mais avec encore plus de restriction.

Aucun. Invité (U), Invités du domaine (G), IUSER_X (U).

Opérateurs de compte (SID : S-1-5-32-548)

Ce groupe permet de manager tous les objets (Ajout, Modification, Suppression) dans la forêt. Leurs limites se situe qu’ils ne peuvent accéder au conteneur ‘Domain Controllers’ et ne peuvent modifier le groupe ‘Administrateurs’ et ‘Admins du domaine’

Permettre l'ouverture d'une session locale, Arrêter le système.

Aucun.

Opérateurs de configuration réseau (SID : S-1-5-32-556)

Les membres de ce groupe peuvent configurer toute la configuration des paramètres TCP/IP des contrôleurs de domaine

Aucun. Aucun.

Opérateurs de sauvegarde (SID : S-1-5-32-551)

Les membres de ce groupe peuvent sauvegarder et restaurer les fichiers des contrôleurs de domaine et ceci

Sauvegarder des fichiers et des répertoires, Permettre l'ouverture d'une session locale, Restaurer des fichiers et des répertoires, Arrêter le système.

Aucun.



137en outrepassant les droits NTFS.

Opérateurs de serveur (SID : S-1-5-32-549)

Les membres de ce groupe possèdent que des droits simples sur les contrôleurs de domaine. Ouverture de session, Sauvegarde et Restauration de fichiers, formatage de disque, création et suppression de ressources partages.

Sauvegarder des fichiers et des répertoires, Modifier l'heure du système, Forcer l'arrêt à partir d'un système distant, Permettre l'ouverture d'une session locale, Restaurer des fichiers et des répertoires, Arrêter le système.

Aucun.

Opérateurs d'impression (SID : S-1-5-32-550)

Les membres de ce groupe auront à leur charges toute la gestion des imprimantes sur un contrôleur de domaine (installation de pilote, création de partage imprimantes, gestion des spool, objet imprimantes dans le domaine)

Permettre l'ouverture d'une session locale, Arrêter le système.

Aucun.

Serveurs de licences des services Terminal Server (SID : S-1-5-32-561)

Ce groupe est exclusivement réservé à la gestion des licences Terminal Server.

Aucun. Aucun.

Utilisateurs (SID : S-1-5-32-545)

Les membres de ce groupe ne peuvent effectuer que des tâches simples sur les contrôleurs de domaine.

Aucun. DHCP Viewer (U), INTERACTIF (U), Utilisa. du domaine (G), Utilisateurs Authentifiés (G)

Utilisateurs de l'Analyseur de performances (SID : S-1-5-32-558)

Les membres de ce groupe peuvent surveiller les compteurs de surveillance des contrôleurs de domaine via la console ‘Performances’.

Aucun. Aucun.

Utilisateurs du Bureau à distance (SID : S-1-5-32-555)

Les membres de ce groupe peuvent ouvrir une session à distance.

Aucun. Aucun.

Utilisateurs du journal de performances (SID : S-1-5-32-559)

Idem que le groupe ‘Utilisateurs de l'Analyseur de performances’ avec l’accès supplémentaire aux journaux et aux alarmes de performances

Aucun. SERVICE RESEAU (SID : S-1-5-20).

x = combinaison de chiffre identifiant le domaine

y = combinaison de chiffre identifiant le domaine source (root domain) z = nom NETBIOS de la machine

U = Utilisateurs

G = Groupe



138

La liste ci-dessous donne la liste des groupes présents dans le conteneur USERS, leur descriptif, les droits utilisateurs par défaut ainsi leur membre par défaut.

Nom Descriptif Droit(s) par défaut Membre par défaut Administrateurs de l’entreprise (SID : S-1-5-y-519)

Les membres de groupe ont un contrôle total sur toute la forêt Active Directory (donc sur tous les objets de tous les domaines). Il est déconseillé d’ajouter un membre à ce groupe. Il vaut mieux utiliser des groupes pour la forêt avec des droits plus restreints. Ce groupe n’existe que sur un contrôleur de domaine racine.


Administrateur (U) (SID: S-1-5-x-500).

Administrateurs DHCP (SID : S-1-5-x-1004)

Les membres de ce groupe pourront administrer les services DHCP du domaine.

Aucun. Aucun.

Administrateurs du schéma (SID : S-1-5-y-518)

Ce groupe permet aux membres de pouvoir utiliser le logiciel ‘Schéma Active Directory’. Il n’est à utiliser avec beaucoup de précaution et destiné principalement aux programmeurs. Ce groupe n’existe que sur un contrôleur de domaine racine.

Aucun. Administrateur (U) (SID: S-1-5-x-500).

Admins du domaine (SID : S-1-5-x-512)

Les membres de ce groupe ont un contrôle total sur les ordinateurs, les contrôleurs de domaine et les serveurs du domaine.


Administrateur (U) (SID: S-1-5-x-500).

Contrôleurs du domaine (SID : S-1-5-x-516)

Ce groupe regroupe tous les contrôleurs de domaine présent dans le domaine.

Aucun. Liste de tous les contrôleurs de domaine du domaine.

DnsAdmins (SID : S-1-5-x-1007)

Les membres de ce groupe pourront administrer les services DNS du domaine.

Aucun. Aucun.

DnsUpdateProxy (SID : S-1-5-x-1108)

Les membres de ce groupe peuvent effectuer des mises à jour DNS.

Aucun. Aucun.

Editeurs de certificats (SID : S-1-5-x-517)

Les membres de ce groupe peuvent accepter, refuser la création de certificat mais aussi les révoquer pour un utilisateur ou un ordinateur.

Aucun. Aucun.

HelpServicesGroup (SID : S-1-5-x-1003)

Ce groupe ne permet qu’aux administrateurs de fixer des droits à tous les applications de support aux

Aucun. SUPPORT_z (U) (SID: S-1-5-x-1001).



139utilisateurs. Ne pas y ajouter de membres.

IIS_WPG (SID : S-1-5-x-1000)

Ce groupe permettra aux processus de pouvoir exécuter des applications internet.

Aucun. IWAM_z (U).

Invités du domaine (SID : S-1-5-x-514)

Ce groupe contient la liste de tous les invités du domaine

Aucun. Invité (U) (SID : S-1-5-x-501).

Ordinateurs du domaine (SID : S-1-5-x-515)

Ce groupe contient la liste de tous les ordinateurs du domaine

Aucun. Liste de tous les ordinateurs du domaine.

Propriétaires créateurs de la stratégie de groupe (SID : S-1-5-x-520)

Les membres de ce groupe peuvent modifier les Stratégies de groupe du domaine.

Aucun. Administrateur (U) (SID: S-1-5-x-500).

Serveurs RAS et IAS (SID : S-1-5-x-520)

Les membres de ce groupe sont des ordinateurs. Ils permettent à ceux qui y sont listé de pouvoir consulter la stratégie d’accès distant des utilisateurs du domaine.

Aucun. Aucun.

Telnet Clients (SID : S-1-5-x-1002)

Les membres de ce groupe peuvent accéder aux serveurs Telnet du domaine

Aucun. Aucun.

Utilisa. du domaine (SID : S-1-5-x-513)

Ce groupe contient la liste de tous les utilisateurs du domaine.

Aucun Liste de tous les utilisateurs du domaine.

Utilisateurs DHCP (SID : S-1-5-x-1003)

Les membres de ce groupe peuvent accéder en lecture aux outils DHCP du domaine.

Aucun. Aucun.

Utilisateurs WINS (SID : S-1-5-x-1109)

Les membres de ce groupe peuvent accéder en lecture aux outils WINS du domaine.

Aucun. DHCPViewer (U) (SID: S-1-5-x-1005).

x = combinaison de chiffre identifiant le domaine

y = combinaison de chiffre identifiant le domaine source (root domain) z = nom NETBIOS de la machine

U = Utilisateurs

G = Groupe

Par défaut, plusieurs conteneurs existent à la création d’un domaine ; l’un est une OU (et contient même une GPO par défaut) mais la plupart sont des conteneurs par défaut qui ne permettent ni de leur appliquer directement des stratégies de groupe, ni de créer des OU filles.

On trouve ainsi :

Builtin Contient les utilisateurs et groupes de sécurité existant par défaut.

Computers Reçoit par défaut les comptes d’ordinateur. Domain Controllers (OU)

Reçoit par défaut les comptes d’ordinateurs Contrôleurs de Domaine. Une GPO est appliquée par défaut à ce conteneur.

ForeignSecurityPrincipal Contient les identificateurs de sécurité (SID). Users Reçoit par défaut les comptes d’utilisateurs. LostAndFound Accueille les objets orphelins dont le conteneur n’existe

plus. System Contient des paramètres systèmes.



140

Des différences notables selon les situations et encore de grosses évolutions par rapport à Windows NT 4.0.

Windows 2000 Pro ou XP ou autonome

Contrôleur de domaine Windows 2000/Server 2003

Une seule sorte de groupe : groupes locaux

Il y a plusieurs sortes de groupes dans un domaine et plus encore sous Windows 2000 que sous Windows NT. Une nouvelle notion apparaît, dans Windows 2000, la notion de groupe de distribution. Nouvelle étendue pour les groupes de distribution, l'étendue universelle. En résumé... Types de groupes de sécurité de distribution

Étendues Domaine locale Globale

Domaine locale Globale Universelle

De plus, selon le type d'installation d'Active Directory, les combinaisons d'inclusion de groupe dans des groupes sont infiniment plus variées et récursives. Rappel : dans Windows NT, un seul niveau d'inclusion et exclusivement de groupe global dans groupe local.

Création de groupe Windows 2000 ou XP Pro ou autonome Contrôleur de domaine Windows 2000/Server 2003 Ouvrir Gestion de l'ordinateur Développer Outils système Développer Utilisateurs et groupes locaux Clic droit sur Groupes, puis Nouveau groupe...Donner un Nom de groupe et, éventuellement, une Description Vous pouvez tout de suite y mettre des utilisateurs en cliquant sur le bouton Ajouter Quant c'est fini, cliquez sur Créer pour valider la création du groupe.

Si vous cliquez sur Fermer vous perdez tout ce que vous venez de faire. Le groupe n'est pas créé.

Ouvrir Utilisateurs et ordinateurs Active Directory Développer votre domaine à administrer Clic droit sur Users, puis Nouveau, puis GroupeSaisir le Nom de groupe (le Nom de groupe avant l'installation de Windows 2000/Server 2003 se remplit tout seul) Spécifier le type et l'étendue du groupe Cliquer sur Ok Ici, le remplissage du groupe se fait après la création.



141

On peut faire la même chose en ligne de commande avec : net group Syntaxe complète avec : net help localgroup | more Exemple : net localgroup Gp_totos /add /comment:"Groupe des totos"

On peut faire la même chose en ligne de commande avec : net localgroup pour les groupes locaux net group pour les groupes globaux Syntaxe complète avec : net help localgroup | more ou net help group | more Exemple : net localgroup Lp_totos /add /comment:"Groupe local des totos" net group Gp_totos /add /comment:"Groupe global des totos"

Les groupes ainsi créés sont des groupes de sécurité.

La portée de groupe définit également les règles d'adhésion à un groupe. Ces règles d'adhésion déterminent les types de comptes pouvant être placés dans ce groupe.



142 Lors de l'utilisation de groupes globaux et de groupes locaux de domaine, il est recommandé d'opter pour la stratégie suivante : placez les comptes d'utilisateur dans les groupes globaux, puis placez les groupes globaux dans les groupes locaux de domaine, et accordez aux groupes locaux de domaine des autorisations sur les ressources. Cette stratégie offre une grande souplesse tout en simplifiant l'octroi d'autorisations d'accès aux ressources du réseau.

Si vous configurez les ACLs pour des groupes de ressource ou des groupes de sécurité, ajoutez ou enlevez des utilisateurs ou des ressources des groupes appropriés quand votre organisation change, il est plus facile de contrôler et vérifier des droits utilisateur et permissions cela réduit le besoin de changer les ACLs.

Il y a deux types d'ACLs - Discretionary Access Control Lists (DACLs), qui identifie les utilisateurs et les groupes dont on permet ou refuse l'accès et des System Access Control Lists (SACLs), qui contrôle comment l'accès est audité.

Utilisez des groupes universels pour intégrer des groupes qui couvrent des domaines multiples. Exécutez la procédure ci-dessous. 1. Dans chaque domaine, ajoutez aux groupes globaux des comptes d'utilisateur ayant la même fonction. 2. Imbriquez des groupes globaux dans un seul groupe global pour intégrer les utilisateurs. Cette étape est facultative, mais elle est très utile si vous souhaitez gérer des groupes importants d'utilisateurs. 3. Imbriquez en un seul groupe universel le groupe global ou plusieurs groupes globaux de chaque domaine. 4. Ajoutez les groupes universels aux groupes locaux du domaine qui sont créés pour chaque ressource. 5. Affectez aux groupes locaux du domaine les autorisations appropriées pour que les utilisateurs du groupe puissent accéder aux ressources.

Grâce à cette stratégie, les modifications d'appartenance dans les groupes globaux n'affectent pas l'appartenance aux groupes universels.



143 Appliquez la stratégie C G A aux forêts contenant un domaine unique et très peu d'utilisateurs et auxquelles vous n'ajouterez jamais aucun autre domaine. La stratégie C G A présente les avantages suivants :

Les groupes ne sont pas imbriqués et la résolution des problèmes peut s'avérer plus simple.

Les comptes appartiennent à une seule étendue de groupe. La stratégie C G A présente les inconvénients suivants :

Chaque fois qu'un utilisateur s'authentifie auprès d'une ressource, le serveur doit contrôler l'appartenance au groupe global pour déterminer si l'utilisateur est encore membre du groupe.

Les performances diminuent car un groupe global n'est pas mis dans le cache. Appliquez la stratégie C G DL A à une forêt comprenant un ou plusieurs domaines et à laquelle vous êtes susceptible d'ajouter d'autres domaines par la suite.

La stratégie C G DL A présente les avantages suivants :

Les domaines sont flexibles. Les propriétaires des ressources nécessitent moins d'accès à Active Directory

pour sécuriser en souplesse leurs ressources. La stratégie C G DL A présente les inconvénients suivants :

Une structure d'administration multiniveau est plus complexe à configurer au départ, mais plus facile à administrer par la suite.

Appliquez la stratégie C G U DL A à une forêt comprenant plusieurs domaines et où les administrateurs nécessitent de centraliser l'administration de nombreux groupes globaux. La stratégie C G U DL A présente les avantages suivants :

Elle offre une grande flexibilité dans l'ensemble de la forêt. Elle permet une administration centralisée.

La stratégie C G U DL A présente l'inconvénient suivant :

L'appartenance aux groupes universels est enregistrée dans le catalogue global.



144 Active Directory sur Windows Server 2003 permet d'affecter un responsable à un groupe sous la forme d'une propriété du groupe. Vous pouvez dès lors :

identifier le responsable des différents groupes ; déléguer au responsable du groupe l'autorisation d'ajouter et de

supprimer des utilisateurs dans le groupe. Étant donné que dans les grandes entreprises, des employés entrent et sortent continuellement des groupes, certaines entreprises distribuent la responsabilité d'administration de l'ajout d'utilisateurs aux groupes aux personnes qui ont demandé le groupe.

Pour affecter un responsable à un groupe, procédez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le groupe auquel vous voulez affecter un responsable. 2. Sous l'onglet Géré par de la boîte de dialogue Propriétés, cliquez sur Modifier pour affecter un responsable au groupe ou pour changer le responsable du groupe. 3. Dans la zone Entrer le nom de l'objet à sélectionner de la boîte de dialogue Sélectionnez Utilisateur ou Contact, nom de l'utilisateur responsable du groupe, puis cliquez sur OK. 4. Activez la case à cocher Le gestionnaire peut mettre à jour la liste des membres si vous voulez que le responsable puisse ajouter ou supprimer des utilisateurs et des groupes. 5. Dans la boîte de dialogue Propriétés, cliquez sur OK.



145

Questions/Réponses 1). Le siège social de Contoso, Ltd. comporte un seul domaine, situé à Paris. Les gestionnaires de Contoso, Ltd. doivent accéder à la base de données Inventory pour leur travail. ∋ Que pouvez-vous faire pour qu'ils disposent de l'accès nécessaire à la base de données Inventory ? a) Placer tous les gestionnaires dans un groupe global. b) Créer un groupe local de domaine pour accéder à la base de données Inventory. c) Ajouter le groupe global au groupe local de domaine et affecter des autorisations d'accès à la base de données Inventory du groupe local de domaine. 2). Contoso, Ltd. désire être en mesure de réagir plus rapidement aux demandes du marché. Il a été déterminé que les données comptables doivent être disponibles pour la totalité du personnel de la comptabilité. Contoso, Ltd. désire créer la structure de groupe pour toute la division Accounting, qui comprend lui-même les services Accounts Payable et Accounts Receivable. ∋ Que pouvez-vous faire pour garantir que les directeurs ont l'accès requis et que l'administration est réduite au strict minimum ? a) Vérifiez que votre réseau fonctionne en mode natif. Si ce n'est pas le cas, vous devrez tout d'abord le convertir en réseau en mode natif. b) Créez trois groupes globaux. Un groupe appelé Accounting Division représentera tout le personnel de la comptabilité. Nommez les deux autres groupes Accounts Payable et Accounts Receivable, pour représenter la structure de l'organisation interne du service Accounting. Ajoutez les groupes Accounts Payable et Accounts Receivable dans le groupe global Accounting Division de chaque domaine. c) Placez le groupe global Accounting Division dans le groupe local de domaine, pour que les utilisateurs puissent accéder aux données comptables. d) Créez un groupe local de domaine appelé Accounting Data. Ajoutez ce groupe au fichier de ressources des données comptables, avec les autorisations appropriées. 3). Dans cet exemple, Contoso, Ltd. veut réagir plus rapidement pour commercialiser les demandes. Les données comptables relatives aux domaines multiples de l'entreprise doivent être disponibles pour l'ensemble du personnel de la comptabilité, qui se trouve également dans des domaines multiples. Contoso, Ltd. souhaite créer la structure des groupes pour la division Comptabilité, qui inclut les services Compte clients et Compte fournisseurs. 1. Que pouvez-vous faire pour garantir que les responsables ont l'accès requis et que l'administration est réduite au strict minimum ? a) Assurez-vous que le réseau fonctionne en mode natif. Si ce n'est pas le cas, vous devez d'abord le convertir en un réseau en mode natif. b) Créez trois groupes globaux dans chaque domaine. Un groupe appelé « Comptables de domaine » va représenter tous les comptables de service de chaque domaine. Nommez les deux autres groupes « Compte clients » et « Comptes fournisseurs » pour représenter la structure organisationnelle du service de comptabilité. Ajoutez les utilisateurs appropriés aux groupes Compte clients et Compte fournisseurs. Imbriquez les groupes Compte clients et Compte fournisseurs dans le groupe global Division comptable de chaque domaine. c) Créez un groupe universel appelé « Tous les comptables » pour intégrer tous les employés de la comptabilité dans la forêt. Ajoutez au groupe universel tous les groupes globaux de chaque domaine appelé Comptables de domaine. d) Dans chaque domaine, créez un groupe local de domaine appelé « Données comptables ». Placez le fichier de ressources des données comptables dans ce groupe avec les autorisations Contrôle total pour le groupe local du domaine. e) Ajoutez le groupe universel dans chaque groupe local du domaine pour que les utilisateurs puissent accéder aux données comptables. 4). Contoso, Ltd. a connu une augmentation de son chiffre d'affaires. Vous devez donc créer un domaine. Quelles modifications allez-vous apporter à la structure du groupe pour vous assurer



146 que tous les comptables de l'entreprise, y compris ceux du nouveau domaine, peuvent accéder à toutes les données comptables ? a) Créez trois groupes globaux dans le nouveau domaine. Nommez-les comme dans les autres domaines et imbriquez les groupes globaux Compte clients et Compte fournisseurs dans le groupe global Division comptable. b) Créez un groupe local de domaine pour les données comptables et définissez les mêmes autorisations pour le fichier de ressources des autres domaines. c) Ajoutez le groupe global Division comptable au groupe universel Tous les comptables. Puis ajoutez le groupe Tous les comptables au nouveau groupe local de domaine. Maintenant, tous les nouveaux comptables peuvent accéder à toutes les données comptables de l'entreprise.



147

Dans cet exercice, vous allez créer un groupe global, lui ajouter un compte d'utilisateur, puis ajouter le groupe global à un groupe de domaine local intégré.

☺ TP à réaliser. ==============================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Marcel Mot de passe : P@sswrd1 Se connecter à : Bourges b. Dans le menu Outils d'administration, lancer Utilisateurs et ordinateurs Active Directory en tant que Administrateurs c. Dans l'arborescence de la console, développez Bourges.eds, bouton droit sur Bourges.eds, puis Nouveau puis Unité d’Organisation, nommer là ServeurOU (où Serveur représente le nom affecté à votre ordinateur), puis cliquez sur ServeurOU. Dans l'arborescence de la console, développez Bourges.eds, bouton droit sur Bourges.eds, puis Nouveau puis Utilisateur, Prenom : Backupx (où x représente le numéro de stagiaire qui vous a été affecté), dans Nom d’ouverture de session de l’utilisateur : Backupx, puis sur Suivant, Mot de passe : P@sswrd1, Confirmer le mot de passe : P@sswrd1, décocher : L’utilisateurdoit changer le mot de passe à la prochaine ouverture de session, et cocher : Le mot de passe n’expire jamais, puis sur Suivant et Terminer d. Cliquez avec le bouton droit sur ServeurOU, pointez sur Nouveau, puis cliquez sur Groupe. e. Dans la zone Nom de groupe, tapez Serveur Backup Admins (où Serveur représente le nom affecté à votre ordinateur). f. Vérifiez que l'étendue du groupe est Globale et que le type du groupe est Sécurité, puis cliquez sur OK. Quelle étape du processus A G DL P avez-vous réalisée ? ____________________________________________________________________________________________________________________________________________________________________________ ==============================================================================a. Dans le volet de détails, double-cliquez sur Serveur Backup Admins (où Serveur représente le nom affecté à votre ordinateur). b. Dans la boîte de dialogue Propriétés de Serveur Backup Admins, dans l'onglet Membres, cliquez sur Ajouter. c. Dans la boîte de dialogue Sélectionnez Utilisateurs, Contacts, ou Ordinateurs, sous Entrez les noms des objets à sélectionner, saisir Backupx (où x représente le numéro de stagiaire qui vous a été affecté), puis sur Vérifier les noms, puis sur, puis sur OK. d. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Serveur Backup Admins. À ce stade de l'atelier, quelle étape du processus A G DL P avez-vous réalisée ? ____________________________________________________________________________________________________________________________________________________________________________ ============================================================================== a. Dans l'arborescence de la console, cliquez sur Builtin, puis dans le volet de détails, double-cliquez sur Opérateurs de sauvegarde. b. Dans la boîte de dialogue Propriétés de Opérateurs de sauvegarde, dans l'onglet Membres, essayez d'ajouter le groupe Serveur Backup Admins (où Serveur représente le nom affecté à votre ordinateur) au groupe de domaine local Opérateurs de sauvegarde en cliquant sur Ajouter. c. Dans la boîte de dialogue Sélectionnez Utilisateurs, Contacts, Ordinateurs ou Groupes, sous Nom, cliquez sur Serveur Backup Admins (où Serveur représente le nom affecté à votre ordinateur), cliquez sur Ajouter, puis sur OK. d. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Opérateurs de sauvegarde, puis fermez la console Utilisateurs et ordinateurs Active Directory. Êtes-vous parvenu à ajouter un membre au groupe Opérateurs de sauvegarde ? ____________________________________________________________________________________________________________________________________________________________________________ ============================================================================== À ce stade de l'atelier, quelle étape du processus A G DL P avez-vous réalisée ? ____________________________________________________________________________________________________________________________________________________________________________ Comment réaliseriez-vous l'étape P du processus A G DL P ? ____________________________________________________________________________________________________________________________________________________________________________ e. Fermez la session. ==============================================================================

P R É S E N T A T I O N D E S C O M P T E S D ' U T I L I S A T E U R S


148

PRÉSENTATION DES COMPTES D'UTILISATEURS

Un compte d'utilisateur est un objet qui regroupe toutes les informations définissant un utilisateur sur Windows Server 2003. Ce compte peut être un compte local ou un compte de domaine. Il contient le nom d'utilisateur et le mot de passe avec lesquels l'utilisateur ouvre une session, et les groupes dont le compte d'utilisateur est membre. Vous pouvez utiliser un compte d'utilisateur pour :

permettre à un utilisateur d'ouvrir une session sur un ordinateur en fonction de l'identité du compte d'utilisateur ;

permettre aux processus et aux services de s'exécuter sous un contexte de sécurité spécifique ;

administrer les accès d'un utilisateur à des ressources telles que des objets Active Directory et à leurs propriétés, des dossiers partagés, des fichiers, des répertoires et des files d'attente d'impression.

La création de comptes représente une part importante de votre travail d’administrateur. L’organisation et le paramètrage sont les aspects les plus importants de la création de comptes. Sans les stratégies appropriées, vous serez très rapidement amené à réviser l’ensemble de vos comptes d’utilisateurs. Définissez les donc avant de créer des comptes (stratégies de noms de comptes ainsi que la stratégie de mots de passe). Les comptes d’utilisateurs permettent aux utlisateurs individuels d’ouvrir une session sur le réseau et d’accéder à ses ressources. Les comptes de groupes gèrent les ressources de plusieurs utilisateurs. Les autorisations et les privilèges attribués à ces comptes déterminent les actions des utilisateurs ainsi que les ressources et les systèmes auxquels ils accèdent.



149

Compte d’utilisateur Un compte d'utilisateur contient les références propres à un utilisateur, et lui permet d'ouvrir une session soit sur le domaine pour accéder aux ressources réseau, soit sur un ordinateur particulier pour en utiliser les ressources. Chaque personne qui se connecte régulièrement au réseau doit disposer d'un compte d'utilisateur. Le compte prédéfini Administrateur dispose d’un accès complet aux fichiers, répertoires, services et autres ressources. Vous ne pouvez ni le supprimer, ni le désactiver. Dans AD, ce compte dispose de l’accès et des privilèges complets sur l’ensemble du domaine. Par défaut le compte Administrateur d’un domaine fait partie des groupes suivants : Administrateurs, Admins du domaine, Utilisateurs du domaine, Administrateurs de l’entreprise, Propriétaires créateurs de la stratégie de groupe et Administrateurs du schéma. Le compte ASPNET est utilisé par .NET Framework afin que les processus ASP.NET puissent fonctionner. Il a les mêmes privilèges que les utilisateurs ordinaires du domaine. Le compte Invité est conçu pour les utilisateurs qui ont besoin d’un accès execptionnel ou ponctuel. Bien que les invités ne disposent que de privilèges système limités, vous devez vous montrer prudent quant à l’utilisationde ce compte. C’est pourquoi le compte est désactivé lors de l’installation de Windows Server 2003. Ce compte est membre par défaut des groupes Invités du domaine et Invités. Comme tous les autres comptes nommés il est aussi membre du groupe implicite «Tout le monde». Le compte Support est utilisé par le Service Aide et support. Ce compte est membre des groupes Utilisateurs du domaine et HelpServicesGroup. Il a le droit d’ouvrir une session en tant que travail en mode tâche (batch). Le compte Support peut aussi exécuter des mises à jour en mode tâche. Le compte support refuse les ouvertures de sessions locales (autrement qu’en tant que batch) et refuse l’accès à l’ordinateur via le réseau.

Groupes et identités implicites Windows Server 2003 définit un ensemble d’identités particulières que vous pouvez employer pour attribuer des autorisations dans certaines situations. Vous leurs assignez généralement des autorisations de manière implicite.Toutefois, vous pouvez leur en assigner lorsque vous modifiez des objets AD. Voici quelques autres identités particulières : Identité Entreprise Domain Controllers (S-1-5-3) Les contrôleurs de domaine dotés de cette responsabilité et de rôles dans toute l’entreprise possèdent cette identité. Elle leur permet d’exécuter certaines tâches dans l’entreprise à l’aide des approbations transitives. Identité Ligne Tout utilisateur accédant au système par l’intermédiaire d’une connexion d’accès à distance possède cette identité. Elle permet de distinguer les utilisateurs distants des autres types d’utilisateurs.



150 Identité Proxy Les utilisateurs et ordinateurs accédant aux ressources par l’intermédiaire d’un proxy possèdent cette identité. Elle est employée lorsque des proxy sont implémentés sur le réseau. Identité Restricted Les utilisateurs et ordinateurs disposant de droits restreints possèdent cette identité. Sur un serveur membre ou une station de travail, un utilisateur local membre du groupe Utilisateurs (au lieu du groupe Utilisateurs avec Pouvoir) possède cette identité. Identité Self (S-1-5-10) L’identité Self se réfère à l’objet et autorise celui-ci à se modifier lui-même. Identité Service Tout sservice accédant au système possède cette identité. Elle accorde l’accès aux processus exécutés par des services Windows Server 2003. Identité Tâche Tout utilisateur ou processus accédant au système en tant que tâche (ou par l’intermédiaire d’une file d’attente de tâches) possède cette identité. Elle permet l’exécution de tâches programmées, par exemple un travail de nettoyage nocturne supprimant les fichiers temporaires. Identité Utilisateur Terminal Server (S-1-5-13) Tout utilisateur accédant au système par l’intermédiaire des services Terminal Server possède cette identité. Elle permet aux utilisateurs de Terminal Server d’accéder aux applications Terminal Server et d’exécuter d’autres tâches nécessaires avec les services Terminal Server. Important : Vous ne pouvez pas créer de comptes d'utilisateurs locaux sur un contrôleur de domaine.

Remarque : Un nom d'utilisateur ne peut être identique à un autre nom d'utilisateur ou un nom de groupe existant sur l'ordinateur administré.



151Tous les comptes d’utilisateurs sont identifiés à l’aide d’un nom d’ouverture de session. Dans Windows Server 2003, ce nom a deux parties : Nom d’utilisateur et Station de travail ou de domaine de l’utilisateur. Pour l’utilisateur jdupont, dont le compte est créé dans le domaine gefi-sa.com, le nom d’ouverture de session complet de Windows Server 2003 est [email protected]. Le nom d’ouverture de session avant l’installation de Windows Server 2003 est GEFI-SA\jdupont. Lorsque vous travaillez avec Active Directory, vous devez également spécifier le nom de domaine complet (ou totalement qualifié) de l’utiisateur. Le nom de domaine complet d’un groupe est une combinaison du nom de domaine DNS, de l’emplacement du conteneur ou de l’unité d’organisation, et du nom du groupe. Pour l’utilisateur Gefi-sa\Users\jdupont, Gefi-sa.com est le nom de domaine DNS, Users l’emplacement du conteneur ou de l’unité d’organisation, et jdupont le nom de l’utilisateur. Des mots de passe et des certificats publics sont également assocoés aux comptes d’utilisateurs. Les mots de passe sont des chaînes d’authentification d’un compte. Les certificats publics combinent une clé publique et privée pour identifier un utilisateur. Vous ouvrez une session avec un mot de passe de manière interactive. Vous ouvrez une session avec un certificat public à l’aide d’une carte à puce et d’un lecteur de carte à puce.

Respectez les instructions ci-dessous concernant les conventions de dénomination.

_ Les noms d'ouverture de session des comptes d'utilisateur de domaine doivent être uniques dans Active Directory. Les noms complets des comptes d'utilisateur de domaine doivent être uniques dans le domaine dans lequel vous créez le compte d'utilisateur. Les noms des comptes d'utilisateur locaux doivent être uniques sur l'ordinateur sur lequel vous créez le compte d'utilisateur local. _ Les noms d'ouverture de session de l'utilisateur peuvent contenir jusqu'à 104 caractères. Toutefois, ceux qui en comportent plus de 64 ne sont pas très prtiques. Un nom d’ouverture de session Microsoft Windows NT, version 4.0 ou antérieure, est attribué à tous les comptes. Par défaut il est formé des 20 premiers caractères majuscules et minuscules à l'exception des caractères suivants : “ / \ [ ] : ; | = , + * ? < > Vous pouvez utiliser une combinaison de caractères spéciaux et alphanumériques pour permettre d'identifier de façon unique les comptes d'utilisateur.

Pour affecter des mots de passe aux comptes d'utilisateur, prenez en compte les instructions ci-dessous.

_ Affectez toujours un mot de passe au compte Administrateur pour éviter tout accès non autorisé à ce compte. _ Déterminez si les mots de passe seront contrôlés par vous-même ou par les utilisateurs. Vous pouvez affecter des mots de passe uniques aux comptes d'utilisateur, et empêcher les utilisateurs de les modifier, ou vous pouvez permettre à ceux-ci d'entrer le mot de passe de leur choix lors de leur première ouverture de



152 session. Dans la plupart des cas, il est conseillé de laisser aux utilisateurs le contrôle de leur mot de passe. _ Expliquez aux utilisateurs l'importance d'employer un mot de passe complexe, difficile à deviner. _ Évitez d'utiliser des mots de passe représentant une association évidente, par exemple le prénom d'un membre de la famille de l'utilisateur. _ Utilisez de longs mots de passe, ils seront d'autant plus difficiles à trouver.

Les mots de passe peuvent comporter jusqu'à 104 caractères avec le service d’annuaire Active Directory et jusqu’à 14 caractères avec le Gestionnaire de sécurité Windows NT 4.0. Il est recommandé d'utiliser au minimum 8 caractères.

_ Utilisez une combinaison de lettres majuscules et minuscules, ainsi que des caractères non alphanumériques.

Présentation des noms d'ouverture de session d'utilisateur

Sur un réseau Windows 2000/2003, un utilisateur peut ouvrir une session avec un nom principal d'utilisateur ou un nom d'ouverture de session d'utilisateur (pré-Windows 2000). Les contrôleurs de domaine peuvent utiliser l'un de ces noms d'ouverture de session pour authentifier la demande d'ouverture de session.

Nom principal d'utilisateur Le nom principal d'utilisateur est le nom d'ouverture de session qui n'est utilisé que pour se connecter à un Réseau Windows 2000. Ce nom est également appelé nom d'ouverture de session d'utilisateur. Un nom principal d'utilisateur est composé de deux parties, qui sont séparées par le signe @; par exemple [email protected]. Un nom d'ouverture de session d'utilisateur comporte les deux composants ci-dessous. _ Le préfixe de nom principal d'utilisateur qui, dans l'exemple [email protected], est suzanf.



153_ Le suffixe de nom principal d'utilisateur qui, dans l'exemple [email protected], est bourges.eds. Par défaut, le suffixe est le nom du domaine racine du réseau. Vous pouvez utiliser les autres domaines du réseau pour configurer d'autres suffixes à destination des utilisateurs. Par exemple, si vous désirez créer des noms d'ouverture de session d'utilisateur qui correspondent aux adresses de messagerie électronique, vous pouvez configurer un suffixe en conséquence. Les avantages de l'utilisation du nom principal d'utilisateur sont décrits ci-dessous. _ Le nom principal d'utilisateur ne change pas si vous déplacez un compte d'utilisateur dans un autre domaine, car ce nom est unique dans Active Directory. _ Un nom principal d'utilisateur peut être identique à l'adresse de messagerie électronique de cet utilisateur, car il a le même format qu'une adresse de messagerie électronique standard.

Nom d'ouverture de session d'utilisateur (pré-Windows 2000) Si un utilisateur ouvre une session sur le réseau à partir d'un ordinateur client exécutant une version de Windows antérieure à Windows 2000, il devra se connecter en utilisant le nom d'ouverture de session d'utilisateur (pré-Windows 2000). Un nom d'ouverture de session d'utilisateur (pré-Windows 2000) est un nom de compte d'utilisateur, tel que suzanf dans l'exemple [email protected]. Lorsqu'un utilisateur ouvre une session à l'aide d'un nom d'ouverture de session d'utilisateur (pré-Windows 2000), il doit aussi indiquer le domaine sur lequel son compte d'utilisateur existe, pour permettre au contrôleur de domaine chargé de l'authentifier de trouver le compte d'utilisateur. Si un utilisateur se connecte à une ressource réseau avec un autre compte d'utilisateur que celui avec lequel il a ouvert la session, il doit indiquer le domaine et le nom d'ouverture de session d'utilisateur (pré-Windows 2000) pour authentification (par exemple bourges\suzanf).

Règles d'unicité du nom d'ouverture de session d'utilisateur Les noms d'ouverture de session de l'utilisateur des comptes d'utilisateur de domaine doivent respecter les règles d'unicité d'Active Directory. Lors de la création de noms d'ouverture de session d'utilisateur, prenez en compte les règles d'unicité ci-dessous. _ Le nom complet doit être unique dans le conteneur où vous créez le compte d'utilisateur. Le nom complet est utilisé comme nom unique relatif. _ Le nom principal de l'utilisateur doit être unique dans la forêt. _ Le nom d'ouverture de session d'utilisateur (pré-Windows 2000) doit être unique dans le domaine.

Création d'un suffixe de nom principal d'utilisateur Lorsque vous créez un compte d'utilisateur dans la console Utilisateurs et ordinateurs Active Directory, vous devez sélectionner un suffixe de nom principal d'utilisateur. Si le suffixe désiré n'existe pas dans la console Utilisateurs et ordinateurs Active Directory, vous pouvez l'ajouter. Le suffixe de nom principal d'utilisateur vous permet de simplifier les processus d'administration et d'ouverture de session en fournissant un seul suffixe de nom principal à tous les utilisateurs. Pour ajouter un nouveau suffixe dans la console Domaines et approbations Active Directory, vous devez être membre du groupe prédéfini Administrateurs de l'entreprise.



154 Pour ajouter un nouveau suffixe, exécutez la procédure ci-dessous. 1. Dans la console Domaines et approbations Active Directory, dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Propriétés. 2. Dans l'onglet Suffixes UPN, tapez un autre suffixe UPN pour le domaine, puis cliquez sur Ajouter.

Remarque : Si vous avez créé un compte d'utilisateur à l'aide d'un autre programme que Utilisateurs et ordinateurs Active Directory, vous n'êtes pas limité aux suffixes de nom principal d'utilisateur conservés dans Active Directory. Vous pouvez définir un suffixe lorsque vous créez le compte.



155

Création d'un compte d'utilisateur de domaine Pour créer un compte d'utilisateur de domaine, suivez la procédure ci-dessous. 1. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory, puis développez le domaine dans lequel vous souhaitez ajouter un compte d'utilisateur. 2. Cliquez avec le bouton droit sur le dossier qui contiendra le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur User.

Le tableau suivant décrit les options que vous pouvez configurer : Option Description Prénom Prénom de l'utilisateur. Initiales Diminutif de l'utilisateur. Il ne s'agit pas d'une entrée

obligatoire. Nom Nom de famille de l'utilisateur. Nom détaillé Nom complet de l'utilisateur. Ce nom doit être

unique dans le dossier dans lequel vous créez le compte. Windows 2000 complète automatiquement cette option si vous avez entré des informations dans les zones Prénom ou Nom, puis affiche ce nom dans le dossier dans lequel se trouve le compte d'utilisateur dans Active Directory.

Nom d'ouverture Nom d'ouverture de session unique de l'utilisateur établi en de session de l'utilisateur fonction des conventions de dénomination. Ce paramètre est

obligatoire et doit être unique dans Active Directory. Nom d'ouverture Nom d'ouverture de session unique de l'utilisateur pour de session de l'utilisateur (avant ouvrir des sessions à partir de versions antérieures de l'installation de Windows 2000) Microsoft Windows. Ce paramètre est obligatoire et doit

être unique dans Active Directory.



156

Définition des options de mot de passe

Un compte d'utilisateur de domaine réside sur un contrôleur de domaine. Il est ensuite dupliqué automatiquement sur tous les autres contrôleurs de domaine.

Vous pouvez créer le compte d'utilisateur de domaine dans le dossier Users par défaut, ou dans un autre dossier créé pour recevoir les comptes d'utilisateur de domaine.

Le tableau suivant décrit les options de mot de passe que vous pouvez configurer lors de l'affectation d'un mot de passe à un compte d'utilisateur de domaine : Option Description Mot de passe Mot de passe utilisé pour authentifier l'utilisateur. Pour

plus de sécurité, affectez toujours un mot de passe. Le mot de passe est invisible lorsque vous le tapez : il es représenté par une suite d'astérisques (*).

Confirmer le mot de Confirmez le mot de passe en le tapant une seconde fois passe pour vérifier qu'il a été correctement entré. Il s'agit d'une

entrée obligatoire. L'utilisateur doit Activez cette case à cocher pour que l'utilisateur change de changer de mot de mot de passe à la prochaine ouverture de session. Cette passe à la prochaine opération garantit que l'utilisateur est seul à connaître le ouverture de session mot de passe. L'utilisateur ne peut pas Activez cette case à cocher si plusieurs personnes utilisent changer de mot le même compte d'utilisateur de domaine (Invité, par de passe exemple) ou pour garantir le contrôle des mots de passe des comptes d'utilisateur. En procédant ainsi, seuls les

administrateurs contrôlent les mots de passe. Le mot de passe Activez cette case à cocher si vous voulez que le mot de n'expire jamais passe ne soit jamais changé (par exemple pour un compte

d'utilisateur de domaine qui sera utilisé par une application ou un service de Windows 2000).

Le compte est désactivé Activez cette case à cocher pour empêcher l'utilisation de ce compte d'utilisateur (par exemple, pour le compte d'un nouvel employé qui n'a pas encore commencé à travailler).



157Définition des propriétés personnelles

La boîte de dialogue Propriétés contient des informations sur chaque compte d'utilisateur. Elles sont stockées dans Active Directory. Plus elles sont complètes, plus il sera facile de rechercher des utilisateurs dans Active Directory. Par exemple, si toutes les propriétés de l'onglet Adresse sont complètes, vous pouvez rechercher l'utilisateur en utilisant son adresse postale comme critère de recherche. Onglet Objet Général Permet d'indiquer le nom de l'utilisateur, une description, l'emplacement de

son bureau, son numéro de téléphone, son alias de messagerie électronique et des informations sur sa page d'accueil.

Adresse Permet d'indiquer l'adresse postale de l'utilisateur, sa boîte postale, la ville, l'État ou la région, le code postal et le pays.

Compte Permet d'indiquer le nom d'ouverture de session de l'utilisateur, de définir des options de compte et d'en indiquer la date d'expiration.

Profil Permet d'indiquer le chemin d'accès du profil de l'utilisateur et de son dossier de base.

Téléphones Permet d'indiquer le numéro de téléphone personnel de l'utilisateur, celui de son récepteur de télémessagerie, de son téléphone portable, de son télécopieur et son adresse IP, ainsi que de taper des notes contenant des informations descriptives sur cet utilisateur.

Organisation Permet d'indiquer le titre de l'utilisateur, son service, son responsable et ses collaborateurs directs.

Membre de Permet d'indiquer les groupes auxquels appartient l'utilisateur. Appel entrant Permet de définir les autorisations d'accès à distance, les options de rappel,

l'adresse IP statique et les itinéraires. Environnement Permet de définir les applications qui seront automatiquement exécutées lorsque

l'utilisateur ouvrira une session, et les équipements auxquels il sera alors automatiquement connecté.

Sessions Permet de définir les paramètres des services Terminal Server. Contrôle distant Permet de définir les paramètres de contrôle à distance des services Terminal Server. Profil de servicesPermet de définir le profil d'utilisateur des services Terminal Server. Terminal Server



158

Définition des propriétés de compte

Dans l'onglet Compte de la boîte de dialogue Propriétés, vous pouvez configurer les paramètres que vous avez spécifiés lors de la création d'un compte d'utilisateur de domaine, par exemple les options de nom d'ouverture de session de l'utilisateur et d'ouverture de session. Vous pouvez modifier les options de mot de passe en activant ou désactivant les cases à cocher appropriées sous Options de compte.

Options d'ouverture de session

La définition des options d'ouverture de session d'un compte d'utilisateur de domaine vous permet de contrôler les heures au cours desquelles un utilisateur pourra ouvrir une session sur le domaine, ainsi que les ordinateurs à partir desquels il pourra le faire. Ces paramètres sont accessibles dans l'onglet Comptes.



159Pour définir des heures d'ouverture de session, suivez la procédure ci-dessous.

==============================================================================1. Ouvrez la boîte de dialogue Propriétés du compte d'utilisateur. Dans l'onglet Compte, cliquez sur Horaires d'accès. La zone bleue indique les heures auxquelles l'utilisateur peut ouvrir des sessions. La zone blanche indique les heures auxquelles l'utilisateur ne peut pas ouvrir de sessions. 2. Pour autoriser ou refuser l'accès, suivez l'une des procédures ci-dessous, puis cliquez sur OK. � Sélectionnez les zones des jours et des heures pendant lesquels vous souhaitez refuser l'accès à l'utilisateur en cliquant sur l'heure de début, puis en faisant glisser la souris jusqu'à l'heure de fin, et en cliquant sur Connexion refusée. � Sélectionnez les zones des jours et des heures pendant lesquels vous souhaitez accorder l'accès à l'utilisateur en cliquant sur l'heure de début, puis en faisant glisser la souris jusqu'à l'heure de fin, et en cliquant sur Connexion autorisée. ==============================================================================

Définition des ordinateurs à partir desquels l'utilisateur peut ouvrir une session

Par défaut, tout utilisateur disposant d'un compte valide peut ouvrir une session sur le réseau à partir de tout ordinateur exécutant Windows 2000/2003. Sur un réseau pourvu d'un niveau de sécurité élevé sur lequel des données stratégiques sont stockées sur les ordinateurs locaux, vous pouvez limiter les ordinateurs à partir desquels les utilisateurs peuvent ouvrir des sessions sur le réseau. Par exemple, l'utilisateur1 peut ouvrir des sessions uniquement à partir de l'ordinateur1. Vous ne pouvez pas indiquer les ordinateurs à partir desquels il ne peut pas ouvrir de session.



160 ==============================================================================1. Ouvrez la boîte de dialogue Propriétés du compte d'utilisateur, puis, dans l'onglet Compte, cliquez sur Se connecter à. 2. Cliquez sur Les ordinateurs suivants. Ajoutez les ordinateurs à partir desquels cet utilisateur peut ouvrir des sessions, en tapant leurs noms dans la zone Nom de l'ordinateur, puis cliquez sur Ajouter. Lorsque vous avez fini d'ajouter des ordinateurs, cliquez sur OK. ============================================================================== Remarque : Les restrictions d’autorisation des stations de travail ne portent que sur les ordinateurs Microsoft Windows NT, Windows 2000 et Windows XP du domaine. Si ce dernier comporte des ordinateurs Microsoft Windows 95 ou Windows 98, ils ne sont pas sujets aux restrictions, ce qui signifie qu’un nom d’utilisateur et un mot de passe valide suffit pour ouvrir une session sur ces systèmes. Définissez ci dessous, le profile utilisateur, son script d’ouverture de session ainsi que son répertoire de base.

Expiration du compte

Vous pouvez définir une date d'expiration sur un compte d'utilisateur pour qu'il soit désactivé lorsque l'utilisateur concerné n'a plus besoin d'accéder au réseau.

Par exemple, pour des raisons de sécurité, vous pouvez définir des comptes d'utilisateur pour les employés temporaires de telle sorte qu'ils expirent à la date de fin de leur contrat. ======================================================================Pour définir la date d'expiration d'un compte, suivez la procédure ci-dessous. 1. Ouvrez la boîte de dialogue Propriétés du compte d'utilisateur approprié. 2. Dans l'onglet Compte, sous Date d'expiration, cliquez sur Fin. Sélectionnez une date d'expiration dans la liste, puis cliquez sur OK. ======================================================================

Droits utilisateur

Ce que les utilisateurs peuvent ou ne peuvent pas faire dépend des droits et des permissions qui leur ont été accordés. Les droits concernent, généralement, le sytème dans sa globalité. Par exemple, la capacité de sauvegarder des fichiers ou d’ouvrir une session sur le serveur est un droit que l’administrateur donne ou reprend. Vous pouvez

Profile utilisateur

Script d’ouverture de session

Répertoire de base



161affectez des droits de manière individuelle mais, le plus souvent, vous assignerez à des groupes, auxquels vous ajouterez ensuite des utilisateurs en fonction des droits dont ils ont besoin.

Les permissions indiquent les accès dont peut bénéficier un utilisateur (ou un groupe) sur certains objets tels que fichiers, répertoires et imprimantes.

Par exemple : la question de savoir si un utilisateur peut lire tel ou tel répertoire ou accéder à telle ou telle imprimante est une permission.

Les droits, quand à eux, se divisent en deux types : privilèges et droits d’ouverture de session. Les privilèges sont, la possibilité d’exécuter des audits de sécurité ou de forcer l’arrêt du système depuis une autre machine (ce qui n’entre pas dans le cadre du travail de l’utilisateur ordinaire). Les droits d’ouverture de session concernent la capacité de se connecter à une machine de certaines façons. Les groupes prédéfinis de Windows Server 2003 reçoivent automatiquement des droits, mais vous pouvez vous même affecter des droits à des utilisateurs individuels ou à des groupes. Mieux vaux les affecter aux groupes afin de simplifier l’administration.

Affectation de droits à un groupe

Pour assigner ou retirer des droits au niveau d’un domaine, le plus simple est de passer par la stratégie de groupe. Supposez que vous ayez un groupe d’utilisateurs qui doivent pouvoir ouvrir des sessions locales sur les serveurs Windows Server 2003, mais que vous ne vouliez pas ces utilisateurs soient membres de l’un des groupes possédant ce droit.

Une solution consiste à créer un groupe appelé, par exemple SessionsLocales, à ajouter les utilisateurs à ce groupe, puis à affecter au groupe le droits d’ouvrir des sessions locales. ======================================================================1). Ouvrez l’outil d’administration Utilisateurs et ordinateurs Active Directory. Cliquez avec le bouton droit de la souris sur le domaine, puis choisissez Propriétés. 2). Allez dans l’onglet Stratégie de groupe, puis cliquez sur Modifier. Developpez la branche Configuration ordinateur, puis la branche Paramètres Windows. 3). Sous Paramètres de sécurité, cliquez sur Stratégie locale puis sur Attribution des droits utilisateur. Dans le volet de droite, cliquez deux fois sur Ouvrir une session localement. 4). Cochez Définir ces paramètres de stratégie, puis cliquez sur Ajouter. 5). Tapez le nom du groupe auquel vous voulez accorder ce droit. Cliquez deux fois sur OK et fermer la fenêtre Stratégie de groupe.

======================================================================Vous pouvez affecter ou supprimer des droits localement, sachant qu’une stratégie définie au niveau du domaine a priorité sur la stratégie locale. Une stratégie définie au niveau du domaine ne peut pas être modifiée au niveau local.



162 Les comptes d'ordinateur

Les comptes d'ordinateur sont similaires aux comptes d'utilisateur, car ils peuvent être utilisés pour authentifier et analyser l'ordinateur et pour accorder des autorisations d'accès aux ressources du réseau. Les ordinateurs clients qui exécutent Windows 2000/2003 ou Windows NT 4.0 doivent disposer d'un compte d'ordinateur valide pour intégrer le domaine.

Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory sur un contrôleur de domaine quelconque disponible pour créer un compte d'ordinateur. Dès que vous avez créé le compte, celui-ci est dupliqué par Active Directory vers tous les autres contrôleurs du domaine. Lorsque l'administrateur système crée un compte d'ordinateur, il peut choisir l'unité d'organisation dans laquelle il veut créer le compte. Si un ordinateur est joint à un domaine, le compte d'ordinateur est créé dans le conteneur Computers et l'administrateur peut déplacer, si nécessaire, le compte vers l'unité d'organisation appropriée. Par défaut, les utilisateurs Active Directory peuvent ajouter jusqu'à 10 ordinateurs au domaine avec les informations d'identification de leur compte d'utilisateur. Cette configuration par défaut peut être modifiée. Si l'administrateur système ajoute directement un compte d'ordinateur à Active Directory, un utilisateur peut joindre un ordinateur au domaine sans utiliser aucun des 10 comptes d'ordinateurs alloués. L'ajout d'un ordinateur au domaine avec un compte précédemment créé s'appelle la pré-génération. Cela signifie que des ordinateurs sont ajoutés aux unités d'organisation pour lesquelles l'administrateur système dispose d'autorisations d'ajout de comptes d'ordinateurs. Généralement, les utilisateurs ne disposent pas des autorisations appropriées pour pré-générer un compte d'ordinateur ; ils joignent donc un ordinateur au domaine en utilisant un compte pré-généré.

Lorsqu'un utilisateur joint un ordinateur à un domaine, le compte d'ordinateur est ajouté au conteneur Computers dans Active Directory. Cette opération s'effectue par le biais d'un service qui ajoute le compte d'ordinateur de la part de l'utilisateur. Le compte système enregistre également le nombre d'ordinateurs ajoutés au domaine par chaque utilisateur. Par défaut, tout utilisateur authentifié a le droit d'ajouter des stations de travail à un domaine et de créer jusqu'à 10 comptes d'ordinateurs dans le domaine.



163Lorsque vous créez le compte d'ordinateur, vous devez d'abord sélectionner le conteneur dans lequel il va être créé. Vous pouvez créer des comptes d'ordinateur au niveau du domaine. Cependant, cette action limite vos options de délégation et augmente la complexité de gestion du réseau.

Pour créer un compte d'ordinateur, suivez la procédure ci-dessous. 1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur l'unité d'organisation dans laquelle vous souhaitez créer le compte d'utilisateur, pointez sur Nouveau, puis cliquez sur Computer. 3. Tapez le nom de l'ordinateur. Il doit être unique au sein de la forêt. 4. Pour améliorer la sécurité, modifiez la sélection dans la zone L'utilisateur ou le groupe suivant peut joindre cet ordinateur à un domaine. Vous pouvez spécifier tout utilisateur ou groupe en tant que compte ayant l'autorisation de connecter l'ordinateur au domaine. La personne qui connecte l'ordinateur au domaine doit entrer un nom d'utilisateur et un mot de passe correspondant à ceux spécifiés dans cette zone. 5. Cliquez sur OK.

Chaque compte d'ordinateur que vous créez est associé à un ensemble d'attributs par défaut. Les attributs sont utilisés lors des recherches effectuées dans Active Directory. C'est pourquoi vous devez fournir des définitions d'attribut détaillées pour chaque compte d'ordinateur que vous créez. En tant qu'administrateur système, vous êtes parfois amené à réinitialiser des comptes d'ordinateurs. Supposons que le réseau ait complètement été sauvegardé il y a sept jours, que l'ordinateur ait relayé les informations au contrôleur de domaine qui a modifié le mot de passe sur le compte d'ordinateur, que le disque dur de l'ordinateur soit tombé en panne et que l'ordinateur ait été restauré à partir de la sauvegarde. L'ordinateur possède à présent un mot de passe obsolète et l'utilisateur ne parvient pas à se connecter car l'ordinateur ne peut pas s'authentifier dans le domaine. Vous devez par conséquent réinitialiser le compte de l'ordinateur. Vous devez tenir compte de deux éléments avant de réinitialiser le compte de l'ordinateur :

Pour effectuer cette procédure, vous devez être membre du groupe Opérateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory, ou bien l'autorisation doit vous avoir été déléguée. Pour des



164 raisons de sécurité, il est préférable d'utiliser la commande Exécuter en tant que pour effectuer cette procédure.

Lorsque vous réinitialisez un compte d'ordinateur, vous interrompez la connexion de l'ordinateur au domaine et vous devez donc l'y reconnecter.

Pour réinitialiser un compte d'ordinateur, procédez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Computers ou sur le conteneur qui contient l'ordinateur à réinitialiser. 2. Dans le volet d'informations, cliquez avec le bouton droit sur l'ordinateur, puis cliquez sur Réinitialiser le compte.

Tâches administratives courantes Les principales tâches administratives sont les suivantes : réinitialiser des mots de passe, déverrouiller des comptes d'utilisateur; renommer, désactiver, activer et supprimer des comptes d'utilisateur, et déplacer des comptes d'utilisateur dans un domaine.

Désactivez un compte d'utilisateur s'il doit rester inutilisé pendant un certain temps. Réinitialisez un mot de passe s'il expire avant d'être modifié par l'utilisateur, ou si ce dernier l'a oublié. Déplacez les comptes d'utilisateur entre unités d'organisation du même domaine si nécessaire. Supprimez un compte d'utilisateur inutilisé. Renommez un compte d'utilisateur si vous désirez reprendre ses attributs et l'affecter à un autre utilisateur. Déverrouillez un compte d'utilisateur si un paramètre de stratégie de groupe de sécurité bloque ce compte.

Localisation des comptes d'utilisateur Au lieu de parcourir des centaines ou des milliers de comptes d'utilisateur dans Active Directory, vous pouvez utiliser les fonctions de recherche de la console Utilisateurs et ordinateurs Active Directory pour rechercher des comptes précis avant de les administrer à partir des résultats de la recherche.



165

Pour rechercher un compte d'utilisateur, procédez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le noeud de domaine dans l'arborescence de la console, puis cliquez sur Rechercher. Si vous savez dans quelle unité d'organisation l'utilisateur se trouve, cliquez avec le bouton droit sur cette dernière, puis sur Rechercher. 3. Dans la boîte de dialogue Rechercher Utilisateurs, contacts et groupes, tapez dans la zone Nom le nom de l'utilisateur à rechercher. 4. Cliquez sur Rechercher.



166

Dans cet exercice, vous allez créer deux comptes d'utilisateur locaux.

☺ TP à réaliser. Après avoir ouvert une session en tant qu'Administrateur, vous allez créer le compte LocalUserx. Pour l'autre compte, vous ouvrirez une session en tant que LocalUserx. Comme le compte LocalUserx ne dispose pas du droit de créer des comptes d'utilisateur locaux, vous devrez utiliser la commande Exécuter en tant que pour démarrer la console Gestion de l'ordinateur en tant qu'Administrateur, puis créer l'autre compte. ====================================================================== a. Essayez d'ouvrir une session en utilisant les informations suivantes : Utilisateur : LocalUserx (où x représente le numéro de stagiaire qui vous a été affecté) Mot de passe : password Se connecter à : Serveur (où Serveur représente le nom affecté à votre ordinateur : SAM Local) Un compte d'utilisateur qui n'existe pas dans le Gestionnaire SAM d'un ordinateur local peut-il ouvrir une session sur cet ordinateur ? ____________________________________________________________________________________________________________________________________________________________________________ ======================================================================a. Cliquez sur OK pour fermer le message Message d'ouverture de session. b. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX Se connecter à : Serveur (où Serveur représente le nom affecté à votre ordinateur) c. À partir du menu Outils d'administration, ouvrez la console Gestion de l'ordinateur. d. Dans l'arborescence de la console, sous Outils système, développez Utilisateurs et groupes locaux, puis cliquez sur Utilisateurs. Pourquoi le compte Invité s'affiche-t-il barré d'une croix rouge dans la liste des comptes d'utilisateur ? _______________________________________________________________________________________________ e. Cliquez avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur. f. Dans la boîte de dialogue Nouvel utilisateur, entrez les informations suivantes : Utilisateur : LocalUserx (où x représente le numéro de stagiaire qui vous a été affecté) Description : Mon compte d'utilisateur Mot de passe : P@sswrd1 Confirmer le mot de passe : P@sswrd1 g. Désactivez la case à cocher L'utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis cliquez sur Créer. h. Cliquez sur Fermer pour fermer la boîte de dialogue Nouvel utilisateur. i. Fermez la console Gestion de l'ordinateur, puis la session. ======================================================================J. Ouvrez une session en utilisant les informations suivantes : Utilisateur : LocalUserx (où x représente le numéro de stagiaire qui vous a été affecté) Mot de passe : P@sswrd1 Se connecter à : Serveur (où Serveur représente le nom affecté à votre ordinateur) k. À partir du menu Outils d'administration, ouvrez la console Gestion de l'ordinateur (ou faire Poste de travail, bouton droit Gérer..). l. Dans l'arborescence de la console, sous Outils système, développez Utilisateurs et groupes locaux, cliquez avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur. m. Dans la boîte de dialogue Nouvel utilisateur, dans la zone Nom d'utilisateur, tapez Managerx (où x représente votre numéro de stagiaire), puis cliquez sur Créer. Un message de refus d'accès s'affiche dans la boîte de dialogue : Utilisateurs et groupes locaux. Pourquoi le compte LocalUserx reçoit-il un message d'erreur lorsque vous tentez de créer un compte d'utilisateur ? ____________________________________________________________________________________________________________________________________________________________________________ ____________________________________________________________________________________________________________________________________________________________________________ n. Cliquez sur OK pour fermer le message d'erreur. o. Cliquez sur Fermer pour fermer la boîte de dialogue Nouvel utilisateur, puis fermez la console Gestion de l'ordinateur. p. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d'administration, cliquez avec le bouton droit sur Gestion de l'ordinateur, puis cliquez sur Exécuter en tant que. q. Dans la boîte de dialogue Exécuter en tant qu'utilisateur différent, vérifiez que le nom d'utilisateur est Administrateur, et que le domaine est Serveur. r. Dans la zone Mot de passe, tapez P@sswrd1 et cliquez sur OK. s. Dans l'arborescence de la console, sous Outils système, développez Utilisateurs et groupes locaux, cliquez avec le bouton droit sur Utilisateurs, puis cliquez sur Nouvel utilisateur.



167t. Dans la boîte de dialogue Nouvel utilisateur, entrez les informations suivantes : Utilisateur : Managerx (où x représente votre numéro de stagiaire) Description : Responsable facturation Mot de passe : P@sswrd1 Confirmer le mot de passe : P@sswrd1 u. Désactivez la case à cocher L'utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis cliquez sur Créer. v. Cliquez sur Fermer pour fermer la boîte de dialogue Nouvel utilisateur, puis fermez la console Gestion de l'ordinateur. ======================================================================a. Cliquez sur Démarrer, puis sur Exécuter. b. Dans la zone Ouvrir, tapez \\ServNet et cliquez sur OK. La boîte de dialogue Saisie du mot de passe réseau s'affiche et indique que le compte local LocalUserx ne possède pas le droit d'accès à l'ordinateur ServNet. c. Dans la boîte de dialogue Saisie du mot de passe réseau, tapez Administrateur dans la zone Nom. d. Dans la zone Mot de passe, tapez P@sswrd1 et cliquez sur OK. Pourquoi le compte LocalUserx n'a-t-il pas pu se connecter au contrôleur de domaine ? Pourquoi le compte Administrateur a-t-il pu se connecter au contrôleur de domaine ? ____________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________________________________ e. Fermez la fenêtre ServNet, puis la session. ======================================================================a. Essayez d'ouvrir une session sur le domaine en utilisant les informations suivantes : Utilisateur : LocalUserx (où x représente le numéro de stagiaire qui vous a été affecté) Mot de passe : P@sswrd1 Se connecter à : Bourges Pourquoi le compte LocalUserx ne peut-il pas ouvrir de session sur le domaine bourges ? Où le compte LocalUserx réside-t-il ? Où le compte doit-il résider pour ouvrir une session sur le domaine Bourges ? ____________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________________________________ b. Cliquez sur OK pour fermer le message Message d'ouverture de session. c. Ouvrez une session en utilisant les informations suivantes : Utilisateur : LocalUserx (où x représente le numéro de stagiaire qui vous a été affecté) Mot de passe : P@sswrd1 Se connecter à : Serveur (où Serveur représente le nom affecté à votre ordinateur). Pourquoi le compte LocalUserx a-t-il pu ouvrir une session sur Serveur (où Serveur représente le nom affecté à votre ordinateur) ? ____________________________________________________________________________________________________________________________________________________________________________ d. Fermez la session. ======================================================================

Administration des comptes d'utilisateurs

☺ TP à réaliser. ====================================================================== Créer un compte d'utilisateur Dans Utilisateurs et ordinateurs Active Directory, créez un compte d'utilisateur avec les paramètres suivants dans le dossier Bourges.eds\Users : • Prénom : NomOrdinateur (exemple : London) • Nom : Payrollx (où x représente le numéro de stagiaire qui vous a été affecté) • Nom complet : NomOrdinateur Payrollx (exemple : London Payroll) • Nom d'ouverture de session de l'utilisateur : NomOrdinateurPayrollx (exemple :LondonPayrollx) • Nom d'ouverture de session de l'utilisateur [pré-Windows 2000] :NomOrdinateurPayroll (exemple : LondonPayroll) • Mot de passe : P@ssw0rd1 • Décocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session • Cocher Le compte n’expire jamais • Fermer Utilisateurs et ordinateurs Active Directory ====================================================================== Modifier le compte d'utilisateur • Dans Utilisateurs et ordinateurs Active Directory, modifiez les paramètres suivants du compte d'utilisateur NomOrdinateur Payrollx : • Description : Compte pour AD et Test Payroll • Bureau : Payroll • Numéro de téléphone : 973-555-0198 • Adresse de messagerie : [email protected] • Titre : Payroll Test Account • Service : Payroll Test



168 • Société : Payroll Test • Gestionnaire : Marcel • Numéro de téléphone à Domicile : 555-0101 • Adresse : 85 avenue du GL de GAULLE – 94000 – Créteil – France • Plage horaires : du Lundi au Vendredi de 9 :00 h à 18 :00h • Se connecter : uniquement depuis votre machine ======================================================================

Procédure d'activation et de désactivation des comptes d'utilisateurs et des comptes d'ordinateurs

Lorsqu'un compte est désactivé, l'utilisateur ne peut pas ouvrir de session. Le compte figure dans le volet d'informations et l'icône du compte est marquée d'un X. Pour activer et désactiver un compte d'utilisateur ou un compte d'ordinateur via Utilisateurs et ordinateurs Active Directory, procédez comme suit : 1. Dans l'arborescence de la console d'Utilisateurs et ordinateurs Active Directory, sélectionnez le conteneur ou Users qui contient le compte à activer ou désactiver. Ici l’utilisateur créé ci-dessus =: Payrollx 2. Dans le volet d'informations, cliquez avec le bouton droit sur le compte d'utilisateur. 3. Pour le désactiver, cliquez sur Désactiver le compte. 4. Pour l'activer, cliquez sur Activer le compte. Pour réinitialiser un mot de passe d'utilisateur de domaine, procédez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur Users. 2. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'utilisateur ici Prénom =: Payrollx , puis cliquez sur Réinitialiser le mot de passe. 3. Dans les zones Nouveau mot de passe et Confirmer le nouveau mot de passe, tapez le nouveau mot de passe, puis cliquez sur OK. Pour déverrouiller un compte, procédez comme suit : 1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, sélectionnez l'unité d'organisation qui contient le compte d'utilisateur à déverrouiller. 2. Dans le volet d'informations, sélectionnez le compte d'utilisateur à déverrouiller.ici Prénom =: Payrollx 3. Cliquez avec le bouton droit sur le compte, puis cliquez sur Propriétés et cochez la case à cocher Le compte est verrouillé. Pour rechercher un compte d'utilisateur, procédez comme suit : 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Pour effectuer la recherche dans l'ensemble du domaine, cliquez avec le bouton droit sur le domaine Bourges.eds, dans l'arborescence de la console, puis cliquez sur Rechercher. 3. Dans la recherche Avancé, effectuer un filtre de recherche, afin de locatiliser un par un les éléments ci-dessous :

• Description : Compte pour AD et Test Payroll • Bureau : Payroll • Adresse de messagerie : [email protected] • Titre : Payroll Test Account • Service : Payroll Test

======================================================================

******Attention****** FIN THEORIQUE DE LA PREMIERE SEMAINE

☺ TP à réaliser. Commencer la deuxième semaine (si semaine non consécutive), par : Installer Windows Serveur 2003, selon les critères imposés par le formateur Créer en invite de commande (commande diskpart) une partition étendue de 2 Go, puis un lecteur logique de 2 Go, affectué lui la lettre E :, puis formater ce lecteur en NTFS Désactiver les partages administratifs Désactiver la possibilité de faire un Shutdown à distance sur votre PC via l’éditeur de stratégie

P R O F I L S D ' U T I L I S A T E U R S


169

PROFILS D'UTILISATEURS

Le profil d'utilisateur contient tous les paramètres que l'utilisateur peut définir pour l'environnement de travail d'un ordinateur qui exécute Windows 2003, à savoir les paramètres de l'affichage, les paramètres régionaux, ceux de la souris et les paramètres du son, outre les connexions au réseau et aux imprimantes. Vous pouvez configurer des profils d'utilisateur pour qu'un profil suive un utilisateur sur chaque ordinateur sur lequel il ouvre une session. Un profil d'utilisateur est créé à la première ouverture de session de l'utilisateur sur un ordinateur. Tous les paramètres propres à l'utilisateur sont automatiquement enregistrés dans le sous-dossier de cet utilisateur dans le dossier Documents and Settings (C:\Documents and Settings\utilisateur). Lorsque l'utilisateur ferme la session, son profil d'utilisateur est mis à jour sur l'ordinateur sur lequel il avait ouvert la session. Le profil d'utilisateur conserve donc les paramètres de bureau de l'environnement de travail de chaque utilisateur sur l'ordinateur local. Seuls les administrateurs système sont autorisés à modifier les profils d'utilisateur obligatoires. Les types de profils d'utilisateur sont présentés ci-dessous. Chaque profil utilisateur commence par une copie de Default User, qui correspond à un profil utilisateur par défaut stocké sur chaque ordinateur qui exécute un système d'exploitation de la famille Windows Server 2003. Le fichier NTuser.dat qui figure dans Default User comporte des paramètres de configuration de la famille Windows Server 2003. Chaque profil utilisateur utilise également les groupes de programmes communs qui figurent dans le dossier All Users. Les dossiers de profil utilisateur comprennent divers éléments, parmi lesquels le Bureau et le menu Démarrer. Le contenu de chaque dossier de profil utilisateur est listé et décrit dans le tableau ci-dessous.

Dossier de profil utilisateur Contenu

Données d'application

Données spécifiques à un programme (dictionnaire personnalisé, par exemple). Les éditeurs de programmes décident des données qui sont stockées dans ce dossier de profil utilisateur.

Cookies Préférences et informations utilisateur

Bureau Éléments du Bureau (y compris les fichiers, les raccourcis et les dossiers)

Favoris Raccourcis vers des sites favoris sur Internet

Paramètres locaux

Données d'application, historiques et fichiers temporaires. Les données d'application suivent l'utilisateur grâce aux profils utilisateur itinérants.

Mes documents Documents et sous-dossiers utilisateur

Mes documents récents Raccourcis vers les derniers documents utilisés et dossiers accédés



170 Voisinage réseau Raccourcis vers des éléments des Favoris réseau

Voisinage d'impression Raccourcis vers des éléments du dossier d'impression

Envoyer vers Raccourcis vers des utilitaires de traitement de documents

Menu Démarrer Raccourcis vers des éléments de programme

Modèles Éléments de modèle utilisateur

Le fichier NTuser.dat correspond à la partie registre du profil utilisateur. Lorsqu'un utilisateur ferme une session sur l'ordinateur, le système décharge la partie spécifique à l'utilisateur qui figure dans le registre (c'est-à-dire HKEY_CURRENT_USER) dans le fichier NTuser.dat et le met à jour. Les types de profils sont présentés ci-dessous : Profil d’utilisateur par défaut : Ce profil est la base de tous les profils d’utilisateur. Chaque profil d’utilisateur est une copie du profil d’utilisateur par défaut, qui est stocké sur tous les ordinateurs exécutant Windows 2000/XP/Server 2003. Stocké dans le dossier « %systemdrive%\Documents and Settings\Default User”. Profil d’utilisateur local : Ce profil est créé la première fois qu’un utilisateur ouvre une session sur un ordinateur, il est stocké sur l’ordinateur local. Toutes les modifications apportées au profil d’utilisateur local sont propres à l’ordinateur sur lequel les changements ont été effectués. Plusieurs profils d’utilisateur locaux peuvent exister sur un ordinateur. Profil d’utilisateur itinérant : Ce profil est créé par l’administrateur système et stocké sur un serveur. Ce profil est disponible chaque fois qu’un utilisateur ouvre une session sur un ordinateur sur le réseau. Si un utilisateur apporte des modifications aux paramètres de bureau, son profil d’utilisateur est mis à jour sur le serveur lorsqu’il ferme la session. Profil d’utilisateur obligatoire : Créés par l’administrateur système pour spécifier des paramètres particuliers destinés à un ou plusieurs utilisateurs, les profils errants peuvent devenir obligatoires. Il suffit pour cela de changer le nom du fichier de profil, de renommer le fichier « Ntuser.dat » en « Ntuser.man ». Un profil d’utilisateur obligatoire ne permet pas aux utilisateurs d’enregistrer les modifications apportées aux paramètres de bureau (profil errant en lecture seule). L’utilisateur peut modifier les paramètres du bureau de l’ordinateur sur lequel il a ouvert une session, mais ces modifications ne sont pas enregistrées lorsqu’il la ferme.

Profil utilisateur temporaire — Un profil temporaire est généré chaque fois qu'une condition d'erreur empêche le chargement d'un profil utilisateur. Les profils temporaires sont supprimés à la fin de chaque session. Les modifications apportées par l'utilisateur aux fichiers et aux paramètres du Bureau sont perdues lorsqu'il ferme la session.



171

Remarque : en cas de conflit entre la stratégie de groupe sur le domaine et les paramètres de profil locaux d’un utilisateur, la stratégie de groupe prévaut sur tous les paramètres locaux. Aucun paramètre de stratégie de groupe utilisé pour définir les environnements de bureau ne peut être modifié par l’utilisateur. Le fichier "ntuser.ini" est employé pour créer les composantes d'un profil utilisateur errant qui ne sont pas copiées vers le serveur. Le fichier " ntuser.dat.LOG " est employé par le fichier "NTUSER.DAT " pour la restauration dans le cas d'une erreur. Les dossiers complémentaires sont dans le dossier "C:\Documents et Settings\username".

Windows NT/2000/XP/Server 2003

Windows 95/98

Type de Profils

NTuser.dat User.dat Profil utilisateur local et errant NTuser.dat.LOG User.da0 Sauvegarde du profil NTuser.man User.man Profil obligatoire

Vous ne pouvez pas copier ou supprimer un profil utilisateur qui appartient à l'utilisateur actuellement connecté ou à un utilisateur dont le profil est en cours d'utilisation.

Configuration du profil utilisateur Une fois les profils itinérants configurés sur le serveur, Windows copie le profil utilisateur local dans le chemin d’accès de profil itinérant lors de la connexion utilisateur suivante. Si cet utilisateur se connecte ensuite sur d’autres machines, le profil itinérant sera copié sur le profil utilisateur local de ces ordinateurs. Veillez à sauvegarder régulièrement les profils qui sont sur le serveur, si la perte de données de configuration n’est pas dramatique, il n’en va pas toujours de même pour le contenu du dossier « Mes documents ».



172

Les profils utilisateur obligatoires ne permettent pas d'apporter des modifications au profil utilisateur stocké sur le serveur. La gestion des profils doit de préférence suivre une stratégie. Le recours aux profils obligatoires, même s'il est autorisé, est moins facilement gérable et davantage susceptible de créer des problèmes d'administration ; il n'est par conséquent pas recommandé. Attention pour déclarer les profils utilisateurs pour le domaine il faut utiliser «Utilisateurs et ordinateurs Active directory » et pas « Gestion de l'ordinateur », sur « Utilisateurs et groupes locaux ».

☺ TP à réaliser. ========================================================================

***Indiquez aux clients du domaine de bien fermer leurs sessions avant de commencer le TP***.

Partie à réaliser sur la machine du formateur Permettre à l’utilisateur Marcel d’ouvrir une session localement sur le serveur : Stratégie de sécurité du contrôleur du domaine, paramètres de sécurités, stratégies locales, attribution des droits utilisateurs => Permettre l’ouverture d’une session locale Ouvrir une session localement en tant que Marcel, changer le papier peint en Jaune, fermer la session Marcel. Ouvrir une session en tant qu’administrateur du domaine.

1). Sur un serveur de domaine, créer un dossier partagé doté d’un nom explicite, « c:\profils utilisateurs » par exemple, nom de partages : Profils. Laisser les paramètres de partage par défaut.

2). Ouvrir Utilisateurs et ordinateurs Active Directory, cliquez sur Démarrer, puis sur Panneau de configuration, double-cliquez sur Outils d'administration, puis double-cliquez sur Utilisateurs et ordinateurs Active Directory.

3).Cliquez avec le bouton droit sur le compte d'utilisateur que vous souhaitez modifier (utiliser le compte Marcel), puis cliquez sur « Propriétés ».

4). Sous l'onglet « Profil », dans le chemin d'accès du profil, tapez l'emplacement du profil que vous souhaitez attribuer en utilisant le format \\ NomServeur \ NomPartageProfils \ NomProfilUtilisateur : \\ServNet\profils\Marcel (nom UNC), vous pouvez utiliser la variable système %username% pour faire référence au nom de connexion réseau de l’utilisateur. 5). Cliquez sur OK pour refermer et enregistrer les modifications. 6). Ouvrez la boite de dialogue propriétés du Poste de travail, onglet Avancé, bouton Paramètres de Profils utilisateurs.

\\Serveur\Partage\marcel

Les profils utilisateur deviennent obligatoires lorsque vous renommez le fichier NTuser.dat du serveur en NTuser.man. Suite à ce changement d'extension, le profil utilisateur passe en lecture seule.



173Choisir le profil de Marcel, puis Copier dans, Parcourir, choisir C:\Profils Utilisateurs, Ok, ajouter à ce chemin \Marcel. Puis Ok, OK, OK.

Où : NomServeur correspond au nom de l'ordinateur où les profils sont stockés ; NomPartageProfils correspond au nom du partage où les profils sont stockés ; NomProfilUtilisateur correspond au dossier spécifique pour ce profil utilisateur, vous pouvez aussi utiliser la variable « %username% » qui sera remplacé par le nom de l’utilisateur qui a ouvert une session. 7). Vous pouvez maintenant renommer le fichier « ntuser.dat » de Marcel en « ntuser.MAN », et demander aux clients du domaine de modifier le papier peint sur leurs bureaux, de fermer de nouveau leurs sessions et de nouveau ouvrir une session en tant que « Marcel » sur le domaine de « Bourges » et de vérifier que le papier peint est toujours le même (pas de modification car c’est un profil oblogatoire). ======================================================================== Les modifications apportées à la stratégie de groupe dans la famille Windows Server 2003 concernent les profils utilisateur :

• Empêcher la propagation des modifications de profils itinérants vers le serveur — Cette stratégie détermine si les modifications apportées par un utilisateur à son profil itinérant sont fusionnées avec la copie de son profil sur le serveur. Si cette stratégie est définie au moment de l'ouverture de session utilisateur, l'utilisateur reçoit alors son profil itinérant, mais toutes les modifications qu'un utilisateur apportera à son profil ne seront pas fusionnées avec son profil itinérant au moment de la fermeture de session.

• Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs — Cette stratégie permet à un administrateur de choisir le même comportement que celui de Windows NT version 4.0 et à un groupe d'administrateurs de contrôler pleinement les répertoires de profils de l'utilisateur. Dans Windows 2003, les autorisations d'accès aux fichiers par défaut pour les profils itinérants venant d'être générés sont le contrôle total, l'accès en lecture et en écriture pour l'utilisateur et l'absence d'accès aux fichiers pour le groupe Administrateurs.

• N'autoriser que les profils d'utilisateurs locaux — Ce paramètre détermine si les profils utilisateur itinérants sont disponibles sur un ordinateur donné. Par défaut, lorsque des utilisateurs à profil itinérant ouvrent une session sur un ordinateur, leur profil itinérant est copié sur l'ordinateur local. Grâce à ce paramètre, un administrateur peut empêcher les utilisateurs configurés pour utiliser des profils itinérants de recevoir leur profil itinérant sur un ordinateur spécifique.

Ne pas retenir les profils sur les stations 2000/Server 2003 Si votre serveur est un 2000/Server 2003 et que les stations sont des 2000 pro ou XP pro, vous pouvez le faire en modifiant la stratégie par défaut du domaine. Voici comment : Dans "Utilisateurs et ordinateurs Active directory" faites un clic droit sur le domaine, puis et allez dans "Propriétés". Dans l’onglet "Stratégie de groupe", modifiez la stratégie par défaut "Domaine Défault Policy". Dans cette stratégie de groupe recherchez dans "Configuration de l'ordinateur", "Modèles d'administration (Administrative Templates)", "Système", "Profil Utilisateur (User Profils)" et rendez actif "Supprimer les copies en cache des profils itinérants (Delete cached copies of roaming profiles)".



174

Paramétrer les profils utilisateur : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System - Supprimer la mise en cache des profils itinérants : DeleteRoamingCache ( Dword 1 ) Remarque : Si vous supprimez un compte, mais pas le profil associé, vous trouverez une entrée intitulée « Compte supprimé ou Compte inconnu ». Ne vous inquiétez pas, le profil reste disponible pour la copie si vous en avez besoin.

L O G O N S C R I P T


175

LOGON SCRIPT

Windows Server 2003 permet de configurer quatre types de scripts : Démarrage. S’exécute au démarrage de l’ordinateur. Arrêter le système. S’exécute avant l’arrêt de l’ordinateur. Ouverture de session. S’exécute lors d’une ouverture de session utilisateur. Déconnexion. S’exécute lors d’une fermeture de session utilisateur.

En assignant des "logon scripts" à des comptes utilisateurs ou groupes pour Windows 2003 Serveur, vous pouvez assigner un "logon script" pour un compte utilisateur en entrant un chemin au fichier du script de connexion. Quand un utilisateur se connecte et que le chemin au script de connexion est présent pour le compte utilisateur, le fichier est localisé et exécuté au login. Vous pouvez aussi assigner des scripts de "logon/logoff" ainsi que des scripts d'ordinateur de démarrage ou d'arrêt « startup/shutdown » en employant la stratégie de Groupe "Group Policy snap-in". Vous pouvez aussi affecter des scripts d'ouverture et de fermeture de session, ainsi que des scripts de démarrage et d'arrêt de l'ordinateur en utilisant le composant logiciel enfichable Stratégie de groupe. Ces scripts s'appliquent à l'ensemble des utilisateurs et des ordinateurs auxquels s'applique un objet Stratégie de groupe particulier.

À la connexion, le serveur authentifiant la connexion localise un script de connexion assigné. Il cherche le fichier indiqué sur le chemin du script de connexion local sur le serveur (d'habitude %SYSTEMROOT%\SYSVOL\sysvol\domain_name\scripts). Si on fournit un chemin relatif avant le nom de fichier (par exemple, Admins\CristalW.bat), le serveur cherche le script de connexion dans ce sous-répertoire du chemin de script de connexion. L'entrée dans la boîte de dialogue du script de connexion indique seulement le nom de fichier (et, facultativement, le chemin relatif) et ne crée pas le script de connexion actuel.



176 Vous pouvez placer un script de connexion dans un répertoire local sur l'ordinateur d'un utilisateur. Vous emploieriez typiquement cet emplacement, cependant, quand vous administrez les comptes d'utilisateur qui existent sur un ordinateur simple plutôt que dans un domaine. Ce script de connexion fonctionne seulement quand une connexion utilisateur est locale à l'ordinateur et ne fonctionne pas quand l'utilisateur se connecte au domaine. Vous devez placer le script de connexion en employant le chemin du script de l'ordinateur ou dans un sous-répertoire de ce script de connexion. L'emplacement par défaut pour des scripts de connexion locaux est le dossier %SYSTEMROOT%\System32\Repl\Imports\Scripts. Ce dossier n'est pas créé sur pour nouvelle installation de Windows XP. Un dossier doit être créé et partagé avec le nom « netlogon ». C'est fait automatiquement sur des contrôleurs de domaine, donc vous ne devez pas créer un « netlogon » sur un contrôleur de domaine manuellement; le système le créera automatiquement. Qui sera exécuté lors de la connexion locale à votre système. Un tel script de connexion peut contenir n'importe quelles instructions de ligne de commande Windows. (Vous pouvez employer des Scripts de Connexion lors d'une connexion à un domaine) (Il y a aussi d'autres possibilités, comme placer un fichier « .BAT » dans le dossier de DÉMARRAGE) La réplication des scripts d’ouverture de session vers tous les contrôleurs du domaine est automatique sur les volumes NTFS des serveurs Windows Server 2003 et Windows 2000. Pour ce qui concerne les volumes FAT, il faut dupliquer les scripts manuellement.

Windows 2000/2003 Server traite plusieurs scripts de haut en bas

Windows 2000/2003 Server exécute plusieurs scripts de haut en bas comme il est indiqué dans l'onglet Script de la boîte de dialogue Propriétés de Script. S'il existe un conflit entre les différents scripts, le script traité en dernier l'emportera.



177

Windows 2000/2003 Server traite et exécute les scripts attribués aux stratégies de groupe dans l'ordre ci-dessous.

1. Lorsqu'un utilisateur démarre un ordinateur et ouvre une session, l'événement ci-dessous se produit.

a. Par défaut, les scripts de démarrage sont masqués et s'exécutent de manière synchronisée.

Lorsque les scripts s'exécutent de manière synchronisée, chaque script doit être réalisé ou interrompu avant le démarrage du prochain.

b. Par défaut, les scripts d'ouverture de session sont masqués et s'exécutent de manière non synchronisée.

Lorsque les scripts s'exécutent de manière non synchronisée, un script peut commencer à s'exécuter même si un script précédent est en cours d'exécution. Plusieurs scripts peuvent s'exécuter en même temps.

Les scripts d'ouverture de session non-stratégie de groupe associées à un compte d'utilisateur particulier s'exécutent après que les scripts d'ouverture de session stratégie de groupe se sont exécutés pour le compte d'utilisateur.

2. Lorsqu'un utilisateur ferme une session et arrête un ordinateur, les événements ci-dessous se produisent.

a. Les scripts de fermeture de session s'exécutent. b. Les scripts d'arrêt s'exécutent.

Définir un Script de Connexion pour une connexion locale exige la définition d'un partage réseau. Appelé "netlogon" : créez n'importe où sur le système un dossier pour contenir les scripts de connexion (Exemple : scripts) et le partager ensuite en employant le nom "netlogon"



178

À l'intérieur de ce dossier partagé, créez un fichier .BAT (utilisez le Bloc-notes) contenant des instructions de ligne de commande à être exécuté. Exemple : création d'un mappage réseau

Pour attribuer un script d'ouverture de session à un utilisateur dans Active Directory Ouvrez Utilisateurs et ordinateurs Active Directory. Dans l'arborescence de la console, cliquez sur Utilisateurs. Double-cliquez sur l'utilisateur auquel vous voulez affecter le script d'ouverture de session. Cliquez sur l'onglet Profil. Dans le champ Script d'ouverture de session, entrez le chemin d'accès et le nom du script d'ouverture de session que vous voulez affecter à cet utilisateur, puis cliquez sur OK.

Remarque : Dans la zone Nom de fichier, tapez un nom de ficher avec l'extension .vbs, puis cliquez sur Enregistrer. WSH utilise l'extension .vbs pour identifier les fichiers contenant des commandes VBScript.



179☺ TP à réaliser.

========================================================================

Mise en place d’un script local à votre machine 1. Ouvrez une session en local en tant que : Nom : Administrateur Mot de passe : P@sswrdXXXX Domaine : nom de votre machine (en local) 2. Créer un dossier C:\Login, nom de partage netlogon, puis valider la boite de dialogue. 3. Ouvrez le bloc-notes ouvre et saisir : net use R : \\ServNet\temp /user:Marcel P@sswrd1 4. Enregistrer sous C:\Login\Marcel.bat. 5. Lancer l’outil gestion de l’ordinateur, utilisateurs et groupe locaux, utilisateurs, choisir LocalUserx, Propriétés de LocalUserx, bouton profil, script d’ouverture de session saisir : marcel.bat. 6. Fermer la boite de dialogue, se deconnecter de la session Administrateur. 7. Ouvrir une session en tant que : Nom : LocalUserx Mot de passe : P@sswrd1 Domaine : nom de votre machine (en local) 8. Vérifier au niveau de l’explorateur que le lecteur réseau R : apparaît bien ======================================================================== L’administrateur du domaine crée un script qui affiche les noms des utilisateurs qui existent dans la SAM locale du PC de Marcel lors de l’ouverture de session. ========================================================================

☺ TP à réaliser. 1. L’administrateur crée le script suivant avec le bloc-notes : Exemple du script à réaliser : Script d'affichage de la liste des utilisateurs d'une machine (user.vbs): '---------------------------------------------------------- ' Liste des utilisateurs ' E.DOS SANTOS © 2004 '---------------------------------------------------------- Dim network, computer, SAM, Item Set network = Wscript.CreateObject("WScript.Network") computer=network.ComputerName wscript.echo "#Liste des utilisateurs et groupes de " & computer set SAM=GetObject("WinNT://" & computer & ",computer") for each Item in SAM Classe=Item.Class If Classe = "User" then wscript.echo Classe & chr(9) & Item.name End if next 2. Enregistrer ce fichier sous : pour le moment sur le bureau, en tant que Marcel.vbs 3. Sélectionner le fichier Marcel.vbs qui est actuellement sur le bureau, puis faire CTRL+C (action de copier) 4. Créer une OU OUMarcel via l’outil Utilisateurs et ordinateurs Active Directory, et y déplacer dedans le compte Marcel. 5. Dans Propriétés de l’OU OUMarcel, onglet Stratégie de groupe, cliquez sur Nouveau, puis comme nom : LoginScript, puis bouton Modifier, Configuration utilisateur, Paramètres Windows, Scripts (ouverture/fermeture de session. 6. Double-cliquez sur Ouverture de session, cliquez sur Afficher les fichiers…vérifier que dans le chemin affiché est de la forme : C:\Windows\SYSVOL\sysvol\bourges.eds\Policies\{xxxxxx-xxxxxxx-xxxxxx-xxxxx-xxxx}\User\Scripts\logon\. 7. Y coller le fichier Marcel.vbs situé sur votre bureau (CTRL+V). Fermer cette boite de dialogue. 8. Cliquez sur le bouton Ajouter, Parcourir, sélectionner Marcel.vbs qui est situé sur le chemin visualisé ci-dessus sous la forme de : C:\Windows\SYSVOL\sysvol\bourges.eds\Policies\{xxxxxx-xxxxxxx-xxxxxx-xxxxx-xxxx}\User\Scripts\logon, Ouvrir, OK, Appliquer, OK, Fermer l’éditeur de stratégie, Fermer la boite Propriétés de l’OU OUMarcel. 9. Inviter l’utilisateur du Domaine Marcel d’ouvrir une session à partir de son poste de travail PS : Pas besoin de déclarer le script dans les Propriétés de l’utilisateur, Onglet Script.

========================================================================



180

En faisant maintenant une connexion au système, les commandes définies dans le script de connexion seront exécutés, cela sera juste visible pendant un temps très court comme une fenêtre d'invite de commande (prompt) dans la barre de tâche

L'implémentation d'un script implique l'utilisation de la stratégie de groupe en vue d'ajouter ce script au paramètre approprié dans le modèle de stratégie de groupe. Ceci indique que le script s'exécute durant le démarrage, l'arrêt, l'ouverture de session, ou la fermeture de session.

Pour assigner un script de démarrage ou d’arrêt système

======================================================================1. Pour faciliter l’opération, copier les scripts à utiliser dans le dossier Machine\Scripts\Startup ou Machine\Scripts\Shutdown de la stratégie concernée. Les stratégies se trouvent dans le dossier %SystemRoot%\Sysvol\domain\policies des contrôleurs de domaine. 2. Accédez à la console Stratégie de groupe pour le site, le domaine ou l’unité d’organisation à manipuler. 3. Dans le nœud Configuration ordinateur, double-cliquez sur le dossier Paramètres de Windows, puis sur Scripts. 4. Pour utiliser les scripts de démarrage ou d’arrêt, cliquez avec le bouton droit sur Démarrage ou Arrêter le système respectivement, puis sélectionnez Propriétés. 5. Cliquez sur Afficher les fichiers. Si vous avez copié le script d’ordinateur à l’emplacement approprié du dossier des stratégies, il doit s’afficher. 6. Cliquer sur Ajouter pour assigner un script. Cette opération ouvre la boîte de dialogue Ajout d’un script. Dans le champ Nom du script, tapez le nom du script copié dans le dossier Machine\Scripts\Stratup ou Machine\Scripts\Shutdown de la stratégie concernée. Dans le champ Paramètres de script, tapez les arguments de ligne de commande à transmettre au script de ligne de commande ou les paramètres à transmettre à l’environnement d’exécution de scripts Windows s’il s’agit d’un script WSH. Répétez cette étape pour ajouter d’autres scripts. 7. Au démarrage ou à l’arrêt de l’ordinateur les scripts sont exécutés dans l’ordre d’apparition dans la boîte de dialogue Propriétés. Le cas échéant utilisez les boutons Monter ou Descendre pour les déplacer. 8. Si plus tard, vous souhaitez modifier le nom ou les paramètres du script, sélectionnez ce dernier dans la liste Ouverture de, puis cliquez sur Modifier. 9. Pour supprimer un script, sélectionne-le dans la liste Ouverture de, puis cliquez sur Supprimer. ======================================================================

Les tâches fréquemment accomplies par les scripts d'ouverture de session sont notamment :

• le mappage de lecteurs réseau ; • l'installation et la configuration de l'imprimante par défaut de l'utilisateur ; • la collecte d'informations sur l'ordinateur ; • la mise à jour des signatures de virus ; • la mise à jour logicielle.



181 Les Windows 2003 Server de la famille Serveur soutiennent les types de scripts suivants : Windows Script Host (incluant Visual Basic Scripting Edition [VBScript] et Jscript, les scripts (batch) de MS-DOS. Vous pouvez employer un éditeur de texte pour créer des scripts de connexion et employer ensuite la page Propriétés de l'Utilisateur pour assigner des scripts de connexion différents aux différents utilisateurs, ou assigner le même script de connection à des utilisateurs multiples, des sites, des domaines et des unités organisationnelles (OUs). Vous pouvez aussi créer des scripts de connexion en VBSCRIPT et JSCRIPT. Visual Basic Scripting Edition, (VBScript en abrégé), est un langage de programmation dérivé de Visual Basic for Applications (VBA), lui-même issu de Visual Basic. Il est destiné à la conception de scripts, c'est à dire des suites de commandes, destinés à être utilisés dans différents environnements : Windows Script Host (WSH), sous-ensemble de Windows utilisant ces scripts pour réaliser diverses tâches automatisées. VBScript est utilisable par plusieurs environnements, dont le principal est WSH WSH admet plusieurs langages de script, dont le principal est VBScript WSH+VBS+JS sont intégrés dès le départ dans Windows 98, 98SE, ME, 2000, XP, donc directement utilisables. L'environnement WSH supporte différents langages de scripts : VBS (VBscript), qui fait l'objet de ce site JS (Jscript) une variante de JavaScript due à Microsoft n'importe quel autre langage (Perl par exemple), à partir du moment où on a installé un interpréteur correspondant Les principaux types de fichiers concernés par WSH sont les suivants :

.VBS Fichier source en VBScript

.VBE Fichier source en VBScript codé (non éditable)

.JS Fichier source en JScript

.JSE Fichier source en JScript codé (non éditable)

.WSF Fichier pouvant contenir plusieurs sources en différents langages. Des balises XML indique le langage de chaque source

.WSC Fichier source Windows Script Components

.WSH Feuille de propriétés d'un fichier script Un script écrit en VBS est un fichier de commandes. Il doit être interprété pour être utilisable. Il existe 2 interpréteurs : CSCRIPT.EXE et WSCRIPT.EXE Ils ont tous les deux les mêmes capacités d'interprétation, la différence résidant uniquement dans l'interface.



182

Interpréteur Principe Utilisation Exemple CSCRIPT.EXE Opère en

mode texte. Les messages apparaissent dans une Console.

A l'intérieur de fichiers de commandes (.bat ou .cmd) traitements automatiques, sans intervention

WSCRIPT.EXE Opère en interface graphique. Les messages apparaissent dans des fenêtres (Window)

Lorsque qu'une interaction avecl'utilisateur est nécessaire

Par défaut, tout fichier script VBS est associé à l'un de ces deux interpréteurs. Ainsi pour exécuter un script il suffit, au choix, de :

Taper le nom du script dans une fenêtre de commandes. H:\WSH>marcel.vbs (l'extension .vbs est facultative)

Effectuer un double-click sur le fichier dans l'explorateur de Windows.

Au départ, cet interpréteur est WSCRIPT (mode fenêtré). En mode ligne de commande, on peut imposer l'interpréteur à utiliser en l'indiquant explicitement : H:\WSH>wscript marcel.vbs ou H:\WSH>cscript marcel.vbs On peut changer d'interpréteur par défaut par l'une de ces commandes :

WSCRIPT //H:CScript CSCRIPT //H:CScript Définit CScript.exe comme interpréteur par défaut

WSCRIPT //H:WScript CSCRIPT //H:WScript Définit WScript.exe comme interpréteur par défaut

Cette commande n'est active que pour la session en cours. Si on veut la rendre définitive (jusqu'à un prochain changement), il faut ajouter le commutateur //S WSCRIPT //H:CScript //S (Rend permanent l'utilisation de CSCRIPT comme interpréteur par défaut)



183En particulier on aura intérêt à utiliser CSCRIPT quand le script affiche successivement beaucoup de messages, afin d'éviter l'apparition d'un grand nombre de boites de messages, qui exigent l'appui sur un bouton pour les fermer.

L E R É P E R T O I R E D E B A S E


184

LE RÉPERTOIRE DE BASE

Le répertoire de base comprend l'essentiel ou la totalité des fichiers et programmes d'un utilisateur spécifique.

Les répertoires de base sont normalement stockés localement sur les stations de travail exécutant Windows 2000/XP/Server 2003, mais ils peuvent être placés sur un serveur. Le répertoire de base est celui dans lequel est placé l'utilisateur lorsque démarre l'invité de commandes. De plus, c'est également dans le répertoire de base qu'une opération de type "sauvegarde de fichier" invitera à sauvegarder un fichier pour les applications qui ne fournissent pas de répertoire de travail.

☺ TP à réaliser. ======================================================================

Pour ajouter un répertoire de base à un profil (DC) L’administrateur du domaine effectue les étapes suivantes : 1. Créer un dossier C:\Users et le partager, vérifier que dans l’onglet Partage du dossier Users : Tout le monde = Control Total 2. Ouvrez « Utilisateurs et ordinateurs Active Directory » 3. Dans le volet des détails, cliquez avec le bouton droit sur le compte d'utilisateur concerné : ici le compte Marcel qui maintenant dans l’OU OUMarcel. 4. Cliquez sur « Propriétés ». 5. Sous l'onglet « Profil », cliquez sur « Connecter », puis spécifiez une lettre de lecteur réseau : M : Dans la zone « A », entrez un chemin d'accès. Vous pouvez utiliser un chemin réseau, par exemple : \\ServNet\\Users\Marcel ou un chemin local. 6. Vous pouvez éventuellement substituer « %username% » au dernier sous-répertoire du chemin, comme suit : \\ServNet\Users\%username%, faire Appliquer puis OK. 7. Demander aux utilisateurs du domaine d’ouvrir de nouveau une session sur le domaine en tant que Marcel, puis de vérifier la présence d’un lecteur réseau M : via l’explorateur. Ouvrir aussi une invite de commande. ======================================================================

Points à prendre en compte lors du choix de l'emplacement du dossier de base :�Capacité de sauvegarde et de restauration�Espace disponible suffisant sur le serveur�Espace disponible suffisant sur l'ordinateur de l'utilisateur�Performances du réseau �Pour créer un dossier de base : 1.Créez un dossier sur un serveur, puis partagez-le2.Accordez l'autorisation appropriée pour ce dossier3.Fournissez au compte d'utilisateur le chemin d'accès du dossier



185Attention : Le répertoire de base doit être partagé pour les utilisateurs puissent y stocker leurs documents. Sur la station cliente qui a intégré le domaine, il doit avoir (via l’Explorateur), un lecteur réseau qui est apparue (R :) qui pointe sur un répertoire partagé sur le serveur (répertoire de base). De même si vous passez en mode ligne de commande le prompt vous positionne sur le lecteur réseau correspondant au répertoire de base situé à distance sur le serveur.

\\SERVNET\SAUVE\%username% R :

Répertoire de base local, l’utilisateur est responsable de la sauvegarde de ses données sur sa machine. Méthode qui ne sature pas la bande passante réseau.

Répertoire de base distant, l’utilisateur n’est pas responsable de la sauvegarde de ses données. Méthode qui sature la bande passante réseau



186

Questions/Réponses 1. Deux nouveaux employés viennent de rejoindre le service marketing. L'administrateur réseau doit créer des comptes pour ces utilisateurs, afin qu'ils puissent accéder aux ressources réseau telles que les dossiers partagés et les imprimantes. Quel type de comptes d'utilisateur l'administrateur réseau doit-il créer pour ces nouveaux employés ? a. Comptes d'utilisateur de domaine b. Comptes d'utilisateur locaux c. Comptes Administrateur prédéfinis d. Comptes Invité prédéfinis Réponse correcte : A. Avec le compte de domaine, les nouveaux employés peuvent accéder aux ressources sur l'ensemble du réseau. S'ils possèdent un compte sur l'ordinateur local uniquement, ils ne peuvent accéder qu'aux ressources de cet ordinateur. 2. L'administrateur réseau a configuré un ordinateur pour exécuter Windows 2003 Server. Quel compte utilise-t-il pour accéder à l'ordinateur, avant de créer un compte pour lui-même ? a. Compte d'utilisateur de domaine b. Compte d'utilisateur local c. Compte Administrateur prédéfini d. Compte Invité prédéfini Réponse correcte : C. Lorsque l'ordinateur vient d'être installé, il existe seulement deux comptes : le compte prédéfini Administrateur et le compte prédéfini Invité. Des deux, seul le compte Administrateur dispose des droits nécessaires pour ouvrir une session et gérer l'ordinateur. 3. Un nouveau stagiaire a rejoint l'équipe d'administration réseau. L'administrateur réseau souhaite que ce stagiaire puisse effectuer toutes les tâches administratives courantes dans ce domaine, telles que la création et la modification des comptes d'utilisateur et des groupes d'utilisateurs ainsi que le partage des ressources. Il ne veut toutefois pas donner au stagiaire le contrôle total sur le système. Le stagiaire ne doit pas être en mesure de modifier les groupes Administrateurs ou Opérateurs de sauvegarde, ni gérer les journaux d'audit de la sécurité. Que doit faire l'administrateur ? Sélectionnez toutes les réponses appropriées. A. Accorder directement les droits appropriés au stagiaire. B. Ajouter le stagiaire au groupe prédéfini Utilisateurs avec pouvoir. C. Ajouter le stagiaire au groupe Administrateurs. D. Créer un groupe, ajouter le stagiaire, puis accorder les droits appropriés à ce groupe. Réponses correctes : A et D. L'administrateur peut accorder les droits appropriés directement au stagiaire, mais les autorisations du stagiaire seront plus facile à gérer s'il crée un groupe, place les utilisateurs appropriés dans le groupe, puis accorde les droits au groupe plutôt qu'à chaque utilisateur. Le groupe Utilisateurs avec pouvoir existe uniquement sur les ordinateurs qui ne sont pas des contrôleurs de domaine ; il ne confère pas de droits dans le domaine, mais uniquement sur l'ordinateur local. Si l'administrateur ajoute le stagiaire au groupe Administrateurs, celui-ci aura un contrôle total sur le domaine. 4. Un audit annuel est sur le point d'être effectué dans votre entreprise. Le responsable du service financier souhaite que seuls certains utilisateurs autorisés de ce service puissent consulter les comptes de l'entreprise, qui se trouvent dans le dossier Bilans. Quelle serait la meilleure façon d'accorder des autorisations aux utilisateurs du service financier ? A. Accorder à tous les utilisateurs du service financier les autorisations sur le dossier. B. Accorder au groupe Finances, contenant tous les utilisateurs du service financier, les autorisations sur le dossier. C. Accorder des autorisations individuelles à chaque utilisateur autorisé. D. Créer un groupe d'utilisateurs autorisés, puis accorder à ce groupe les autorisations appropriées sur le dossier.



187Réponse correcte : D. Dans la mesure où seuls certains membres du service financier doivent être en mesure d'accéder à ces informations, l'administrateur doit créer un groupe contenant uniquement les utilisateurs qui nécessitent un accès, puis accorder à ce groupe les autorisations sur le dossier. 5. Dans quelles circonstances devez-vous créer un mot de passe pour un nouveau compte ? Pour quelle raison devez-vous désactiver un compte d'utilisateur quand vous le créez ? Pour renforcer la sécurité, vous devez toujours créer un mot de passe pour les comptes d'utilisateur. Désactivez le compte d'utilisateur s'il n'est pas prévu de l'utiliser immédiatement. Le fait de désactiver les comptes inutilisés empêche de les utiliser de manière inappropriée. 6. Pourquoi devez-vous utiliser des groupes ? Utilisez des groupes pour simplifier l'administration en accordant des droits et des autorisations au groupe en une seule fois, au lieu d'en accorder successivement à chaque membre du groupe. 7. Les utilisateurs peuvent-ils être membres de plusieurs groupes ? Oui, car un groupe est une liste de membres faisant référence aux comptes d'utilisateur réels. Les utilisateurs peuvent donc être membres de plusieurs groupes. 8. Pouvez-vous affecter des utilisateurs à un groupe spécial ? Non, les administrateurs n'affectent pas d'utilisateurs aux groupes spéciaux. Les utilisateurs sont membres de groupes spéciaux par défaut ou ils deviennent membres au cours d'une activité réseau. 9. Décrivez les différents types de groupes de domaine et les différentes étendues de groupe. Types de groupes : les groupes de sécurité permettent d'accorder des autorisations. Les groupes de distribution sont utilisés comme listes de distribution pour le courrier électronique. Étendues des groupes : les groupes globaux permettent d'organiser les utilisateurs partageant les mêmes besoins d'accès au réseau dans un même domaine. Les groupes de domaine local permettent d'accorder des autorisations sur des ressources. Les groupes universels permettent d'organiser des utilisateurs appartenant à différents domaines. 10. Pouvez-vous créer des groupes locaux sur des contrôleurs de domaine ? Vous ne pouvez pas créer de groupes locaux sur des contrôleurs de domaine, car ceux-ci ne peuvent pas posséder de base de données de sécurité indépendante de la base de données figurant dans Active Directory. Les contrôleurs de domaine ne peuvent posséder que des groupes de domaine local. 11. Quelle stratégie devez-vous appliquer lorsque vous accordez des autorisations dans un domaine ? La stratégie A G DL P : placez des comptes d'utilisateur (A) dans des groupes globaux (G), placez des groupes globaux dans des groupes de domaine local (DL), puis accordez des autorisations (P) au groupe de domaine local. 12. Votre société vient de racheter une petite filiale, et vous désirez utiliser Utilisateurs et ordinateurs Active Directory pour créer des comptes d'utilisateur de domaine pour les nouveaux employés. Pour des raisons commerciales, la filiale désire conserver son ancienne identité auprès de ses clients. Comment pouvez-vous créer pour les nouveaux employés des noms principaux d'utilisateurs qui correspondent à leurs adresses de messagerie électronique, sans modifier ces adresses ? Ajoutez dans Active Directory un suffixe de nom principal d'utilisateur qui vous permettra de créer des noms d'ouverture de session identiques aux adresses de messagerie. Après avoir créé ce nouveau suffixe, vous pouvez créer des noms principaux d'utilisateurs comportant ce nouveau suffixe.



188 13. Votre société vient d'embaucher de nombreux nouveaux employés pour travailler dans une nouvelle filiale, qui ouvrira ses portes le mois prochain. Vous devez définir des comptes d'utilisateur pour ces employés, de façon à leur permettre d'utiliser et partager les ressources du réseau. Vous savez que le service Human Resources possède les informations nécessaires sur ces nouveaux employés. Quelle est la méthode la plus efficace pour importer en bloc les nouveaux comptes d'utilisateur ? Demandez au service Human Resources d'exporter les données dans un fichier texte délimité par des virgules (csv) ou par des sauts de ligne. Modifiez le fichier pour qu'il puisse être utilisé pour une importation en bloc. Utilisez ensuite la commande csvde ou ldifde, suivant le cas, pour créer les comptes d'utilisateur à partir du fichier que vous avez modifié. Comme cette nouvelle filiale n'est pas encore opérationnelle, désactivez les comptes d'utilisateur durant l'importation.

G E S T I O N D ’ A C C È S A U X R E S S O U R C E S ( R A P P E L )


189

GESTION D’ACCÈS AUX RESSOURCES (RAPPEL)

Contrôle d’accès

Il faut discerner les notions qu’englobent les contrôles d’accès. Les contrôles d’accès vont permettre à l’administrateur de savoir d’une part si un utilisateur ou un groupe aura ou non l’accès à une ressource et d’une autre les types de droit que cette entité aura sur l’objet.

SID (Security IDentifier) : chaque objet entité de sécurité (utilisateur, groupe et ordinateur) aura un identificateur de sécurité qui sera unique dans une forêt Active Directory. Cet identificateur est automatiquement créé lors de la création de l’entité de sécurité. Ce numéro unique est composé du SID du domaine + d'un RID défini par la maître RID du domaine.

ACE (Access Control Entrie) : un ACE est un couple : un SID et une permission, • Le SID de l’entité à qui l’on va donner ou refuser un accès. • Les informations sur l’accès (ex : Lecture, Ecriture, …) • Les informations d’héritage. • L’indicateur de type d’ACE (Autoriser ou refuser).

DACL (Discretionary Access Control List) : c’est une liste d’ACE pour un objet. Tout objet dans Active Directory possède une DACL. C’est grâce à celle-ci qu’on autorise ou non une entité de sécurité. Toute entité de sécurité non listé dans cette DACL aura de suite un accès refusé.

SACL (System Access Control Lists): cette liste d’ACE est particulière et très peu utilisé. Elle permet d’auditer un certain nombre d’événements (sécurité, réseau) sur l’objet d’une ou plusieurs entités. On pourra ainsi déterminer les violations d’accès ainsi que son étendu qu'on souhaite auditer.



190

A chaque tentative d’accès à une ressource, cette liste sera parcourue afin de déterminer si l’action voulue peut être réalisée. Prenons par exemple un utilisateur qui souhaite accéder à un partage dans un domaine 2003 Server.

Les différentes notions de ACE et SID seront traités plus loin dans l'article. De plus, certaines notions ont été modifiées afin de les vulgariser On remarque de suite que le contrôleur de domaine est celui qui est le centre de toutes les transactions mais aussi qu'il permet à l'utilisateur d'unifier son authentification une unique fois. De plus, il possède un jeton unique qui énumère une fois pour toute son appartenance à un certain nombre de groupes.

Autorisations

Autorisations standard

Les autorisations permettent de fixer le niveau d’accès qu’ont les entités de sécurité (pour un compte utilisateur, groupe d’utilisateurs ou ordinateur) sur une ressource.

Les ressources utilisant ce système d’autorisations pour réguler leurs accès sont multiples (Registre, Fichiers, Imprimantes, Active Directory, …)



191

Autorisations spéciales

Les autorisations standard sont limitées aux actions de base sur un objet (ex : Lecture, Modifier, Contrôle Total, …). Aussi pour pouvoir granuler de façon plus précise les autorisations vous avez accès via le bouton « Avancé » à une liste étendue d’autorisations.

Vous pouvez accorder des autorisations standard et des autorisations spéciales sur les objets. Les autorisations standard sont les plus fréquemment attribuées. Les autorisations spéciales permettent de contrôler plus précisément les autorisations d'accès aux objets. Les autorisations spéciales correspondent à une liste plus détaillée d'autorisations. Une autorisation de lecture standard NFTS est associée aux autorisations spéciales suivantes :

Affichage du contenu du dossier/lecture des données Attributs de lecture Attribution de lecture étendue Autorisations de lecture

Si l'administrateur système retire une autorisation spéciale associée à une autorisation standard, la case à cocher de l'autorisation standard n'est plus active. La case à cocher de l'autorisation spéciale figurant sous l'autorisation standard est active. Voici quelques-unes des caractéristiques les plus communes des dossiers partagés :

Un dossier partagé apparaît dans l'Explorateur Windows sous la forme d'une icône représentant une main tenant le dossier.

Vous pouvez partager des dossiers, mais pas des fichiers individuels. Si plusieurs utilisateurs doivent accéder à un même fichier, vous devez placer

le fichier dans un dossier, puis partager le dossier.



192 Lorsqu'un dossier est partagé, l'autorisation de lecture est accordée par défaut

au groupe Tout le monde. Retirez l'autorisation par défaut et accordez aux groupes l'autorisation de modification ou de lecture en fonction des besoins.

Lorsque des utilisateurs ou des groupes sont ajoutés à un dossier partagé, les utilisateurs et les groupes reçoivent par défaut l'autorisation de lecture.

Lorsque vous copiez un dossier partagé, le dossier d'origine reste partagé, mais pas la copie. Lorsque vous déplacez un dossier partagé, le dossier n'est plus partagé.

Vous pouvez masquer un dossier partagé en plaçant le symbole du dollar ($) à la suite du nom du dossier. L'utilisateur ne peut alors pas voir le dossier partagé dans l'interface graphique, mais il peut y accéder en tapant le nom UNC (Universal Naming Convention), tel que \\server\secrets$.

Lorsque vous créez un dossier partagé dans une partition NTFS, les autorisations de dossier partagé et NTFS sont combinées pour protéger les fichiers. Les autorisations NTFS s'appliquent lorsque l'accès à la ressource s'effectue localement ou via un réseau. Lorsque vous accordez des autorisations de dossier partagé sur un volume NTFS, les règles suivantes s'appliquent : Des autorisations NTFS sont nécessaires sur les volumes NTFS. Par défaut, le groupe Tout le monde dispose de l'autorisation de lecture. Les utilisateurs doivent disposer d'autorisations NTFS sur chaque fichier et sous-dossier d'un dossier partagé, en plus des autorisations de dossier partagé, pour pouvoir accéder à ces ressources. Lorsque vous combinez les autorisations NTFS et les autorisations de dossier partagé, l'autorisation résultante correspond à l'autorisation la plus restrictive des autorisations de dossier partagé et des autorisations NTFS combinées.



193

Création de groupes et permissions NTFS

☺ TP à réaliser. ======================================================================a). Création de 2 comptes : Betty et Eric Ouvrir une session en tant que : Nom : Administrateur Mot de passe : P@sswrdXXXX Se connecter à : choisir le nom de votre machine (SAM local) Bouton « Démarrer… », puis «Outils d’ Administration », puis « Gestion de l’ordinateur » (sans AD), avec AD il faudra utiliser « Active Directory Users and Computers ». Developpez « Utilisateurs et groupes locaux ». Bouton droit sur « Utilisateurs », puis « Nouvel utilisateur » : Nom d’utilisateur : Betty Nom complet : Betty de gefi Description: Stagiaire Gefi Mot de passe : P@sswrd Confirmer le mot de passe : P@sswrd Décocher : “L’utilisateur doit changer de mot de passé à la prochaine ouverture de session” Cocher ensuite : “L’utilisateur ne peut pas changer de mot de passe” et “Le mot de passe n’expire jamais” Puis cliquez sur “Créer. Nouvel utilisateur : Nom d’utilisateur: Eric Nom complet : Eric de gefi Description: Stagiaire de Gefi Mot de passe : P@sswrd Confirmer le mot de passe: P@sswrd Décocher : “doit changer de mot de passé à la prochaine ouverture de session” Cocher ensuite : “ L’utilisateur ne peut pas changer de mot de passe” et “Le mot de passe n’expire jamais ” Puis cliquez sur “ Créer. Puis cliquez sur “Fermer.

b). Création de groupes (en Wokstation uniquement des Grp locaux uniquement Toujours dans « Gestion de l’ordinateur », bouton droit sur « Groupe », puis « Nouveau groupe » : Nom du groupe : Test Description : TP Dans « Membres » cliquez sur « Ajouter », dans « Entrer les noms des objets à sélectionner » taper « Betty », puis cliquez sur « Emplacement » et choisir le nom de votre PC, puis « OK » cliquez sur« Vérifier les noms », puis sur « OK », puis sur « Créer ». Nom du groupe : Test1 Description : TP1 Dans « Membres » cliquez sur « Ajouter », dans « Entrer les noms des objets à sélectionner » taper « Eric », puis cliquez sur « Emplacement » et choisir le nom de votre PC, puis « OK » cliquez sur « Vérifier les noms », puis sur « OK », puis sur « Créer », puis sur « Fermer ».

***N’oubliez pas d’ajouter Betty dans le groupe local test, et Eric dans la groupe local test1***

Fermer « Gestion de l’ordinateur ».

Full C l

Read

Full C l

Read



194

c).Partage de ressources plus affectation de permissions NTFS Bouton « Démarrer », puis « Explorateur Windows » (developpez “Poste de travail”). Vérifier que votre HDD C: est en NTFS (bouton droit sur C:, “Propriétés” => Système de fichiers =NTFS, “OK”). Sur C : créer 2 répertoires : « C:\test » et « C:\test1 » Sélectionner le HDD « C : », Menu « Fichier », « Nouveau dossier », puis Test. Sélectionner le HDD « C : », Menu « Fichier », « Nouveau dossier », puis Test1. Mettre 1 fichier dans le répertoire « Test » et « Test1 ». Sélectionner le répertoire « Test », dans la partie de droite, bouton droit sur un espace vide, « Nouveau » puis « Document Texte ». Nom document : Test.txt Double cliquez sur « Test.txt », et saisir comme contenu : « Blabla !!!! ». Fermer, puis valider par « Oui » (confirmation des changements). Sélectionner « Test.txt », puis « CTRL+C » (copier). Sélectionner le répertoire « Test1 », partie de l’écran de droite (espace vide) faire « CTRL+V » (coller). Bouton droit sur le répertoire « Test », puis « Partage et sécurité » Onglet « Partage », puis sélectionner « Partager ce dossier ». Nom du partage : test Nombre d’utilisateurs autorisés : 2 Vérifier par le bouton “Autorisations” que « Tout le monde » à comme permission NTFS « Control total», puis cliquez sur « Appliquer » puis« OK ». Onglet « Sécurité » Cliquez sur le bouton « Ajouter », puis dans « Entrer les noms des objets à sélectionner » taper : test. Cliquez sur le bouton “Emplacement : choisir le nom de votre PC, puis choisir « Vérifier les noms », puis sur « OK ». Sélectionner le groupe « test », puis cocher la case « « Control total » puis sur « Appliquer ». Cliquez de nouveau sur le bouton « Ajouter », puis dans « Entrer les noms des objets à sélectionner » taper : test1. Cliquez sur le bouton “ Vérifier les noms ”, puis sur « OK ». Sélectionner le groupe « test 1», puis cocher la case « Lecture et Affichage du contenu du dossier » , puis sur « Appliquer ». Cliquez sur le bouton « Paramètres avancés », sélectionner les lignes contenant « Utilisateurs », puis décocher la case « Permettre aux autorisations héritées du parent…… », cliquez sur « Supprimer », puis sur « OK De nouveau dans l’explorateur de Windows : Bouton droit sur le répertoire « Test1 », puis « Partage et sécurité » Onglet « Partage », puis sélectionner « Partager ce dossier ». Nom du partage: test1 Nombre d’utilisateurs autorisés :2 Vérifier par le bouton “ Autorisations ” que « Tout le monde » à comme permission NTFS « Control total », puis cliquez sur « OK ». Onglet « Sécurité » Cliquez sur le bouton « Ajouter », puis dans « Entrer les noms des objets à sélectionner » taper : Betty. Cliquez sur le bouton “ Emplacement » choisir le nom de votre PC, puis cliquez sur « Vérifier les noms ”, puis sur « OK ». Sélectionner le compte « Betty », puis cocher la case « « Lecture et Affichage du contenu du dossier », puis sur « Appliquer ». Cliquez de nouveau sur le bouton « Ajouter », puis dans « Entrer les noms des objets à sélectionner » taper : Eric. Cliquez sur le bouton “ Vérifier les noms ”, puis sur « OK ». Sélectionner le compte « Eric», puis cocher la case « Control total ». Cliquez sur le bouton « Paramètres avancés », sélectionner les lignes contenant « Utilisateurs », puis décocher la case « Permettre aux autorisations héritées du parent…… », cliquez sur « Supprimer », puis sur « OK » et de nouveau « OK ». d). Vérification de l’application des permissions NTFS Ouvrir une session en tant que « Betty » ou « Eric » Faire « CTRL+ALT+SUPPR », puis « Logoff », puis « CTRL+ALT+SUPPR », « Logon » Nom user : Betty Password : P@sswrd Essayer de modifier le contenu du fichier « test.txt » situé dans le répertoire « test » et « test1 ». Editer le fichier : Taper le mot « Blabla » est enregistrer le, y êtes-vous

parvenu ? « C:\test\test.txt » « C:\test1\test.txt »



195 Faire « CTRL+ALT+SUPPR », puis « Logoff », puis « CTRL+ALT+SUPPR », « Logon » Nom user : Eric Password : P@sswrd Essayer de modifier le contenu du fichier « test.txt » situé dans le répertoire « test » et « test1 ». Editer le fichier : Taper le mot « Blabla » est enregistrer le, y êtes-vous

parvenu ? « C:\test\test.txt » « C:\test1\test.txt » e). Vérification de l’accès au partage et des permissions NTFS à travers le réseau Connexion à une ressource sur la machine de votre voisin en tant que compte « Betty » Bouton « Démarrer… », puis « Exécuter », taper le nom UNC : \\Nom_Serveur_Voisin\test User Name : Betty Password : P@sswrd Vérifier si le fichier “test.txt” peut être modifié ? Faire de même pour le compte « Eric » sur ce même fichier du répertoire « test ».

======================================================================

L A C O M M A N D E C A C L S


196

LA COMMANDE CACLS

La commande CACLS de Windows NT/2000/XP/Server 2003 permet d'afficher et modifier des listes de contrôles d'accès. Syntaxe :

La commande CACLS présente de nombreuses restrictions, comme son incapacité à définir des accès spéciaux et à traiter plusieurs fichiers simultanément

Cacls.exe peut être employé pour montrer ou modifier des listes de contrôle d'accès (ACLs) pour un ou plusieurs fichiers. Il inclut les options spécifiques qui peuvent être employées pour accorder (/g), révoquer (/r), remplacer (/p), ou interdir des droits d'accès à l'utilisateur (/d). Par exemple, vous pouvez employer la commande cacls pour accorder un droit d'accès à un utilisateur. En ligne de commande, tapez la commande cacls en employant la syntaxe suivante : cacls nomdufichier /t /e /c cacls nomdufichier /g /p utilisateur:autorisation cacls nomdufichier /r /d utilisateur Par exemple, pour accorder un contrôle total et exclusif au fichier "machin" pour l'utilisateur "Toto", tapez : Cacls machin /g toto:f En sens inverse, si vous ne souhaitez pas modifier les droits de sécurité accordés aux autres utilisateurs, tapez :



197cacls machin /g /e toto:f Si vous voulez autoriser un accès total aux administrateurs pour tous les fichiers, dossiers et sous-dossiers du lecteur C :, tapez : cacls c:\ /t /e /g Administrateur:f Pour ajouter une permission de lecture concernant un dossier nommé " top secret " (mais non ses sous-dossiers) pour le groupe d'utilisateurs appelé " Amis " et le groupe des utilisateurs mais refuser toutes autorisations pour le groupe appelé " Espions ", tapez : cacls c:\top-secret /e /g Examinateurs:r Users:r /r Espions Pour réinitialiser l'ensemble des paramètres par défaut du lecteur C:, tapez (en vous plaçant sur C:) : cacls * /t /e /c /g administrateurs:f system:f

j'ai perdu l'acces au répertoire racine de la partition bootable et je ne peux plus me connecter. Si vous fixez le droit "Aucun Accès" a la partition de boot, vous ne pourrez plus vous connectez. Dans ce cas faites : ====================================================================== 1. Connectez-vous en tant qu'Administrateur. 2. Lorsque vous aurez l'ecran 'chemin trop long", cliquez sur Ok." 3. Appuyez sur Ctrl-Alt-Supp, la boite de dialogue de Windows sur la sécurité apparaît. 4. Appuyez sur le bouton "Gestionnaire de tache" et le gestionnaire de tache apparaît. 5. Sélectionnez l'onglet application et cliquez sur le bouton "Nouvelle tache". 6. Entrez le chemin "%systemroot%\system32\cmd.exe" 7. Puis la commande CACLS d:\ /e /g « tout le monde »:F Ou D: est la partition de boot. 8. Sélectionnez le gestionnaire de tache et cliquez sur "Nouvelle Tache" , puis tapez " %systemroot%\explorer.exe", le bureau apparaît alors. 9. Déconnectez-vous et reconnectez pour vérifier que tous est normal. 10. Vous pouvez maintenant fixer les permissions sur la racine. ======================================================================



198

Utilisation de la commande CACLS

☺ TP à réaliser. ======================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX Domaine : Nom de votre Machine (SAM local) b. Lancer l’explorateur de Windows ( +E) c. Faire bouton droit sur temp, puis Propriétés d. Onglet Sécurité, observer les différentes permissions positionnées !! Notez-les ici : ................................................................................................................................................................................................................................................................................................................................................................................ e. Démarrer une ligne de commande, bouton Démarrer, Exécuter...., puis cmd. f. Taper la commande C:\> cacls c:\temp Vous devez voir ceci : C:\temp BUILTIN\Administrateurs:(OI)(CI)F AUTORITE NT\SYSTEM:(OI)(CI)F BUILTIN\Administrateurs:F CREATEUR PROPRIETAIRE:(OI)(CI)(IO)F BUILTIN\Utilisateurs:(OI)(CI)R BUILTIN\Utilisateurs:(CI)(accès spécial :) FILE_APPEND_DATA BUILTIN\Utilisateurs:(CI)(accès spécial :) FILE_WRITE_DATA g. Tapez la commande suivante C:\> cacls c:\temp /t /g administrateur:f, valider par « O » Vérifier l'ACL de C:\temp ? ................................................................................................................................................................................................................................................................................................................................................................................ h. Tapez la commande suivante C:\> cacls c:\temp /t /g "tout le monde":r, valider par « O » Vérifier l'ACL de C:\temp ? que constatez-vous ? ................................................................................................................................................................................................................................................................................................................................................................................ i. Tapez la commande suivante C:\> cacls c:\temp /t /e /g administrateur:f, valider par « O » Vérifier l'ACL de C:\temp ? que constatez-vous ? ............................................................................................................................................................................................................................................................................................................................................................................... j. Cliquez sur Paramètres avancées de l’onglet Sécirité, onglet Autorisations effectives, bouton sélctionner, saisir tout le monde, puis vérifier les noms, puis OK et observer les permissions effectives ainsi attribuées ? ............................................................................................................................................................................................................................................................................................................................................................................... Remarque : Pour retirer une ACE à la DACL : C:\> cacls /t /e /r «tout le monde» Voici les permissions disponibles par cette commande Valeur Description n Aucune r Lecture w Écriture c Changer (écrire) f Contrôle total Le tableau suivant vous permet d'interpréter les résultats. Sortie Portée de l'application de l'entrée de contrôle d'accès OI Ce dossier et les fichiers. CI Ce dossier et les sous-dossiers. IO L'entrée de contrôle d'accès ne s'applique pas au fichier/répertoire en cours. Aucun message en sortie Ce dossier uniquement.

(IO)(CI) Ce dossier, les sous-dossiers et les fichiers. (OI)(CI)(IO) Les sous-dossiers et les fichiers seulement. (CI)(IO) Les sous-dossiers seulement. (OI)(IO) Les fichiers seulement. ======================================================================



199

Questions/Réponses 1. Les utilisateurs du service Produits doivent constamment se référer à des informations relatives aux produits qui sont stockées dans un dossier du serveur. Ce dossier contient également des applications que les utilisateurs peuvent avoir besoin d'exécuter. Les utilisateurs ne sont toutefois pas autorisés à apporter des modifications aux fichiers contenus dans le dossier. Quelles autorisations faut-il accorder sur ce dossier ? A. Lecture. B. Lecture et exécution. C. Afficher le contenu du dossier. D. Lecture et écriture. Réponse correcte : B. Toutes les réponses permettent aux utilisateurs de voir les informations, mais seule la réponse B leur permet d'ouvrir les fichiers et d'exécuter les applications contenues dans le dossier sans pouvoir modifier les fichiers ni le dossier. 2. L'administrateur réseau vous demande d'administrer l'imprimante couleur qui a été mise en place pour le service Ventes. De quelle autorisation sur l'imprimante avez-vous besoin, sachant que vous devez pouvoir gérer l'impression des documents, le partage de l'imprimante et la modification de ses propriétés ? A. Imprimer. B. Contrôle total. C. Gestion des documents. D. Gestion d'imprimante. Réponse correcte : D. L'autorisation Gestion d'imprimante permet à un utilisateur d'effectuer toutes les actions nécessaires. L'autorisation Imprimer permet à l'utilisateur d'imprimer un document. L'autorisation Gestion des documents permet à un utilisateur d'agir sur tous les documents placés dans la file d'attente de l'imprimante. L'autorisation Contrôle total n'existe pas pour les imprimantes. 3. L'administrateur réseau du service Ingénierie doit limiter l'utilisation de l'imprimante réservée à ce service. Que doit-il faire pour que seuls les employés du groupe Ingénierie puissent accéder à l'imprimante ? A. Ajouter l'autorisation Imprimer à tous les utilisateurs du service Ingénierie. B. Ajouter l'autorisation Imprimer au groupe Ingénierie et conserver l'autorisation par défaut du groupe Tout le monde. C. Supprimer l'autorisation par défaut Imprimer du groupe Tout le monde et accorder cette autorisation uniquement au groupe Ingénierie. D. Supprimer l'autorisation par défaut Imprimer du groupe Ingénierie et accorder cette autorisation au groupe Tout le monde. Réponse correcte : C. Les autorisations par défaut sur une imprimante accordent l'autorisation Imprimer au groupe Tout le monde. L'administrateur doit d'abord supprimer ce groupe, puis ajouter uniquement le groupe qui a besoin d'accéder à l'imprimante, à savoir le groupe Ingénierie dans le cas présent. 4. Un utilisateur vous téléphone pour savoir pourquoi il n’arrive pas à créer un fichier dans le dossier racine. Il utilise des noms de fichier longs et le dossier racine se trouve dans une partition FAT, mais il n’y a que 278 entrées dans ce dossier. D’où vient le problème à votre avis ? Le répertoire racine FAT est limité par code à 512 entrées. Dans les partitions FAT, un nom de fichier long crée une entrée de répertoire pour chaque séquence de 13 caractères plus une autre entrée de répertoire pour son alias. Par exemple, si un nom de fichier comprend 15 caractères, il génère deux entrées de répertoire pour le nom de fichier long et une troisième pour son alias. Un nom de fichier long de 36 caractères génère en tout quatre entrées de répertoire : trois pour le nom de fichier et un pour son alias. Si les 278 entrées du répertoire racine sont en majorité des noms de fichier longs, il se peut que l’utilisateur ne dispose plus d’entrées disponibles et ne soit donc plus en mesure d’ajouter des fichiers dans le répertoire racine.



200 5. Après avoir mis à niveau vos ordinateurs de Windows 98 vers Windows XP Professionnel, vous avez décidé de tirer parti des fonctionnalités développées du système de fichiers NTFS. Comment pouvez-vous utiliser ces fonctionnalités développées avec le minimum de tâches administratives et également gérer les données utilisateur ? Utilisez l'utilitaire de conversion. La commande sera convert c: /FS:NTFS. 6. Un utilisateur stocke un très grand nombre de fichiers graphiques sur un disque local. Pour des besoins de sécurité, il a été décidé que ces fichiers doivent être stockés uniquement sur l'ordinateur de cet utilisateur. L'utilisateur annonce que Windows XP Professionnel affiche un message indiquant que le lecteur C est à court d'espace disque. Vous avez vérifié que le disque ne dispose plus d'espace non alloué non formaté. Que pouvez-vous faire pour aider cet utilisateur ? Utilisez la compression NTFS pour compresser les dossiers contenant les fichiers graphiques. Ces fichiers vont probablement être compressés à un pourcentage bien inférieur à l'espace utilisé. 7. Un utilisateur a créé un dossier sur le lecteur D pour archiver d'anciens fichiers. Il a utilisé la compression NTFS sur le dossier. L'utilisateur vous appelle pour vous demander pourquoi certains fichiers sont compressés lors du déplacement vers le dossier compressé, tandis que d'autres ne le sont pas. Que répondez-vous à l'utilisateur ? Lorsque les fichiers sont déplacés du lecteur C au lecteur D, ils héritent de l'attribut de compression du nouveau dossier. Lorsque les fichiers sont déplacés d'un emplacement du lecteur D vers un autre, l'attribut de compression du dossier d'origine est conservé. 8. Le responsable des ventes a récemment été promu directeur commercial adjoint, et un responsable des ventes régional a été promu à son poste. Le nouveau responsable des ventes a besoin de prendre possession des fichiers des rapports de ventes mensuels. Comment la propriété des fichiers peut-elle être transférée au nouveau responsable des ventes à l'aide d'autorisations NTFS spéciales ? Le propriétaire des fichiers peut accorder au nouveau responsable des ventes l'autorisation NTFS Appropriation. Ainsi, le nouveau responsable des ventes peut prendre possession des fichiers existants. 9. Votre ordinateur est utilisé par plusieurs personnes. Comment pouvez-vous vérifier que les utilisateurs autorisés de cet ordinateur puissent uniquement accéder à leurs propres fichiers de données ? Vous pouvez convertir le lecteur au format NTFS, créer un dossier pour chaque utilisateur, puis configurer les autorisations NTFS de chaque dossier pour que chaque utilisateur accède uniquement à son propre dossier.



20110. Un utilisateur appelé JDRoland est membre du groupe Ingénieurs, du groupe RespING et du groupe Utilisateurs. Les autorisations NTFS sur le dossier Drawings sont les suivantes :

JDRoland – Aucune (ce n’est pas une action de Aucun Accès, mais de non notifié) Ingénieurs – Contrôle total RespING – Lecture seule Utilisateurs – Aucune (ce n’est pas une action de Aucun Accès, mais de non notifié)

Quels sont les droits de JDRoland sur le dossier Drawings ? Pourquoi ? Contrôle total. Bien que le compte d'utilisateur ne fournisse pas de droit spécifique, il est membre du groupe Ingénieurs. Étant donné que les autorisations NTFS peuvent être cumulées, le compte d'utilisateur JDRoland dispose de l'autorisation Contrôle total. 11. Vous configurez des autorisations NTFS sur un dossier et vous remarquez que certaines des cases à cocher Autorisations sont activées mais grisées et vous ne pouvez pas les désactiver. Quelle peut être le problème et comment pouvez-vous les désactiver ? Si une case à cocher est grisée, cela signifie que l'autorisation qui lui est associée est héritée de son dossier parent. Pour modifier ces droits, désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet, supprimez les droits hérités, puis définissez les autorisations selon vos besoins. 12. Quelle est la meilleure façon de sécuriser les fichiers et les dossiers que vous partagez sur des partitions NTFS ? Placez les fichiers que vous voulez partager dans un dossier partagé et conservez l'autorisation par défaut sur le fichier partagé (le groupe Tout le monde avec l'autorisation Contrôle total). Accordez ensuite aux utilisateurs et aux groupes les autorisations NTFS appropriées sur les fichiers et les dossiers du dossier partagé. 13. Un utilisateur tente de se connecter à un autre ordinateur en utilisant le nom UNC \\serveur\c$ pour accéder à tous les fichiers et dossiers du lecteur C: mais l'accès lui est refusé. L'utilisateur sait que le dossier partagé C$ est automatiquement créé par défaut. Pourquoi ne peut-il pas accéder à ce dossier partagé ? L'utilisateur ne dispose pas de privilèges administratifs sur l'ordinateur auquel il tente d'accéder. Un dossier partagé masqué est créé à la racine de chaque partition définie, mais il n'est accessible qu'aux utilisateurs qui disposent de privilèges administratifs. 14. Il vous a été demandé de créer des comptes d'utilisateur pour une entreprise qui compte trente employés. Elle possède un serveur qui exécute Active Directory, quatre serveurs membres auxquels tous les employés doivent pouvoir accéder, et 31 ordinateurs qui exécutent Windows 2000 Professionnel. Quels types de comptes d'utilisateur devez-vous créer ? Pourquoi ? Sur quels ordinateurs ces comptes doivent-ils résider ? Créez des comptes d'utilisateur de domaine, car la société utilise Active Directory pour permettre aux utilisateurs d'accéder aux ressources réseau. Les comptes d'utilisateur de domaine doivent résider sur le contrôleur de domaine. 15. Vous êtes membre du groupe Administrateurs du domaine, et vous devez créer plusieurs comptes d'utilisateur de domaine. Toutefois, le contrôleur de domaine est physiquement situé dans un bureau fermé à clé et auquel vous ne pouvez pas accéder. Votre propre ordinateur exécute Windows 2000 Professionnel. Comment pouvez-vous créer les comptes d'utilisateur de domaine à partir de votre ordinateur ? Installez les outils d'administration de Windows 2003 sur votre ordinateur, à partir des CD-ROM Windows 2003 Server ou Windows 2003 Enterprise Server. Pour créer les comptes d'utilisateur de domaine, ouvrez la console Utilisateurs et groupes Active Directory à partir du menu Outils d'administration. 16. Vous avez créé un compte d'utilisateur de domaine qui sera utilisé par un employé chargé du traitement des données. Vous ne voulez pas que cet utilisateur soit en mesure d'ouvrir une session sur l'un des autres ordinateurs. Quelle limite pouvez-vous affecter à ce compte pour qu'il ne puisse accéder qu'à l'ordinateur de l'utilisateur ? Configurez le compte pour que l'accès soit possible à l'ordinateur de cet utilisateur, en cliquant sur le bouton Se connecter à dans l'onglet Compte de la boîte de dialogue



202 Propriétés de ce compte d'utilisateur. Ajoutez le nom de cet ordinateur dans la zone Nom de l'ordinateur. 17. Un utilisateur reçoit un message d'erreur lorsqu'il tente d'ouvrir une session. Ce message d'erreur indique que Windows n'a pas pu repérer le profil itinérant de cet utilisateur, et que le chemin d'accès du réseau n'a pas été trouvé. Vous vérifiez l'onglet Profil de la boîte de dialogue Propriétés de ce compte, et le chemin d'accès du profil est défini comme \\partage\serveur\nom_d'ouverture_de_session_utilisateur. Pourquoi cet utilisateur ne peut-il pas ouvrir de session ? Le chemin d'accès est incorrect. Le chemin d'accès du profil devrait être \\serveur\partage\nom_d'ouverture_de_session_utilisateur. 18. Utilisateur1 dispose de l'autorisation Contrôle total sur le dossier Recherche. Un administrateur crée un compte pour Utilisateur2 en copiant le compte d'Utilisateur1. Lorsqu'Utilisateur2 tente d'accéder au dossier Recherche, il reçoit un message d'erreur indiquant que l'accès lui est refusé. Pourquoi Utilisateur2 ne peut-il pas accéder au dossier Recherche ? Les autorisations et les droits affectés au compte d'utilisateur de domaine d'origine ne sont PAS copiés dans le nouveau compte d'utilisateur de domaine. 19. Les employés du groupe Service après-vente se plaignent que leurs paramètres de bureau sont différents lorsqu'ils ouvrent une session sur différents ordinateurs dans leur service. Comment pouvez-vous garantir que les paramètres du bureau seront identiques, quel que soit l'ordinateur sur lequel ils ouvrent une session ? Créez un profil itinérant obligatoire, et indiquez que tous les utilisateurs du groupe Service après-vente doivent l'utiliser.

Application d’un script en local (rappel)

☺ TP à réaliser. ======================================================================a. Ouvrez une session en utilisant les informations suivantes : Utilisateur : Administrateur Mot de passe : P@sswrdXXXX Domaine : Nom de votre Machine (SAM local) Créer un utilisateur BILL, avec comme mot de passe : P@sswrd Mettre BILL dans le groupe administrateurs Via le Bloc Notes, créer un fichier script nommé test.bat Ce script doit réaliser les actions suivantes : Créer un répertoire C:\test Partager ce dossier C:\test en DOCS (celui-ci doit être caché), nombre de connexion max : 5 utilisateurs, avec comme commentaire : Ceci est un partage pour un test de script Remplacer les permissions antérieure de C:\test et sous dossier par administrateur=Contrôl totale Ajouter la permission suivante à C:\test et sous dossier par Tout le monde=Lire Créer un lecteur réseau K :, qui ponte sur le serveur ServNet (domaine de Bourges) sur le dossier Temp, ayant comme login Nom=Marcel, Password=P@sswrd1 Fermer la session et ouvrez une nouvelle session en tant que BILL (vérifier que le script c’est bien réalisé) ======================================================================

S T R A T É G I E S D E G R O U P E S


203

STRATÉGIES DE GROUPES

Le service d'annuaire Active Directory® utilise une stratégie de groupe pour administrer les utilisateurs et les ordinateurs connectés à votre réseau. Grâce à la stratégie de groupe, il suffit de définir une seule fois l'état de l'environnement de travail d'un utilisateur et de laisser ensuite la famille Windows Server 2003 appliquer systématiquement les paramètres de cette stratégie. Vous pouvez appliquer les paramètres de stratégie de groupe à l'échelle d'une entreprise ou à des groupes d'utilisateurs et d'ordinateurs donnés. Par défaut, après installation de Windows, aucune stratégie n'est configurée, et tout est permis (aux restrictions près liées aux groupes prédéfinis d'utilisateurs : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir,...)

La console Stratégie de groupe dans Microsoft® Windows® 2000/2003 vous permet de mieux contrôler l'administration des utilisateurs et des ordinateurs sur votre réseau. Vous pouvez appliquer ces paramètres sur l'ensemble d'un réseau ou vous pouvez appliquer la stratégie de groupe définie uniquement pour des groupes spécifiques d'utilisateurs et d'ordinateurs. Par exemple, l'administrateur peut implémenter les paramètres de la console Stratégie de groupe qui engendreront les événements suivants : _ Exécution d'un script de démarrage sur tous les ordinateurs d'une unité d'organisation ; _ Audit de toutes les tentatives d'ouverture de session infructueuses dans un domaine. Les paramètres précis contenus dans un objet Stratégie de groupe (GPO, Group Policy Object) vous permettent de contrôler des configurations utilisateurs et ordinateurs spécifiques.

Une stratégie sert à mettre en place une ou plusieurs restrictions d'utilisation de Windows et des ses composants principaux. Par exemple :



204 • Menu Démarrer et Barre des tâches

o Désactiver et supprimer les liens vers Windows Update o Supprimer le groupe de programmes communs du menu Démarrer o Supprimer le menu Documents du menu Démarrer o Désactiver les programmes du menu Paramètres o Supprimer les Connexions réseau et accès distant du menu Démarrer o Supprimer le menu Exécuter du menu Démarrer o Désactiver la fermeture de session dans le menu Démarrer o Désactiver et supprimer la commande Arrêter o ...

• Panneau de configuration o Désactiver le Panneau de configuration o Masquer les applications du Panneau de configuration spécifiées o ...

• Système o Ne pas afficher l'écran de bienvenue à l'ouverture de session o Désactiver l'invite de commandes o Désactiver les outils de modifications du Registre o Exécuter seulement les applications Windows autorisées o N'exécutez pas les applications Windows spécifiées o Activer les quotas de disque o ...

• Internet Explorer o Désactiver la personnalisation de Internet Explorer par des tiers o Désactiver l'importation et l'exportation des favoris o Désactiver la modification des paramètres de la page de démarrage o ...

• NetMeeting o Désactiver le partage de Bureaux distants o ...

Les stratégies diffèrent des préférences (utilisateur) et comparer les deux moyens permet de mieux comprendre comment Windows utilise la stratégie. Les utilisateurs affectent leurs préférences, comme leurs papiers peints de bureau. Ils peuvent changer leurs préférences n'importe quand. Les administrateurs positionnent la stratégie, comme l'emplacement du dossier « Mes Documents » et ils ont la priorité sur la préférence des utilisateurs. Windows stocke la stratégie dans le registre séparément des préférences utilisateurs. Si la stratégie existe, le système d'exploitation emploie les paramètres indiqués par la stratégie. Si la stratégie n'existe pas, le système d'exploitation emploie les préférences utilisateurs. En absence de préférence utilisateur, le système d'exploitation emploie un paramètre par défaut. Une chose importante est qu'une stratégie ne change pas la préférence utilisateur équivalente, s'ils les deux éléments existent en même temps, la stratégie a la préséance. Aussi, si l'administrateur enlève la stratégie, la préférence utilisateur est de nouveau employée. Windows enlève automatiquement les paramètres GPOs du registre quand les GPOs ne s'appliquent plus à l'utilisateur ou à l'ordinateur. Aussi, la Stratégie de Groupe ne recopie pas les préférences utilisateurs. Ainsi si vous supprimez un GPO de l'Active Directory, Windows enlève les paramètres de ce GPO du registre et revient en arrière, aux préférences utilisateurs. De même, si vous enlevez une stratégie individuelle du GPO, Windows enlève ce paramètre du registre et rétablit les préférences existantes de l'utilisateur. La stratégie de groupe ne fait pas de changements permanents et irréversibles au niveau du Registre. La Stratégie Système fait des changements permanents et irréversibles au niveau du registre, en d'autres termes, cela tatoue le registre. Enlever la Stratégie Système



205enlève toute les stratégies contenue dans le registre. Le seule façon de rétablir les préférences utilisateurs, assumant que cette stratégie ne recopie pas leurs préférences, est de manuellement enlever la stratégie du registre où en changant explicitement les paramètres de la Stratégie Système survenante. Windows combine ensemble les stratégies dans un Group Policy object (GPO). Un GPO peut être considéré comme un conteneur pour les stratégies que vous appliquez et leurs paramètres. Il est possible d’appliquer plusieurs GPO à un seul site, à un domaine ou à une unité d’organisation (OU). Dans l'Active Directory, vous avez de multiples GPOs, qui s'appliquent aux utilisateurs et à des ordinateurs, selon où ils sont dans l'arborescence. Les stratégies de groupes simplifient l’administration en procurant aux administrateurs la maîtrise centrale des privilèges, des autorisations et des fonctionnalités des utilisateurs et des ordinateurs. Une stratégie de groupe peut s’appréhender comme un ensemble de règles qui vous aident à gérer des utilisateurs et des ordinateurs. Les stratégies de groupe sont applicables à plusieurs domaines, à des domaines individuels, à des sous-groupes de domaines et à des systèmes individuels. Dans ce dernier cas, elles sont dites locales et stockées sur le système local. Les autres stratégies de groupe sont liées en tant qu’objets dans le service d’annuaire Active Directory. La console Gestion des stratégies de groupe combine la fonctionnalité de tous ces composants dans une interface utilisateur unique. Cette interface est organisée selon la manière dont vous utilisez et administrez la stratégie de groupe. Elle intègre, dans un composant logiciel enfichable MMC unique, la fonctionnalité de stratégie de groupe des outils suivants :

Utilisateurs et ordinateurs Active Directory Sites et services Active Directory Jeu de stratégie résultant (RSoP, Resultant Set of Policy)

Le contenu d'un objet GPO est stocké dans deux emplacements différents. Ces emplacements sont décrits ci-dessous. _ Conteneur de stratégie de groupe. Le conteneur de stratégie de groupe est un objet Active Directory qui contient les informations de version et les attributs de l'objet GPO. Le conteneur de stratégie de groupe se trouvant dans Active Directory, les ordinateurs peuvent y accéder pour rechercher les modèles de stratégie de groupe, et les contrôleurs de domaine pour obtenir les informations de version. Un contrôleur de domaine utilise les informations de version pour vérifier qu'il dispose de la dernière version de l'objet GPO. Sinon, la duplication s'effectue dans le contrôleur de domaine qui dispose de la dernière version de l'objet GPO. Modèle de stratégie de groupe. Le modèle de stratégie de groupe est une hiérarchie de dossiers située dans le dossier Sysvol des contrôleurs de domaine. Lorsque vous créez un objet GPO, Microsoft Windows 2003 crée la hiérarchie de dossiers du modèle GPT correspondante. Le modèle de stratégie de groupe contient tous les paramètres et informations de stratégie de groupe, y compris les paramètres des modèles d'administration, de sécurité, d'installation de logiciels, de scripts et de redirection des dossiers.



206 Les ordinateurs se connectent au dossier Sysvol pour se procurer les paramètres. Le nom du dossier de ce modèle est l'identificateur universel unique (GUID, Globally Unique IDentifier) de l'objet GPO que vous avez créé. Celui-ci est identique à l'identificateur GUID qui identifie l'objet GPO dans le conteneur de stratégie de groupe. Le chemin du modèle de stratégie de groupe sur un contrôleur de domaine est racine_système\Sysvol\Sysvol. Plutôt que d'inclure tous les types de paramètres de stratégie de groupe pour un site, un domaine ou une unité d'organisation dans un seul objet GPO, vous pouvez créer plusieurs objets GPO pour différents types de paramètres de stratégie de groupe, puis les lier aux sites, domaines ou unités d'organisation appropriés. Par exemple, vous pouvez lier à une même unité d'organisation un objet GPO contenant les paramètres de la sécurité réseau et un autre objet GPO contenant l'installation des logiciels. Ces divers objets GPO peuvent également être liés à d'autres unités d'organisation. Il est possible de contrer cette notion d’héritage, pour cela vous devez spécifiquement assigner une règle à un conteneur enfant qui annule la même règle définie au niveau du parent. Tant que l’annulation est autorisée (c’est à dire tant qu’elle n’est pas bloquée), la règle définie au niveau de l’enfant s’applique et prime sur la règle héritée. Lorsque de multiples stratégies sont en place, elles s’appliquent dans l’ordre suivant :

1. Stratégies Windows NT (NTConfig.pol avec Poledit.exe) 2. Stratégies de groupes locales (crée sur votre propre machine) 3. Stratégies de groupes de site 4. Stratégies de groupe de domaine 5. Stratégies de groupe d’unité d’organisation 6. Stratégies de groupe d’unité d’organisation enfant

En cas de conflit entre les paramètres de différentes stratégies, les paramètres les plus récents prennent le pas et remplacent les paramètres antérieurs. Ex : les paramètres d’unité d’organisation priment sur les stratégies de domaine.

Résolution des conflits Lorsqu'un paramètre de la console Stratégie de groupe est configuré pour une unité d'organisation parent et qu'il n'est pas configuré pour une unité d'organisation enfant, les objets de cette dernière héritent du paramètre de la console Stratégie de groupe de l'unité d'organisation parent. Si un paramètre de la console Stratégie de groupe est configuré à la fois pour les unités d'organisation parent et enfant et que les paramètres sont compatibles, les paramètres des deux unités d'organisation s'appliquent. Si les paramètres sont incompatibles, l'unité d'organisation enfant conserve son propre paramètre de stratégie de groupe. En d'autres termes, un paramètre de la console Stratégie de groupe du conteneur Active Directory le plus proche de l'ordinateur ou de l'utilisateur peut remplacer un paramètre en conflit dans un conteneur situé plus haut dans la hiérarchie d'Active Directory. Si l'ordre d'héritage par défaut ne répond pas aux besoins de votre entreprise, vous pouvez modifier les règles d'héritage pour des objets GPO spécifiques. Windows 2000/2003 propose deux options de modification du traitement par défaut.



207Ne pas passer outre.

Utilisez cette option pour empêcher les conteneurs enfants de remplacer un objet GPO défini dans un objet GPO de niveau supérieur. Cette option permet d'appliquer une stratégie de groupe qui reflète les règles de gestion à respecter dans toute l'entreprise. Cette option est définie objet par objet. Elle peut être appliquée à un ou plusieurs objets GPO, en fonction de vos besoins. Lorsqu'elle s'applique à plusieurs objets GPO, c'est l'objet GPO situé le plus haut dans la hiérarchie d'Active Directory qui est prioritaire.

Bloquer l'héritage de stratégies.

Vous pouvez empêcher un conteneur enfant d’hériter de tous les objets Stratégie de groupe de ses conteneurs parents en activant le blocage de l’héritage pour le conteneur enfant. Cette option est utile lorsqu'une unité d'organisation nécessite des paramètres de console Stratégie de groupe uniques. Elle est définie par conteneur. Dans le cas ou, l'option Ne pas passer outre est positionnée sur une OU Parent, et que l'option Bloquer l'héritage de stratégies, est positionée sur une OU Enfant, c’est l'option Ne pas passer outre qui est toujours prioritaire , mais si deux stratégies entre en conflit, et que l’option Ne pas passer outre et Bloquer l’héritage ne sont pas positionnés, la stratégie la plus proche de l’utilisateur ou de la machine l’emporte.

Examen de l'ordre de traitement des objets stratégie de groupe Les paramètres de la console Stratégie de groupe sont traités dans l'ordre décrit ci-dessous. Tous les aspects de cet ordre peuvent être modifiés à l'aide des paramètres de la console Stratégie de groupe. 1. L'ordinateur démarre.

a. Le réseau démarre, puis Windows applique les paramètres définis dans la section Configuration ordinateur de la console Stratégie de groupe de tous les objets GPO associés au compte de l'ordinateur (aucune interface utilisateur ne signale leur traitement). b. Les scripts de démarrage s'exécutent de façon séquentielle. Autrement dit, chaque script doit être terminé ou annulé avant le démarrage du suivant. c. Tous les objets GPO ayant une incidence sur le compte d'ordinateur sont traités avant l'affichage de l'écran d'ouverture de session pour l'utilisateur.

2. L'utilisateur ouvre une session (CTRL+ALT+SUPPR). a. Les paramètres définis dans la section Configuration utilisateur de la console Stratégie de groupe de tous les objets GPO associés au compte d'utilisateur sont traités simultanément. b. Les scripts d'ouverture de session appliqués via la stratégie de groupe s'exécutent, et l'interface utilisateur Windows 2000/2003 est lancée simultanément. c. Si certains scripts sont associés à un compte d'utilisateur, ils s'exécutent en dernier.

Par défaut la stratégie de groupe est rafraîchie uniquement lorsque l’utilisateur ferme sa session ou quand l’ordinateur est redémarré. Il est possible de modifier ce comportement en définissant un intervalle de rafraîchissement de la stratégie de groupe.



208 Windows 2000/2003 actualise régulièrement les paramètres de la console Stratégie de groupe sur le réseau. Cette opération s'effectue par défaut sur les ordinateurs clients en moyenne toutes les 90 minutes, avec un décalage de plus ou moins 30 minutes. Pour les contrôleurs de domaine, l'actualisation par défaut est réalisée toutes les cinq minutes. Vous pouvez modifier les valeurs par défaut en changeant les paramètres des modèles d'administration. Vous ne pouvez pas planifier pour une heure précise l'application d'un objet GPO à un ordinateur client. Pour configurer les fréquences d’actualisation, procédez comme suit : 1. Ouvrez l’objet Stratégie de groupe approprié de la stratégie de groupe, développez successivement Configuration utilisateur ou Configuration ordinateur (selon l’objet Stratégie de groupe à modifier), Modèles d’administration, Système, cliquez sur Stratégie de groupe, puis double-cliquez sur l’un des paramètres suivants

• Intervalle d’actualisation de la stratégie de groupe pour les utilisateurs • Intervalle d’actualisation de la stratégie de groupe pour les ordinateurs • Intervalle d’actualisation de la stratégie de groupe pour les contrôleurs de domaine

2. Sélectionnez Activé. 3. Définissez l’intervalle d’actualisation en minutes. 4. Définissez le décalage aléatoire, puis cliquez sur OK. Remarque : Si vous avez désactivé ces paramètres, la stratégie de groupe est mise à jour par défaut toutes les 90 minutes. Pour spécifier que la stratégie de groupe ne doit jamais être mise à jour lorsque l’ordinateur est en cours d’utilisation, sélectionnez l’option Désactiver l’actualisation en tâche de fond des stratégies de groupe.

Association d'un objet GPO à un domaine ou à une unité d'organisation

Lorsque vous créez un objet GPO, il est lié au conteneur pour lequel vous l'avez créé. Toutefois, aucun paramètre de stratégie de groupe n'y est défini.



209Pour créer un objet GPO ou lier un objet GPO existant, exécutez la procédure ci-dessous. 1. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur le conteneur Active Directory (domaine ou unité d'organisation) pour lequel vous souhaitez créer un objet GPO, puis cliquez sur Propriétés. 3. Dans l'onglet Stratégie de groupe, choisissez l'une des options ci-dessous. a. Pour créer un objet GPO, cliquez sur Nouveau, tapez le nom du nouvel objet GPO et appuyez sur ENTRÉE. b. Pour lier un objet GPO existant, cliquez sur Ajouter, puis sélectionnez l'objet GPO dans la liste. L'objet GPO créé ou lié s'affiche dans la liste des objets GPO liés au conteneur Active Directory. Remarque : Vous devez être membre du groupe Administrateurs de l'entreprise pour pouvoir créer des objets GPO liés à des sites.

Association d'un objet GPO à un site Pour créer un objet GPO lié à un site, à partir du menu Outils d'administration, ouvrez Sites et services Active Directory, puis exécutez la procédure précédente. Vous devez être membre du groupe Administrateurs de l'entreprise pour pouvoir créer un objet GPO de site. Par défaut, l'objet GPO du site est stocké sur les contrôleurs du domaine racine de la forêt. Vous pouvez définir un autre domaine en tant qu'emplacement de stockage lorsque vous créez l'objet GPO du site. Pour changer l'emplacement de stockage, cliquez sur le bouton Ajouter dans l'onglet Stratégie de groupe de la boîte de dialogue Propriétés du site. Changez ensuite le domaine dans la zone Regarder dans, puis liez à nouveau l'objet GPO. Après avoir créé ou lié un objet GPO, vérifiez que les autorisations appropriées sont définies. Les paramètres de la console Stratégie de groupe d'un objet GPO ne concernent que les ordinateurs et les utilisateurs disposant des autorisations Appliquer la stratégie de groupe et Lire pour cet objet. Lorsque vous créez un objet GPO, les autorisations par défaut sont définies comme indiqué ci-dessous. _ Le groupe Utilisateurs authentifiés dispose des autorisations Appliquer la stratégie de groupe et Lire. _ Le compte système ainsi que les groupes Administrateurs du domaine et Administrateurs de l'entreprise disposent des autorisations Lire, Écrire, Créer tous les objets enfants et Supprimer tous les objets enfants. Lorsque vous créez un objet GPO lié à un site, domaine ou unité d'organisation, vous effectuez en fait deux opérations distinctes : vous créez un objet GPO, puis vous liez celui-ci au site, au domaine ou à l'unité d'organisation. Pour lier un objet GPO à un site, un domaine ou une unité d'organisation, vous devez disposer d'autorisations en lecture et écriture sur les attributs gPLink et gPOptions du conteneur auquel l'objet GPO est lié. Par défaut, seuls les membres des groupes Administrateurs du domaine et Administrateurs de l'entreprise disposent des autorisations nécessaires pour lier des objets GPO à des domaines et des unités d'organisation, tandis que seuls les membres groupes Administrateurs de l'entreprise sont autorisés à lier des objets GPO à des sites. Les membres du groupe Propriétaires créateurs de stratégie de groupe peuvent créer des objets GPO, mais pas les lier. Vous pouvez créer un objet GPO non lié en ajoutant un composant logiciel enfichable Stratégie de groupe dans la console MMC (Microsoft Management Console).



210

Pour créer un objet GPO non lié, exécutez la procédure ci-dessous. 1. Exécutez Mmc.exe et ajoutez le composant logiciel enfichable Stratégie de groupe. 2. Dans la boîte de dialogue Sélection d'un objet Stratégie de groupe, cliquez sur Parcourir. 3. Dans la boîte de dialogue Rechercher un objet Stratégie de groupe, dans l'onglet Tous, cliquez avec le bouton droit n'importe où dans la liste Tous les objets Stratégie de groupe stockés dans ce domaine, puis cliquez sur Nouveau. 4. Tapez le nom du nouvel objet GPO, puis cliquez sur OK pour fermer la boîte de dialogue Rechercher un objet Stratégie de groupe. 5. Pour modifier le nouvel objet GPO, dans la boîte de dialogue Sélection d'un objet Stratégie de groupe, cliquez sur Terminer, sinon cliquez sur Annuler.

Ex : dans l’OU Marcel, puis Propriétés, puis onglet Stratégies de groupe, puis Ajouter, onglet Tous, sélectionner, puis OK Les objets GPO non liés peuvent être créés dans des entreprises de grande envergure où un groupe est responsable de la création d'objets GPO tandis qu'un autre groupe est responsable de leur association au site, domaine ou unité d'organisation approprié.

Modification des autorisations

Pour modifier les autorisations d'un objet GPO : 1. Ouvrez la boîte de dialogue Propriétés pour le conteneur Active Directory associé à l'objet GPO. 2. Dans l'onglet Stratégie de groupe, cliquez sur Propriétés. 3. Dans l'onglet Sécurité, activez ou désactivez la case à cocher Appliquer la stratégie de groupe des objets appropriés.



211 Important : Les autorisations sur les objets GPO fonctionnent selon le même principe que les autorisations sur les fichiers et les dossiers : les autorisations les plus restrictives s'appliquent. Par conséquent, les interdictions d'accès doivent être affectées avec précaution.

Filtrage de l'étendue d'un objet GPO Vous pouvez filtrer l'étendue d'un objet GPO en créant des groupes de sécurité, puis en affectant les autorisations Appliquer la stratégie de groupe et lire à des groupes sélectionnés, ou en supprimant les autorisations de groupes sélectionnés. Par exemple, une unité d'organisation de votre domaine contient des comptes d'utilisateur pour les employés permanents et temporaires, et vous souhaitez appliquer un objet GPO distinct à chaque type d'employé. Vous pouvez appliquer les deux objets GPO à l'unité d'organisation, créer un groupe de sécurité pour les employés permanents et un autre pour les employés temporaires, puis affecter les autorisations Appliquer la stratégie de groupe et lire à chaque groupe, uniquement pour l'objet GPO souhaité.

Ex : Propriétés de l’OU Marcel, onglet Sécurité, bouton Propriétés, onglet Sécurité, cocher refus pour Marcel en application

Méthode 1 La première méthode consiste à refuser de façon explicite l'autorisation Appliquer la stratégie de groupe au groupe de sécurité contenant les administrateurs de l'unité d'organisation. Pour filtrer la stratégie de groupe en refusant de façon explicite l'autorisation Appliquer la stratégie de groupe, exécutez la procédure ci-dessous. 1. Créez un groupe de sécurité et ajoutez les administrateurs de l'unité d'organisation dans ce groupe. 2. Dans la boîte de dialogue Propriétés (GPO), dans l'onglet Sécurité, ajoutez le groupe de sécurité pour l'objet GPO que vous ne souhaitez pas appliquer aux administrateurs de l'unité d'organisation. 3. Refusez l'autorisation Appliquer la stratégie de groupe pour ce groupe de sécurité.



212

Méthode 2 La seconde méthode consiste à supprimer les utilisateurs authentifiés. En omettant les administrateurs de l'unité d'organisation du groupe de sécurité, ceux-ci n'ont aucune autorisation explicite sur l'objet GPO. Pour filtrer la stratégie de groupe en omettant une autorisation Appliquer la stratégie de groupe explicite, exécutez la procédure ci-dessous. 1. Supprimez les groupes Utilisateurs authentifiés de la liste DACL. 2. Créez un groupe de sécurité et ajoutez tous les comptes d'ordinateur et d'utilisateur dans ce groupe, à l'exception des comptes d'administrateur de l'unité d'organisation. 3. Dans la boîte de dialogue Propriétés, dans l'onglet Sécurité, ajoutez le groupe de sécurité pour l'objet GPO que vous ne souhaitez pas appliquer aux administrateurs de l'unité d'organisation. 4. Attribuez au groupe de sécurité les autorisations Lire et Appliquer la stratégie de groupe.

Pour b loquer l 'hér i tage d 'un ob jet GPO

Vous pouvez empêcher un conteneur enfant d'hériter de tout objet GPO des conteneurs parents en activant l'option Bloquer l'héritage de stratégies sur le conteneur enfant. L'activation de cette option sur un conteneur enfant empêche celui-ci d'hériter de tous les paramètres de stratégie de groupe et non de paramètres individuels. Cette option est utile lorsqu'un conteneur Active Directory requiert des paramètres de stratégie de groupe uniques et que vous souhaitez vous assurer que les paramètres ne puissent pas être hérités.

Pour bloquer l'héritage d'un objet GPO d'un conteneur enfant, exécutez la procédure ci-dessous. 1. Ouvrez la boîte de dialogue Propriétés du domaine ou de l'unité d'organisation au niveau desquels vous souhaiter bloquer l'héritage. 2. Dans l'onglet Stratégie de groupe, cliquez sur Bloquer l'héritage de stratégies.



213 Le blocage de l'héritage est soumis aux deux contraintes ci-dessous. _ Vous ne pouvez pas choisir de façon sélective les objets GPO à bloquer. Le blocage de l'héritage s'applique à tous les objets GPO de tous les conteneurs parents, excepté lorsque l'objet GPO est configuré à l'aide de l'option Aucun remplacement. _ Le blocage de l'héritage ne peut pas bloquer l'héritage d'un objet GPO lié à un conteneur parent si ce lien est configuré à l'aide de l'option Aucun remplacement.

Délégat ion de cont rô le à l 'a ide d 'autor isat ions

Tout utilisateur disposant des autorisations Lire et Écrire peut utiliser ces autorisations pour déléguer le contrôle sur les objets GPO. À cette fin, l'administrateur réseau crée des groupes d'administrateurs (par exemple, le groupe Administrateurs Marketing), puis affecte les autorisations Lire et Écrire aux objets GPO sélectionnés pour ces groupes.

Changement de l 'o rdre de t ra i tement

Un même conteneur peut réunir plusieurs objets GPO dont les paramètres entrent en conflit. La liste des objets GPO d'un conteneur est traitée en ordre inverse. Par conséquent, un paramètre du premier objet GPO de la liste remplace un paramètre conflictuel d'un objet GPO situé plus loin dans la liste. Vous pouvez changer l'ordre de la liste à l'aide des boutons Haut et Bas de l'onglet Stratégie de groupe.

Désact ivat ion des ob jets s t ratég ie de groupe

Vous pouvez désactiver les paramètres d'utilisateur ou d'ordinateur d'un objet GPO ou bien l'intégralité d'un objet GPO. Pour accélérer le traitement d'un objet GPO, désactivez les paramètres d'ordinateur lorsque vous créez un objet GPO contenant uniquement des paramètres de stratégie de groupe destinés aux utilisateurs. De même, lorsque vous créez un objet GPO ne contenant que des paramètres d'ordinateur, vous devez désactiver les paramètres d'utilisateur pour cet objet GPO.



214 Pour désactiver les paramètres d'utilisateur ou d'ordinateur d'un objet GPO, sélectionnez-le dans l'onglet Stratégie de groupe, cliquez sur Propriétés, sur l'onglet Général, puis sur Désactiver les paramètres de configuration de l'utilisateur ou Désactiver les paramètres de configuration de l'ordinateur. Cela permet d’améliorer les performances d’application des objets Stratégie de groupe lors de la connexion de l’utilisateur et empêche l’application accidentelle des paramètres à l’autre zone.

Vous pouvez également désactiver l'intégralité d'un objet GPO pour l'empêcher d'être appliqué au conteneur sélectionné. La désactivation d'un objet GPO a une incidence uniquement sur son application au conteneur sélectionné et à tout conteneur héritant des paramètres de ce conteneur. L'objet GPO peut toujours être lié à d'autres conteneurs, et s'applique encore aux conteneurs auxquels il est lié, à moins qu'il n'y soit également désactivé. Pour désactiver l'objet GPO, cliquez dans l'onglet Stratégie de groupe sur Options, puis sur Désactiver.

Suppress ion des ob jets s t ratég ie de groupe

Lorsque vous cliquez sur Supprimer dans l'onglet Stratégie de groupe, deux options vous sont proposées : l'une pour supprimer l'objet GPO de son conteneur, l'autre pour supprimer la liaison entre l'objet et son conteneur. Contrairement à la désactivation, la suppression d'un objet GPO le supprime définitivement d'Active Directory, et supprime également la possibilité de le lier à d'autres conteneurs. Avant de supprimer un objet GPO, vérifiez à quels conteneurs il est lié dans l'onglet Liaisons de sa boîte de dialogue Propriétés.



215Exercice :

Quels sont les paramètres de stratégie de groupe résultants pour les objets utilisateur dans l'unité d'organisation, et pourquoi ? Résultat :

Act ivat ion de l 'opt ion Aucun remplacement

L'activation de l'option Aucun remplacement signifie que tous les paramètres de stratégie de groupe contenus dans l'objet GPO dont le lien est configuré à l'aide de l'option Aucun remplacement s'appliquent, y compris lorsqu'ils entrent en conflit avec les paramètres traités après eux ou si le blocage s'effectue à un niveau inférieur dans l'arborescence Active Directory. Vous ne devez définir l'option Aucun remplacement que pour les liens aux objets GPO qui représentent des règles stratégiques qui s'appliquent dans l'ensemble de l'entreprise. Liez l'objet GPO aux niveaux supérieurs de l'arborescence Active Directory de sorte que celui-ci s'applique à plusieurs unités d'organisation. Par exemple, liez un objet GPO présentant des paramètres de sécurité réseau à un domaine ou un site.



216 Notez que l'option Aucun remplacement est en fait définie sur le lien et non sur l'objet GPO proprement dit. Cela signifie que si un objet GPO est lié à plusieurs conteneurs, vous pouvez configurer l'option Aucun remplacement sur chaque conteneur, indépendamment des autres. Lorsque plusieurs liens sont configurés à l'aide de l'option Aucun remplacement et que les objets GPO liés s'appliquent tous à un même conteneur et contiennent des paramètres en conflit, l'objet GPO qui se trouve en tête de la hiérarchie Active Directory prime. Pour définir l'option Aucun remplacement, exécutez la procédure ci-dessous. 1. Ouvrez la boîte de dialogue Propriétés du conteneur auquel l'objet GPO est lié. 2. Dans l'onglet Stratégie de groupe, cliquez sur Options. 3. Dans la boîte de dialogue Options de l'objet GPO, cliquez sur Aucun remplacement, puis sur OK.



217

La Microsoft Management Console

Afin d'éviter à l'utilisateur (administrateur) de manipuler directement la Base de Registres, Microsoft a conçu une Console (MMC) dont le nom du fichier est %systemroot%\system32\gpedit.msc. Pour l'exécuter, depuis le menu démarrer/exécuter ou dans une fenêtre de commandes, il suffit de taper la commande :GPEDIT.MSC On peut également exécuter GPEDIT à distance, sur un autre ordinateur du réseau, par la commande :

GPEDIT.MSC /gpcomputer:nom_de_l'ordinateur_distant GPEDIT.MSC /bourges :brisbane.bourges.eds, ou passer par une MMC

Windows Server 2003 applique les paramètres de stratégie de groupe contenus dans l’objet Stratégie de groupe aux objets utilisateur et ordinateur du site, du domaine ou de l’unité d’organisation associé à l’objet Stratégie de groupe. Le contenu d’un objet Stratégie de groupe est stocké à deux emplacements : dans le conteneur Stratégie de groupe (GPC, Group Policy Container) et dans le modèle Stratégie de groupe (GPT, Group Policy Template). Les paramètres de stratégies se répartissent en deux grandes catégories :

Configuration Ordinateur. Ce sont des paramètres de stratégie par ordinateur qui spécifient le fonctionnement du système, comportement du bureau, paramètres de sécurité, démarrage et arrêt de l'ordinateur, et les paramètres pour les applications. Windows applique la stratégie par ordinateur quand le système d'exploitation démarre et à intervalles réguliers. Configuration Utilisateur. Ce sont des paramètres de stratégie par utilisateur qui spécifient le fonctionnement du système, comportement du bureau, paramètres de sécurité, demandes d'applications assignées et publiées, paramètres du dossier de redirection, scripts utilisateur d'ouverture et fermeture de session.

Dans le panneau de gauche on trouve deux arborescences à la suite : • la première concerne l'ordinateur (branche HKLM\Software\...) • la seconde concerne l'utilisateur (branche HKCU\Software\...)

Dans le panneau de droite on trouve les stratégies relatives à la branche sélectionnée à gauche.Un double-clic sur l'une des stratégies provoque l'ouverture d'une boite dialogue à 2 onglets



218 Les administrateurs définissent les stratégies en employant l'éditeur de stratégie de groupe. Modèles d'Administration, des fichiers avec l'extension ".adm", définissent les stratégies qu'ils peuvent positionner. Modèles d'Administration et Paramètres de Sécurité sont la même chose et vous voyez fréquemment le nom court des fichiers "ADM". Ils sont situés dans le dossier %systemroot%\inf. On les retrouve également dans le dossier %systemroot%\system32\GroupPolicy\Adm après qu'une stratégie ait été définie (ce sous-dossier est créé automatiquement). Ce sont des fichiers texte de type ANSI (1 caractère = 1 octet) ou UNICODE (1 caractère = 2 octets) Windows est fourni avec des modèles d’administration qui définissent toute la stratégie appropriée que le système d'exploitation supporte. Si vous voulez employer une stratégie pour une application, comme par exemple Microsoft Office XP, vous devez charger leurs modèles d’administration. En fait, le Resource Kit d'Office XP est livré avec beaucoup d'options dans ce modèle d’administration qui aide les professionnels à mieux se débrouiller et améliorer la productivité. Windows fournit les modèles administratifs suivants :

System.adm. Paramètres fondamental, est le premier fichier modèle, définissant la plupart de paramètres que l'on voie dans "Modèles d'Administration". Wmplayer.adm. Paramètres de Windows Médias Conf.adm. Logiciel de communication (conférence) NetMeeting Inetres.adm. Internet Explorer wuau.adm (Windows Update) (éventuellement)

Quand l'administrateur définit une stratégie, l'éditeur les stocke dans un fichier appelé "Registry.pol". Windows charge les paramètres contenu dans le fichier "Registry.pol" quand le système d'exploitation démarre, quand les utilisateurs s'y connectent et à intervalles réguliers. Ils reflètent l'ensemble des stratégies appliquées sur une machine, et sont lus :

• lors du démarrage de l'ordinateur (fichier %systemroot%\system32\GroupPolicy\machine\REGISTRY.POL)

• lors de l'ouverture d'une session (fichier %systemroot%\system32\GroupPolicy\user\REGISTRY.POL)

Cela signifie que la modification manuelle d'une clé par l'utilisateur sera annulée lors du démarrage et/ou ouverture de session suivants si la modification et la stratégie sont contradictoires! De plus, vu qu'il n'existe qu'un seul sous-dossier \user dans %systemroot%\system32\GroupPolicy, cela signifie qu'une stratégie utilisateur sera appliquée à tous les comptes utilisateurs de l'ordinateur, administrateurs compris. Les stratégies de groupe pour le site, les domaines et les unités d’organisation sont placées dans le dossier %SystemRoot%\Sysvol\Domain\Policies des contrôleurs de domaine. Dans ce dossier existe un sous-dossier pour chaque stratégie définie sur les contrôleurs de domaine. Les noms de ces dossiers sont des GUID (Global Unique Identifier), dedans on y trouve :



219

Adm : modèle d’administration en cours d’utilisation, ne concerne que les contrôleurs de domaine Machine : stocke les scripts d’ordinateurs et info sur les stratégies du registre (registry.pol). User : stocke les scripts d’utilisateurs et info sur les stratégies du registre (registry.pol).

Remarque : si vous supprimez le fichier registry.pol => enlève la stratégie après le reboot du PC (attention : le simple utilisateur ne peut pas la supprimer). Vous pouvez vérifier la création du fichier registry.pol, modifier via une MMC, via l’editeur de stratégie de groupe, modifier un élément au niveau du modèle d’administration utilisateur ou machine (ouvrir une session en local en tant qu’administrateur). Donc la définition hasardeuse d'une stratégie trop restrictive peut s'avérer catastrophique, aboutissant au verrouillage total de l'ordinateur, y compris vis à vis d'un administrateur. Par exemple, il existe une stratégie qui interdit l'exécution de certains programmes. Elle est définie dans la clé : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun sous la forme d'une liste d'entrées contenant les noms des exécutables. Si parmi eux figurent mmc.exe et regedit.exe, il sera définitivement impossible d'ouvrir toute console de gestion (dont GPEDIT) et de modifier la BDR (base de registre). D'autre part, GPEDIT ne donne aucune information à l'utilisateur concernant les clefs de la BDR utilisées Toute la stratégie de base du registre peut être dans trois états : "Permis", "Mis hors de service", ou "Non Configuré". Permis active explicitement le paramètre par addition au registre avec une valeur de 0x01.



220 Mis hors de service désactive explicitement le paramètre par addition au registre avec une valeur de 0x00 ou suppression de la valeur entièrement. Le Non Configuré enlève le paramètre du registre, ce qui a pour effet d'utiliser à la place les paramètres utilisateurs.

Où Windows stocke - t - i l la s t ratég ie ? , dans le regis t re

La branche \Software\Policies est la branche principale ou est déclarée la stratégie dans la registre. Cette branche de HKLM contient la stratégie par ordinateur et la branche de HKCU contient la stratégie par utilisateur. Une autre branche, héritée pour des versions de Windows plus anciennes, est \Software\Microsoft\Windows\CurrentVersion\Policies. La stratégie dans cette branche a tendance à tatouer le registre, ce qui signifie qu'ils affectent des changements permanents dans le registre que vous devez explicitement changer. Ce qui empêche les utilisateurs de changer ces clés et ainsi la stratégie qu'ils mettent en application, est leur ACLS (Listes de Contrôle d'Accès). Les groupes locaux Utilisateurs et Utilisateurs avec Pouvoirs n'ont pas la permission de changer des valeurs dans ces clés.

Maintenant pour leur emplacement sur le d isque .

Le GPO local est dans %SYSTEMROOT %\System32\GroupPolicy. C'est un dossier caché. Il contient les sous-dossiers et les fichiers suivants (contenu dans le fichier Registry.pol) : \Adm. Stocke les fichiers de modèles d’administration en cours d’utilisation. Ces fichiers portent l’extension .adm. Ce dossier n’est présent que sur les contrôleurs de domaine. \User Stocke les scripts d’utilisateur du dossier Scripts et les informations de stratégie du Registre pour HCU dans le fichier Registry.pol. Inclut le fichier Registry.pol, qui contient la stratégie de base pour des utilisateurs. Quand les utilisateurs se connectent à l'ordinateur, Windows applique ceux-ci à HKCU. \User\Scripts. Contient les scripts par utilisateur des GPO locaux. Les scripts dans \Logon s'exécutent quand les utilisateurs se connectent à Windows et les scripts dans \Logoff s'exécutent quand ils se déconnectent du système.



221\Machine. Stocke les scripts d’ordinateur du dossier Script et les informations de stratégie du Registre pour HLM dans le fichier Registry.pol. Inclut le fichier Registry.pol, qui contient stratégie base pour l'Ordinateur. Quand Windows démarre, il applique ce paramètre à HKLM. \Machine\Scripts. Contient les scripts par ordinateur des GPO locaux. Les scripts dans \Startup s'exécutent quand Windows démarre et les scripts dans \Shutdown s'exécutent quand le système d'exploitation s'arrête. Les outils de Stratégie de Groupe de Windows contiennent beaucoup d'améliorations. Certaines de ces améliorations méritent une mention spéciale, Le premier est « gpupdate » Vous ne devez pas employer cet outil pour mettre à jour le GPO local, parce que les changements du GPO local est instantané. La seconde méthode est Resultant Set of Policy (RSoP). Windows inclut de nouveaux outils pour l'observation de quelle stratégie le système d'exploitation applique à l'utilisateur actuel et l'ordinateur ainsi que l'emplacement où ils ont été générés. Une des parties les plus difficiles pour l'administration de la Stratégie de Groupe d'un grand réseau est de suivre à la trace ce qui résulte des combinaisons de GPOs que vous n'avez pas créer ou que vous ne connaissez pas font leurs apparitions. Ces outils vous aident à traquer ces comportements beaucoup plus rapidement parce qu'ils vous donnent un instantané de comment le système d'exploitation les applique et d'où ils sont provenus

La syntaxe de commande est très simple. Pour rafraîchir la stratégie d'utilisateur, entrez à n'importe laquelle des commandes suivantes (applicable à votre système) : C:\>secedit /refreshPolicy user_policy — on Windows 2000 C:\>gpupdate /Target:User — on Windows 2003 Les commandes suivantes rafraîchissent la statégie sur l'ordinateur : C:\>secedit /refreshPolicy machine_policy C:\>gpupdate /Target:Computer Étant donné que vous pouvez appliquer des niveaux de paramètres de stratégie qui se chevauchent sur n'importe quel ordinateur ou utilisateur, la stratégie de groupe génère un jeu de stratégies résultant à l'ouverture de session. Gpresult affiche le jeu de stratégies résultant appliqué sur l'ordinateur à l'ouverture de session de l'utilisateur spécifié.

Les exemples suivants décrivent les utilisations possibles de la commande gpresult : C:\gpresult /user targetusername /scope computer C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /scope USER C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23



222 Vous voulez vérifier que les paramètres de stratégie sont mis à jour sur l'ordinateur des stagiaires. Vous voulez examiner le paramètre de stratégie d'ordinateur appliqué à votre ordinateur avec le compte NomOrdinateurAdmin.



223Objectif Dans cet exercice, vous allez créer un objet GPO et configurer l'objet GPO avec les paramètres de stratégie de groupe satisfaisant les exigences du scénario. ===================================================================== Ouvrir une session en tant que : Nom : Marcel Mot de passe : P@sswrd1 Se connecter à : Choisir le nom du domaine (bourges.eds) a. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory. Se connecter tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine Bourges. b. Dans l'arborescence de la console, bouton droit sur bourges.eds, Nouveau, Unité d’organisation, nommer cette OU GpoUserx (ou x représente le N° de votre @ IP), puis OK. c. Déplacer de Utilisateurs et ordinateurs Active Directory\Computers, votre ordinateur vers votre OU GpoUserx (ou x représente le N° de votre @ IP) d. Propriétés de GpoUserx, dans l'onglet Stratégie de groupe, cliquez sur Nouveau, tapez Admin Template Policy X (ou X est votre N° d’adresse IP) et appuyez sur ENTRÉE. ===================================================================== a. Sélectionnez la nouvelle stratégie, puis cliquez sur Modifier. b. Dans l'arborescence de la console Stratégie de groupe, sous Configuration ordinateur, développez Modèles d'administration. c. Dans l'arborescence de la console, développez Système, cliquez sur Quotas de disque, puis dans le volet de détails, double-cliquez sur Activer les quotas de disque. d. Dans la boîte de dialogue Propriétés de Activer les quotas de disque, cliquez sur Activée, puis cliquez sur OK. e. Dans le volet de détails, double-cliquez sur Appliquer la limite de quota de disque. f. Dans la zone Propriétés de Limite de quota de disque, cliquez sur Activé, puis cliquez sur OK. Activer aussi Limite de quota et niveau d’avertissement par défaut (par défaut 100 Mo), puis OK. g. Dans l'arborescence de la console, développez Composants Windows, cliquez sur Planificateur de tâches et double-cliquez sur, Empecher la création de nouvelle tâche, puis Activé dans le volet de détails, puis sur OK. h. Dans l'arborescence de console, développez Modèles d'administration sous Configuration utilisateur. i. Dans Composants Windows\Internet Explorer\Panneau de configuration de Internet, double-cliquez sur Désactiver l’onglet Général, puis cocher l’option Activé, faire de même pour Désactiver l’onglet Sécurité et Désactive l’onglet Avancés, puis OK j. Fermez la console Stratégie de groupe, puis cliquez sur Fermer pour fermer la boîte de dialogue Propriétés de Gpo Userx. k. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte. Objectif Dans cet exercice, vous allez créer un objet GPO lié à l'unité d'organisation Telemarketing et configurer l'objet GPO avec les paramètres de la stratégie de groupe satisfaisant les restrictions décrites dans le scénario. ===================================================================== a. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, développez votre domaine : Bourges.eds, développez l’OU GpoUserx, créér une nouvelle OU enfant nommée : Telemarketing, puis OK, cliquez avec le bouton droit sur l’OU Telemarketing, puis sur Nouveau, Utilisateur, affecter comme information : Nom : TUserx (ou x représente le N° de votre @ IP) Nom d’ouverture de session TUserx @Bourges.eds Cliquez sur Suivant Mot de passe : P@sswrd Décocher l’utilisateur doit changer le mot de passe Cocher le mot de passe n’expire jamais, cliquez sur Suivant puis sur Terminer. Bouton droit sur l’OU Telemarketing, cliquez sur Propriétés. b. Dans l'onglet Stratégie de groupe, cliquez sur Nouveau, tapez Telemarketing PolicyX (ou X est votre N° d’adresse IP) et appuyez sur ENTRÉE. ===================================================================== a. Cliquez sur Telemarketing PolicyX pour le sélectionner, puis cliquez sur Modifier. b. Dans l'arborescence de console, développez Modèles d'administration sous Configuration utilisateur. c. Dans l'arborescence de console, développez Composants Windows, cliquez sur Explorateur Windows et double-cliquez sur Supprimer les options "Connecter un lecteur réseau" et "Déconnecter un lecteur réseau" dans le volet de détails. d. Dans la boîte de dialogue Propriétés de Supprimer les options "Connecter un lecteur réseau" et "Déconnecter un lecteur réseau", cliquez sur Activée, puis sur OK. ===================================================================== a. À l'aide des informations ci-dessous, configurez les restrictions requises restantes. � Activez Cacher l'icône Favoris réseau sur le Bureau, qui se trouve dans le dossier Bureau. � Activez Empêcher la modification des paramètres de la barre des tâches et du menu Démarrer, ainsi que Supprimer le menu Exécuter du menu Démarrer qui se trouve dans le dossier Menu Démarrer et Barre des tâches. � Activez Supprimer les liens et l’accès à Windows Update, qui se trouve dans le dossier Menu Démarrer et Barre des tâches. � Désactivez Empecher la création de nouvelle tâche, qui se trouve dans le dossier Composants Windows\Planificateur de tâches.



224 � Dans Composants Windows\Internet Explorer\Panneau de configuration de Internet, double-cliquez sur Désactiver l’onglet Général, puis cocher l’option Désactivé , faire de même pour Désactiver l’onglet Sécurité et Désactive l’onglet Avancés, puis OK b. Fermez toutes les fenêtres, en invite de commande saisir : gpupdate /force, valider par Oui, puis redémarrez votre ordinateur. Objectif Dans cet exercice, vous allez ouvrir une session en tant qu'Administrateur pour vérifier quels paramètres de stratégie de groupe pour ordinateurs ont été appliqués. Ensuite, vous ouvrirez une session en tant qu'utilisateur pour vérifier quels paramètres de stratégie de groupe pour utilisateurs ont été appliqués pour les membres de l'unité d'organisation Telemarketing. ==================================================================== a. Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges b. Démarrer, puis clickez sur le Poste de travail, cliquez avec le bouton droit sur l'icône du lecteur C :, puis cliquez sur Propriétés. c. Cliquez sur l'onglet Quota. Les quotas de disques sont-ils activés ? Pourquoi ? ____________________________________________________________________________________________________________________________________________________________________________ Les limites de quota de disque sont-elles appliquées ? Pourquoi ? ____________________________________________________________________________________________________________________________________________________________________________ d. Cliquez sur Annuler pour fermer la boîte de dialogue Propriétés de Disque local (C:) e. Dans le menu Démarrer…, cliquez sur Panneau de configuration. f. Dans le Panneau de configuration, double-cliquez sur Tâches planifiées, ce programme peut-il être lancé ? : _________. ==================================================================== a. Ouvrez une session en tant que TUserx avec le mot de passe P@sswrd sur le domaine de Bourges. Les paramètres ci-dessous (contenus dans l'objet GPO Telemarketing Policy) sont-ils appliqués ? Pourquoi ? Favoris réseau normalement n'apparaît pas dans explorer. Impossible de connecter le lecteur réseau (bouton droit sur poste de Travail, l’option n’est plus disponible). Impossible de modifier les paramètres de la Barres des tâches (bouton droit, Propriétés sur la Barre de tâches) ainsi que sur le menu Démarrer.. Option Exécuter du bouton Démarrer n’apparaît plus. Impossible de planifier une nouvelle tâche à l'aide de l'Assistant Tâche planifiées (bouton Démarrer, Tous les programmes, Accessoires, Outils systèmes, puis Taches planifiées, menu Fichier puis Nouvelle tâche). Pour ce dernier élément, le profil machine est prioritaire sur le profil utilisateur. Démarrer Internet Explorer, menu Outils, puis options internet…vérifier que les onglet Général, Sécurité et Avancé sont toujours disponibles, pourquoi ? ______________________________________________________________________________________________________________________________________________________________________________________________ a. Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges c. Dans Utilisateurs et ordinateurs Active Directory, dèvelopper bourges.eds, puis Propriétés de GpoUserx, dans l'onglet Stratégie de groupe, bouton Options…, cocher l’option Aucun remplacement : empêche d’autres objets de stratégie de groupe de remplacer le jeu de stratégie dans celui-ci, puis OK et OK. d. Propriétés de Telemarketing, dans l'onglet Stratégie de groupe, cocher l’option Bloquer l’héritage de stratégies, puis OK e. Fermez toutes les fenêtres, puis en invite de commande saisir : gpupdate /force, puis valider par Oui pour redémarrez votre ordinateur. f. Ouvrez une session en tant que TUserx avec le mot de passe P@sswrd sur le domaine de Bourges. g. Démarrer Internet Explorer, menu Outils, puis options internet…vérifier que les onglet Général, Sécurité et Avancé ne sont plus disponibles, pourquoi ? _____________________________________________________________________________________________________________________________________________________________________________________ ==================================================================== Générer un rapport de résultats de stratégie de groupe Ouvrez une session en tant qu'Administrateur avec le mot de passe P@sswrd1 sur le domaine de Bourges Démarrer, Exécuter, saisir : MMC Menu Fichier, Ajouter/Supprimer, Ajouter, Jeu de stratégie résultant, Ajouter, Fermer, OK 1. Dans Gestion des stratégies de groupe, cliquez avec le bouton droit sur Jeu de stratégie résultant, puis cliquez sur Générer les données RSoP, Assistant Résultats de stratégie de groupe. 2. Dans la page Bienvenue de l'Assistant Résultats de stratégie de groupe, cliquez sur Suivant. Choisir Mode Journalisation, Suivant 3. Dans la page Sélection des ordinateurs, sélectionner cet ordinateur, cliquez sur Suivant. 4. Dans la page Sélection de l'utilisateur, cliquez sur Utilisateur spécifique (Autre utilisateur), cliquez sur Bourges\TUserx, puis cliquez sur Suivant.et Suivant 5. Dans la page Fin de l'Assistant Résultats de stratégie de groupe, cliquez sur Terminer.



2256. Dans la MMC, cliquez sur les différents éléments afin de vérifier les restrictions appliquées à l’utilisateur TUserx 7. Saisir en ligne de commande : gpresult /user TUserx /scope USER, puis gpresult /s NOM_Ordi /u bourges\administrateur /p P@sswrd1 /user TUserx /scope USER 10. À l’invite de commandes, tapez gpresult /z >c:\gp.txt, puis vérifier le contenu de ce fichier avec le bloc-notes ==================================================================== Afficher le rapport de stratégie de Telemarketing Venez chercher sur le partage spécifié par votre formateur (\\servnet\temp) l’outil gpmc.msi (console Gestion des stratégies de groupe) et installer le. Démarrer la console Gestion des stratégies de groupe via Démarrer, Panneau de configuration, Outils d’administration, exécuter le programme Gestion des stratégies de groupe en tant que (bouton droit sur l’applicatif) administrateur du domaine bourges, mot de passe P@sswrd1 " Dans l’arborescence de la console Gestion des stratégies de groupe, développez Forêt : bourges.eds, puis Domaines, puis Bourges.eds, puis GpoUserx, puis Telemarketing. 1. Cliquez sur Telemarketing Policy X. 2. Dans le volet d’informations, cliquez sur Paramètres. 3. Si une boite de dialogue apparaît, cliquez sur Ok pour fermer cette boîte de dialogue. 4. Vérifiez les paramètres de stratégie de groupe de la stratégie de Telemarketing Policy X. 5. Cliquez avec le bouton droit n’importe où dans le rapport (zone vide), puis cliquez sur Enregistrer le rapport. 6. Dans la boîte de dialogue Enregistrer le rapport sur les objets GPO,cliquez sur Enregistrer (à la racine de votre disque C :, sur C:\), puis ouvrez ce fichier pour visualiser son contenu. ==================================================================== Vous avez la possibilité de simuler un déploiement de stratégie pour les utilisateurs et les ordinateurs avant de réellement appliquer les stratégies. Cette fonctionnalité de la console Gestion de stratégie de groupe est appelée Jeu de stratégies résultant (RSoP, Resultant Set of Policies) . Mode de planification. Elle requiert un contrôleur de domaine exécutant Windows Server 2003 dans la forêt. Pour vérifier les paramètres de stratégie de groupe à l’aide de l’Assistant Modélisation de stratégie de groupe, vous devez d’abord créer une requête de modélisation de stratégie de groupe et afficher cette requête. Générer un rapport de modélisation de stratégie de groupe 1. Dans l’arborescence de la console Gestion des stratégies de groupe, cliquez avec le bouton droit sur Modélisation de stratégie de groupe, puis cliquez sur Assistant Modélisation de stratégie de groupe. 2. Dans la page Bienvenue de l’Assistant Modélisation de stratégie de groupe, cliquez sur Suivant. 3. Dans la page Sélection du contrôleur de domaine (dans Afficher les contrôleurs dans ce domaine vous devez avoir : bourges.eds, l’option Tout contrôleur de domaine exécutant Windows Serveur 2003 ou version utérieure vous devez avoir comme Nom : servnet.bourges.eds), cliquez sur Suivant. 4. Dans la page Sélection d’ordinateurs et d’utilisateurs, cliquez sur Ordinateur, tapez bourges\NomOrdinateur, puis cliquez sur Suivant. 5. Dans la page Options de simulation avancées, cliquez sur Suivant. 6. Dans la page Autres chemins d’accès Active Directory, dans la zone Emplacement de l’ordinateur, tapez OU=GpoUserx,DC=bourges,DC=eds, puis cliquez sur Suivant. 7. Dans la page Groupe de sécurité ordinateur, cliquez sur Suivant. 8. Dans la page Filtres WMI pour ordinateurs (par défaut Tous les filtres liés est sélectionné), cliquez sur Suivant. 9. Dans la page Aperçu des sélections, cliquez sur Suivant. 10. Cliquez sur Terminer. ==================================================================== Afficher le rapport de modélisation de stratégie de groupe 1. Dans l’onglet Résumé, parcourez le rapport. 2. Dans le volet d’informations NomOrdinateur, cliquez sur l’onglet Paramètres. 3. Lisez le rapport. 4. Cliquez sur l’onglet Requête. 5. Lisez le rapport. ==================================================================== Utilisez les Résultats de stratégie de groupe pour déterminer les paramètres de stratégie qui sont appliqués à un ordinateur, ainsi que l’utilisateur qui a ouvert une session sur cet ordinateur. Bien que ces données soient similaires à celles de la modélisation de stratégie de groupe, elles sont obtenues à partir de l’ordinateur client au lieu d’être simulées sur le contrôleur de domaine. Pour obtenir des données à l’aide des Résultats de stratégie de groupe, l’ordinateur client doit exécuter Windows XP ou Windows Server 2003. Afficher un rapport de résultats de stratégie de groupe 1. Dans l’arborescence de la console Gestion des stratégies de groupe, cliquez avec le bouton droit sur Résultats de stratégie de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe. 2. Dans la page Bienvenue de l’Assistant Résultats de stratégie de groupe, cliquez sur Suivant. 3. Dans la page Sélection d’ordinateurs , cliquez sur Cet Ordinateur, puis cliquez sur Suivant.



226 4. Dans la page Sélection de l’utilisateur , cliquez sur Utilisateur spécifique sélectionner Bourges\TUserx puis cliquez sur Suivant. 5. Dans la page Aperçu des sélections, cliquez sur Suivant. 6. Cliquez sur Terminer. 7 Dans l'onglet Résumé, parcourez le rapport. 8. Dans l'onglet Événements de stratégie, double-cliquez sur Source. 9. Faites défiler l'écran jusqu'à la source SceCli. 10. Double-cliquez sur le premier événement avec la source SceCli. 11. Dans la boîte de dialogue Propriétés de l'événement, notez la date et l'heure auxquelles le paramètre de stratégie de sécurité a été appliqué avec succès. 12. Cliquez sur la touche fléchée vers le bas pour voir l'événement suivant, notez la date et l'heure auxquelles le paramètre de stratégie de sécurité a été appliqué avec succès, puis cliquez sur OK. ==================================================================== Avant de commencer cette application pratique : Ouvrez une session sur le domaine en utilisant le compte : TUserx. Ouvrez CustomMMC à l’aide de la commande Runas /user:bourges\administrateur mmc.exe (mot de passe : P@sswrd). Utilisez le compte d’utilisateur Bourges\Administrateur Ouvrez une invite de commandes avec la commande Exécuter en tant que. Dans le menu Démarrer, cliquez sur Tous les programmes, puis Accessoires et cliquez sur Invite de commandes et tapez runas /user:bourges\administrateur cmd, puis cliquez sur OK. Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd1 et appuyez sur Entrée. Passez en revue les procédures de cette leçon qui décrivent la façon d’effectuer cette tâche. Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir 1. Pour vérifier que Bourges\TUserx n’est pas membre du groupe Utilisateurs avec pouvoir, tapez net localgroup "Utilisateurs avec pouvoir" à l’invite de commandes. 2. Aucun membre ne doit figurer sous Membres. 3. Dans une installation par défaut du système d’exploitation, le groupe Utilisateurs avec pouvoir ne doit pas contenir de membres. 4. Laissez l’invite de commandes ouverte. Créer le modèle de sécurité NomOrdinateur 1. Dans CustomMMC, ajoutez le composant logiciel enfichable Modèles de sécurité. 2. Dans l’arborescence de la console Modèles de sécurité, cliquez avec le bouton droit sur C:\WINDOWS\security\templates, puis cliquez sur Nouveau modèle. 3. Dans la zone Nom du modèle de la boîte de dialogue C:\WINDOWS\security\templates, entrez NomOrdinateur (nom de votre ordi), puis cliquez sur OK. Éditer le modèle de sécurité personnalisé NomOrdinateur (nom de votre ordi) 1. Dans l’arborescence de la console Modèles de sécurité, développez NomOrdinateur, puis cliquez sur Groupes restreints. 2. Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe. 3. Dans la boîte de dialogue Ajouter un groupe, vérifier que dans « A partir de cet emplacement : » il y ait le nom de votre machine, entrez Utilisateurs avec pouvoir, puis cliquez sur OK. 4. Dans la boîte de dialogue Utilisateurs avec pouvoir Propriétés, dans Membres de ce groupe, cliquez sur Ajouter des membres. 5. Dans la boîte de dialogue Ajouter un membre, tapez Bourges\TUserx, puis cliquez sur OK. 6. Dans la boîte de dialogue Utilisateurs avec pouvoir Propriétés, cliquez sur OK. 7. Dans l’arborescence de la console, cliquez avec le bouton droit sur NomOrdinateur, puis cliquez sur Enregistrer. Importer et appliquer le modèle de sécurité personnalisé NomOrdinateur 1. Dans CustomMMC, ajoutez le composant logiciel enfichable Configuration et analyse de la sécurité. 2. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Ouvrir une base de données. 3. Dans la zone Nom de fichier, entrez NomOrdinateur et cliquez sur Ouvrir. 4. Dans la boîte de dialogue Modèle d.importation, cliquez sur NomOrdinateur.inf, puis cliquez sur Ouvrir. 5. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Configurer l’ordinateur maintenant. 6. Dans le message, cliquez sur OK. 7. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Voir le fichier journal. 8. Dans le volet d’informations de Configuration et analyse de la sécurité, vérifiez que le groupe bourges\TUSerx a été ajouté au groupe Utilisateurs avec pouvoir en recherchant l’entrée suivante : ----Configuration de l'appartenance de groupe... Configuration de Utilisateurs avec pouvoir. ajout de BOURGES\tuserx. Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir 1. Pour vérifier que Bourges\TUserx est membre du groupe Utilisateurs avec pouvoir, tapez net localgroup "utilisateurs avec pouvoir" à l’invite de commandes. 2. Bourges\TUserx doit figurer sous Membres. 3. Laissez l’invite de commandes ouverte. Supprimer le modèle de sécurité personnalisé importé 1. Ouvrir une invite de commande en tant que administrateur du domaine bourges, mot de passe P@sswrd1 2. A l’invite de commandes, tapez net localgroup "utilisateurs avec pouvoir" /delete "TUserx" 3. Laissez l’invite de commandes ouverte.



227 Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir 1. Pour vérifier que Bourges\TUserx n’est pas membre du groupe Utilisateurs avec pouvoir, tapez net localgroup "utilisateurs avec pouvoir" à l’invite de commandes. 2. Aucun membre ne doit figurer sous Membres. 3. Laissez l’invite de commandes ouverte. Importer un modèle de sécurité dans un objet de stratégie de groupe 1. Dans Gestion des stratégies de groupe, créez un objet de stratégie de groupe appelé NomOrdinateur Utilisateurs restreints (bouton droit sut sur GpoUserx, Créer et lier un objet de stratégie de groupe ici…), puis OK. 2. Éditez (modifiez) l’objet de stratégie de groupe NomOrdinateur Utilisateurs restreints. 3. Importez la stratégie de sécurité personnalisée NomOrdinateur.inf.(Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, puis menu Action et Importer une stratégie, puis Ouvrir). Vérifier le contenu de Groupes restreints ==================================================================== Objectif Dans cet exercice, l’administrateur du domaine Bourges va planifier une stratégie afin de déployer le SP1 sur les stations clientes du domaine. L’administrateur du domaine Bourges réalise les étapes suivantes : 1. Copier le fichier WindowsServer2003-KB889101-SP1-x86-FRA.exe sur le bureau de votre machine, puis renommer le SP1.exe. 2. A partir d’une invite de commande se positionner sur : C:\Documents and Settings\Administrateur\Bureau>, puis lancer la commande SP1 –x, dans la boite de dialogue suivante saisissez : C:\SP1 (extraction des fichiers), cliquez sur Ok, partager le dossier SP1, Onglet Partage : tout le monde=Contrôle total, SYSTEM=Contrôle total, ANONYMOUS LOGON=Contrôle total, Onglet Sécurité Ajouter tout le monde=Contrôle total, SYSTEM=Contrôle total, ANONYMOUS LOGON=Contrôle total, puis Appliquer et OK. ==================================================================== Partie à réaliser par le stagiaire 1. Via Utilisateurs et ordinateurs Active Directory (exécuter en tant que Nom : administrateur, Mot de passe : P@sswrd1, du domaine bourges.eds), créer une OU sous bourges.eds qui s’appelle Machinex (x étant votre N° d’@IP), puis déplacer votre ordinateur de GPUserx vers Machinex. 2. Cliquez sur bouton Démarrer, Outils d’administration, Gestion des stratégies de groupe (exécuter en tant que Nom : administrateur, Mot de passe : P@sswrd1), supprimer les stratégies céés antérieurement, developper Forêt\ : bourges.eds\Domaines\bourges.eds\Machinex, bouton droit sur l’OU Machinex, puis Créer et lier un objet de stratégie de groupe ici…, nommer là : Service Packx (ou x représente le N° de votre adresse IP), puis cliquez sur OK. 3. Bouton droit sur Service Packx, puis Modifier, Configuration de l’ordinateur\Paramètres du logiciel\Installation de logiciel, bouton droit sur Installation de logiciel puis Nouveau, Package…, allez chercher le le fichier par Favoris réseau, puis Tout le réseau, puis Réseau Microsoft Windows, puis Bourges, puis Servnet, puis SP1, puis I386, puis choisir update et enfin double-cliquez sur update.msi, vérifier que Attribué est sélectionné, puis OK. 4. Fermer la boite Editeur d’objets de stratégie de groupe, click droit sur Service Pack1, puis Appliqué, dans la boite Voulez-vous modifier les paramètres pour ce lien à l’objet Stratégie de groupes, cliquez sur OK. 5. Fermer la boite Gestion des stratégies de groupe. 7. Ouvrez une session à partir de la machine cliente du domaine en tant qu’administrateur du domaine bourges.eds, puis ouvrir une invite de commande et saisir : gpupdate.exe /force, puis valider par OUI « o » la boite de dialogue, fermer l’invite de commande sur la station cliente du domaine (votre machine redémarre). ==================================================================== Se connecter à la machine distante via le WEB (Bureau distant) Sur le contrôleur de domaine : 1. Installer IIS : Panneau de configuration, Ajout\Suppression de programmes, Ajouter ou supprimer des composants Windows, Serveur d’applications, Détails, Service IIS, Détails, Service World Wide Web, Détails, cocher Connexion par le Web au Bureau à distance, OK, OK, OK, Suivant, Terminer. 2. Démarrer IIS et Autoriser les Extensions du services WEB. 3. Propriétés du Poste de travail , onglet Utilisation à distance, cocher Autoriser les utilisateurs à se connecter à distance à cet ordinateur, Choisir des utilisateurs distants…, Ajouter, Bourges\Tuserx, OK, OK, OK 4. Sur la station cliente du domaine : Outils d’administration, Bureau à distance, bouton droit sur Bureau à distance et Ajouter une nouvelle connexion… Nom ou adresse IP du serveur : @IP du contrôleur de domaine Bourges Nom de la connexion : Bureau distant Tuserx, OK, menu Fichier, Enregistrer

a. soit vous cliquez sur la connexion créée pour accéder au bureau distant b. soit vous lancez Internet exploreur, puis saisir comma adresse : http://192.168.X.Y/TSWEB. Serveur : Bourges Taille : Plein écran, puis connexion

Dans la boite de login saisir : Utilisateur : administrateur Mot de passe : P@sswrd1 Se connecter à : Bourges Déconnecter-vous. Attention une seule connexion à la fois est possible

L E S E R V I C E P L A N N I N G


228

LE SERVICE PLANNING

Il s'agit d'un utilitaire Windows (NT) permettant de planifier l'exécution de programmes à des dates et heures précises et à une fréquence spécifique, comme la sauvegarde automatique de fichiers et de répertoires, la mise à jour et la suppression de jeux de sauvegarde hors des heures de bureau, la création hebdomadaire de journaux système, etc.' Le service Planificateur de tâches effectue des travaux d'administration sans intervention humaine. Avec la commande At, vous avez la possibilité d'administrer ce service lorsqu'il est actif. Dans l'exemple suivant, elle affiche la liste des travaux en attente sur le système Attention : le service « Planificateur de tâches» doit être démarré !!!! ( net start « planificateur de tâches ») Le service Planning comporte des fonctionnalités similaires aux commandes at et cron d'UNIX. C:\> at Etat ID Jour Heure Ligne de commande ------------------------------------------------------------------------------------------------ 0 Dimanche 2:00 AM C:\adminbin\findhogs.bat 1 Vendredi, l 2:15 AM C:\adminbin\cleanup.bat 4 Demain 7:00 PM E:\chem\carbon.bat 5 L, M, ME,J,V 1:00 AM C:\adminbin\stmevent.bat 6 Aujourd'hui 3:22 PM perl.exe \\pele\test.pl La commande At affiche la liste des travaux en attente sur l'ordinateur local. La commande At permet également de planifier un travail ponctuel ou périodique. Elle se présente alors dans le format suivant at [\\hôte] [heure] [/Interactive] [/Next :Date] [programme] Vous pouvez aussi réaliser cette planification de tâches via l’interface graphique : Tous les programmes, Accessoires, Outils système, Tâches planifiées hote désigne l'ordinateur sur lequel la tâche est planifiée ; commande, la commande à exécuter (suivie ou non d'arguments). Pour des raisons de sécurité, évitez les chemins d'accès relatifs. Argument obligatoire, heure indique l'heure d'exécution de la commande, au jour prévu. Elle peut figurer dans le format de 12 heures (4:00 PM., 4pm ou 4:00pm) ou de 24 heures (16:00). Notez que la commande At adjoint le suffixe AM ou PM lors de l'affichage des tâches planifiées, même si vous optez pour le format de 24 heures. Pour indiquer l'heure d'exécution, évitez les formes "4", "04" ou "16" (qui produisent des messages d'erreur).



229/interactive

Permet à la commande d'interagir avec le Bureau de l'utilisateur qui conduit une session au moment où la commande est en cours d'exécution. /every:

Exécute la commande toutes les fois que le ou les jours spécifiés de la semaine ou du mois reviennent (par exemple tous les jeudis ou le troisième jour de chaque mois). date Indique la date à laquelle vous souhaitez exécuter la commande. Vous pouvez spécifier un ou plusieurs jours de la semaine (en tapant M,T,W,Th,F,S,Su) ou bien un ou plusieurs jours du mois (en tapant un nombre compris entre 1 et 31). Séparez chaque entrée de date par une virgule. En l'absence du paramètre date, at utilise le jour en cours du mois. /next:

Exécute la commande la prochaine fois que le jour indiqué se présente (le jeudi suivant, par exemple). at \\Nom_Machine 12 :39 /interactive /next : « Taskmgr.exe » Les commandes programmées avec at s'exécutent en arrière-plan. Les données de sortie ne sont pas affichées sur l'écran de l'ordinateur. Pour les rediriger vers un fichier, utilisez le symbole de redirection (>). Si vous redirigez les données de sortie vers un fichier, vous devez faire précéder le symbole de redirection du symbole d'échappement (^), que vous utilisiez at sur la ligne de commande ou dans un fichier de commandes. Par exemple, pour rediriger les données de sortie vers Output.txt, tapez : at 14:45 c:\test.bat ^>c:\output.txt Pour programmer l'exécution d'une commande net share à 08:00 sur le serveur Server1 et rediriger la liste de sortie vers le serveur Maintenance, dans le répertoire partagé Rapports et le fichier Soc.txt, tapez : at \\Server1 20:00 cmd /c "net share rapports=d:\marketing\rapports >> \\maintenance\rapports\soc.txt" Pour sauvegarder le contenu du disque dur du serveur Marketing sur un lecteur de bande tous les cinq jours à minuit, créez un programme de commandes appelé Archives.cmd qui contient les commandes de sauvegarde, puis programmez l'exécution du programme de commandes en tapant : at \\marketing 00:00 /every:5,10,15,20,25,30 archives at [\\hôte] ID /delete Suppression du travail spécifié. at [\\hôte] /delete [ /yes] suppression des tâches en cours (avec configuration préalable facultative). Par exemple, la commande suivante supprime le travail numéro 15 sur l'orchnateur local, et tous les travaux sur l'ordinateur pele (sans demande de confirmation) C: \> at 15 /delete & at \\Pele /delete /yes at [\\hôte] [heure] [/Interactive] [/Next :Date] cmd /c « commande » Remarque : Vous pouvez aussi utiliser la commande « SCHTASKS.EXE » afin de planifier des tâches ainsi que l’assistant « Tâche panifiée »…



230 Planification de tâches en ligne de commande


============================================================a. Connectez-vous à l'ordinateur en employant un compte qui est un membre du groupe d'Administrateurs. Nom : Administrateur Mot de passe : P@sswrd1 (de votre SAM locale) b. Bouton Démarrer, puis Exécuter…, puis tapez cmd. c. Saisir la commande « net start « planificateur de tâches », pour démarrer ce service. d. Tapez C:\>at pour vérifier que la liste des tâches est actuellemnt vide. e. Planifiez une tâche qui lancera dans les 3 mn sur votre machine aujourd’hui, le programme calc.exe La commande sera : ………………………………………………………………………………………………………………………… f. Tapez C:\>at pour vérifier que la tâche est bien planifiée.(attendre que celle-ci s’exécute…) g. Planifiez une tâche qui lancera dans les 3 mn sur votre machine aujourd’hui un message administratif à votre partenaire. La commande sera : ………………………………………………………………………………………………………………………… ====================================================================== Comment faire : Créer une tâche planifiée Pour créer une tâche planifiée, procédez comme suit : a. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK. b. À l'invite de commande, tapez net start, puis appuyez sur ENTRÉE pour afficher la liste des services en cours d'exécution. Si le Planificateur de tâches ne figure pas dans la liste, tapez net start «task scheduler» et appuyez sur ENTRÉE. c. À l'invite de commande, taper schtasks /create /tn "calculatrice" /tr calc.exe /sc daily /st 08:00:00 /ed 31/12/2006, puis lorsque demandé, saisir le mot de passe : P@sswrd1. Cet exemple planifie l'exécution du programme Mon App une fois par jour, tous les jours, à partir de 8 h 00 jusqu'au 31 décembre 2006. Comme elle ne précise pas le paramètre /mo, l'intervalle d'exécution par défaut (1) est utilisé pour exécuter la commande chaque jour. d. Saisir ensuite schtasks /query (pour visualiser la tâche planifiée). e. Pour modifier une tâche existante, saisir : schtasks /change /tn "calculatrice" /st 09:00:00, puis lorsque demandé, saisir le mot de passe : P@sswrd1. f. Saisir ensuite schtasks /query (pour visualiser la tâche planifiée). g. Pour désactiver une tâche existante, saisir : schtasks /change /tn «calculatrice» /disable, puis lorsque demandé, saisir le mot de passe : P@sswrd1. h. Saisir ensuite schtasks /query (pour visualiser la tâche planifiée). i. Pour activer une tâche existante, saisir : schtasks /change /tn « calculatrice » /enable, puis lorsque demandé, saisir le mot de passe : P@sswrd1. j. Saisir ensuite schtasks /query (pour visualiser la tâche planifiée). k. Pour supprimer une tâche, saisir : schtasks /delete /tn «calculatrice» /f (pour toutes les tâches : /tn *) l. Saisir ensuite schtasks /query (pour visualiser la tâche planifiée). m. Pour exécuter une tâche toutes les semaines (par défaut le Lundi), à 7 AM à partir du 1er Mars 2006, et se termine à 6:59 AM le 30 Mars 2006, saisir : schtasks /create /tn «calculatrice0» /tr calc.exe /sc weekly/st 07 :00 /sd 01/03/2006 /et 06:59 /ed 30/03/2006, puis lorsque demandé, saisir le mot de passe : P@sswrd1. n. Saisir ensuite schtasks /query (pour visualiser la tâche planifiée). o. Pour visualiser la liste des tâches situées sur autre machine, saisir : schtasks /query /s Nom_Machine_Voisin /u Nom_Domaine\administrateur /p Passwrd1. ====================================================================== a. Pour exécuter une tâche toutes les 15mn sur l’ordinateur local, saisir : schtasks /create /tn «calculatrice1» /tr calc.exe /sc minute /mo 15. b. Pour exécuter une tâche toute les 5 heures sur l’ordinateur local, saisir : schtasks /create /tn «calculatrice2» /tr calc.exe /sc hourly /mo 5. c. Pour exécuter une tâche tous les 2 jours sur l’ordinateur local, saisir : schtasks /create /tn «calculatrice3» /tr calc.exe /sc daily /mo 2. d. Pour exécuter toutes les semaines, le Lundi et le Mardi, saisir : schtasks /create /tn «calculatrice4» /tr calc.exe /sc weekly /d mon,fri. e. Pour exécuter une tâche le premier Lundi du mois d’Avril, d’Août et Décembre, saisir : schtasks /create /tn «calculatrice5» /tr calc.exe /sc monthly /mo first /d mon /m apr,aug,dec. f. Pour exécuter une tâche lors du prochain démarrage du PC, saisir : schtasks /create /tn «calculatrice6» /tr calc.exe /sc onstart. On pourrait aussi utiliser /sc onlogon, pour que la tâche s’exécute lors du prochain login utilisateur. ======================================================================

A R C H I T E C T U R E R É S E A U D E W I N D O W S S E R V E R 2 0 0 3


231

ARCHITECTURE RÉSEAU DE WINDOWS SERVER 2003

Evolution du réseau sous Windows 2000/2003. Conforme aux RFC 112, 1123, 2018 et 1323. Routage : Windows offre à ce systéme des fonctionnalités quasi identiques à celles de vrais routeurs, pour des coûts moindres que l’achat d’un routeur, ceci a été rendu possible par le produit « Routage et accès distant ». Filtrage des paquets : En entrée et/ou en sortie d’un routeur, ce filtrage peut être effectué sur différentes couches du modèle OSI (Open System Interconection), au niveau de la couche réseau en filtrant les adresses (IP et IPX) source et/ou destination, ainsi que le protocole encapsulé dans le paquet (par exemple TCP, UDP…), au niveau de la couche transport en filtrant les protocoles de niveau application encapsulés dans le segment transport (par exemple FTP, Telnet, WWW,…). Le routage statique : Avec la console « Routage et accès distant », vous pourez administrer les tables de routages de vos routeurs (graphiquement ou en ligne de commande), des routes statiques pour de petits réseaux, alors que pour des réseaux plus conséquents l’administration utilisera de préference un protocole de routage dynamique (Windows 2000/2003 supportent RIP version 1 et 2 ainsi qu’OSPF). Interface de connexion à la demande : Pour la connexion à Internet ou à des réseaux distants par l’intermédiaire d’une liaison temporaire (liaison téléphonique RTC, RNIS…), il est aussi possible d’y affecter des horaires de connexion ainsi que des filtres de connexions. Routeur IGMP version 2 : Permet d’être à l’écoute de tous les hôtes présents sur un réseau qui sont des utilisateurs de la multidiffusion. Relais DHCP : La console « Routage et accès distant », permet de configurer l’agent relais DHCP sur un serveur Windows 2000/2003, ce serveur jouera donc le rôle de routeur pour les diffusions DHCP, permettant ainsi à des clients DHCP d’un segement réseau d’obtenir des adresses IP provenant d’un serveur DHCP situé sur un autre segment. Translation d’adresse NAT (Network Address Translation) : Un routeur configuré avec NAT permet d’offrir à un réseau un accès Internet. Il est ainsi possible d’utiliser un plan d’adressage IP privé pour son réseau d’entreprise et d’utiliser une adresse ou un pool d’adresses pour l’accès à Internet. Les réseaux privés virtuels (VPN) : Permettent de faire circuler des informations au travers d’un réseau public de façon sécurisée, comme si elles circulaient sur un réseau privé, Windows 2000/2003 impléméntent les protocoles de tunnel PPTP (Point To Point Tunneling Protocol) utilisés dans le monde Microsoft et L2TP (Layer 2 Tunneling Protocol) pris en charge par beaucoup de fabricants (crée par Microsoft, Cisco Ascend, IBM et 3Com), L2TP est en fait un dérivé de la technologie L2F de Cisco.



232 IPSEC (IP Security) : Est un standard permettant d’effectuer du cryptage des données IP ainsi qu’un contrôle d’intégrité de ces données. Uniquement la source et la destination sont capables de déchiffrer les données, surtout destiné au trafic réseau sur Internet (utilisé dans les réseaux privés virtuels). Qualité de service (QoS) : Permet à une application donnée de réserver une quantité de bande passante nécessaire pour acheminer un flux de données (video-conférence bidirectionnelle), il faut que chaque équipement traversé par les paquets (routeurs, switches) supporte un protocole de qualité de service, Windows 2000/2003 supportent RSVP (Ressource Reservation Protocol).

NDIS

NDIS (Network Driver Interface Specification ou NDIS) est une spécification d’architecture des pilotes réseau qui permet aux protocoles de transport, tels que TCP/IP ATM, IPX et NetBEUI, de communiquer avec un adaptateur réseau de base ou d’autres périphériques matériels

L’adaptateur réseau est indépendant des protocoles de transport.

NDIS permet d’installer un nombre illimité d’adaptateurs réseau sur un même ordinateur, et de lier un nombre illimité de protocoles à un ou à des adaptateurs réseau.

NDIS est orientée connexion

Eveil par appel réseau

Sens du support (capacité d’un adaptateur réseau à indiquer s’il dispose ou non d’une connexion réseau)

Meilleure prise en charge de la qualité de service

Réseau Plug and Play (combinaison de prise en charge matérielle et logicielle, qui permet à un système de reconnaître des changements dans la configuration matérielle, et de s’adapter sans presque aucune intervention de l’utilisateur).

Déchargement des tâches TCP/IP (permet que les tâches normalement à la charge de la couche transport soient traitées par l’adaptateur réseau, ce qui réduit la charge du processeur du système et à même d’augmenter le débit du réseau.



233Calcul des sommes de contrôle TCP/IP

Segmentation TCP/IP

Transmission rapide de paquets : router des paquets d’un port à un autre sans envoyer le paquet au processeur hôte, ce qui accroît le débit du réseau et réduit le travail du processeur

Traitement de la sécurité IPSec : authentification, chiffrement

TDI

L’interface des pilotes de transport (Transport Driver Interface, ou TDI) est une interface standard pour les pilotes (ex : service serveur et redirecteur) servant à communiquer avec les divers protocoles de transport réseau. Elle permet aux services de rester indépendants des protocoles de transport.

Rappel : Intranet : Est un réseau privé utilisant les mêmes technologies que celles utilisées sur Internet (protocole TCP/IP, utilisation de serveurs WEB, FTP…). Le but d’un Intranet est d’offrir à des utilisateurs un accès universel à des informations et ressources. Accès distant : Pour connecter des utilisateurs à un réseau d’entreprise afin de pouvoir consulter des données à distance (ou deux entreprises entre elles), Windows 2000/2003 offre deux possibilitées : -accès à distance (RNIS, RTC, …) -accès distant par VPN avec IPSec (tunnel PPTP ou L2TP, Accès Internet : l’accès Internet peut s’effectuer en utilisant différents équipements : -un routeur : vous devez posséder un plan d’adressage interne utilisant des adresses publiques, et protéger votre réseau à l’aide d’un équipement Firewall. -un équipement de type NAT : un routeur sur lequel est implémenté et configuré le protocole NAT. Windows 2000/2003 peut jouer ce rôle. Dans ce cas il vous suffit de posséder une adresse publique qui sera utilisée pour la navigation sur Internet par les clients de votre réseau privéutilisant des adresses privées. Le routeur se chargera de la translation d’adresse.



234 -un serveur Proxy : ce type de serveur fonctionne sensiblement comme les équipements NAT et offre des fonctionnalités supplémentaires comme la mise en cache des pages Internet consultées, dans un souci d’accélération des nouvelles consultations, une sécurité plus granulaire… Windows 2000/2003 ne comprend pas de produit Proxy en standard, par contre Microsoft Proxy Server 2.0 fonctionne sur Windows 2000/2003. Extranet : Est tout simplement l’extension d’un Internet à d’autres entreprises, dans le but de partager de l’information avec éventuellement des autorisations restreintes. Il pourrait être intéressant de proposer un accès à un Intranet à des clients, fournissuers ou encore partenaires. On pourrait configurer un Extranet en sécurisant les liaisons entre entreprises par l’utilisation de VPN, d’IPSec, L’authentification par certificats … Activation du routage IP Alors que sous NT4 le routage IP est activable depuis le panneau de configuration réseau (case à cocher), ce n'est pas prévu sous Windows 2000. Il faut modifier la Base de Registres : clé HKEY_LOCAL_MACHINE_\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters entrée IPEnableRouter de type REG_DWORD valeur : 0 = routage désactivé 1 = routage activé Pour une machine Windows XP Pro/2003 Server, il suffit d’activer et démarrer le service Routage et accès distant (Démarrer, puis Exécuter…, puis cmd, puis compmgmt.msc )

R É S O L U T I O N D E N O M S


235

RÉSOLUTION DE NOMS

Microsoft® Windows Server 2000/2003, XP, utilise la résolution de noms pour traduire les adresses IP numériques, qui sont nécessaires pour les communications TCP/IP (Transmission Control Protocol/Internet Protocol), en noms d'ordinateurs plus faciles à mémoriser et à utiliser que les adresses IP 32 bits. Grâce à la résolution de noms, vous pouvez affecter des noms d'ordinateurs aux adresses IP des hôtes source et de destination, puis utiliser les noms d'ordinateurs pour contacter les hôtes. Il existe deux types de noms à résoudre :

Noms d'hôtes Noms NetBIOS (Network Basic Input/Output System)

La résolution de noms est le processus par lequel un logiciel effectue automatiquement une traduction entre des noms alphanumériques (comme Server1 ou Computer44) et des adresses IP numériques (comme 192.168.1.200 ou encore 10.0.0.1). Pour les utilisateurs, il est plus difficile de travailler avec les adresses IP qu'avec les noms, mais elles sont nécessaires aux communications TCP/IP. Un service de résolution de noms est un service fourni par WINS (Windows Internet Name Service ) et DNS (Domain Name System). Le service de résolution de noms permet de résoudre des noms complets (ou alphanumériques) en adresses. Les services de résolution de noms permettent également à des hôtes TCP/IP de faire appel à des types de ressources ou de services réseau spécifiques, comme un contrôleur de domaine ou un serveur de messagerie SMTP (Simple Mail Transfer Protocol), et de recevoir en retour le nom et l'adresse IP des ordinateurs qui fournissent cette ressource ou ce service.



236 Le processus de résolution de noms est assez similaire à l'utilisation d'un annuaire téléphonique. Imaginons que vous vouliez téléphoner à un ami. Vous recherchez son nom dans l'annuaire pour trouver son numéro de téléphone. L'annuaire vous indique le numéro de téléphone associé au nom de votre ami. Vous pouvez alors utiliser ce numéro pour téléphoner. Les principales caractéristiques de la résolution de noms sont les suivantes :

Les gens utilisent des noms alphanumériques car ils sont plus faciles à retenir.

Les ordinateurs ont besoin d'adresses IP pour communiquer via TCP/IP.

Un nom d'hôte peut mapper plus d'une adresse IP à un nom particulier.

Ainsi, trois serveurs différents peuvent héberger un répliqua du même site Web et être accessibles via le même nom.

La résolution de noms est le processus qui consiste à renvoyer une ou plusieurs adresses IP pour un nom donné.

Il existe deux types de noms dans les réseaux : noms d'hôtes et noms NetBIOS.

Il existe plusieurs méthodes pour résoudre les noms d'hôtes et plusieurs méthodes pour résoudre les noms NetBIOS. Ces méthodes ont évolué au fil du temps pour répondre aux différents besoins.

Les applications et services qui servent à saisir les noms déterminent quel type de nom a été entré. La configuration du système d'exploitation détermine comment le processus de résolution de noms va résoudre le nom en question. Par exemple : l'utilisateur entre un nom dans une application ou un service. L'application ou le service est conçu(e) pour interroger un nom d'hôte ou un nom NetBIOS. Une fois la demande présentée au système d'exploitation, celui-ci lance le processus qui va essayer de résoudre le nom en fonction de sa configuration.

***Les applications Windows 2003 actuelles utilisent le processus de résolution de noms d'hôte, mais certaines applications anciennes, telles que celles conçues pour Windows NT, Microsoft Windows 95 et Microsoft Windows 98 utilisent toujours des noms NetBIOS. Si le processus de résolution de noms échoue, l'application ne peut pas communiquer avec la destination souhaitée. Si vous utilisez une adresse IP, la résolution de noms n'est pas requise***.

Processus de résolution de noms d'hôte Un nom est l'identificateur de votre ordinateur sur le réseau. Un nom d'hôte est le nom DNS d'un périphérique sur un réseau. Un nom de domaine pleinement qualifié (FQDN) est un nom de domaine DNS qui a été déclaré de façon non ambiguë pour indiquer avec certitude son emplacement dans l'arborescence de l'espace de noms du domaine. Les noms d'hôtes sont utilisés pour localiser des ordinateurs sur un réseau. Pour qu'un ordinateur puisse contacter un autre ordinateur en utilisant un nom d'hôte, le nom d'hôte doit figurer dans le fichier Hosts ou être connu par un serveur DNS. Pour la plupart des ordinateurs exécutant Windows Server 2003 ou Windows XP, le nom d'hôte et le nom NetBIOS sont identiques.



237Les noms d'hôtes sont créés selon la convention d'appellation standard utilisée sur Internet. Les noms d'hôtes rendent la résolution de noms possible sur Internet. Un nom d'hôte est une partie d'un nom de domaine pleinement qualifié (FQDN) qui utilise une structure hiérarchisée. Les noms d'hôtes font généralement partie de l'espace de noms DNS qui vous permet d'accéder aux ressources d'une structure DNS. Nom DNS : Un nom DNS est une série de labels, chacun séparé par un point (.) afin de distinguer les différentes branches ainsi que le nom des nœuds dans cette hierarchie. Le nom DNS Server1.training.nwtraders.msft affiché de cette manière s’appelle Fully Qualified Domain Name (FQDN). Dans un nom de domaine pleinement qualifié (FQDN) comme Server1.training.nwtraders.msft, le nom d'hôte est Server1. Training.nwtraders.msft est le suffixe. Une fois associés, le nom d'hôte (Server1) et le suffixe (training.nwtraders.msft) font référence à une ressource unique et spécifique sur un réseau TCP/IP. Le suffixe est essentiel au nom d'hôte parce qu'il permet à deux noms d'hôtes identiques d'exister sur le réseau sans conflit. Server1.training.nwtraders.msft peut exister sur le même réseau que Server1.nwtraders.msft. Le suffixe sert à faire la différence entre les deux noms.

En vous reportant à la diapositive, notez que chaque nom de domaine pleinement qualifié se termine par un point (.). Le point final (.) représente l'emplacement racine dans une arborescence ; il n'est ni obligatoire, ni souvent utilisé en pratique. Les noms d'hôtes sont utilisés virtuellement dans tous les environnements TCP/IP. La liste ci-dessous fournit la description d'un nom d'hôte.

Un nom d'hôte est un alias attribué à un ordinateur par l'administrateur pour identifier un hôte TCP/IP.

Dans Windows Server 2003 et Windows XP, le nom d'hôte est par défaut identique au nom NetBIOS, mais il n'est pas nécessaire que le nom d'hôte corresponde au nom NetBIOS de l'ordinateur.

Le nom d'hôte peut être toute chaîne comportant jusqu'à 256 caractères. Un nom d'hôte unique peut être affecté à un hôte. Les méthodes de résolution

de noms, comme le fichier Hosts ou le système DNS, peuvent voir plusieurs noms d'hôtes mappés à l'adresse IP du même hôte. Ainsi, l'hôte Server1.nwtraders.msft peut avoir des entrées dans DNS pour Server1.nwtraders.msft et pour www.nwtraders.msft. Les deux noms sont résolus en adresse IP de Server1.nwtraders.msft.



238 Il est possible qu'un nom d'hôte soit résolu en plusieurs adresses IP.

Par exemple, trois serveurs Web identiques sont tous identifiés dans le système DNS avec le nom www.nwtraders.msft. Lorsqu'un client essaie de se connecter à www.nwtraders.msft via un navigateur Web, trois adresses IP sont renvoyées en réponse à la demande DNS.

Un nom d'hôte simplifie la manière de référencer d'autres hôtes TCP/IP. Les noms d'hôtes sont plus faciles à retenir que les adresses IP.

Un nom d'hôte peut être utilisé à la place d'une adresse IP dans différents utilitaires TCP/IP, notamment Ping.

Pour qu'il ait une valeur en terme de résolution de noms, un nom d'hôte et l'adresse IP correspondante doivent être configurés dans une base de données, un serveur DNS ou un fichier Hosts.

L'utilitaire Hostname affiche le nom d'hôte qui est affecté à votre système. Par défaut, le nom d'hôte est le même que le nom d'ordinateur de votre ordinateur Windows. =================================================================== Pour consulter votre nom d'hôte et le suffixe DNS en utilisant l'utilitaire Ipconfig : Commencer par configurer votre machine pour être client DHCP. 1. Dans le menu Démarrer, pointez successivement sur Tous les programmes et sur Accessoires, puis cliquez avec le bouton droit sur Invite de commandes. 2. À l'invite, tapez ipconfig /all et appuyez sur ENTRÉE. 3. Consultez les valeurs des champs Nom de l'hôte et Suffixe DNS principal. Quel est le suffixe DNS principal ?__________________________ Pour consulter votre nom d'hôte en utilisant l'utilitaire Hostname : À l'invite, tapez hostname et appuyez sur ENTRÉE. Quel est le nom d'hôte ? _______________________________ ===================================================================

La procédure de résolution de noms par défaut est décrite ci-dessous (Windows XP/2000/2003). La résolution de noms d'hôtes est le processus qui consiste à résoudre un nom d'hôte en adresse IP. Le processus de résolution de noms d'hôtes fonctionne de la façon suivante : 1. Le processus commence lorsqu'une application ou un service en cours d'utilisation passe le nom d'hôte au service client DNS. 2. Le service client DNS recherche dans le cache de résolution client le mappage du nom d'hôte à une adresse IP. Toutes les entrées du fichier Hosts sont pré chargé dans le cache de résolution client. 3. Si le service client DNS ne repère pas de correspondance dans le cache de résolution client, il transmet une demande de nom d'hôte à un serveur DNS. 4. Si les méthodes de résolution de noms d'hôtes configurées échouent, les méthodes de résolution de noms NetBIOS configurées sont utilisées pour tenter de résoudre le nom. Cela ne se produit que si le nom d'hôte comporte au maximum 15 caractères. a) Serveur WINS, b) Diffusion, c) Fichier Lmhosts 5. Lorsque le nom d'hôte est trouvé, l'adresse IP correspondante est renvoyée à l'application.

Les noms d'hôte peuvent être résolus directement par le fichier Hosts ou par un serveur DNS.



239

Ces méthodes de résolutions des noms d'hôtes, peuvent également fonctionner pour résoudre des noms NetBIOS. Le type de noeud spécifie les méthodes de résolution, ainsi que l'ordre dans lequel une machine les mettra en oeuvre. Les noms d'hôte peuvent prendre diverses formes. Les deux formes les plus courantes sont l'alias et le nom de domaine. Un alias est un nom unique associé à une adresse IP, comme Servnet. Un nom de domaine est structuré pour une utilisation sur Internet et comprend des points et des séparateurs. Servnet.Bourges.eds constitue un exemple de nom de domaine. Configuration des ordinateurs clients fonctionnant sous Windows XP :

1) Bouton droit sur Favoris réseau, puis cliquez sur Propriétés. 2) Ouvrez la boite de dialogue Propriétés correspondant à la connexion, puis la boite de dialogue Propriétés de

Protocoles Internet (TCP/IP). 3) Cliquez sur Utiliser l’adresse de serveur DNS suivante. 4) Dans la zone Serveur DNS préféré, tapez l’adresse IP du serveur principal. Si vous configurez un serveur DNS

secondaire, dans la zone Serveur DNS auxiliaire, tapez l’adresse IP du serveur DNS auxiliaire. Pour configurer le suffixe DNS principal : 1) Cliquez avec le bouton droit sur Poste de travail et choisissez Propriétés pour ouvrir la boîte de dialogue

Propriétés système. 2) Dans l’onglet Nom de l’ordinateur, cliquez sur Modifier. 3) Dans la boîte de dialogue Modifications du nom d’ordinateur, cliquez sur Plus. 4) Dans la boîte de dialogue Nom d’ordinateur DNS et suffixe NetBIOS, dans la zone Suffixe DNS principal de cet

ordinateur, tapez le nom de domaine de l’ordinateur.

Cache de résolution client

Le cache de résolution client est un emplacement mémoire qui stocke les noms d'hôtes qui ont récemment été résolus en adresses IP. Il s'agit également d'un emplacement de stockage pour les mappages de nom d'hôte à adresse IP qui sont chargés à partir du fichier Hosts. Les entrées de cache négatives sont des noms d'hôtes entrés dans le cache mais dont la résolution a échoué.



240

Pour afficher un cache de résolution client au moyen de la commande ipconfig.

À l'invite de commandes, tapez ipconfig /displaydns (vérifie aussi le contenu du fichier hosts).

La commande ipconfig /flushdns fournit un moyen de vider et réinitialiser le contenu du cache de résolution du client DNS. Au cours de la résolution de problèmes DNS, vous pouvez, le cas échéant, utiliser cette procédure pour supprimer du cache les entrées négatives, de même que toutes autres entrées ajoutées de façon dynamique. Si la commande ipconfig est fournie pour les versions antérieures de Windows, l'option /flushdns est disponible uniquement sur les ordinateurs exécutant Windows 2000, Windows XP ou Windows Server 2003. Le service client DNS doit également être démarré. Pour vider un cache de résolution client à l'aide de la commande ipconfig.

À l'invite de commandes, tapez ipconfig /flushdns À l'invite de commandes, tapez ipconfig /registerdns pour vous ré

enregistrer auprès du serveur DNS

Le Fichier Hosts Le fichier Hosts est un fichier statique géré sur l'ordinateur local qui sert à charger les mappages de nom d'hôte à une adresse IP dans le cache de résolution client.



241Le fichier HOSTS est construit comme le fichier LMHOSTS, sauf que les FQDN ou noms de domaines pleinement ou hautement qualifiés (Fully Qualified Names) correspondent à des adresses IP ou lieu de noms NetBios. Il est avant tout associé à la résolution des noms d'hôtes. Windows l'utilise cependant si toutes les autres méthodes de résolution ont échoué. Vous pouvez utiliser le fichier Hosts pour pré charger des mappages permanents de noms d'hôtes à des adresses IP dans le cache de résolution client. Cela permet de réduire le temps de réponse aux demandes et de réduire le trafic réseau. Les caractéristiques d'un fichier Hosts sont les suivantes :

Une entrée unique du fichier Hosts consiste en une adresse IP correspondant à un ou plusieurs noms d'hôtes. Le nom d'hôte figurant dans le fichier Hosts peut être un nom de partie unique comme Server1 ou un nom de domaine pleinement qualifié (FQDN) comme server1.nwtraders.msft.

Un fichier Hosts doit être présent sur chaque ordinateur. Le cache de résolution client recherche localement le fichier Hosts.

Le fichier Hosts se trouve dans le dossier %systemroot%\System32\Drivers\Etc\ et se nomme Hosts.

Lorsque vous créez un mappage d'un nom d'hôte à une adresse IP dans le fichier Hosts, puis enregistrez ce fichier, le mappage est chargé dans le cache de résolution client.

L'entrée de mappage de nom d'hôte issue du fichier Hosts ne contient pas de durée de vie. Le mappage de nom d'hôte reste dans le cache de résolution client jusqu'à ce qu'il soit supprimé du fichier Hosts.

Le fichier Hosts est compatible avec le fichier Hosts UNIX. Il est semblable au fichier LMHOSTS mais est plus simple : Il ne comporte pas de balises Il est possible d'associer plus d'un nom d'hôte en les saisissant tous sur la même ligne en les séparant par un espace. Exemple : 192.168.100.1 www.fireball.com #serveur 192.168.100.2 maverick missile 127.0.0.1 localhost

Les commentaires sont toujours en fin et marqués par #.

Bien que le but principal du fichier HOSTS soit de faire correspondre les FQDN aux adresses IP, il peut également résoudre les noms NetBios si les méthodes NetBios traditionnelles ont échoué. Dans ce cas, les 15 premiers caractères situés à gauche du premier point sont retirés du FQDN et sont considérés comme un nom NetBios.



242

Que sont les noms NetBIOS ? Un nom NetBIOS est un identificateur utilisé par les services NetBIOS exécutés sur un ordinateur. Il est composé d'un nom de 15 caractères plus un 16ème (octet) indiquant le service. Les noms NetBIOS servent à identifier les ressources dans un réseau NetBIOS. Les noms NetBIOS ne permettent pas d'effectuer une résolution de noms sur Internet car il s'agit de noms en une seule partie qui ne disposent pas de structure hiérarchique. Les noms NetBIOS sont plats, ce qui signifie qu'il n'y a pas de suffixe attaché aux noms NetBIOS et qu'il n'existe aucun moyen de faire la différence entre deux ordinateurs portant le même nom NetBIOS. Autrement dit, chaque nom NetBIOS sur un réseau donné doit être unique. Par exemple, Server2 est le nom NetBIOS d'une ressource dans un réseau NetBIOS. Si un autre ordinateur du même réseau possède le nom Server2, une erreur se produit.

Les caractéristiques des noms NetBIOS sont les suivantes :

Les noms NetBIOS sont utilisés pour prendre en charge les services qui exigent NetBIOS. Windows Server 2003, Windows 2000 et Microsoft Windows XP utilisent des noms DNS pour la plupart de leurs fonctions.

Néanmoins, une méthode de résolution de noms NetBIOS doit exister sur tout réseau comportant des ordinateurs qui exécutent des versions antérieures de Windows ou pour des applications qui dépendent toujours des noms NetBIOS.

Un nom NetBIOS est un alias qu'attribue un administrateur à un ordinateur pour identifier un service NetBIOS exécuté sur un hôte TCP/IP.

Le nom NetBIOS ne doit pas nécessairement correspondre au nom d'hôte. Les noms NetBIOS ont une longueur maximale de 15 caractères, à comparer

aux 255 caractères maximum des noms d'hôtes DNS. Le nom d'hôte et le nom NetBIOS d'un ordinateur exécutant Windows Server 2003 sont générés ensemble. Si le nom d'hôte comporte plus de 15 caractères, le nom NetBIOS sera composé des 15 premiers caractères.

Les noms NetBIOS doivent être uniques sur leur réseau. Lorsque vous démarrez votre ordinateur, divers services (comme le service

serveur ou le service station de travail) inscrivent un nom NetBIOS unique qui est basé sur le nom de l'ordinateur. Le nom inscrit est le nom NetBIOS de 15 caractères auquel est ajouté un seizième caractère (octet) qui identifie de façon unique le service serveur. (Chaque caractère est rendu sur un octet en



243texte ASCII, mais le seizième caractère est normalement rendu en notation hexadécimale plutôt qu'en texte ASCII, ce qui lui vaut souvent d'être appelé seizième octet et non seizième caractère).

Les noms NetBIOS sont également inscrits pour les groupes d'ordinateurs qui fournissent des services réseau. Ainsi, si london.nwtraders.msft est un contrôleur de domaine, il va inscrire le nom NetBIOS, London, et va en même temps inscrire des noms qui identifient ses rôles en tant que contrôleur de domaine dans le domaine nwtraders. Cela permet aux clients de rechercher tous les hôtes NetBIOS qui proposent des services de contrôleurs de domaine dans le domaine nwtraders sans connaître les véritables noms des contrôleurs de domaine en question.

Un nom NetBIOS simplifie la manière de référencer d'autres hôtes TCP/IP. Les noms NetBIOS sont plus faciles à retenir que les adresses IP.

Un nom NetBIOS peut être résolu si le nom et l'adresse IP sont stockés dans une base de données sur un serveur WINS ou dans un fichier LmHosts. Une diffusion peut également résoudre un nom NetBIOS.

L'utilitaire Nbtstat affiche les noms NetBIOS que les services NetBIOS utilisent sur votre ordinateur.

Le nom NetBIOS est créé lors de l'installation du système d'exploitation. Lorsque le nom de l'ordinateur est créé, le programme d'installation crée automatiquement un nom d'hôte et un nom NetBIOS qui sont basés sur le nom d'ordinateur entré. Par exemple, Server2 est le nom NetBIOS de l'ordinateur dans la figure. L'ordinateur exécute plusieurs services NetBIOS : station de travail, serveur et affichage des messages. Chacun de ces services est associé au même nom NetBIOS (Server2).

Comment afficher les noms sur un client Pour consulter les noms NetBIOS en utilisant la commande Nbtstat :

Cette commande de diagnostic affiche les statistiques de protocole et les connexions TCP/IP en cours utilisant NBT (NetBIOS sur TCP/IP). Cette commande est disponible uniquement si le protocole TCP/IP est installé. nbtstat [-a nom_distant] [-A adresse IP] [-c] [-n] [-R] [-r] [-S] [-s] [intervalle] -a nom_distant Affiche la table des noms de l'ordinateur distant en utilisant le nom. -A adresse IP Affiche la table des noms de l'ordinateur distant en utilisant son adresse IP. -c Affiche le contenu du cache de noms NetBIOS en donnant l'adresse IP de chaque nom. -n Affiche les noms NetBIOS locaux. La mention Registered indique que le nom est enregistré par diffusion (Bnode) ou par WINS (autres types de noeuds).



244 -R Recharge les lignes du fichier Lmhosts avec les entrées #PRE après avoir purgé tous les noms du cache de noms NetBIOS. -r Affiche les statistiques de résolution de noms pour la résolution de noms en réseau Windows. Sur un système Windows 2003 configuré pour utiliser WINS, cette option renvoie le nombre de noms résolus et enregistrés par diffusion ou par WINS.

-S Affiche les sessions client et serveur, en répertoriant les ordinateurs distants par adresse IP uniquement. -s Affiche les sessions client et serveur. Ce commutateur tente de convertir l'adresse IP de l'ordinateur distant en un nom à l'aide du fichier Hosts. intervalle Affiche les statistiques sélectionnées de manière répétée avec un intervalle (en secondes) entre chaque occurrence. Appuyez sur CTRL+C pour interrompre l'affichage des statistiques. Si ce paramètre est omis, nbstat n'imprime qu'une seule fois les informations de la configuration. -RR (ReleaseRefresh) Envoie des paquets de libération de nom à WINS puis actualise

Ex : NBTSTAT -A 192.168.12.24 Nom Type Etat ZORRO <00> UNIQUE Inscrit GEFI <00> Groupe Inscrit ZORRO <20> UNIQUE Inscrit ZORRO <03> UNIQUE Inscrit GEFI <1E> Groupe Inscrit



245On remarque en face des noms des caractères : <00>, <20>.

On remarque que ZORRO et GEFI ont tous les deux <00>, il s’agit des noms attachés au service station de Travail, c’est l’identification de l’ordinateur sur le réseau. On remarque aussi que GEFI, par exemple, à la fois les caractères <00> et <1E>. En fait, <1E> est l’identifiant d’un groupe d’ordinateurs. Pour le redire autrement, <00> définit qu’il s’agit du nom NetBIOS (nom de la machine ou du groupe d’ordinateurs), et tous les autres définissent la ou les fonction(s) exacte(s) de ce nom NetBIOS (groupe d’ordinateurs, serveur d’impression, service messagerie…). On sait donc maintenant que l’ordinateur ZORRO a annoncé aux autres machines qu’il s’appelle ZORRO, et qu’il est dans le groupe d’ordinateurs GEFI. On sait aussi qu’il exécute le service serveur <20> et qu’il exécute le service de messagerie (qui permet d’envoyer des messages pop-up) <03>. Le tableau suivant donne la signification de chaque nom, en fonction de son numéro (valeur hexadécimale du 16ème octet) et de son type.

Noms de type "Unique" Numéro (h) Description --------------------------------------------------------------------- <nom ordinateur> 00 Service station de travail <nom ordinateur> 03 Service Messagerie (net send) <nom ordinateur> 06 Service Serveur RAS <nom ordinateur> 1F Service NetDDE <nom ordinateur> 20 Service Serveur de fichiers ou client WINS <nom ordinateur> 21 Service client RAS <nom ordinateur> BE Agent du Moniteur réseau (SMS) <nom ordinateur> BF Application Moniteur réseau, serveur SMS <nom ordinateur> 03 Service Messagerie <nom du domaine> 1D Maître explorateur du réseau ou serveur WINS <nom du domaine> 1B Maître Explorateur du Domaine <utilisateur> 03 Utilisateur connecté localement

Noms de type "Group" Numéro (h) Description --------------------------------------------------------------------- <nom du domaine> 00 Nom du groupe d’ordinateurs ou domaine auquel la machine

appartient <nom du domaine> 1C Un des contrôleurs du domaine <nom du domaine> 1E Service d'élections d'explorateur, éligible au rang de maître

explorateur Maître explorateur _01 (<_MSBROWSE_>), il est le maître explorateur sur le réseau Les 3 fonctions principales de la gestion des noms NetBIOS sont : Inscription, requête, libération des noms. Pour consulter le nom NetBIOS de votre ordinateur en utilisant les propriétés système : 1. Dans la boîte de dialogue Propriétés système, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier. 2. Dans la boîte de dialogue Modification du nom d'ordinateur, cliquez sur Autres. 3. Consultez le nom NetBIOS dans le champ Nom NetBIOS de l'ordinateur. Pour renommer un ordinateur : 1. Dans la boîte de dialogue Propriétés système, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier. 2. Sous l'onglet Nom de l'ordinateur, cliquez sur Modifier. 3. Sous Nom de l'ordinateur, entrez un nouveau nom pour l'ordinateur, puis cliquez sur OK.



246

Processus de résolution de noms NetBIOS La résolution de noms NetBIOS est le processus qui consiste à mapper un nom NetBIOS à une adresse IP. Exemple utiliser la commande : net use x : \\france\public Il est possible de configurer le processus de résolution de noms NetBIOS. Par défaut, le client est configuré pour interroger un serveur WINS et pour utiliser la recherche Lmhosts dans l'ordre suivant : 1. L'ordinateur A entre une commande, comme net use, en utilisant le nom NetBIOS de l'ordinateur B. 2. L'ordinateur A vérifie si le nom indiqué figure dans son cache de nom NetBIOS. 3. Si tel n'est pas le cas, l'ordinateur A interroge un serveur WINS Principal. 4. Si le serveur WINS Principal ne peut pas localiser le nom, le client envoie une requête encore deux fois, si le client ne reçoit pas de réponse de son serveur WINS Principal, le client renvoie la requête à tous les autres serveurs WINS configurés pour ce client, sinon l'ordinateur A émet une diffusion générale sur le réseau. 5. Si cette diffusion ne permet pas de résoudre le nom, l'ordinateur A consulte son fichier Lmhosts. 6. Si les méthodes NetBIOS ci-dessus ne résolvent pas le nom, l'ordinateur A consulte le fichier Hosts. 7. Pour finir, l'ordinateur A interroge un serveur DNS.

Configuration des ordinateurs clients fonctionnant sous Windows XP :

1) Bouton droit sur Favoris réseau, puis cliquez sur Propriétés. 2) Ouvrez la boite de dialogue Propriétés correspondant à la connexion, puis la boite de dialogue Propriétés de

Protocoles Internet (TCP/IP). 3) Cliquez sur Avancé, puis sur l’onglet WINS. 4) Dans le volet WINS, utilisez le bouton Ajouter pour ajouter de nouvelles adresses de serveurs WINS. Vous devez

aussi activer les options Par défaut ou Activer NetBIOS avec TCP/IP.

Cache de noms NetBIOS

Un cache de noms NetBIOS est un emplacement mémoire qui stocke les noms NetBIOS récemment résolus en adresses IP, que ce soit via un serveur WINS, une



247diffusion ou le fichier Lmhosts. Il s'agit également d'un emplacement qui stocke les mappages de nom d'hôte à adresse IP pré chargés à partir du fichier Lmhosts. Le cache de noms NetBIOS est le premier endroit où le redirecteur NetBIOS va chercher une adresse IP à mapper à un nom NetBIOS. Le cache de noms NetBIOS résout les adresses IP plus rapidement qu'un serveur WINS, une diffusion ou le fichier Lmhosts et il ne crée pas de trafic réseau. De plus, il est possible de pré charger dans le cache de noms NetBIOS les mappages de nom NetBIOS à adresse IP souvent utilisés à l'aide du fichier Lmhosts.

Quand un utilisateur lance une requête de nom NetBIOS à l'aide d'une application ou d'un service comme net use, le processus de résolution de noms NetBIOS commence. Le mappage nom NetBIOS/adresse IP de l'hôte de destination est recherché dans le cache de noms NetBIOS. Le cache de noms NetBIOS contient les noms NetBIOS récemment résolus. Si le nom NetBIOS est introuvable dans le cache, le client qui exécute Windows essaie de déterminer l'adresse IP de l'hôte de destination par d'autres méthodes. Remarque : Pour une commande comme net use et d'autres commandes qui appellent le protocole SMB (Server Message Block), Windows 2000 et les versions ultérieures peuvent utiliser l'hébergement direct avec SMB ou plus traditionnellement NetBIOS avec TCP/IP. Si l'hébergement direct et NetBIOS sur TCP/IP sont activés, les deux méthodes sont tentées en même temps et la première qui répond est utilisée. NetBIOS avec TCP/IP essaie d'utiliser la résolution de noms NetBIOS. La méthode d'hébergement direct utilise la résolution de noms d'hôtes. Une fois qu'un nom NetBIOS a été résolu en adresse IP, un nouveau mappage est entré dans le cache de noms NetBIOS avec un intervalle d'actualisation (une durée de vie) de 10 minutes. Si le nom stocké dans le cache NetBIOS fait l'objet d'un accès au cours de cet intervalle, ce dernier est redéfini à 10 minutes. Si l'intervalle s'écoule sans le que nom ait fait l'objet d'un accès, le mappage est supprimé du cache de noms NetBIOS. Lorsque vous affichez le cache de noms NetBIOS, la durée de vie est exprimée en secondes. Les noms NetBIOS peuvent être de deux types : uniques ou collectifs. Un nom NetBIOS unique fait référence à un service NetBIOS hébergé sur un ordinateur individuel. Un nom NetBIOS collectif fait référence à un service NetBIOS hébergé sur un groupe d'ordinateurs.



248 Pour afficher le contenu du cache de noms NetBIOS de l'ordinateur local :

À l'invite de commandes, tapez nbtstat -c Pour libérer le cache de noms NetBIOS et recharger les entrées à balise #PRE dans le fichier local Lmhosts :

À l'invite de commandes, tapez nbtstat -R Pour afficher et consulter la table de noms NetBIOS de l'ordinateur local :

À l'invite de commandes, tapez nbtstat -n

Le cache de nom distant NetBios (NetBios Remote Name Cache) contient les correspondances du nom et des adresses IP des machines récemment consultées. Ce cache est recherché en premier lieu avant toute autre méthode de résolution NetBios. Une entrée réside dans le cache pendant 600 000 millisecondes (10 mn). On peut éditer cette valeur dans la base de registre : HKLM\System\CurrentControlSet\Services\NetBT\Parameters\CacheTimeout La valeur par défaut est 927c0 (hex) or 600,000, qui correspond à 10 minutes. Les noms peuvent être chargés de façon permanente dans le cache via le tag #PRE définit dans le fichier LMHOSTS lors du boot du PC soit par la commande nbtstat -R. Il existe cependant une subtilité : les entrées ne restent dans le cache 10 minutes que si elles ont été accédées durant les 2 premières minutes après leur entrée. Un couple d’entrée dans le registre affecte la manière de fonctionnement du cache NetBIOS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters Size: Small/Medium/Large. Small (1—maintient seulement 16 noms dans le cache NetBIOS), Medium (2—maintient 64 noms), et Large (3—pour 128 noms). La valeur par défaut est 1, ce qui est normalement suffisant.



249

Le fichier LMHOSTS

Le fichier LMHOSTS établit la correspondance entre les noms NetBios et les adresses IP. Le fichier se trouve dans %systemroot%\system32\drivers\etc Un fichier LMHOSTS exemple (LMHOSTS.SAM) est disponible dans ce répertoire. Il faut le renommer de LMHOSTS.SAM (SAM comme SAMPLE, LM comme Lan Manager) en LMHOSTS.

Il comporte des balises : #PRE : les entrées sont pré chargées et leur durée de vie est mise à -1 (statique) #DOM:[nom_domaine] : indique que l'ordinateur est DC ainsi que le domaine qu'il contrôle. #INCLUDE: Indique l'emplacement d'un fichier LMHOSTS central. (Chemin UNC) #BEGIN_ALTERNATE : s'utilise conjointement avec la balise #INCLUDE. Elle marque le début d'une liste d'autres emplacements du fichier LMHOSTS central, au cas où la première entrée ne serait pas disponible. #END_ALTERNATE : Termine la liste. #MH : Multihomed : des ordinateurs multi résidents peuvent apparaître plus d'une fois dans la liste : cette balise indique à la machine que, dans ce cas, elle ne doit pas ignorer les autres entrées de la liste. \0xnn : Identifient des machines avec un service ou une application spécifique. Employer le nombre hexadécimal du service ou de l'application comme seizième caractère dans le nom NetBIOS et ajouter le nom entier entre guillemets.



250 Nombre hexadécimal des services réseau (fichier LMHOST)

Exemple : fichier LMHOSTS ---------------------------------------------------------------------- 10.1.13.1 godot 10.1.13.2 leda 10.1.13.3 demeter 10.1.13.4 vala #PRE #DOM:BOREALIS 10.1.13.5 janis #PRE 192.168.34.77 dalton #PRE 192.168.0.4 “SYNGRESS \0x1b” #PRE #DOM:SYNGRESS #SYNGRESS.COM PDC Emulator #INCLUDE \\vala\config\lmhosts #BEGIN_ALTERNATE #INCLUDE \\dalton\adminbin\lmhosts #INCLUDE \\priestley\adminbin\lmhosts #END_ALTERNATE ---------------------------------------------------------------------- Remarques : Mettre les entrées les plus utilisées en tête et faire en sorte que le fichier ne soit pas trop volumineux car son parcours est linéaire. Mettre les entrées en #PRE en fin de fichier car elles sont déjà préchargées dans le cache des noms NetBIOS. Nbtstat -R : recharge le cache NetBios à partir du fichier LMHOSTS. Le fichier LMHOSTS ne présente toutefois qu’un intérêt historique : en effet, comme il s’agit d’un fichier statique, il ne fonctionne pas d’une manière satisfaisante dans les réseaux qui utilisent les adresses IP distribuées dynamiquement (DHCP) ou dans les grands réseaux d’entreprise. Par défaut, des Windows 2000 ou Server 2003 limite le cache de nom NetBIOS pré chargée (balise #PRE) à 100 entrées Vous pouvez augmenter cette valeur par le registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters Et modifier la valeur de MaxPreloadEntries.



251La commande nbtstat – R, vide le cache NetBIOS et recharge uniquement les balises #PRE du fichier LMHOSTS dans le cache NetBIOS.



252

TYPES DE NŒUDS NetBIOS Le type de nœud définit dans quel ordre sera employé les différentes méthodes utilisées par Windows afin de résoudre un nom NetBIOS en @ IP : Cache NetBIOS, Srv WINS, Broadcast, Fichier Lmhost, Fichier Hosts, Srv DNS. Cette information est visible par la commande : IPCONFIG /ALL Diffusion générale (b-node, broadcast) Point à point (p-node, peer to peer) Mixte (m-node, utilise b-node puis p-node) Hybride (h-node, utilise p-node puis b-node)

Une machine en B-node La méthode la plus simple consiste à demander à tout le monde si le nom est le sien. Elle doit être faite au travers d'une diffusion à laquelle tous les hôtes du réseau répondent. Les requêtes de nom NetBios en diffusion peuvent occuper une quantité importante de la bande passante sur le réseau, en utilisant du temps processeur sur chaque machine. Windows fait 3 tentatives pour résoudre le nom en utilisant une diffusion, avec une attente de 7.5 secondes chaque fois. Pour laisser transiter les diffusions B-nœud les routeurs doivent activer les ports UDP 137 et 138.

Ordre de résolution : 1.Vérification de son cache NetBios (voir commande « nbtstat –c ») 2.Diffusion d'une requête de nom NetBios (broadcast) => ne passe pas les routeurs ====================================================================== Les étapes suivantes sont optionnelles et dépendent de paramètres activés….. 3. Vérification du fichier LMHOSTS (uniquement pour le m-node MS ou B-node Avancé) 4. Vérification du fichier HOSTS ou Cache DNS préchargé à partir du fichier HOSTS (si configuré : voir commande IPCONFIG /DISPLAYDNS) 5. Vérification sur un serveur DNS (si configuré) C'est le type de noeud par défaut pour les clients Windows 2000/XP/Server 2003 qui ne sont pas configuré comme des clients WINS.

ORDI1 n'utilise que les diffusions ORDI1 réussit à contacter ORDI3, mais ne peut contacter ORDI2. Avantages Aucun serveur WINS n'est nécessaire Aucun paramétrage des machines, il s'agit de la configuration par défaut Inconvénients Les diffusions encombrent le réseau Les routeurs bloquent les diffusions : impossible de contacter les machines d'autres réseaux



253La présence de routeurs peut empêcher : l'authentification, l'accès aux ressources...

DHCP possible sur le domaine de diffusion uniquement

Une machine en P-node

Demande le nom NetBios à la machine centrale (Serveur de Noms NetBios = Serveur WINS). 3 tentatives espacées de 15 secondes.

Ordre de résolution : 1. Vérification de son cache NetBios (voir commande « nbtstat –c ») 2.Demande à un serveur de noms NetBIOS (NBNS) en unicast Primaire puis Secondaire si configuré ====================================================================== Les étapes suivantes sont optionnelles et dépendent de paramètres activés….. 3. Vérification du fichier LMHOSTS (uniquement pour le m-node MS ou B-node Avancé) 4. Vérification du fichier HOSTS ou Cache DNS préchargé à partir du fichier HOSTS (si configuré : voir commande IPCONFIG /DISPLAYDNS) 5. Vérification sur un serveur DNS ======================================================================

ORDI1 n'utilise pas les diffusions et ne contacte que WINS. ORDI1 ne réussit à contacter que les clients WINS. Si ORDI3 n'est pas client WINS, ORDI1 ne le contacte pas. Avantages Aucune diffusion n'encombre le réseau Le réseau peut être segmenté à l'aide de routeurs DHCP possible pour les clients WINS et les machines locales Si toutes les machines sont clientes WINS, l'authentification et l'accès aux ressources fonctionne Inconvénients Un ou plusieurs serveurs WINS nécessaires (et duplication éventuelle des bases). Les machines n'utilisent plus les diffusions : elles ne voient QUE les clients WINS Une machine située dans le domaine de diffusion ne peut pas être localisée si elle n'est pas cliente WINS

Une machine en M-node

Une machine en m-node essaie toutes les méthodes de résolution. Ce type de résolution est, avec h-node, une concaténation de p-node et de b-node.



254

La seule différence est l'ordre: 1. Vérification de son cache NetBios (voir commande « nbtstat –c ») 2. Diffusion d'une requête de nom NetBios 3.Demande à un serveur de noms NetBIOS (NBNS) Primaire puis Secondaire si configuré ====================================================================== Les étapes suivantes sont optionnelles et dépendent de paramètres activés….. 4. Vérification du fichier LMHOSTS (uniquement pour le m-node MS) 5. Vérification du fichier HOSTS ou Cache DNS préchargé à partir du fichier HOSTS (si configuré : voir commande IPCONFIG /DISPLAYDNS) 6. Vérification sur un serveur DNS ======================================================================

ORDI1 émet d'abord une diffusion ORDI1 contacte ensuite son serveur WINS si la diffusion ne donne rien ORDI1 peut toujours contacter ORDI3. ORDI1 ne peut contacter ORDI2 que si ce dernier est client WINS Avantages Le réseau peut être segmenté à l'aide de routeurs Si toutes les machines sont clientes WINS, l'authentification et l'accès aux ressources fonctionne DHCP possible pour les clients WINS et les machines locales Inconvénients Les diffusions encombrent toujours le réseau Un ou plusieurs serveurs WINS nécessaires (et duplication éventuelle des bases) Les machines non-clientes WINS ne sont localisées QUE si elles sont dans le domaine de diffusion Les machines ont systématiquement recours aux diffusions AVANT d'interroger WINS

Une machine en H-node

Le noeud H (H-node, noeud Hybride) est l'inverse du noeud M. La machine utilise les noeuds P (contacte WINS), puis B (Diffusion) si WINS ne peut résoudre le nom..

Ordre de résolution : 1.Vérification de son cache NetBios (voir commande « nbtstat –c ») 2.Demande à un serveur de noms NetBIOS (NBNS) Primaire puis Secondaire si configuré 3.Diffusion d'une requête de nom NetBios



255Remarque : Le type H-noeud Etendu (Enhanced h-node) utilisé par les clients, utilise la même méthode de résolution qu’un client configuré en H-nœud avec en plus la résolution DNS comme méthode supplémentaire. Si DNS est aussi configuré dans le client WINS, il pourra être utilisé pour résoudre les noms NetBIOS. Par défaut, les clients NetBIOS Microsoft Windows 2000/XP/Server 2003 qui sont configures pour utiliser le Server WINS utiliserons le type H-noeud Etendu. ====================================================================== Les étapes suivantes sont optionnelles et dépendent de paramètres activés….. 4. Vérification du fichier LMHOSTS (uniquement pour le m-node MS) 5. Vérification du fichier HOSTS ou Cache DNS préchargé à partir du fichier HOSTS (si configuré : voir commande IPCONFIG /DISPLAYDNS) 6.Vérification sur un serveur DNS

ORDI1 contacte d'abord son serveur WINS. ORDI1 utilise ensuite les diffusions si WINS ne connaît pas le nom demandé. ORDI1 peut toujours contacter ORDI3. ORDI1 ne peut contacter ORDI2 que si ce dernier est client WINS. Avantages Les diffusions encombrent moins le réseau. Le réseau peut être segmenté à l'aide de routeurs. Si toutes les machines sont clientes WINS, l'authentification et l'accès aux ressources fonctionne. Les machines peuvent toujours avoir recours aux diffusions en cas d'échec de WINS. DHCP possible pour les clients WINS et les machines locales Inconvénients Un ou plusieurs serveurs WINS nécessaires (et duplication éventuelle des bases). Les machines non-clientes WINS ne sont localisées QUE si elles sont dans le domaine de diffusion Remarque : Le type H est le noeud par défaut des clients WINS Pour déterminer le type de nœud : ipconfig /all voir « type de nœud » Paramétrage du type de nœud Le type de noeud peut être paramétré de deux manières : Options DHCP Registre



256 PARAMETRAGE DU TYPE DE NOEUD PAR OPTIONS DHCP

Configurer l'option "046 NBNS Node Type" (B, P, M, H) Cette option est obligatoire si vous paramétrez l'option "044 NBNS Name Server" (Serveur WINS) PARAMETRAGE DU TYPE DE NOEUD PAR LE REGISTRE Modifiez la valeur « NodeType » DWORD Sous la clé: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters (NT) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans (W98)

***Rebouter la machine après changement de type de nœud NetBIOS***



257

Serveur de noms NetBios (WINS) Le serveur de NetBios n’est largement utilisé que dans les réseaux Microsoft, sous la forme de WINS. Les autres implémentations de serveurs de noms NetBios sont rares (Samba sous Linux le fait).

Les serveurs WINS offrent deux fonctions fondamentales. La première concerne l’inscription de nom NetBios, ou le serveur WINS enregistre les noms NetBios et les adresses IP des ordinateurs. Un serveur WINS actualise dynamiquement et automatiquement les noms NetBios des clients WINS lors du démarrage des clients WINS. La seconde fonction essentielle d’un serveur WINS est qu’il résout les recherches de nom NetBios, lorsque les clients NetBios questionnent le serveur WINS sur l’adresse IP d’un hôte NetBios de destination. NetBios Name Service (NBNS), Windows le met en œuvre sous la forme d'un serveur WINS. WINS réduit le trafic lié aux diffusions, réduit la surcharge administrative de maintenance, facilite l'activité d'un domaine sur un réseau étendu, fournit des services d'exploration au travers de plusieurs sous réseaux. Vous pouvez optimiser un couple d’entrée dans le registre pour NBNS. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters NameServerPort. Le port UDP utilisé par “NetBIOS Name Queries” vers NBNS. La valeur par défaut est 137 (89 hex). . NameSrvQueryCount. Indique le nombre de fois que votre système essaiera de contacter chaque NBNS. La valeur par défaut est trois fois. . NameSrvQueryTimeout. Indique combien de temps votre ordinateur attendra une réponse du NBNS. La valeur par défaut est de 15 secondes (5dc hex milliseconds). **La commande « Nbtstat –RR » (ReleaseRefresh) Envoie des paquets de libération de nom à WINS puis actualise**



258 Diffusion

Si le nom ne peut pas être trouvé dans le cache, la machine tente de le retrouver par une diffusion sur le réseau local. NetBios utilise UDP (sur le port 137et 138, respectivement le service de nom NetBios et les services de datagrammes NetBios) pour envoyer une requête de nom à tous les ordinateurs du réseau. Problème : augmentation du trafic & utilisation du temps processeur. Vous pouvez utiliser un couple d’entrée dans le registre afin de paramétrer certaines fonctions du broadcast. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters BcastNameQueryCount. Nombre de fois que le broadcast est essayé, la valeur par défaut est 3 fois. BcastQueryTimeout. Combien de temps attendre avant de ressayer le Name Query broadcast, la valeur par défaut est de 7,5 secondes.

Serveur DNS Le serveur DNS (Domain Name Service) assure la résolution d’un nom d’hôte en adresse IP, dont le principe est identique à celui fourni par le serveur WINS, à cette différence près que le serveur WINS prévoit la résolution du nom NetBios en adresse IP. Les réseaux qui exécutent des systèmes d’exploitation comportant à la fois des clients WINS et des clients non-WINS peuvent trouver avantageux de disposer d’un serveur DNS pour assurer la résolution NetBios en adresse IP. Un client non-WINS ne pourra pas questionner directement un serveur WINS sur la résolution NetBios en adresse IP. Un serveur DNS peut mettre en mémoire cache des recherches réussies de WINS, ce qui signifie qu’il peut fournir une sorte de tolérance aux pannes pour les clients WINS. Dans une situation ou les clients WINS ne peuvent accéder à leurs serveurs WINS configurés, ils peuvent toutefois résoudre un nom NetBios en questionnant un serveur DNS. Bien que le serveur DNS lui-même puisse ne pas pouvoir questionner le serveur WINS (par exemple, si le serveur WINS est en mode autonime), le serveur DNS renferme toujours les entrées WINS mises en mémoire cache. C’est une autre raison de configurer des serveurs DNS pour mettre en place les recherches de nom NetBios sur un serveur WINS. Les améliorations Internet / DNS de Netbt dans Windows Server 2003 Il est possible de connecter entre eux deux ordinateurs Windows Server 2003 via NeBT en passant par Internet, il faut pour cela, qu’il existe un certain nombre de moyens de résolution de noms. Parmi les méthodes les plus courantes figurent le fichier Lmhosts et les serveurs WINS. Des améliorations ont été introduites dans Windows NT 4.0 et maintenues dans Windows Server 2003 afin d’éviter ces configurations particulières. Convention uniforme de dénomination (Universal Naming Convention, UNC)



259UNC est une convention de dénomination qui décrit les serveurs réseau et les points de partage qui s’y trouvent. Un nom UNC commence par deux barres obliques inverses, suivies du nom du serveur. Tous les autres champs du nom sont séparés par une seule barre oblique inverse. Un nom UNC type aura la forme suivante : \\serveur\partage\sous-répertoire\nom_fichier

**La commande « IPCONFIG /REGISTERDNS », force le client DNS à se réenregistrer sur le serveur DNS.**



260 Ex : dir \\nom-serveur\sous-répertoire Il est maintenant possible de se connecter à une ressource NetBios via TCP/IP de deux manières : Net use \\<adresse ip>\<nom de partage>, ce qui élimine le besoin d’une configuration de résolution de noms NetBios. Net use \\<nom complet>\<nom de partage>, ce qui permet de faire appel à un serveur DNS pour se connecter à un ordinateur en utilisant son nom complet. Voici quelques exemples d’emploi de cette nouvelle fonctionnalité : net use f: \\ftp.microsoft.com\data net use \\198.105.232.1\data net view \\198.105.232.1 dir \\ftp.microsoft.com\bussys\winnt

Il est également possible d’employer l’hébergement direct pour établir un redirecteur ou des connexions de serveurs entre des ordinateurs Windows Server 2003 sans utiliser NetBios. La nouvelle interface permet le fonctionnement hors NetBios, cela se nomme SMB (Server Message Block). Elle apparaît pour le redirecteur et le serveur, comme une autre interface, cependant au niveau TCP/IP le périphérique SMB emploie l’espace de noms de DNS de manière native comme une application Windows Sockets. Les appels dirigés vers le périphérique SMB ont pour résultat une recherche DNS standard destinée à résoudre le nom de domaine en une adresse IP, suivie d’une simple requête de connexion sortante en utilisant l’adresse IP et l’interface de la meilleur source, déterminée par la table de routage.



261Dans ce cas il n’y a pas d’ouverture de session NetBios à l’origine de la connexion TCP. Par défaut, le redirecteur place les appels à la fois sur les périphériques NetBios et SMB, et le serveur reçoit les appels des deux manières.



262

Services réseaux Windows _Reposent sur des protocoles de communication spécifiques _Un protocole, au coeur des réseaux Windows : SMB/CIFS

• SMB = Server Message Block • CIFS = Common Internet FileSystem

_Nouveau nom donné par Microsoft à SMB autour de 1997 _Un autre protocole, historiquement étroitement lié à SMB : NetBIOS Stricto sensu, NetBIOS n'est pas un protocole mais une API (interface de programmation) : NETwork Basic Input Output System Mise en oeuvre de cette API dans le monde TCP/IP : NetBT (NetBIOS over TCP/IP) _Normalisé à l'IETF (RFC 1001 et 1002, en 1987)

• NetBT est souvent confondu avec SMB ! _NetBT est utilisé pour le transport de SMB avant Windows 2000

L'API NetBIOS identifie les services avec des noms _Équivalent des ports TCP ou UDP dans le modèle TCP/IP _Nom NetBIOS : 16 caractères

• 15 caractères + 1 caractère suffixe, identifiant la nature du service _NetBT : services disponibles _Service de gestion de noms (nbns) : enregistrement et résolution de noms

• 137/udp, résolution des noms NetBIOS en adresses IP, enregistrement des noms

• En diffusion ou via WINS (équivalent du DNS pour NetBIOS) _Service datagramme : 138/udp (nbdgm)

• Annonce des services disponibles sur un LAN _Service session : 139/tcp (nbss)

• Utilisé pour le transport de SMB Sous Windows, NetBIOS sur TCP/IP est configuré au niveau de chaque interface réseau _Ports 137/udp, 138/udp et 139/tcp en écoute sur des adresses IPv4 spécifiques _Voir la sortie de la commande netstat sur le transparent suivant



263Configuration NetBT sous Windows

nbtstat : exemple

NetBT et transport de SMB SMB typiquement transporté dans NetBT avant Windows 2000 _Service session (nbss), 139/tcp _Établissement d'une session NetBIOS

• Nom NetBIOS source, de suffixe <00>



264 _<00> identifie le service workstation = partie cliente SMB

• Nom NetBIOS destination, de suffixe <20> _<20> identifie le service server = partie serveur SMB _Nom générique, supporté à partir de Windows NT 4 : *SMBSERVER<20>

À partir de Windows 2000, transport de SMB directement dans TCP (445/tcp) _Plus d'établissement de session NetBIOS _Pseudo en-tête NetBIOS maintenu pour compatibilité ascendante

Transport de SMB dans NetBT (139 / tcp)

Transport de SMB sur 445 / tcp

NetBIOS et sécurité : _Fuite d'informations avec les noms NetBIOS ?

• Enumération de noms NetBIOS pas fondamentalement différent d'un scan de ports

• Protocole NetBT _Protocole nuisible avant tout _Très verbeux sur un réseau local, notamment en l'absence de serveurs WINS



265 �

NetBT est "juste" un protocole de transport pour SMB • Son importance décroît depuis Windows 2000

_Réseaux Windows reposent désormais sur des standards du monde TCP/IP : DNS, LDAP, Kerberos _NetBT tend à disparaître

• SMB peut être transporté directement dans TCP • Enregistrements SRV dans le DNS remplacent les noms NetBIOS pour la

localisation des ressources • DNS dynamique remplace la fonctionnalité d'enregistrement dynamique de

WINS _NetBT n'est pas le protocole le plus important !

• Ne dites plus "partages NetBIOS" mais "partages SMB" !



266 Avec le nommage direct, NetBIOS n'est pas employé pour la résolution de nom. DNS est employé pour la résolution de nom et la communication réseau est envoyée directement sur TCP sans en-tête NetBIOS. Le nommage directe sur TCP/IP emploie le port TCP 445 au lieu de la session NetBIOS TCP sur le port 139. Simplifie le transport du trafic SMB, plus besoin de WINS et de broadcast NetBIOS pour la résolution de noms, standardisation de résolution de noms basée sur le DNS pour le partage de ressources et imprimantes (service d’exploration réseau). Les deux moyens de résolution sont toujours disponibles dans des Windows. Il est possible de désactiver l’un ou l’autre de ces services dans le registre.

NetBIOS over TCP/IP

7 Application

Higher level protocols e.g. SMB / CIFS NetBIOS API (netbios.dll)

Applications NetBIOS (voisinage réseau, explorer, commande net share etc...)

6 Presentation Interface NetBIOS

5 Session Name Service (UDP 137) datagram service (138) Session Service (TCP 139)

4 Transport UDP TCP

3 Network IP

2 Datalink e.g. IEEE 802.2

1 Physical Token Ring / Ethernet / FFDI etc

SMB over TCP [Port 445] Port 445 Windows 2000/XP/Server 2003 seulement Bloquer TCP/UDP 135-139 et 445 sur le firewall Pour désactiver la prise en charge de NetBios via TCP/IP Allez dans Propriétés de TCP/IP, puis Cliquez sur le bouton « Avancé » Activez l’onglet « WINS », et cliquez sur le bouton de radio « Désactivez NetBios avec TCP/IP ». Vous pouvez aussi appliquer cette option par un serveur DHCP (option fournie par le serveur DCP).

NetBIOS sur TCP/IP (NetBt)

Ce service assure la gestion des noms NetBIOS : déclaration, unicité, etc. WINS

Ce service permet d'échanger des messages en mode non connecté

Ce service permet d'échanger des messages en mode connecté jusqu'à 131071 octets



267

Requêtes directes "NetBIOS-less" => le trafic SMB emploie le port 445 (TCP et UDP). Dans cette situation, les quatre octets qui précèdent l'en tête du trafic SMB est toujours 0x00 et les trois suivants octets sont la longueur des données restantes. Pour déterminer si NetBIOS over TCP/IP est activé sur l'ordinateur, utiliser la commande "net config redirector " ou "net config server " en ligne de commande. L'affichage en sortie montre les liaisons pour NetbiosSmb (qui est "NetBIOS-less" de la couche transport) et le dispositif NetBT_Tcpip (qui est NetBIOS over TCP de la couche transport). Workstation active on NetbiosSmb (000000000000) NetBT_Tcpip_{610E2A3A-16C7-4E66-A11D-A483A5468C10} (02004C4F4F50) NetBT_Tcpip_{CAF8956D-99FB-46E3-B04B-D4BB1AE93982} (009027CED4C2) NetBT_Tcpip doit nécessairement être lié à chaque adaptateur individuellement. NetbiosSmb est un dispositif global et n'est pas lié à un adaptateur. Cela signifie que les requêtes directes SMB ne peuvent pas être mis hors de service dans Windows sans mettre hors de service "File and Printer Sharing " pour des Réseaux Microsoft. Les types de nœuds NetBios établissent l'ordre de résolution. Un type de nœud est simplement la méthode que l'hôte va employer pour résoudre un nom NetBIOS (non routables) en adresses IP (routables). Le nœud par défaut est b-node (Broadcast) à moins qu'une adresse de serveur WINS ne soit définie, auquel cas, le défaut est h-node (Hybride).



268

Nominations de Port par Défaut pour des Services

Service Name UDP TCP Browsing datagram responses of NetBIOS over TCP/IP 138 Browsing requests of NetBIOS over TCP/IP 137 Client/Server Communication 135 Common Internet File System (CIFS) 445 139, 445DHCP Manager 135 DNS Administration 139 Exchange Administrator 135 RPC 135 File shares name lookup 137 File shares session 139 Login Sequence 137, 138 139 NetBT datagrams 138 NetBT name lookups 137 NetBT service sessions 139 NetLogon 138 Pass Through Verification 137, 138 139 Printer sharing name lookup 137 Printer sharing session 139 RPC user manager, service manager, port mapper 135 WINS Manager 135 WINS NetBios over TCP/IP name service 137 WINS Proxy 137 WINS Registration 137

Port Proto Nom court Nom usuel Usage

Standards NetBios 135 137 138 139

TCP/UDP TCP/UDP UDP TCP

Localisation de services et NetBios

Install Windows 2000 pro/XP/2003 (port standards)

445 TCP/UDP microsoft-ds SMB over IP

D'habitude, exécuter le protocole SMB (partage de fichiers et d'imprimantes) en environnement IP nécessite une couche de transport supplémentaire nommée NetBT. Sous Windows 2000 ce n'est pas une obligation SMB over IP est disponible via le port 445.

500 UDP isakmp

Internet Security Association and Key Management Protocol

Pour l'authentification sécurisée par échange de clés. Ouvert par lsass.exe. L'explication de ce service telle qu'elle apparaît dans le gestionnaire des services : "stocke les informations de sécurité pour les comptes d'utilisateurs locaux".

Autres 25 TCP smtp Simple Mail



269Transport Protocol

80 TCP http Hyper Text Transport Protocol

ça c'est le serveur web de Microsoft (IIS).

443 TCP https le même que ci-dessus mais sécurisé

Ca c'est aussi le serveur web mais la partie serveur https.

4692 UDP

Exécutable brad32.exe. C'est l'agent de télédistribution macafee lorsqu'on installe le logiciel à travers le réseau par le biais d'une console de "management". C'est parce qu'il est à l'écoute de ce port que viruscan reçoit instantanément l'ordre de se mettre à jour venu de la console d'administration.

SMB �

SMB est le protocole réseau majeur des environnements Windows _Assure les fonctionnalités de partage de ressources (fichiers et imprimantes)

• Systèmes de fichiers distribués • À rapprocher du standard NFS du monde Unix

_Également utilisé comme protocole de transport pour les RPC • D'administration distante • De fonctionnement des domaines NT4 • Pas d'analogie dans le monde Unix, Microsoft a ajouté un transport SMB au

standard DCE RPC _Ces deux utilisations en font le protocole réseau au coeur des systèmes Windows

Sessions SMB : exemples

_Protocole client-serveur

• Partie cliente : accès à des ressources partagées (service Station de travail) • Partie serveur : mise à disposition de ressources partagées (service Serveur)

_Partage : groupe de ressources partagées



270 • Partage de fichiers • Partage d'imprimantes • Partage spécial : IPC$

_Session SMB • Protocole SMB est orienté session • Une session SMB débute toujours par une phase d'authentification • Utilisation d'un protocole d'authentification réseau (NT)LM ou Kerberos V

Client SMB _Commande net use : établissement d'une session SMB Serveur SMB _Commande net share : gestion des partages

Énumération des partages actifs, ajout, suppression _Commande net sessions : gestion des sessions SMB

Énumération, suppression _Commande net files : gestion des ressources partagées

Énumération, suppression SMB : côté client



271SMB : côté serveur

Mises en oeuvre SMB sous Unix

• Projet Samba _Mise en oeuvre de NetBT et SMB/CIFS sous Unix _Porté sur de nombreux Unix, libres ou propriétaires _Composants principaux

• Démon nmbd : gère NetBT • Démon smbd : gère SMB/CIFS • Démon winbind : gère l'authentification dans un domaine NT4 ou

ActiveDirectory • Fichier de configuration unique smb.conf, entretenant la confusion entre la

configuration de NetBT et de SMB/CIFS... _Outils en ligne de commande :

• smbclient : interface ftp-like pour manipuler des fichiers via SMB/CIFS • rpcclient et net (Samba 3) : commandes d'administration distante

Smbclient



272 SMB comme protocole de transport

SMB comme protocole de transport _Partage IPC$ est un partage spécial _Donne accès, à travers le réseau, à des points de communications appelés tubes nommés _Des données sont envoyées et reçues via ces tubes nommés en utilisant le protocole SMB _Les données en question sont des PDU (Protocol Data Unit) DCE RPC

• SMB devient un protocole de transport pour DCE RPC • Ajouté par Microsoft pour plusieurs raisons

o Notamment parce que SMB peut être lui-même transporté dans plusieurs protocoles, via l'API NetBIOS

o Authentification réalisée au niveau SMB héritée au niveau DCE RPC Il n'y a pas réauthentification au niveau DCE RPC

MSRPC : introduction _Mise en oeuvre du standard DCE RPC par Microsoft _DCE RPC prévu pour être indépendant du protocole de transport utilisé

• TCP/IP, IPX/SPX, NetBEUI, ... • Microsoft a ajouté un transport utilisant SMB • Analogie

_DCE RPC sur TCP/IP utilise des ports TCP/IP pour communiquer _DCE RPC sur SMB utilise des tubes nommés

• DCE RPC sur TCP/IP est utilisé pour transporter DCOM

DCE RPC sur SMB _Utilisés par la plupart des outils Windows d'administration distante _Noms des tubes nommés identifient les services accessibles via DCE RPC _Exemple : eventlog pour la consultation des journaux à distance, winreg pour l'accès distant à la base de registres, svcctl pour la gestion des services Windows à distance, etc... En pratique _Authentification réalisée de façon transparente au niveau SMB

• Pas d'authentification au niveau DCE RPC _Possibilité d'utiliser une session SMB nulle (login et mot de passe vides lors de l'authentification au niveau SMB) _Façon de récupérer des informations de façon anonyme...

• Concerne principalement les tubes nommés lsarpc (LSA Windows), samr (SAM),wkssvc (service workstation), srvsvc (service serveur)

_

Utilisation d'un outil d'administration Windows en spécifiant un nom de serveur distant déclenche l'utilisation de DCE RPC sur SMB _Exemple : consultation à distance des journaux d'un système Windows

• Ouverture d'une session SMB (typiquement authentifiée avec des accréditations administrateur)

• Connexion au partage IPC$ • Ouverture du tube nommé eventlog



273• Écriture et lecture de données via le descripteur de fichier ouvert sur le tube

eventlog, correspondant à des appels de procédures distantes permettant la consultation des journaux du système distant

_Ethereal décode un certain nombre d'interfaces MSRPC, outil privilégié pour observer sur le fil DCE RPC sur SMB Consultation distante des journaux

Services RPC sur TCP/IP _Utilisés plus fréquemment dans des domaines ActiveDirectory

• Ex : Réplication des annuaires Active Directory • Autre protocole basé sur des RPC sur TCP/IP : MAPI (Exchange) • Autre grande utilisation de DCE RPC sur TCP/IP : transport de DCOM • Via le port 135/tcp, activation d'objets COM à distance • Certaines interfaces RPC accessibles via 135/tcp ont des opérations

accessibles en anonyme • Vers Blaster (été 2003), exploitant une vulnérabilité dans une opération d'une

interface RPC nécessaire au fonctionnement de DCOM • Service associé : portmapper, donnant la correspondance entre un identifiant

d'interface RPC et un port (TCP ou UDP) sur lequel ce service est accessible • Port 135, équivalent du portmapper des ONC RPC (port 111)



274 DCOM sur DCE RPC sur TCP/IP

MSRPC est une implémentation apparemment fragile

• Certaines interfaces RPC peuvent être accessibles sans authentification _Via une session nulle pour des services DCE RPC sur SMB _Via TCP/IP (typiquement port 135), pour des services RPC ne nécessitant pas une authentification _Va probablement changer avec le SP2 de Windows XP

• Service rpcss est un processus système (identité SYSTEM) _Vulnérabilité dans une interface RPC de ce service permet, si l'exploitation est possible, d'exécuter du code sous l'identité SYSTEM

• Bien penser à filtrer tous les protocoles de communication permettant l'utilisation des RPC

_SMB (port 139 et 445), TCP/IP (port 135 et ports dynamiques, à restreindre dans une plage de ports spécifiques), HTTP (593/tcp, pas activé par défaut)



275

Ordre de résolution des noms NetBIOS (Rappel) Dans le cas où la machine est configurée pour : Avoir un serveur WINS primaire (choix A) Utiliser "Activer la recherche de clé LMHOST" (choix B) Utiliser "Activer la résolution DNS pour Windows" (choix C) Alors, l'ordre de résolution des noms NetBIOS est le suivant :

1. NetBIOS name cache (lié au choix B) 2. WINS (lié au choix A) 3. Requête Broadcast sur le réseau (toujours fait) 4. LMHOSTS (lié au choix B) 5. Cache DNS 6. HOSTS (lié au choix C) 7. DNS (lié au choix C)

L’ordre des étapes 2 et 3 peut être inversé si le type de nœud est Mixte au lieu d’Hybride. Les étapes 2, 4, 5 et 6 peuvent ne pas avoir été activées. L’étape 2 ne sera effective que si le poste est client WINS. L’étape 4 ne sera disponible que si l’option Activer la recherche LMHOST a été définie dans l’onglet WINS des propriétés avancées du protocole TCP/IP. Dépannage : Dans le cas ou vous voulez résoudre un nom NetBIOS d’une machine située sur un segment différent, et que vous êtes client WINS.

1. Ping @ IP machine distante => fonctionne OUI ou NON, si OUI passer à l’étape 4 2. Ping localhost, Ping votre @ IP, Ping Default Gateway 3. Tracert @ IP machine distante => connaître ou le datagramme IP est bloqué 4. Ping Nom NetBIOS machine distante => fonctionne OUI ou NON, si NON => suivre

la procédure 5. Ping @ IP du serveur WINS Principal 6. Ping @ IP du serveur WINS secondaire si existe Pour ces étapes 5 et 6, si le serveur WINS est sur un réseau différent, vérifier la table de routage local au PC (route print ou netstat –rn) ainsi que celle du routeur, essayer aussi la commande Tracert @ IP du serveur WINS => connaître ou le datagramme IP est bloqué 7. Penser à vérifier le contenu du cache NetBIOS de votre PC => nbtstat –c 8. Penser à vider le cache NetBIOS du PC => nbtstat –R 9. Penser à vous réinscrire auprès du serveur WINS => nbtstat –RR 10. Voir cohérence du fichier Lmhosts si utilisé 11. Penser à vérifier le contenu du cache arp => arp – a

Dans tous les cas vérifier qu’il n’y a pas de firewall qui bloque les requêtes ICMP, NetBIOS ou DNS sur votre machine ou infrastructure réseau. Les serveur WINS ainsi que la machine à atteindre sont elles allumées ?



276

Et l'ordre de résolution des noms Internet (FQDN) 1. Nom d’hôte local : voir la commande hostname 2. Cache DNS local (toujours en premier) 3. HOSTS (lié au choix C) 4. DNS (lié au choix C) 5. WINS (lié au choix A) 6. Requête Broadcast sur le réseau (toujours fait) 7. LMHOSTS (lié au choix B)

Dépannage :

1. Ping @ IP machine distante => fonctionne : OUI ou NON, si OUI passer à l’étape 4 2. Ping localhost, Ping votre @ IP, Ping Default Gateway 3. Tracert @ IP machine distante => connaître ou le datagramme IP est bloqué 4. Ping @ FQDN du serveur DNS => fonctionne OUI ou NON Pour cette étape 4, si le serveur DNS est sur un réseau différent, vérifier la table de routage local au PC (route print ou netstat –rn) ainsi que celle du routeur, essayer aussi la commande Tracert @ IP du serveur DNS => connaître ou le datagramme IP est bloqué 5. Utiliser la commande NSLOOKUP => affiche des infos à partir du serveur DNS 6. Penser aussi à vider la cache DNS local : Ipconfig /flushdns 7. Voir cohérence du fichier Hosts si utilisé ainsi que la base du serveur DNS 8. Penser à vérifier le contenu du cache arp => arp – a

Dans tous les cas vérifier qu’il n’y a pas de firewall qui bloque les requêtes ICMP, NetBIOS ou DNS sur votre machine ou infrastructure réseau. Les serveur DNS ainsi que la machine à atteindre sont elles allumées ?



277

L’organigramme de la résolution de noms NetBios (première partie)

Start



278

L’organigramme de la résolution de noms NetBios (deuxième partie)



279

Questions/Réponses

1). Il existe deux types de noms conviviaux : - Les noms d’hôtes : Basés sur le système DNS, les noms d’hôtes se présentent sous diverses formes (ex :saga ou saga.supinfo.com). La longueur d’un nom d’hôte ne peut dépasser les 255 caractères. - Les noms NetBIOS : Un nom NetBIOS peut représenter un ordinateur ou un groupe d’ordinateurs. La longueur maximale d’un nom NetBIOS est de 15 caractères. Windows 2003 ne nécessite pas de noms NetBIOS mais assure une compatibilité pour les versions antérieures à Windows 2003. 2). Il est possible de mapper statiquement les noms intelligibles avec leur adresse IP. Ceci grâce à deux fichiers : - Fichier Hosts : Permet des mappages IP / nom d’hôte - Fichier Lmhosts : Permet des mappages IP / nom NetBIOS 3). Il est possible de centraliser, à la manière des comptes utilisateurs, la gestion de la résolution des noms en adresses IP. Pour ceci il existe les deux serveurs suivants : - Serveur DNS : Permet la résolution des noms d’hôte en adresse IP. Ce sont les serveurs DNS qui font la résolution des noms sur Internet (ex : www.labo-microsoft.com). - Serveur WINS : Permet la résolution des noms NetBIOS en adresse IP. 4). - Processus de résolution de noms d’hôte L’ordinateur vérifie si le nom indiqué correspond à son nom d’hôte local. L’ordinateur recherche dans son fichier Hosts. L’ordinateur envoie une requête au serveur DNS. L’ordinateur recherche dans son cache ARP (Windows 2000/2003 traite les noms

NetBIOS comme des noms d’hôtes). L’ordinateur envoie une requête au serveur WINS. L’ordinateur envoie une diffusion générale sur le réseau. L’ordinateur recherche dans son fichier Lmhosts.

5). - Processus de résolution de noms NetBIOS L’ordinateur recherche dans son cache NetBIOS (Windows 2000/2003 traite les noms

NetBIOS comme des noms d’hôtes). L’ordinateur envoie une requête au serveur WINS. L’ordinateur envoie une diffusion générale sur le réseau. L’ordinateur recherche dans son fichier Lmhosts. L’ordinateur recherche dans son fichier Hosts. L’ordinateur envoie une requête au serveur DNS.

6). 3 fonctions de NetBIOS sur TCP/IP gestion des noms (point clé de l'utilisation de Netbios sur TCP/IP car ce dernier utilise

l'adresse IP alors que Netbios utilise des noms d'ordinateurs) gestion de session transfert de données Les 3 fonctions principales de la gestion des noms sont : Inscription, requête,

libération des noms. 7). Lesquels des utilitaires suivants utiliseront la résolution de nom NetBIOS ? A. FTP B. Explorateur(Browser) de Windows C. Internet Explorer D. net.exe



280 8). Quelles paramétres sont disponibles pour la taille du Cache de Nom NetBIOS ? A. Grand (Big) B. Large (Large) C. Petit (Small) D. Minuscule (Tiny) 9). Sur un réseau avec un segment, quel avantage peut être gagné en utilisant des WINS ? A. WINS peut faciliter la résolution de noms d'HÔTE. B. WINS facilite l'exploration Inter-domaine. C. WINS réduit le trafic réseau. D. Tout ci-dessus. 10). Quelle commande pouvez-vous utiliser pour vérifier quelles sessions existent sur NBT ? A. net sessions B. nbtstat C. netstat-nbt D. netstat 11. Quel port est utilsé pour valider une connexion (logon) ? A. 136 B. 137 C. 138 D. 139 12. A quel niveau de la resolution par le type B nœud, le fichier LMHOSTS est utilisé ? A. Second B. Troisième C. Quatrième D. Cinquième 13. Quels sont les trois noms Net BIOS basiques correspondant à des services qui sont enregistrés sur votre ordinateur ? A. Computername[0x00], Computername[0x03], Computername[0x1D] B. Computername[0x03], Computername[0x20], Computername[0x1D] C. Computername[0x00], Computername[0x20], Computername[0x1D] D. Computername[0x00], Computername[0x03], Computername[0x20] 14. Quel nom doit être unique pour chaque système sur le réseau ? A. Le nom d’ordinateur B. Le nom utilisateur C. Le nom du workgroup D. Le nom du domaine 15. Lorsque le service messagerie enregistre un nom, quelle est la valeur qui identifie le service de messagerie ? A. [0x00] B. [0x03] C. [0x20] D. [0x1D] 16. Si votre organisation utilise WINS, combien d’hôtes necéssitent d’être configurés avec un fichier LMHOSTS ? A. Le serveur WINS seulement B. Domain controllers on C. Toutes les stations qui ne peuvent être client WINS D. Aucun



28117. Quelles sont les trios principales functions de la gestion des noms NetBIOS ? A. Résolution de nom, renouvellement, et relache B. Requête de nom, relache, et renouvellement C. Enregistrement de nom renouvellement, et relache D. Enregistrement de nom, requête, et relache 18. Pourquoi les broadcast utilisant les ports 137 et 138 sont-il normalement bloqué par les routeurs ? A. Pour des questions de sécurité B. Afin de prévenir les conflits de cache NetBIOS C. Afin de prévenir la congestion des routeurs D. Ces ports ne sont pas configures pour ces raisons 19. Par défaut combien de temps un nom netBIOS reste t’il dans le cache ? A. 2 minutes B. 5 minutes C. 10 minutes D. 1 jour 20. Pouvez-vous changer la taille du cache de nom NetBIOS ? A. Oui B. Non C. Seulement en réinstallant NT 21. Combien de nom pouvez-vous enregistrer sur un simple ordinateur Windows NT ? A. 16 B. 64 C. 128 D. 250 22. Quel port est utilise afin de transférer un fichier vers un hôte distant ? A. 136 B. 137 C. 138 D. 139 23. Le protocole TCP/IP utilise un modèle de communication à quatre couches pour transmettre des données entre deux sites. Quelles sont les quatre couches du modèle utilisé par le protocole TCP/IP ? Les couches Internet, Application, Transport et Interface réseau. 24. Lorsqu'une application doit communiquer avec une application d'un autre ordinateur, qu'utilise le protocole TCP/IP pour distinguer les applications et pour identifier l'ordinateur auquel elles appartiennent ? Il utilise un socket. 25. Quels sont les trois éléments qui composent un socket ? Une adresse IP, un port et un protocole de la couche Transport. 26. Quels sont les six protocoles principaux fournis dans la suite de protocoles TCP/IP ? Les protocoles TCP, UDP, ICMP, IGMP, IP et ARP. 27. Administrateur réseau, vous souhaitez vérifier que la suite de protocoles TCP/IP est correctement installée et tester les communications sur le réseau. Quel utilitaire TCP/IP allez-vous utiliser ? L'utilitaire Ping.



282 28. Lorsque la remise indirecte est utilisée pour envoyer un paquet d'un ordinateur source vers un ordinateur de destination, l'ordinateur source doit d'abord déterminer l'adresse MAC d'_______. Un routeur. 29. Lorsque vous affectez aux ordinateurs de votre réseau des adresses IP, que devez-vous garder à l'esprit ? Les principales règles d'adressage suivantes : l'identificateur de réseau ne peut pas commencer par 127 et l'identificateur d'hôte ne peut pas contenir que des zéros (0) ou des 255 et doit être unique dans chaque identificateur de réseau. Vous devez également vous assurer que chaque sous-réseau se voit affecter un seul identificateur de réseau.

S E R V I C E E X P L O R A T E U R D ' O R D I N A T E U R S


283

SERVICE EXPLORATEUR D'ORDINATEURS

Présentation Les favoris reseau offrent un acces convivial aux ressources reseau. Cet affichage est fourni par une liste d'exploration mise à jour par le service Explorateur d'ordinateurs. Ce service tient a jour une liste des ordinateurs presents sur votre reseau et fournit cette liste aux programmes qui en font la demande (comme les favoris reseau par exemple). Pour les machines Windows 2000/2003/XP appartenant a un environnement Active Directory, l'acces aux ressources est facilité par la base d'annuaire Active Directory™ de Microsoft® Windows® 2003. L'on pourrait ainsi se passer des favoris réseaux pour acceder aux ressources réseau. Windows 2003 utilise également le service Explorateur d'ordinateur pour afficher une liste des ressources disponibles du système de base d'entrées/sorties réseau (NetBIOS, Network Basic Input/Output System). Ce service tient à jour une liste des ordinateurs et la transmet aux applications qui la demandent. Cela permet aux utilisateurs de localiser des ressources sur des serveurs qui n'exécutent pas Windows 2000/2003/XP3 et aux utilisateurs qui emploient des ordinateurs clients n'exécutant pas Windows 2000/2003/XP de localiser des ressources sur des serveurs exécutant Windows 2003. Les utilisateurs doivent souvent savoir quels domaines et ordinateurs sont accessibles de leur ordinateur local. Le service favoris reseau permet l’affichage de toutes les ressources disponibles sur un réseau d’ordinateurs exécutant Microsoft Windows. Le service explorateur de Windows « Exploateur d’ordinateur =>Dépendances : service serveur et station de travail » conserve une liste nommée de tous les domaines et serveurs disponibles, appelée liste de parcours. Cette liste peut être affichée dans l’Explorateur Windows, elle est fournie par un explorateur dans le domaine de l’ordinateur local. Pour afficher la liste de parcours dans Windows 2003, exécutez la procédure ci-dessous. 1. Dans Favoris réseau, double-cliquez sur Tout le réseau. 2. Cliquez sur contenu entier. 3. Double-cliquez sur Réseau Microsoft Windows. Le service explorateur d'ordinateur tient à jour une liste qui regroupe : Les groupes de travail et domaines de l'inter réseau. Les machines appartenant à ces groupes et domaines. Les ressources partagées par ces machines. L'élaboration de cette liste est dévolue à certaines machines élues ou configurées pour être "Explorateurs".



284 Les explorateurs centralisent, compilent et redistribuent aux clients la liste des ressources de l'inter-réseau, visibles dans le "Voisinage Réseau". Donc l'explorateur réseau est le service qui rassemble et organise la liste des ordinateurs et des domaines que l'on voit dans le voisinage réseau Windows ou en faisant smbfind sous Samba. En dehors de l'aspect visuel rassurant qui donne cette satisfaction béate du "tout va bien, mes petits sont tous là", l'explorateur réseau permet par exemple à une machine de savoir à tout moment quels sont les ordinateurs executant NetBIOS sur le même réseau IP, sans avoir à envoyer en permanence des diffusions. C'est en quelque sorte un carnet d'adresses qui évite de consulter l'annuaire chaque fois qu'on a besoin d'appeler sa mère, ou qui évite de hurler dans le voisinage: "j'ai perdu le numéro de ma mère est-ce que quelqu'un a le numéro de Frenégonde?". Pour 2-3 ordinateurs, ça passe, mais imaginez le résultat pour 1000 machines. Ce qu'il faut bien se figurer aussi, c'est qu'un réseau, c'est comme une pièce de théatre avec des centaines d'acteurs et de figurants, qui entrent qui sortent qui se parlent, sortent, s'évanouissent, reviennent à eux, parlent, sortent... Dans ces conditions là si chaque acteur devait avoir sa propre liste des autres personnes présente à un instant T sur la scène, le résultat serait pitoyable. On a donc décidé qu'il y aurait une personne, en l'occurence un ordinateur qui tiendrait une liste la plus à jour possible, de tout ce qui est présent, une sorte de concierge.... Sur le réseau, on l'appelle "Maître Explorateur" (master browser). Les machines présentes (executant NetBIOS) lui demanderont la liste d'exploration à afficher dans le voisinage réseau.

Installation

Ce service est automatiquement installé et actif, mais il est possible de le paramétrer par le registre (voir plus loin).



285

Rôle des explorateurs La tâche consistant à fournir une liste des serveurs aux clients est répartie sur plusieurs ordinateurs du réseau. Vous pouvez attribuer des rôles différents aux ordinateurs qui utilisent le service Explorateur d'ordinateur, notamment : maître explorateur, explorateur secondaire, explorateur potentiel et clients explorateurs (non explorateurs). Vous pouvez attribuer ces rôles du service Explorateur d'ordinateur aux ordinateurs qui exécutent Windows 2003.

Explorateur Maître de domaine La machine jouant ce role (unique dans un domaine) conserve la liste maitresse des machines du réseau fournissant des ressources, ainsi que les noms de domaines et groupes de travail présents sur le réseau. Dans un domaine Windows 2000/2003, le maitre explorateur du domaine est forcement le serveur hébergeant le role Active Directory maitre émulateur controleur principal de domaine. II ajoute a sa liste d'exploration la liste d'exploration stockée sur chaque maitre explorateur, et ce toutes les 12 minutes pour s'assurer que le maitre d'exploration de domaine possede une liste d'exploration a jour pour tout le reseau. II se peut donc que pendant un certain laps de temps, vous ne disposiez pas d'une liste d'exploration a jour sur un sous-réseau. Dans un réseau local, le Domain Master Browser est aussi le Master Browser. Ces transmissions de listes reposant sur les diffusions, le passage d'un routeur peut poser problème...

Explorateurs Maître Capturent les annonces d'hôtes des machines de leur sous-réseau. Etablissent la liste des ressources de leur sous-réseau. Reçoivent de l'Explorateur Maître de Domaine une compilation des listes établies par leurs homologues sur les divers sous-réseaux.



286 Distribuent cette liste compilée aux Explorateurs de Sauvegarde (qui la donnent aux clients). Renseignent les clients sur les adresses des explorateurs de sauvegarde. Tant qu'il n'a pas reçu la liste compilée de son Explorateur Maître de Domaine, un Explorateur Maître ne "connaît" que les ressources disponibles sur son domaine de diffusion. Ses clients ne "voient" donc qu'une petite partie du réseau et de ses ressources. Donc le « Master Browser » maintient la liste maîtresse des resources disponibles dans son domaine ou workgroup, ainsi que la liste des noms, pas les resources, des autres domains ou workgroups.

Explorateurs de Sauvegarde Situés en bout de chaîne, ils reçoivent une liste des ressources de l'Explorateur Maître local. Distribuent cette liste aux clients qui souhaitent parcourir les ressources de l'inter réseau demandé (c'est le cas par exemple lorsque vous allez dans les favoris réseau). La liste des serveurs est limitée en taille à 64ko sur les ordinateurs exécutant une version de Windows NT antérieur à la version 4.0, Windows 95, etc. ce qui restreint le nombre d’ordinateurs dans une liste des parcours pour un groupe de travail ou un domaine à 2000 ou 3000.

Explorateurs Potentiels

Machines qui ne participent pas aux compilations et distributions des listes de ressources, mais qui peuvent assumer un rôle d'explorateur si besoin est (processus d'élection), s’il en reçoit l’ordre de l’explorateur principal. Peut devenir Master Browser, Backup Browser ou alors Domain Master Browser.

Non-explorateurs

Machines paramétrées pour ne jamais être explorateur.

Il s'agit souvent de machines dont on veut optimiser les performances dans un domaine précis (serveurs...). N’est pas configuré pour conserver une liste des ressources ou des parcours Remarque Sur les ordinateurs qui exécutent Microsoft Windows NT® version 4.0, Windows 98 ou Windows 95, ouvrez Voisinage réseau pour afficher la liste de parcours. Sur les ordinateurs qui exécutent Microsoft Windows pour Workgroups, utilisez le Gestionnaire de fichiers. Dans un domaine Windows 2000/2003, I'emulateur PDC sera toujours maitre explorateur de domaine. En fonction du nombre de machines sur le réseau, les autres contrôleurs de domaine seront explorateurs secondaires, sauf un qui sera maitre explorateur pour son segment réseau. En fait, si vous avez dans votre domaine et par segment réseau entre 2 et 31 ordinateurs, it y aura un maitre explorateur et un explorateur secondaire. Si vous avez entre 32 et 63 ordinateurs, vous aurez alors un maitre explorateur et deux explorateurs secondaires. Vous aurez un explorateur secondaire par tranche de 32 ordinateurs supplémentaire.



287Les services d'exploration ont trois points principaux :

• . Collecte d'informations pour la liste d'exploration • . Distribution de la liste d'exploration elle-même • . Service d'exploration client émet des requêtes afin d'obtenir cette liste

Fonctionnement Toute machine qui partage des ressources s'annonce par diffusion et émet la liste des ses ressources. Ces diffusions sont captées par l'Explorateur Maître local, qui dresse l'inventaire des ressources de son sous-réseau. Chaque Explorateur Maître transmet sa liste à l'Explorateur Maître de domaine.

Serveur 1Explorateursecondaire

Serveur 2 Client

Maîtreexplorateur

44Sélection

11Annonce

11Annonce

11 Annonce

33

Demande

Liste

Demande

Liste

22

Le processus ci-dessous décrit le fonctionnement du service Explorateur d'ordinateur de Windows 2003. 1). Au démarrage, tous les ordinateurs qui exécutent le service Serveur annoncent leur présence au maître explorateur de leur groupe de travail ou sous-réseau de domaine. Cette étape a lieu, qu'ils contiennent ou non des ressources partagées.

2). La première fois qu'un client tente de localiser les ressources réseau disponibles, il demande une liste des explorateurs secondaires au maître explorateur du groupe de travail ou du sous-réseau de domaine.

3). Le client demande ensuite la liste des serveurs réseau à un explorateur secondaire. Ce dernier lui transmet la liste des domaines et des groupes de travail, ainsi que celle des serveurs locaux du domaine ou du groupe de travail du client.

4). L'utilisateur du client sélectionne un serveur, recherche les ressources appropriées, puis contacte le serveur approprié afin d'ouvrir une session et d'utiliser ces ressources.

Tout ce mecanisme s'effectue par diffusion (si vous utilisez encore NetBIOS). Or, les diffusions ne traversent pas les routeurs. Dans un environnement routé, il va falloir utiliser un mécanisme permettant que des explorateurs maitres puissent s'échanger le contenu de leur liste d'exploration. Pour cela, il faudra utiliser soit un fichier LMHOSTS, soit le service WINS. Sinon, les clients explorateurs ne verront que les machines presentes sur leur sous-réseau IP physique. Le fichier LMHOSTS de chaque maitre explorateur present sur chaque sous-reseau IP doit contenir I'adresse IP et le nom d'ordinateur de ('explorateur maitre de domaine, le nom du domaine precede de #PRE et #DOM.



288 Elections d’explorateur

Un nouveau maître explorateur doit être choisi si un client ne parvient pas à en localiser un, ou si un explorateur secondaire tente une mise à jour de sa liste des ressources réseau mais ne parvient pas à localiser le maître explorateur. Le processus d'élection garantit qu'il n'y aura qu'un seul maître explorateur par groupe de travail ou segment dans un domaine. Les élections d’explorateur surviennent pour sélectionner un nouvel explorateur principal dans les circonstances suivantes : -quand un ordinateur ne peut localiser un explorateur principal -quand un explorateur principal préféré est placé en ligne -quand démarre un système contrôleur de domaine Windows

Paquet d'élection

Critères d'électionCritères

d'élection

Windows 2000Server

Windows 2000Windows 2000ServerServer

Valeur de critèresla plus élevée

Valeur de critèresla plus élevée

Windows 2000Professionnel

Windows 2000Windows 2000ProfessionnelProfessionnel

Valeur de critèressuivante

Valeur de critèressuivante

Windows NTWindows 98Windows 95Windows pour Workgroups

Windows NTWindows NTWindows 98Windows 98Windows 95Windows 95Windows pour Windows pour WorkgroupsWorkgroups

Valeur de critèresla plus basse

Valeur de critèresla plus basse

Le client découvre qu'un maître explorateur est

indisponible

Le client découvre qu'un maître explorateur est

indisponible

Les ordinateurs réseaux lancent un processus d'élection en diffusant un message spécial appelé paquet d'élection. Ce paquet contient la valeur des critères de l'ordinateur à l'origine de la requête. Tous les explorateurs traitent ce paquet d'élection. Lorsqu'un explorateur reçoit un paquet d'élection, il l'examine et compare les critères de l'ordinateur à l'origine de la demande avec ses propres critères d'élection. Si les critères d'élection de l'ordinateur recevant la demande sont plus élevés que ceux de l'ordinateur dont provient le paquet d'élection, l'explorateur émet son propre paquet d'élection, puis entre un état élection en cours. Le processus se poursuit jusqu'à ce qu'un maître explorateur soit élu sur la base de la valeur de critères la plus élevée.



289Les critères d'explorateurs déterminent l'ordre hiérarchique des différents types de systèmes informatiques du groupe de travail ou domaine. Chaque ordinateur explorateur possède certains critères, en fonction du type de système. Ces critères comprennent les éléments suivants : 1). Le système d'exploitation :

Un membre de la famille des produits Windows 2000/2003 Server Windows XP Professionnel Windows 2000 Professionnel Windows NT Server Windows NT Workstation Windows 95/98 Windows pour Workgroups

2). La version du système d'exploitation (par exemple, Windows NT 4.0, 3.51, 3.5 ou 3.1) ; 3). Le rôle attribué à l'ordinateur dans l'environnement d'exploration :

Explorateur (maître explorateur ou explorateur secondaire) ; Explorateur potentiel ; Non explorateur.

Au cours d'une élection, le niveau des critères est utilisé pour déterminer quel ordinateur doit être maître explorateur si le maître explorateur en cours est indisponible. L'explorateur envoie jusqu'à quatre paquets d'élection. Si après quatre paquets d'élection, aucun autre explorateur n'a répondu avec des critères d'élection susceptibles de remporter l'élection, le système sera promu au rang, d'explorateur principal.

Les annonces des différents services d’explorateurs

Lorsqu'un ordinateur démarre, Il informe le service Explorateur qu'il est disponible en s'annonçant sur le réseau.

Quand un ordinateur devient l’explorateur principal en emportant une élection et quand la liste des ressources de parcours est vide, l’explorateur principal contraint tous les systèmes à répondre par une annonce.



290 Tous les ordinateurs recevant son datagramme, doivent répondre après un délai aléatoire pouvant durer jusqu’à 30 secs, pour empêcher que l’explorateur principal ne s’engorge de réponses et en perde, et pour protéger le réseau d’un trafic trop important.

Si un explorateur principal reçoit une annonce d’un autre ordinateur qui affirme être explorateur principal, l’explorateur principal change de rôle et exige une élection.

Les annonces de serveurs non explorateurs Un ordinateur non explorateur se présente périodiquement à l’explorateur principal en lui envoyant un datagramme dirigé. Il fait état de sa disponibilité selon des intervalles de 1 mn, 2 mn, 4mn, 8mn et 12mn, puis par la suite toutes les 12 mn. Si l’explorateur principal n’entend rien à propos du non-explorateur pendant trois périodes d’annonce consécutives, il le retire de la liste des parcours. Remarque : 36 mn peuvent donc être nécessaires pour que l’explorateur principal local retire une entrée dépassée. En outre, le reste du domaine va requérir de 12 mn à 24 mn (deux fois la périodicité) pour s’apercevoir que l’entrée est dépassée.

Les annonces d'explorateurs potentiels : La plupart des systèmes sont en réalité des explorateurs potentiels qui peuvent devenir un explorateur secondaire ou un explorateur principal. Ces systèmes s'annoncent de la même manière que les non explorateurs.

Les annonces des explorateurs secondaires

Les systèmes explorateurs secondaires s'annoncent de la même manière que les non explorateurs. Ils participent cependant aux élections d’explorateur. Ils appellent l'explorateur principal toutes les 12 minutes pour obtenir une liste des ressources du réseau mise à jour, ainsi qu'une liste des Workgroups et domaines.

L'explorateur secondaire cache ces listes et renverra la liste d'exploration à tous les clients qui émettent une demande d'exploration. Si l’explorateur de sauvegarde ne peut trouver d’explorateur principal, il exige une élection.

Configuration du temps d’annonce d’explorateur

Sous Windows NT/2000/XP/2003 Les valeurs de la clé de la BDR : HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters déterminent le rôle tenu dans le parcours réseau. Pour qu'un ordinateur NT/2000/Server 2003 soit le maître-explorateur (généralement un PDC= Primary Domain Controller), positionner la valeur suivante : IsDomainMaster: "TRUE" (valeur par défaut = No) Pour les ordinateurs NT/2000/Server 2003 jouant le rôle de sauvegarde du maître-explorateur (généralement les BDC = Backup Domain Controller) : MaintainServerList: "Yes" (peut devenir Master ou Backup Browser) Pour tous les autres ordinateurs NT/2000/Server 2003 non explorateur : MaintainServerList: "No"(non Explorateur) MaintainServerList: "Auto"(Potential Browser)



291Quand un explorateur de sauvegarde se referme correctement, il envoie une annonce à l’explorateur principal pour signaler qu’il sort du système. Si l’explorateur principal se referme correctement, il envoie un datagramme pour signaler qu’un nouvel explorateur principal soit choisi. Si l’ordinateur ne se referme pas correctement, ou connaît une panne, il doit être retiré de la liste des parcours, c’est le service explorateur qui gère les pannes d’explorateurs. Remarque : Le service qui gère l’Exploration est le service « Explorateur d’ordinateurs », les dépendances à ce service sont les services « serveur » et « station de travail ». Vous pouvez aussi utiliser la commande « net config server /hidden :yes » et le défaire par la comande « net config /hidden :no ». Note : Il y a un délai d’environ une trentaine de minutes.

Panne de non explorateur et de sauvegarde Quand un non explorateur connaît une panne, il cesse de s’annoncer. La période d’annonce configurée est comprise entre 1 et 12 mn. Si le non explorateur ne s’est pas annoncé après trois périodes d’annonce, l’explorateur principal le retire de sa liste des parcours. 72 mn peuvent être nécessaires avant que tous les explorateurs apprennent la panne d’un non explorateur : ce retard potentiel inclut 36 mn éventuellement requises pour que l’explorateur principal détecte la panne, et les 12 mn nécessaires pour que les explorateurs de sauvegarde récupèrent la liste mise à jour de l’explorateur principal.

Défaillance de l’explorateur principal

Quand un explorateur échoue, un explorateur de sauvegarde va détecter cette défaillance dans les 12 mn qui suivent et exiger une élection.

Défaillance d’explorateur principal du domaine Si l’explorateur principal du domaine est en panne, l’explorateur principal de chaque sous réseau du réseau fournit une liste des parcours, ne contenant que les serveurs du sous réseau du réseau local. Comme un explorateur principal du domaine est également un PDC, l’administrateur peut résoudre la panne en promouvant un BDC en PDC. Les explorateurs principaux envoient un datagramme dirigé, pour s’annoncer à l’explorateur principal du domaine celui-ci retourne une requête aux explorateurs principaux leurs demandant une liste des serveurs de leurs sous réseau, il fusionne alors sa propre liste de serveurs et celle qui lui est envoyée. Ce processus se répète toutes les 15 mn.

Service explorateur sur un routeur IP avec TCP/IP

Aujourd’hui, les communications du service explorateur s’appuient presque entièrement sue les émissions. Sur un inter réseau IP, ou les domaines sont séparés par des routeurs, des problèmes spéciaux d’émission peuvent surgir parce que celles-ci, par défaut, ne passent pas par les routeurs.

Deux questions se posent :



292 Comment les explorateurs séparés par un routeur peuvent-ils assumer des fonctions d’explorateur ? Comment les clients locaux peuvent –ils parcourir des domaines distants qui ne sont pas sur leur sous-réseau ?

Si les routeurs IP ne sont pas configurés pour transmettre les diffusions NetBIOS (ce qui est généralement le cas), la collecte et la distribution de l'exploration et le traitement des requêtes clientes doivent s'effectuer par le biais du trafic IP dirigé plutôt que par celui du trafic IP de diffusion. Windows 2000 ou Server 2003 propose les deux solutions ci-dessous pour faciliter ces opérations. Entrées du fichier Lmhosts. Les entrées spéciales du fichier Lmhosts facilitent la distribution des informations d'exploration et le traitement des requêtes clientes. WINS. Le service WINS (Windows Internet Naming Service) permet de collecter les listes de parcours et de traiter les requêtes clientes.

Exploration à l’aide de LMHOSTS

Pour implémenter une communication directe entre les maîtres explorateurs de sous-réseaux distants et l'explorateur maître de domaine, le fichier Lmhosts doit être configuré avec les adresses IP et les noms NetBIOS des ordinateurs explorateurs.

Sous-réseau 1

Sous-réseau 3Sous-réseau 2

Serveur1Maître explorateur

Serveur3Explorateur maître de domaine


Corp

LmhostsLmhostsLmhosts

<IP> Serveur3 #PRE #DOM:CORP

LmhostsLmhostsLmhosts<IP> Serveur1 #PRE #DOM:CORP<IP> Serveur2 #PRE #DOM:CORP

RouteurRouteur

LmhostsLmhostsLmhosts

<IP> Serveur3 #PRE #DOM:CORP

Maîtres explorateurs Pour les ordinateurs qui exécutent Windows 2000/2003, le fichier Lmhosts de chaque maître explorateur de sous-réseau doit contenir les informations suivantes : L’adresse IP et le nom de l'ordinateur de l'explorateur maître de domaine ; le nom de domaine, précédé des #PRE et #DOM : mots clés Exemple : 130.20.7.80 <explorateur_maître de domaine> #PRE #DOM:<domaine>



293

Explorateurs maîtres de domaine

Sur l'explorateur maître de domaine, le fichier Lmhosts doit être configuré avec les entrées de chacun des maîtres explorateurs des sous-réseaux distants.

Une entrée #DOM sur chaque maître explorateur pour tous les autres maîtres explorateurs du domaine est conseillée. De ce fait, si l'un des maîtres explorateurs est promu maître de domaine, la modification des fichiers Lmhosts des autres maîtres explorateurs n'est pas nécessaire.

Lorsque plusieurs entrées de fichier Lmhosts existent pour le même nom de domaine, le maître explorateur envoie une requête à l'adresse IP de chaque entrée afin de déterminer l'entrée qui correspond à l'explorateur maître de domaine. Seul l'explorateur maître de domaine répond à la requête. Le maître explorateur contacte ensuite l'explorateur maître de domaine pour échanger les listes de parcours.

DNS

Windows Server 2003 se sert de DNS comme méthode principale de résolution de noms. Chaque contrôleur de domaine Windows Server 2003 enregistre deux noms au démarrage : un nom de domaine DNS avec le service DNS, un nom NetBios avec WINS ou autre service de transport.

Si l’ordinateur source et l’ordinateur destination sont configurés pour faire appel à IP et à DNS, le nom est résolu avec DNS ; sinon, WINS résout les adresses IP à l’aide des noms NetBios, pour que les datagrammes puissent être envoyés.

La résolution de noms ne peut fonctionner correctement si on emploie que DNS, du fait des limitations de la résolution DNS des noms NetBios, il est recommandé d’employer WINS et DNS.

WINS Comme vu plus haut, NetBIOS a été conçu au départ pour fonctionner sur de petits réseaux avec un petit nombre de machines. Puis avec les années, Microsoft a développé des serveurs prévus pour fonctionner en environnement routé et/ou avec un grand nombre de machines. on a donc cherché des méthodes pour palier aux limitations du fonctionnement par diffusions. Au niveau de l'internet, la résolution de nom se fait avec DNS, qui est un système éprouvé. Microsoft a donc cherché à faire la même chose que DNS, mais pour des environnements de type PME, il n'était pas possible d'avoir quelque chose d'aussi rigide que DNS. Il fallait un système compatible avec NetBIOS et capable de mettre automatiquement à jour la base de données de noms de machines. Aucune RFC ne parlait alors de mise à jour dynamique de DNS (il y plus de 7 ans). Ils ont donc créé WINS.



294

Sous-réseau 1

Sous-réseau 3Sous-réseau 2


Serveur3Explorateur maître de domaine


Corp

Serveur4Serveur WINSRouteurRouteur

R&D

Mktg

CorpServeur1Serveur2Serveur3Serveur4R&DMKTG

CorpServeur1Serveur2Serveur3Serveur4R&DMKTG

WINS: Windows Internet Name Service a été implanté sur Windows NT 3.5 (ça ne nous rajeunit pas). C'est un système de centralisation dynamique des listes des noms des machines: On dit aux ordinateurs du réseau d'aller inscrire leur nom au serveur Wins (unicast), et lorsqu'on a besoin de résoudre un nom NetBIOS en adresse IP, on demande au serveur WINS. C'est un système qui permet de limiter grandement les diffusions et permet en plus de fonctionner en environnement routé. En effet. Au niveau du paramétrage, on indique au client de s'adresser à une adresse IP (celle du serveur WINS), or IP sait parfaitement passer les routeurs. Cela fait que si on avait deux réseaux A et B avec le client sur le réseau A et le serveur WINS sur le réseau B, le client va aller demander au serveur WINS sur le réseau B la liste des ordinateurs inscrits chez lui. On peut avoir un seul serveur WINS qui centralise les requêtes de plusieurs réseaux IP différents, sans aucun problème. C'est pour cela que d'un certain point de vue, WINS s'apparente à DNS. Voici comment cela se passe: L'ordinateur s'initialise, et va enregistrer son nom et son adresse dans la base du serveur WINS. Tous les ordinateurs paramétrés pour s'inscrire sur ce serveur font de même. Le serveur WINS construit sa liste et quand une machine inscrite a besoin de résoudre un nom NetBIOS, il lui donne. Lorsque l'ordinateur s'éteint, il se désinscrit pour permettre à un autre ordinateur d'utiliser éventuellement le même nom avec une adresse IP différente. Oui, mais comment cela se passe-t-il pour les ordinateurs qui n'ont pas l'adresse du serveur WINS paramétré? - Si le client est sur le même réseau IP que le serveur WINS, celui-ci va recevoir tôt ou tard les noms et adresse de l'ordinateur par diffusion, et les inscrira dans sa base. Le client ne pourra pas interroger la base WINS, mais les autres ordinateurs pourront tout de même passer par WINS pour résoudre le nom du client non-inscrit. - Si le client est sur un autre réseau IP on peut installer un proxy-WINS, qui est un ordinateur qui va intercepter les diffusions, et les transmettre au serveur WINS. C'est le proxy WINS qui inscrira auprès de WINS les machines qui s'allument, et c'est le proxy-WINS qui demandera à WINS et transmettra la réponse quand un ordinateur non-inscrit fera une diffusion pour résoudre le nom d'un autre ordinateur -le fonctionnement d'un proxy, quoi :-) .



295 Il est tout à fait possible d'avoir deux serveurs WINS Microsoft qui vont répliquer leurs bases, de manière à répondre tout de même aux clients si l'une des deux est en panne, mais il n'est pas possible de faire la même chose avec Samba au moment où je tape ces lignes. WINS peut-être très utile quand on veut faire joindre un domaine à un ordinateur qui est sur un réseau IP différent de celui du contrôleur de domaine. Il est aussi très utile parce qu'il réduit grandement les diffusions NetBIOS sur un réseau. Sur un réseau de plusieurs centaines de machines, les diffusions peuvent provoquer un trafic vraiment important. La mise en place de WINS élimine le besoin de configurer le fichier LMHOSTS ou d’activer le port UDP 137. Les clients non WINS ont toujours besoin du fichier LMHOSTS pour le parcours sur un inter réseau IP, même si WINS est implémenté dans le domaine. Toutes les émissions NetBios sur TCP/IP (NetBT) sont envoyées au numéro de port UDP 137, défini comme le port du service de noms NetBT. Les routeurs bloquent normalement la retransmission de ces trames.

Le service WINS résout les problèmes de diffusion des noms NetBIOS en enregistrant dynamiquement l'adresse IP et le nom NetBIOS d'un ordinateur et en les stockant dans la base de données WINS. Lorsque des clients WINS communiquent avec des hôtes TCP/IP sur des sous réseaux, l'adresse IP de l'hôte de destination est récupérée dans la base de données plutôt que par l'intermédiaire d'une diffusion. Le service WINS améliore le mécanisme de collecte des noms de groupes de travail ou de domaines, car un explorateur maître de domaine exécuté en tant que client WINS demande régulièrement au serveur WINS une liste de tous les domaines répertoriés dans la base de données WINS. Remarque : La liste des domaines, obtenue à l'aide d'une requête WINS, ne comporte que les noms de domaines et leurs adresses IP correspondantes. Elle ne comprend pas les noms des maîtres explorateurs qui sont à l'origine des enregistrements WINS. Le principal avantage de ce processus réside dans le fait que l'explorateur maître d'un domaine dispose désormais d'une liste complète de tous les maîtres explorateurs de tous les domaines, y compris de tous les maîtres explorateurs des autres domaines situés sur des sous réseaux distants. Pour élaborer une liste complète sans utiliser le service WINS, un maître explorateur appartenant au même domaine que l'explorateur maître de domaine doit être présent sur chaque sous réseau.



296

Questions/Réponses

1. À partir de quel système recevez-vous la liste des serveurs ? 2. Dans un modèle en Workgroup, combien y a t’il de Backup Browsers ? 3. Quelles sont les trois fonctions de NETLOGON ? 4. Quels systèmes doit être déclares dans le fichier LMHOSTS si WINS n’est pas utilisé ? 5. Quel “tag” du fichier LMHOSTS active l’activité au niveau du domaine basé sur TCP/IP ? 6. Un utilisateur click sur le voisinage réseau, et le système répond que le nom réseau ne peut pas être trouvé, quelle peut être la cause de cela ? 7. Combien de fois le service serveur s’annonce t’il ? 8. Quels sont les systèmes enlevés de la liste d’exploration ? 9. Dans quel type de groupe un contrôleur de domaine s’enregistre t’il avec un serveur WINS ? 10. Quels systèmes nécessitent l’utilisation du fichier LMHOSTS afin d’activer la base de comptes d’utilisateurs pour des questions de synchronisation ? 11. Comment font les autres domaines afin de devenir visible au niveau du voisinage réseau ? 12. Quels types d’ordinateurs font des annonces d’exploration ? ====================================================================== Réponses : 1. La liste des serveurs nous parvient à partir des Backup Browsers. 2. Il y a un Backup Browser tous les 32 systèmes dans un Workgroup. 3. Les fonctions de NETLOGON : validation des utilisateurs, l’authentication, synchronisation de la base de comptes d’utilisateurs. 4. Le fichier LMHOSTS est nécessaire pour la résolution d’adresse pour chaque système qui enregistre son service serveur. 5. Le “tag” #DOM facilite l’activité au niveau du domaine base sur un réseau en TCP/IP. 6. Le système ne peut pas résoudre le nom NetBIOS en adresse IP ou alors le système est planté. 7. Le service serveur s’annonce toutes les minutes pendant les 5 premières minutes, puis ensuite toutes les 12 minutes. 8. Si un système s’arrête normalement, il broadcast une relache du nom « Name Release », cela l’enleve de la liste d’exploration, l’autre possibilité est que le système n’a pas reçu trois annonces (3x12 mn). 9. Les contrôleurs de domaine s’enregistrent dans le groupe “Domain”. 10. Chaque contrôleur de domaine nécéssite un fichier LMHOSTS. 11. Par des annonces de Domaine que le Domain Master Browsers fait toutes les 15 minutes. 12. Tous système qui a le service serveur installé, cela inclus Windows for Workgroups, Windows 95/98/Me, and Windows NT/2000/XP.

L E R E G I S T R E


297

LE REGISTRE

Si vous avez utilisé les versions antérieures 16 bits de Windows, vous savez probablement que les paramètres de configuration système étaient stockés dans des fichiers texte dotés de l'extension *.INI limités à 64 ko (win.ini, system.ini, et ainsi de suite…voir commande sysedit.exe). Un administrateur pouvait tout à fait apporter des modifications de configuration à ces fichiers, même si, la plupart du temps, il n'était pas nécessaire d'intervenir directement dans ces fichiers. La plupart des paramètres qu'ils contenaient pouvaient, en effet, être modifiés via le Panneau de configuration ou l'interface d'autres applications. La modification manuelle des fichiers .INI s'imposait uniquement lorsque des paramètres spécifiques ne pouvaient être modifiés via l'interface. Depuis les versions 32 bits de Windows (NT 3.x Windows 95 et ultérieures), les informations de configuration système sont stockées dans une base de données hiérarchique contenant les informations systèmes (hardwares et softwares) : le Registre.

La configuration matérielle de l'ordinateur réside dans le Registre, incluant des pilotes « Plug and Play ». Il supporte des configurations de matériel multiples et des utilisateurs multiples peuvent se partagez un même ordinateur mais garder leurs préférences personnelles. Le Registre supporte aussi l'Administration à distance.

L E R E G I S T R E


298 Comme pour les fichiers INI, la plupart des paramètres du Registre peuvent être modifiés via le Panneau de configuration ou l'interface d'autres applications. Toutefois, de par la nature même du Registre (et le fait qu'il regroupe l'ensemble des informations de configuration), la modification directe du Registre peut entraîner de sérieux problèmes système. En fait, Microsoft conseille de ne jamais procéder à une modification directe (manuelle) du Registre, sauf en cas de nécessité absolue. Même dans ce cas, Microsoft ne garantit pas les conséquences générées par l'application de paramètres incorrects.

Le Registre est divisé en cinq arborescences principales

Le Registre est divisé en cinq arborescences principales, appelées parfois « sous arbre ». Ces sous arbres contiennent les informations suivantes

HKEY_CLASSES_ROOT HKCR contient deux types de paramètres. Le premier contient les associations de fichiers qui associent différents types de fichiers avec des programmes qui peuvent les ouvrir, imprimer et les éditer. Le deuxième sont des enregistrements de classe pour des objets Component Object Model (COM). Cette clé racine est une du plus intéressant du registre à personnaliser, parce qu'elle vous permet de changer beaucoup le comportement du système d'exploitation. Cette racine est aussi la plus grande du registre, représentant la majorité de l'espace que le registre consomme, il peut représenter jusqu’à 78 % du Registre sur l'ordinateur.

L E R E G I S T R E


299

Avant Windows 2000, HKCR était une liaison vers la clé HKL\SOFTWARE\Classes, mais cette clé racine est plus compliquée maintenant. Pour tirer partie de HKCR, le système d'exploitation fusionne deux clés :

-HKLM\SOFTWARE\Classes, qui contient des associations de fichier par défaut et des enregistrements de classe; et HKCU\Software\Classes, qui contient des associations de fichier par-utilisateur et des enregistrements de classe. -HKCU\Software\Classes est vraiment une liaison à HKU\SID_CLASSES. Si une valeur différente apparaît dans les deux branches, la valeur dans HKCU\Software\Classes a la priorité la plus haute et impose sa valeur dans HKLM\SOFTWARE\Classes.

HKEY_LOCAL_MACHINE

Contient les paramètres de l'ordinateur comme son matériel et la configuration réseau et logiciels. Voici une vue d'ensemble des cinq sous clés :

HARDWARE Avez-vous remarqué que vous ne trouvez pas de fichier de ruche pour HKLM\HARDWARE ?. Cette ruche est dynamique. Windows la construit chaque fois que le système d'exploitation démarre et il ne sauvegarde pas la ruche comme un fichier de ruche quand le PC s'éteint. Décrit le matériel que Windows 2000/2003 détecte dans l'ordinateur. À part la description des processeurs de l'ordinateur ainsi que la mémoire, cette sous clé décrit les ressources pour chaque utilisation de ces pilotes, avec l'apparition du Plug and Play dans Windows 2000/2003.

SAM Contient la base de données de sécurité locale (Sécurity Account Manager). Windows 2000/2003 stocke des utilisateurs locaux et des groupes dans la SAM ainsi que la version Windows Serveur 2000/2003 stocke les utilisateurs du domaine et groupes dans la même sous clé. Les permissions empêchent la plupart des utilisateurs, même avec des droits administratifs, de voir cette sous clé. Employez les outils du Panneau de configuration pour gérer la base de données de sécurité locale. Notez que la SAM est une liaison vers HKLM\SECURITY\SAM. En faisant des changements sur l'une vous faites des changements sur l'autre. HKEY_LOCAL_MACHINE\SAM\SAM et HKEY_LOCAL_MACHINE\SECURITY\SAM) doivent seulement être modifié en employant la MMC de Windows 2000/2003 ou le Gestionnaire des Utilisateurs de Windows NT 4.0 et plus tôt. Rappel : Si le système Windows est un contrôleur de domaine, la SAM n'est

pas employé, (nous avons les services d'Active Directory maintenant).

L E R E G I S T R E


300 SÉCURITÉ Contient la base de données de sécurité locale, SAM, aussi bien que la politique de stratégie locale et ainsi que d'autres secrets. • droits d'Utilisateur • stratégie de Mot de passe • adhésion de groupes locaux Windows 2000/2003 empêche les utilisateurs de voir cette sous clé. SOFTWARE Contient par ordinateur les paramétrages pour chaque application, incluse dans Windows 2000/2003. Comme HKCU\SOFTWARE, quelques-uns n'ont pas respecté les demandes émises par Microsoft et ne suivent les règles, donc la plupart des applications sont mises dans Vendor\Application, où Vendor est le nom du vendeur et Application est le nom de la l'application. Ces vendeurs suivant ces règles ajoutent une sous clé complémentaire appelée Version. La sous clé la plus intéressante, utile et personnalisable d'HKLM\SOFTWARE est Classes. Cette sous clé définit les associations de fichier de l'ordinateur et des classes COM.

L'Enregistrement et l'accès ce fait plus facilement, parce que la clé racine HKEY_CLASSES_ROOT est un lien vers Classes.

SYSTEM La sous clé system contient l'information de démarrage employée par Windows lors du boot. Cette sous clé contient toutes les données qui sont stockées et pas recalculées pendant la phase de démarrage. Une copie de l'information HKEY_LOCAL_MACHINE\SYSTEM est dans le fichier System.alt, situé dans %SystemRoot %\System32\Config dans toutes les versions de Windows. Contient les jeux de contrôles, qui décrivent les pilotes et les services que Windows 2000/2003 charge lors du boot. De plus, les jeux de contrôles définissent chaque aspect de la configuration système au niveau de l'ordinateur. Chaque jeu de contrôle est dans une sous clé appelée HKLM\SYSTEM\ControlSetnnn, où nnn est un numéro commençant par 000. La sous clé CurrentControlSet est une liaison au jeu de contrôle actuel celui que Windows 2000/2003 emploie. HKLM\SYSTEM\Select contient une valeur appelée Current cela indique lequel des contrôle Windows 2000/2003 emploie.

(La clé Clone, présente dans les versions antérieures de Windows NT, n'existe pas dans Windows XP, 2003)

HKEY_USERS Chaque sous clé de HKU est aussi une ruche, c’est là que sont enregistrés l’ensemble des profils d’utilisateur (si tenté soit que vous en ayez créés), à la différence de HKCU qui lui ne s'occupe que de l’utilisateur actuellement connecté. HKEY_CURRENT_USER est une sous clé de HKEY_USERS. HKEY_USERS contient les paramètres par utilisateur. HKU contient au moins trois sous clés :

.DEFAULT contient les paramètres par-utilisateur que Windows emploie pour afficher le bureau avant que n'importe quel utilisateur ne se connecte à

L E R E G I S T R E


301l'ordinateur. Ce n'est pas la même chose qu'un profil d'utilisateur par défaut, que Windows emploie pour créer des paramètres pour des utilisateurs la première fois qu'ils se connectent à l'ordinateur. SID, où SID est l'identificateur de sécurité de l'utilisateur de la console (l'utilisateur de la console contient par exemple les paramètres du clavier), contient des paramètres par-utilisateur. HKCU est un lien avec cette clé. Cette clé contient des paramètres comme les préférences du bureau de l'utilisateur et des paramètres du Panneau de configuration.· SID_Classes, où SID est l'identificateur de sécurité de l'utilisateur de la console, contient par-utilisateur les enregistrements de classe et associations de fichier. Windows fusionne le contenu de clés HKLM\SOFTWARE\Classes et HKU\SID_CLASSES dans HKCR.·

Vous verrez d'autres SIDs dans HKU voir ci-dessous.

Le premier est SID, SID est l'identificateur de sécurité de l'utilisateur actuel.

L E R E G I S T R E


302 S-1-5-18 est SID bien connu pour le compte LocalSystem. Windows charge ce profil quand un programme ou service fonctionne dans le compte LocalSystem. S-1-5-19 est SID bien connu pour le compte LocalService. Service Control Manager emploie ce compte pour lancer les services locaux qui ne pas être lancer comme le compte LocalSystem. S-1-5-20 est SID bien connu pour le compte NetworkService. Service Control Manager emploie ce compte pour lancer les services réseau qui ne doivent pas être lancé comme le compte LocalSystem. La deuxième sous clé est SID_CLASSES, qui contient les fichiers (extensions) utilisateur associés à leurs applications.

Copier à partir de HKLM\SOFTWARE\Classes pour former HKEY_CLASSES_ROOT. Voici un exemple de SID : S-1-5-21-553393301-1521681255-927750060-1004 S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-500 Administrator S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-501 Guest S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-502 krbtgt S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-512 Domain Admins S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-513 Domain Users S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-514 Domain Guests S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-515 Domain Computers S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-516 Domain Controllers Des utilisateurs généraux pourraient être assignés avec des SIDS se terminant par des numéros à quatre chiffres commençant à 1000. Mon domaine a un utilisateur appelé "Pixel", dont le SID se termine par 1003 et un autre utilisateur, "Pixel1", dont le SID se termine par 1006. S-1-5-domain-517 Cert Publishers S-1-5-root domain-518 Schema Admins S-1-5-root domain-519 Enterprise Admins S-1-5-root domain-520 Group Policy Creator Owners S-1-5-domain-553 RAS and IAS Servers Groupes Locaux intégrés S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-544 Administrators S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-545 Users S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-546 Guests S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-547 Power Users S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-548 Account Operators S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-549 Server Operators S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-550 Print Operators S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-551 Backup Operators S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-552 Replicator S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-554 Pre-Windows 2000 Compatible Access S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-555 Remote Desktop Users S-1-5-32-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-556 Network Configuration Operators Groupes spéciaux \CREATOR OWNER S-1-1-0x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx \EVERYONE S-1-1-0x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx NT AUTHORITY\NETWORK S-1-1-2x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx

L E R E G I S T R E


303NT AUTHORITY\INTERACTIVE S-1-1-4x-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx NT AUTHORITY\SYSTEM S-1-1-18-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx NT AUTHORITY\LOCALSERVICE S-1-1-19-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx NT AUTHORITY\NETWORKSERVICE S-1-1-20-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx Rappel : Voici quelques identifiant de sécurité SID Authority - Subauthority Authority Name Description 0 Null The basic Identifier Authority. 0 - 0 Nobody Used when there is no security. 1 World The basic Identifier Authority. 1 - 0 Everyone Everyone: all users, guest, and

anonymous users. 2 Local The basic Identifier Authority. 3 Creator The basic Identifier Authority. 3 - 0 Creator/Owner The owner of an object. 3 - 1 Creator/Group The primary group of the owner. 3 - 2 Creator/Owner Server Not used after Windows NT 4. 3 - 3 Creator/Group Server Not used after Windows NT 4. 4 Non-unique The basic Identifier Authority. 5 NT The basic Identifier Authority.

Most work with Windows XP users will be in the NT authority (that is, the SID will begin with S- 1-5).

5 - 0 (undefined) Not used in Windows XP. 5 -1 Dialup Used for users who are logged on to

the system using a dial-up connection.

5 - 2 Network Used for users who are logged on to the system using a LAN connection.

5 - 3 Batch Used for users who are logged on to the system in a batch queue facility.

5 - 4 Interactive Used for users who are logged on to the system interactively (a locally logged on user).

5 - 5 - X - Y Logon Session Used for users who are logging on to the system. The X and Y values identify the logon session.

5 - 6 Service Used for a Windows XP service. 5 - 7 Anonymous Used for users who are logged on

anonymously to the system. 5 - 8 Proxy Not used after Windows NT 4. 5 - 9 Enterprise Controllers Used to identify Active Directory

domain controllers. 5 - 10 (undefined) Undefined in Windows XP. 5 - 11 Authenticated Users Used for users who have

been authenticated by the system and are logged on.

5 - 12 Restricted Code Unknown in Windows XP. 5 - 13 Terminal Server User Used for users who are

logged on to the system using Microsoft Terminal Server.

5 - 18 Local System The local computer's system account. This subauthority is new to Windows XP.

5 - 19 Local Service The local computer's service account. This subauthority is new to Windows XP.

L E R E G I S T R E


304 5 - 20 Network Service The computer's network

service account. 5 - 21 Non-Unique A non-unique value to

identify specific users. 5 - 32 Domain Used with domains to

identify users. Pour voir quels profils Windows a chargé ainsi que le fichier de ruche qui correspond à chaque ruche, voir dans la clé HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. Cette clé contient une sous clé pour chaque profil que le système d'exploitation a déjà chargé. Le nom de la sous clé est le nom de la ruche dans HKU et la valeur ProfileImagePath contient le chemin vers le fichier de ruche, qui est toujours Ntuser.dat. ProfileList ne mentionne pas les ruches SID_Classes, cependant; il contient seulement les ruches de profil utilisateur. D'autres sous clés dans HKU appartiennent aux utilisateurs secondaires. Par exemple, si vous employez la commande Exécuter (Run) comme la commande pour lancer un programme avec un nom d'utilisateur différent, le système d'exploitation charge les paramètres de ce compte d'utilisateur dans HKU. Cette particularité, appelée secondary logon, permet aux utilisateurs de lancer des programmes avec privilèges élevés sans exiger en réalité de se connecter avec un compte différent. Par exemple, si je suis connecté sur l'ordinateur employant le compte Jerry, qui est dans le groupe d'Utilisateurs avec Pouvoir, mais j'ai besoin de faire quelque chose dans un programme en tant qu'administrateur, je maintiens la touche Maj, avec le bouton droit sur le programme, puis Run As et tape ensuite le nom du compte d'Administrateur et le mot de passe. Le programme fonctionne sous le compte d'Administrateur et, dans ce cas, HKU contient des paramètres pour les deux comptes Jerry et l'Administrateur. Cette technique empêche l'erreur humaine aussi bien que les virus opportunistes. Rappel : Windows 2000 limite la taille du registre, alors que Windows XP et Windows 2003 Serveur ne le font pas.

HKEY_CURRENT_USER Cette clé racine est une liaison vers HKU\SID, où SID est l'identificateur de sécurité de l'utilisateur dans la console, s'occupe du confort individuel des utilisateurs actuellement déclarés, profil utilisateur de l'utilisateur connecté (musique d’ouverture, couleur du mulot, gris- gris divers apposés sur le Bureau ...). Les dossiers de l'utilisateur, les couleurs d'écran et les paramètres du Panneau de configuration sont stockés ici. Cette information est mentionnée comme le profil d'un utilisateur (Documents and Settings\User_Name).

HKEY_CURRENT_CONFIG HKCC est une liaison aux données de configuration pour l'actuel profil matériel choisi lors du boot du PC, situé dans la clé HKLM\SYSTEM\CurrentcontrolSet\Hardware Profiles\Current. À son tour, Current est une liaison vers la clé HKLM\SYSTEM\CurrentcontrolSet\Hardware Profiles\nnnn, où nnnn est un numéro croissant qui commence par 0000.

L E R E G I S T R E


305HKEY_DYN_DATA

Gère tout particulièrement les paramètres dynamiques de Windows. En bref, l’ensemble des données qui sont sans cesse modifiées. Comme noté plus tôt, dans l'éditeur de registre vous voyez cinq clés racine. Deux de ces clés racine ont une proéminence spéciale parce que Windows 2000/2003 sauvegarde en réalité leur contenu dans des fichiers. Ceux-là sont HKEY_LOCAL_MACHINE et HKEY_USERS. L'emplacement de ces fichiers n'est pas important pour le moment. Les clés racine restantes sont des liaisons (links), dont vous avez déjà appris. HKEY_CURRENT_USER est un lien vers une sous clé dans HKEY_USERS. HKEY_CLASSES_ROOT et HKEY_CURRENT_CONFIG sont des liens vers la sous clé dans HKEY_LOCAL_MACHINE.

Attention : quand on créé de nouvelles clés le respect des majuscules ou minuscules est indispensable. Les informations de chaque ruche sont subdivisées en clés qui s'apparentent aux répertoires d'un disque dur. Chaque clé peut contenir d'autres clés (sous-clés) ou des entrées de configuration, appelées valeurs, similaires aux fichiers ou aux programmes stockés sur un disque dur.

L E R E G I S T R E


306 Ces entrées de configuration peuvent prendre différentes valeurs, à la manière des variables dans un langage de programmation. Lorsqu'une valeur doit être modifiée dans le Registre, il est nécessaire de spécifier le chemin d'accès complet à cette valeur. Par exemple, la valeur HKEY LOCAL_MACHINE\System\CurrentControlSet\ Control\Setup\pointeur peut être modifiée ; toute modification changera par ailleurs la configuration d'une section du système d'exploitation

• HKEY-LOCAL _MACHINE est la ruche (les abréviations utilisées pour les ruches sont HKCR, HKCU, HKLM, HKU et HKCC).

• System\CurrentControlSet\Control\Setup désigne l'ensemble des clés et des sous-clés utilisées pour naviguer vers la valeur sélectionnée.

• pointeur est le nom du paramètre dont la valeur peut être lue ou modifiée.

Microsoft sauvegarde chaque sous clé d'HKEY_LOCAL_MACHINE comme un fichier de ruche dans SystemRoot\System32\Config. D'abord, HKLM\HARDWARE n'a pas de fichier de ruche. Pourquoi ? Windows 2000/2003 crée dynamiquement cette ruche pour chaque démarrage du système d'exploitation et il ne sauve pas cette ruche sur le disque quand il s'arrête. HKU\.DEFAULT est la ruche que le système d'exploitation emploie en priorité avant que n'importe quel utilisateur se connecte à l'ordinateur et il stocke son fichier de ruche avec tous les autres fichiers de ruche par ordinateur. HKU\SID et HKU\SID_CLASSES sont des fichiers de ruche par utilisateur. La surprise est ici que le système d'exploitation ne les stocke pas tous à la même place. Il met HKU\SID dans UserProfile\Ntuser.dat. HKU\SID_Classes dans UserProfile\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat. La différence signifie quelque chose, cependant. Si le profil d'utilisateur est un profil errant, Windows 2000/2003 synchronisent Ntuser.dat avec la copie en réseau du profil de l'utilisateur, mais cela ne synchroniseront pas UsrClass.dat parce que les paramètres locaux sont dans un dossier non-errant. Hive Hive File HKLM\HARDWARE Plug and Play Manager HKLM\SAM SystemRoot\System32\config\Sam HKLM\SECURITY SystemRoot\System32\config\Security HKLM\SOFTWARE SystemRoot\System32\config\Software HKLM\SYSTEM SystemRoot\System32\config\System HKU\.DEFAULT SystemRoot\System32\config\Default HKU\SID UserProfile\Ntuser.dat HKU\SID_ Classes UserProfile\LocalSettings\Application Data\

Microsoft\Windows\UsrClass.dat HKU\DEFAULT. %SYSTEMROOT%\System32\config\default. HKU\SID %USERPROFILE%\Ntuser.dat HKU\SID_Classes %USERPROFILE%\Local Settings \Application

Data\Microsoft\Windows\UsrClass.dat. On trouve la liste des ruches chargées dans la base de registre par XP à la clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist. Les fichiers ruches ne comportent pas d'extension.

L E R E G I S T R E


307Windows 2000/2003 sauvegarde chaque fichier de ruche avec deux autres fichiers (dans Windows\System32\Config). Les fichiers avec l'extension de fichier « .log » sont des logs de transaction de tous les changements introduit dans une ruche. Pour chaque ruche, XP/2003 crée des fichiers de sauvegarde avec l'extension « .SAV » à la fin de l’Install de Windows. Les utilisateurs de Windows 98 peuvent établir un parallèle entre le fichier Système.1st et les fichiers avec l'extension de fichier « .SAV ». HKLM\SYSTEM est une ruche si importante que c'est le seul pour lequel Windows 2000 crée une copie de secours employant le fichier avec une extension « .alt » (LastKnownGood). L'extension ALT a été supprimée sous Windows XP/ 2003 Server. Elle correspond à HKEY_LOCAL_MACHINE\System pour Windows NT/2000.

Retenons enfin qu'il n'existe pas sous Windows XP et 2003 de limite physique pour la taille de la base de registre contrairement à Windows 2000. Pour connaître la taille occupée par la base de registre, un utilitaire issu du Ressource Kit de Windows 2000 fonctionne très bien. Il s'agit de DuReg.EXE, "Registry Size Estimator", utilitaire en ligne de commande, téléchargeable sur le site de Microsoft ou à la section FTP (630 Ko). Cet utilitaire ne donne que la taille occupée par les données contenues dans la base de registre et ne tient donc pas compte de l'espace libre également contenu dans la base de registre Trois moyens pour changer la sécurité qui affectent significativement Windows 2000/2003 : Permissions Windows 2000/2003 a de nouvelles boîtes de dialogue de sécurité (voir menu Edition, puis Autorisations...). Remote Access Tandis que Windows NT Poste de travail 4.0 permet chacun sur le réseau de se connecter au Registre, Windows 2000/2003 limite l'accès à

L E R E G I S T R E


308 l'Administrateurs et opérateurs de sauvegarde. Windows 2000/2003 emploie toujours winreg pour contrôler l'accès distant au registre. HKLM\SAM Deux choses ici. D'abord, les contrôleurs de domaine stockent l'information de sécurité maintenant dans Active Directory et le stockent seulement dans la SAM pour l'utilisation dans le mode restauration d'Active Directory ou dans un environnement en mode mixte. Deuxièmement, par défaut, Windows 2000/2003 chiffre maintenant le contenu d'HKLM\SAM en employant Syskey. Clé A partir de quoi la clé est construite lors du boot du PC HKEY_LOCAL_MACHINE: HARDWARE Plug and Play Manager SAM SAM hive file SECURITY SECURITY hive file SOFTWARE SOFTWARE hive file SYSTEM SYSTEM hive file HKEY_CLASSES_ROOT SYSTEM hive file, Classes subkey HKEY_USERS_DEFAULT DEFAULT hive file HKEY_USERS\Sxxx Particular user’s NTUSER.DAT file HKEY_CURRENT_USER Particular user’s NTUSER.DAT file Remarquez que HKEY_LOCAL_MACHINE\HARDWARE n'a pas de ruche. C'est que la clé est reconstruite à chaque fois que vous démarrez, aussi le Serveur 2003 peut s'adapter aux changements de matériel. Le gestionnaire Plug and Play, qui fonctionne lors du boot, recueille l'information que le Serveur a besoin pour crée HKEY_LOCAL_MACHINE\HARDWARE. Les profils d'utilisateur locaux sont dans \Documents and Settings\username, où chaque utilisateur obtient un répertoire nommé avec son nom. Par exemple, je crée un utilisateur nommée marc, ainsi son profile sera stocké dans \Documents and Settings\marc sur mon ordinateur. Dedans, je trouve les fichiers ntuser.dat et ntuser.dat.log.

L E R E G I S T R E


309

Outils de Gestion du Registre Registry Editor. C'est l'outil principale (regedit.exe) que vous employez pour éditer des les paramètres du registre· Console Registry Tool for Windows (Reg.exe). Cet outil d'édition du registre est en mode ligne de commande et supporte la plupart des fonctionnalités de Regedit. L'objectif de cet outil consiste en ce qu'il vous permet d'éditer des scripts dans des fichiers batch. WinDiff. Cet outil est inclus avec Windows Support Tools, dont vous l'installez à partir de \Support\Tools sur le CD de Windows. C'est le meilleur programme que j'ai trouvé pour la comparaison de fichiers, une technique utile pour dépistage de modification dans le registre. Microsoft Word 2002. Cette application ne ressemble pas à un outil de gestion du registre, mais j'emploie Word quand WinDiff n'est pas utilisable pour comparer des fichiers donc je peux trouver où un programme stocke un paramètre dans le registre. J'emploie aussi Word pour éditer des scripts. Le Registre peut être modifié directement au moyen de deux applications fournies par Windows 2000/NT 4.0 (pas pour Windows 2003 uniquement Regedit.exe) : %systemroot%\system32\regedt32.exe et %systemroot%\ regedit.exe. Ces deux versions permettent aux utilisateurs de consulter et de modifier les clés et les valeurs pour lesquelles ils disposent d'une autorisation. Toutefois, il existe certaines différences subtiles entre ces programmes. Regedit.exe était fourni à l'origine avec Windows 95 et ne dispose pas, à ce titre, de fonctionnalités permettant de contrôler les paramètres de sécurité. Windows 95/98 ne dispose pas du sous-système de sécurité intégré à NT/Windows 2000/2003 Server et n'importe qui peut modifier directement une portion du Registre.

Regedt32.exe était intégré à NT 3.1 et fournit des commandes de menu « Sécurité » permettant à un administrateur d'interdire et d'enregistrer l'accès aux paramètres du Registre, Il existe d'autres différences, mais seule celle qui est relative aux paramètres de sécurité nous intéresse ici. L'éditeur de registre, "Regedit.exe", dans la version Server 2003 fournit beaucoup d'améliorations et particularités commodes qui vous permettent de faire les choses suivantes :

• Faites tous vos changements en employant un éditeur de registre, Regedit.exe. Regedit.exe de Windows Server 2003 combine les particularités des deux éditeurs de registre de Windows 2000 (Regedit.exe et Regedt32.exe) dans un programme simple. Regedit.exe de Windows Server

L E R E G I S T R E


310 2003 permet l'importation de parties du registre qui a été sauvegardés en employant les versions de Regedit32.exe inclus avec Windows NT 4.0 et Windows 2000.

• Exécutez des recherches en employant des critères que vous spécifiez. Les améliorations d'exécution vous permettent de voir des résultats de recherche plus rapidement que pour les versions précédentes.

• Sauvegardez des sous-cles généralement employées ou difficiles à trouver ainsi que des entrées dans une liste de favoris pour un accès plus rapide dans l'avenir.

• Retour à un emplacement dans le registre, parce que l'éditeur de registre enregistre et ouvre le dernier emplacement que vous avez vu.

• Exportez tous ou une partie de contenu du registre vers un fichier qui peut être lu en employant un éditeur de texte comme le Bloc-notes. L'Information contenue dans ces fichiers exportés est logiquement organisée et étiqueté.

Le nom d'une clef est limité à 512 caractères ANSI ou 256 caractères UNICODE (ce langage étant celui pas défaut pour Windows). On peut utiliser tout symbole ASCII autre que (\), (*), et (?). Tous les noms commençant par un (.) sont réservés à XP. Les valeurs de chaque clef ou sous-clef de la base de registre ont toutes un nom, un type ou valeur et des données. Un peu comme le disque dur qui contient des dossiers (clef), des fichiers (valeur) lesquels renferment des données. C'est ainsi que sont nommés les titres des colonnes de l'éditeur de la base de registre. Le nom d'une valeur a les mêmes limites que le nom des clefs. Les différents types de valeurs sont expliqués un peu plus bas. Quant aux données contenues dans les valeurs, il peut s'agit de données nulles ("null" en anglais), vides ("empty" en anglais) ou définies. Une donnée null est exprimée par "valeur non définie" dans l'éditeur de la base de registre. Si la donnée est vide, on trouvera deux guillemets (""). Il existe de nombreux types de données, étant précisé que l'on trouvera majoritairement les types REG_BINARY, REG_DWORD, et REG_SZ. REG_BINARY. Donnée binaire affichée en numération hexadécimale. REG_DWORD. Affichant souvent des valeurs booléennes (0 pour VRAI et 1 pour FAUX), exprimant parfois l'unité de temps en millisecondes (où la donnée "1000" signifiera donc 1 seconde). REG_DWORD_BIG_ENDIAN. Idem que ci-dessus avec l'octet de poids fort stocké en premier en mémoire. Très rare sur une plate-forme i386. REG_DWORD_LITTLE_ENDIAN. L'inverse que ci-dessus, et c'est en fait la présentation classique de REG_DWORD. REG_EXPAND_SZ. Texte contenant une longueur variable. Par exemple, un programme s'appuyant sur une donnée REG_EXPAND_SZ qui contient %USERPROFILE% étendra cette valeur comme étant "C:\Documents and Settings\Pierre\. REG_FULL_RESOURCE_DESCRIPTOR. Liste les ressources utilisées par un pilote ou un périphérique. Voir par exemple ici : HKLM\HARDWARE\DESCRIPTION\System\MultifunctionAdapter\0. REG_LINK. C'est un lien. On ne peut pas en créer. REG_MULTI_SZ. Valeur contenant une liste de données qui sont séparées par une donnée nulle (0x00). La fin de liste est définie par deux caractères nuls. REG_NONE. Valeur sans donnée définie. REG_QWORD. Comme le type type REG_DWORD sauf qu'au lieu d'être sur 32 bits, on est sur 64 bits. Il faut donc XP pour plateformes 64 bits pour rencontrer ce type de données. REG_RESOURCE_REQUIREMENTS_LIST. Listes des resources requises par un périphérique. On ne peut que voir ces ressources, pas les éditer ou les modifier. REG_SZ. Text de taille fixe, type très répandu dans la base de registre. Le terme de ruche désigne un ensemble de clés, de sous-clés et de valeurs qui figure en haut de la hiérarchie du Registre. Par défaut, la plupart des fichiers de ruche (

L E R E G I S T R E


311DEFAULT, SAM, SECURITY, SOFTWARE et SYSTEM ) sont stockés dans un fichier unique et un fichier .log se trouvant dans les dossiers racine_système\System32\Config ou unité_système\Documents and Settings\nom_utilisateur Le Registre contient également certaines informations nécessaires au fonctionnement de Windows 2000 et 2003, telles que des mots de passe cryptés et des données relatives à la performance. Si ces informations étaient librement accessibles à tout utilisateur, la sécurité d'une entreprise serait clairement compromise.

Par ailleurs, la modification ou la suppression par un utilisateur de certaines sections du Registre risqueraient d'entraîner des « plantages » système ou encore de rendre tout amorçage impossible. Il est donc primordial de contrôler très soigneusement l'accès au Registre et d'enregistrer dans le journal d'audit les tentatives d'accès effectuées par les utilisateurs.

Exemples pour optimiser les recherches pour trouver des données le plus rapidement sont : Limiter votre recherche à HKCR quand vous voulez trouver des valeurs liées aux associations de fichier (liens). Pour cette question, faites une recherche progressive (incrémentielle) pour accélérer des choses. Regarder seulement dans les branches HKCU\Software et HKLM\SOFTWARE pour trouver les paramètres de programmes. Et si vous connaissez les noms (marque) du vendeur ainsi que du programme, vous pouvez aller directement à la clé qui contient ses paramètres parce que vous savez que des programmes stocke leurs paramètres dans HKCU ainsi que dans HKLM dans la branche Software\Company\Program\Version. Chercher HKCU si vous savez que vous cherchez des paramètres par-utilisateur, recherchez dans HKLM si vous savez que vous cherchez des paramètres par-machine. Recherche dans la branche HKLM\System si vous êtes à la recherche de pilotes et de services. Une variété d'outils shareware est disponible pour rechercher des informations du registre. Ils possèdent beaucoup plus de fonctions avancés que Regedit et est conçu spécifiquement pour cela. http://www.zdnet.com/downloads ou http://www.tucows.com. Voici quelques adresses :

Registry Crawler 4.0 à http://www.4developers.com Registry Toolkit à http://www.funduc.com Resplendent Registrar à http://www.resplendence.com Registry Detective à http://www.pcmagazine.com

REMARQUE : A la différence de l'audit réalisé sur les fichiers et dossiers, l'audit du Registre est effectué quel que soit le système de fichiers utilisé. Que Windows soit installé sur une partition FAT ou une partition FAT32, l'administrateur sera toujours en mesure de modifier les paramètres de sécurité du Registre.

L E R E G I S T R E


312 ======================================================================== Pour activer l'audit d'une clé spécifique du Registre, sélectionnez cette clé, puis l'Editeur du Registre, regedit.exe, puis la commande Autorisations du menu Edition. Une boîte de dialogue s'affiche. Pour consulter ou définir les options d'audit, cliquez sur Paramètres Avancés. ======================================================================== La boîte de dialogue Paramètres de sécurité avancés apparaît à l'écran. Cliquez sur l’onglet Audit pour consulter les paramètres d'audit en cours dans la boîte de dialogue Audit. ======================================================================== Effectuer une sauvegarde de la base de registre : Cliquez sur " Démarrer " puis " Exécuter ". Tapez : msinfo32.exe puis validez par OK. S'ouvre les " Information système Microsoft ". Cliquez sur " Outils " puis sur " Vérification du registre " et validez encore par OK. Windows vient de sauvegarder votre registre. C' est le genre de manipulation à faire avant toute manœuvre délicate ! ========================================================================

L E R E G I S T R E


313

Exportation et Importation

Exporter le registre crée un fichier texte avec l'extension « .reg » que vous pouvez éditer via n'importe quel éditeur de texte. Ce fichier contient toute l'information exigée pour décrire les sous clés et des valeurs de ces sous clé que vous exportez; en fait, vous pouvez importer un fichier « .reg » de nouveau vers le registre. Jusqu'à ce point, vous avez employé Regedit pour travailler avec le registre. Vous pouvez aussi exporter des sous clés vers un fichier « .reg » et les éditer en employant un éditeur de texte comme le Bloc-notes de Microsoft.

Exportation

Voici comment exporter tous ou une partie du registre : ======================================================================== 1. Lancer Regedit, cliquez sur la sous clé au sommet de la branche que vous voulez exporter vers un fichier « .REG ». 2. Dans le menu du registre, cliquez sur Fichier puis sur Exportation.... 3. Dans le Nom de fichier, taper le nom du fichier dans lequel vous voulez exporter le registre. 4. Dans la boîte d'exportation, choisir un des éléments suivants :

Pour exporter le registre entier, cliquez sur Tous. Pour exporter la sous clé, cliquez sur Branche sélectionnée.

Regedit supporte deux formats pour les fichiers « .REG », la version 4 et la version 5. Les versions précédentes de Regedit supportent seulement la version 4 alors que Windows 2000/2003 supporte l'Unicode pour la Version 5. La version 4 pour les fichiers « .REG » supporte elle des fichiers texte type ANSI. ========================================================================

L E R E G I S T R E


314 Voici un exemple de fichier .reg pour la version 5 : Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Sample] "String"="Jerry Honeycutt" "Binary"=hex:01,02,03,04,05,06,07,08 "DWORD"=dword:00004377 "Expandable String"=hex(2):25,00,55,00,53,00,45,00,52,00,00,00 "MultiString"=hex(7):48,00,65,00,6c,00,6c,00,6f,00,00,00,00 [HKEY_CURRENT_USER\Sample\Subkey]

Voici un exemple de fichier .reg pour la version 4 : REGEDIT4

[HKEY_CURRENT_USER\Sample] "String"="Jerry Honeycutt" "Binary"=hex:01,02,03,04,05,06,07,08 "DWORD"=dword:00004377 "Expandable String"=hex(2):25,55,53,45,52,00 "MultiString"=hex(7):48,65,6c,6c,6f,00,00 [HKEY_CURRENT_USER\Sample\Subkey]

La première ligne d'une version 5 pour le fichier .REG contient toujours "Windows Registry Editor version 5.00" qui identifie le fichier comme un fichier .REG. La version 4 le fichier .REG commence par "REGEDIT4".

Importation

Typiquement dans Windows 2000/2003, vous pouvez importer un fichier .REG de plus d'une manière. Le premier est le plus pratique et vous permet d'importer le fichier sans démarrer Regedit. A partir du menu contextuel cliquer sur Fusionner sur ou, encore plus facile, double cliquez sur le fichier. Si vous employez cette méthode pour importer un fichier .REG tandis que Regedit est ouvert, assurez-vous que vous avez appuyé sur la touche F5 pour rafraîchir l'affichage pour que Regedit reflète ces changements. La deuxième méthode emploie Regedit : ======================================================================== 1. Dans le menu Fichier, cliquez sur Importation. 2. Dans la boîte d'Importation, choisissez le fichier .REG que vous voulez importer vers le registre. 3. Cliquer sur Ouvrir. Regedit affiche un message qui dit "says Information in filename has been successfully entered into the Registry " après importation du fichier .REG. Soyez prudent à ne pas double-cliquer accidentellement sur un fichier .REG. Regedit le fusionnera automatiquement dans le registre. ======================================================================== Les fichiers .REG ressemblent beaucoup aux fichiers classiques .INI et sont faciles à éditer. Ouvrez les fichiers .REG avec le Bloc-notes en cliquant sur édition du menu contextuel. Valeur Existe dans le .reg ? Valeur Existe dans le Registre? Action NON NON AUCUNE NON OUI AUCUNE OUI NON Regedit

ajoute la valeur

OUI OUI Regedit change la valeur

L E R E G I S T R E


315La commande Regedit

La manière suivante vous donne un bref résumé des options en ligne de commande : REGEDIT [/S] nom de fichier REGEDIT /E nom de fichier [sous clé] filename : Chemin et nom du fichier du fichier .REG vous voulez Exporter ou importer. /E : Exporte la sous clé vers le fichier .REG. /S : Importe un fichier .REG sans confirmation de cet opération et sans montrer un message quand est exécuté. Importer un fichier de registre (.reg) vers l’éditeur de registre :

REGEDIT [/L:system] [/R:user] filename1 Comment créer un objet de registre à partir d’un fichier :

REGEDIT [/L:system] [/R:user] /C filename2 Comment exporter le registre (ou une partie du registre):

REGEDIT [/L:system] [/R:user] /E filename3 [regpath1] Comment supprimer une partie du registre:

REGEDIT [/L:system] [/R:user] /D regpath2 /L:system Specifies the location of the system.dat file. Note that there is a colon

between the /L and the parameter system. /R:user Specifies the location of the user.dat file. Note that there is a colon

between the /R and the parameter user. filename1 Specifies the file(s) to import into the registry. /C filename2 Specifies the file to create the registry from. Note that there is a space

between the /C and the parameter filename2. /E filename3 Specifies the file to export the registry to. Note that there is a space

between the /E and the parameter filename3. regpath1 Specifies the starting registry key to export from (defaults to exporting

the entire registry). /D regpath2 Specifies the registry key to delete. Note that there is a space between the

/D and the parameter regpath2. Employez l'option ligne de commande /E pour exporter une sous clé. Omettez la sous clé et Regedit exporte le registre entier. Regedit crée des fichiers .REG version 5, qui sont seulement compatibles avec Windows 2000/2003. Notez que la sous clé doit être un nom entièrement qualifié et il doit commencer par le nom de la clé racine, pas son abréviation. Par exemple, la commande suivante exporte HKCU\CONTROL Panel\desktop : Regedit /E Docfiles.reg "hkey_classes_root\Control Panel\desktop" Pour importer un fichier .REG, spécifiez son nom de fichier sans autres options de ligne de commande : regedit filename. Regedit importe le fichier .REG de la même manière qu'il le ferai par le biais de l'éditeur de registre. Quand vous importez un fichier de REG, Regedit confirme si vous voulez vraiment fusionner le fichier dans le registre. Le message dit "Are you sure you want to add the information in filename to the registry? ". Cliquez sur Oui pour achever l'opération.

L E R E G I S T R E


316 C'est une amélioration qui par rapport aux versions précédentes de Regedit, qui évite les accidents en important aveuglément n'importe quels fichiers .REG sur lequel des utilisateurs ont accidentellement double cliqué. Après qu'il finit la fusion du fichier, Regedit montre un message qui dit "Information in filename has been successfully entered into the registry". Vous pouvez supprimer les deux messages (mode silencieux) en employant l'option de ligne de commande /S. Cette option, qui doit être la première option sur la ligne de commande. Cela vous permet d'utiliser l'éditeur dans des fichiers Batchs.

L E R E G I S T R E


317

Sauvegarder une Ruche Le fichier de ruche est une meilleure solution que des fichiers de .REG pour sauvegarder le registre. Quand vous importez un fichier de ruche contenant une clé, Regedit remplace complètement la clé actuelle et toutes ses sous clés par le contenu du fichier de ruche. Cela signifie que Regedit enlève n'importe quelle valeur que vous avez ajouté depuis la sauvegarde du registre vers le fichier de ruche. C'est une bonne manière de sauvegarder des branches avant de les éditer. Ne confondez pas ce que vous avez juste appris au sujet de l'exportation et de l'importation de fichiers de ruche avec le chargement et le déchargement de ceux-ci. Quand vous importez un fichier de ruche, vous faites des changements aux parties qui sont utilisées par le registre. Quand vous chargez un fichier de ruche, vous créez une nouvelle branche entière que Windows n'emploient pas. Cela ne lit pas ou change ces paramètres, mais ils sont visibles dans Regedit, donc vous pouvez les examiner. La décharge du fichier de ruche enlève juste le fichier du registre. Vous pouvez décharger seulement des fichiers de ruche que vous avez manuellement chargé, pas ceux chargés par Windows.

Tandis que l'importation d'un fichier de ruche est une bonne façon de rétablir une branche entière, alors que charger un fichier de ruche est un bonne méthode de restaurer des paramètres très précis ou juste vérifier une valeur particulière. D'abord chargez le fichier dans le registre : Cliquez sur HKLM ou bien HKU dans Regedit; dans le menu Fichier, cliquer sur charger, taper le nom du fichier de ruche qui contient vos paramètres et cliquer ensuite sur Ouvrir. Regedit vous propose un nom de clé et vous pouvez taper n'importe quel nom arbitraire qui vous aidera à identifier

L E R E G I S T R E


318 la ruche. Vous verrez alors ce fichier de ruche sous la clé racine dans lequel vous l'avez chargé. La clé Backup Desktop Settings est une ruche contenant une copie de secours d'HKCU\CONTROLPanel\Desktop\ que j'ai chargé dans le registre. Outil d'Enregistrement de Console pour Windows (Reg.exe). Cet outil en ligne de commande est inclus dans Windows et fournit la plupart des particularités de Regedit plus d'autres. Vous pouvez l'employer pour sauvegarder des clés vers fichiers de ruche. Vous pouvez aussi l'employer pour restaurer, charger et décharger des fichiers de ruche. Reg.exe offre les fonctions suivantes : · Ajouter · Sauvegarder (seulement dans les versions antérieur à Windows 2000) · Comparer (seulement dans des versions de 2000 et plus ancien) · Copier · Supprimer · Exportation (seulement dans des versions de 2000 et plus ancien) · Importation (seulement dans des versions de 2000 et plus ancien) · Charger · Interroger · Restaurer · Sauvegarder · Décharger · Mise à jour (seulement trouvé dans versions avant Windows 2000) Avec « Reg.exe », sauvegarder un fichier de ruche est la même chose que l'exportation alors que la restauration d'un fichier de ruche est la même chose que l'Importation. La meilleure partie est une des particularités uniques de l'outil : la capacité de copier une clé vers une autre clé, créant une copie rapide de secours dans le registre. Si par exemple, je peux copier HKCU\Control Panel\Desktop\ vers HKCU\CONTROLPanel\JH_Backup\ avec une commande simple.

Quand un périphérique ne fonctionne pas juste , votre meilleure option est bien souvent d'enlever et de redétecter le périphérique. Vous enlevez un périphérique en employant le Gestionnaire de Périphériques.

L E R E G I S T R E


319Redémarrer l'ordinateur et ensuite laisser Windows le redétecter. Si le système d'exploitation ne fait pas automatiquement, utiliser l'assistant pour le détecter. REG ADD RegistryPath=value [data type][\\Machine] C:\ REG ADD HKLM\Software\MyCo\MyApp\Version=1.00 The operation completed successfully. C:\ REG query HKLM\Software\MyCo\MyApp\Version REG_SZ Version 1.00 C:\ REG BACKUP RegistryPath OutputFileName [\\Machine] C:\ REG backup HKLM\Software\MyCo\MyNewApp c:\temp\MyCo The operation completed successfully. C:\ dir c:\temp\myco.* Volume in drive C is (c) - Boot drive Volume Serial Number is CC56-5631 Directory of c:\temp 07/17/99 09:34a 8,192 MyCo 1 File(s) 8,192 bytes 183,407,104 bytes free C:\ REG QUERY Keyname1 Keyname2 [/v valuename or /ve] [/oa | /od | /os | /on] [/S] REG COPY OldPath [\\Machine] Newpath [\\Machine] C:\ REG query HKLM\Software\MyCo\MyApp\ Listing of [Software\MyCo\MyApp\] REG_SZ Version 1.00 C:\ REG copy HKLM\Software\MyCo\MyApp\ HKLM\Software\MyCo\MyNewApp The operation completed successfully. C:\ REG query HKLM\Software\MyCo\MyNewApp Listing of [Software\MyCo\MyNewApp] REG_SZ Version 1.00 C:\ REG DELETE RegistryPath [\\Machine] [/F]\ C:\ REG query HKLM\Software\MyCo\MyApp\Version REG_SZ Version 2.00 C:\ REG delete HKLM\Software\MyCo\MyApp\Version Permanently delete registry value Version (Y/N)? y The operation completed successfully. C:\ REG query HKLM\Software\MyCo\MyApp\Version The system was unable to find the specified registry key. C:\ REG EXPORT keyname filename C:\ REG export HKLM\TEMP\ myreg.exp The operation completed successfully. C:\ REG IMPORT filename C:\ REG import myreg.exp The operation completed successfully. C:\ REG LOAD FileName keyname [\\Machine]\ C:\ REG load c:\temp\myco HKLM\TEMP\ The operation completed successfully. C:\ reg query HKLM\TEMP /s

L E R E G I S T R E


320 Listing of [TEMP\] REG_SZ Version 1.00 C:\ REG QUERY Keyname [/v valuename or /ve] [/s] REG QUERY FileName RegistyPath [\\Machine] C:\ REG backup HKLM\Software\MyCo\MyNewApp c:\temp\MyCo The operation completed successfully. C:\ REG restore c:\temp\myco HKLM\Software\MyCo\MyNewApp Are you sure you want to replace Software\MyCo\MyNewApp (Y/N) y The operation completed successfully. C:\ REG SAVE RegistryPath OutputFileName [\\Machine] C:\ REG save HKLM\Software\MyCo\MyNewApp c:\temp\MyCo.reg The operation completed successfully. C:\ dir c:\temp\myco.reg Volume in drive C is (c) - Boot drive Volume Serial Number is CC56-5631 Directory of c:\temp 07/17/99 09:18a 8,192 MyCo.reg 1 File(s) 8,192 bytes 183,407,104 bytes free C:\ REG UNLOAD keyname [\\Machine] C:\ REG unload HKLM\TEMP\ The operation completed successfully. C:\ reg query HKLM\TEMP /s The system was unable to find the specified registry key. C:\ REG UPDATE RegistryPath=value [\\Machine] C:\ REG query HKLM\Software\MyCo\MyApp\Version REG_SZ Version 1.00 C:\ REG update HKLM\Software\MyCo\MyApp\Version=2.00 The operation completed successfully. C:\ REG query HKLM\Software\MyCo\MyApp\Version REG_SZ Version 2.00 C:\

L E R E G I S T R E


321

Utilisation de "System Restore" ou Restauration du Système Le système de restauration permet de mettre votre ordinateur dans un état précédent sans perdre les informations personnelles récentes, comme les documents, listes d'historiques, favoris, ou courrier électronique. Il contrôle l'ordinateur et beaucoup d'applications et crée reconstituent des points de restauration. Par défaut, les Windows crée des points de restauration quotidiennement et quand des événements significatifs comme l'installation d'une application ou pilotes de périphériques surviennent. Le système de restauration crée différents types de points de restauration : Initial system checkpoints. Le système crée des points de contrôle de système initiaux quand Windows démarre pour la première fois. La restauration à ce point rétablie Windows et ses programmes à leur état immédiatement après installation de celui-ci. System checkpoints. Le système de restauration crée des points de restauration régulièrement, même si le système ne change pas. Par défaut, il crée des points de contrôle système chaque 24 heures. Si vous arrêtez l'ordinateur pendant plus de 24 heures, le Système de Restauration créera un point de contrôle système la prochaine fois vous démarrerez Windows. Installation checkpoints. Le système de Restauration crée des points de contrôle d'installation quand vous installez des programmes qui emploient des technologies d'installation récentes, donc vous pouvez rétablir l'ordinateur à son état avant installation des programmes. Pour changer complètement les changements faits par d'autres programmes rétablissez le point de contrôle le plus récent. Automatic update checkpoints. Le système de Restauration crée un point de restauration avant la mise à jour Windows (Automatic Update ou Windows Update). Manual checkpoints. Le système de Restauration ou un script peut être employé pour créer votre propre point de restauration. Restore operation checkpoints. Le système de Restauration des points de contrôle d'opération chaque fois vous rétablissez un point de contrôle. Vous employez des points de contrôle d'opération pour défaire la restauration si vous n'aimez pas les résultats. Unsigned device driver checkpoints. Le système de Restauration crée un point se restauration quand vous installez un pilote non signé. Si le pilote non signé remet en cause la stabilité de votre ordinateur, vous pouvez rétablir l'ordinateur à son état avant l'installation de ce pilote de périphérique. Backup utility recovery checkpoints. Le système de Restauration crée un point se restauration avant que vous utilisiez Backup (sauvegarde) pour exécuter une restauration. Vous pouvez rétablir l'ordinateur si la restauration laisse votre ordinateur dans un état douteux. Le système de Restauration exige au moins 200 Mo d'espace disque disponible. Si 200 Mo d'espace n'est pas disponible, Windows désactive le Système de Restauration. Par défaut, Windows alloue 12 pour cent du disque dur (ou 400 Mo sur les disques durs qui sont plus petits que 4 GB). Vous pouvez aussi configurer la quantité d'espace disque que le Système consomme. (voir : Panneau de Configuration, puis onglet restauration du système, puis Paramètres….). Voici comment créer un point de restauration

L E R E G I S T R E


322 ======================================================================== 1. Bouton Démarrer.., Tous les Programmes, Accessoires, Outils Système, restauration du système. Ou "Run %SYSTEMROOT%\System32\Restore\rstrui.exe". Choisissez Créé un point de Restauration, puis sur Suivant. 2. Dans la boîte de Description du Point se Restauration, tapez un nom descriptif pour ce point de restauration, puis sur Créer. (le Système ajoute la date et l'heure au nom du point de restauration.)

========================================================================

Pour restaurer un point de contrôle : Démarrer le Système de Restauration en utilisant l'une des trois méthodes, voir la procédure précédente. ======================================================================== 1. Choisissez Restaurer mon ordinateur à une heure précédente et cliquez ensuite sur Suivant. 2. Choisissez le point se restauration que vous voulez reconstituer et ensuite cliquer sur Suivant. Le système de restauration maintient pendant 90 jours les points de contrôle, étant donné s'il y a assez d'espace disque, vous pouvez vous déplacer dans le calendrier pour voir les points de restauration créés pour chaque jour. 3. Cliquez sur une date et cliquez ensuite sur le point se restauration dans la liste. 4. Cliquez sur Suivant de nouveau et Windows redémarre, donc il peut rétablir votre configuration au point de contrôle choisi. ======================================================================== Si parfois votre configuration devient instable, vous ne serez pas capables de démarrer Windows normalement. Cela vous laisse la possibilité de la faire avec le Mode sans Echec. Dans ce mode, vous ne pouvez pas créer des points de restauration, mais vous pouvez rétablir ceux déjà créés. Beaucoup de fichiers et de dossiers que le Système de Restauration utilise sont super caché, donc vous ne les verrez à moins que vous ne spécifiez d'afficher les fichiers système et les fichiers cachés. Dans l'Explorateur de Windows, cliquez sur Outils, puis Options des dossiers, puis onglet Affichage, choisissez Afficher les fichiers et dossiers cachés, puis décocher Masquer les fichiers protégés du système d'exploitation. Les fichiers des différents points de restauration sont dans %SYSTEMROOT%\System32\Restore. À coté d'un fichier de programme rstrui.exe, vous trouverez un autre fichier super-caché "filelist.xml", qui inscrit les fichiers ainsi que les paramètres que le Système de Restauration surveille. Double cliquez sur ce fichier pour voir l'XML dans Internet Explorer. Il exclut quelques fichiers de configuration, comme par exemple Win.ini, System.ini,

L E R E G I S T R E


323Autoexec.bat et Config.sys. Il exclut aussi quelques dossiers, dont la plupart ne sont pas important pour la stabilité du système d'exploitation. Ce qui est intéressant dans cette liste, c'est la liste des extensions de fichiers qu'il inclut. Le système protège tout les .EXE, .DLL, .VBS et les fichiers .VXD. Il contrôle les fichiers de ruche par-utilisateur inscrits dans la clé HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. Les actuels points de restauration sont dans le dossier "System Volume Information" de chaque volume. System Volume Information contient un sous dossier appelé _restoreGUID, où GUID est le GUID de l'ordinateur. Par exemple, mon ordinateur a _restore{4545302B-EA51-4100-A7E2-C7A37551AA83}. Au-dessous de ce dossier il y a un sous dossier pour chacun des points de restauration appelé RPN, où N est un nombre croissant commençant par 1. RPN contient les copies de secours de fichiers changés et supprimés. Le système de Restauration change les noms des fichiers, donc vous ne trouverez pas de fichiers manquants ou de documents. Le sous-dossier appelé \snapshot est dans RPN. Il contient les copies de secours des fichiers de ruche de l'enregistrement. Si vous avez accès à System Volume Information, vous pouvez charger ces fichiers de ruche dans Regedit, les examiner, ou récupérez des paramètres à partir de ceux-ci. Les fichiers de ruche d'enregistrement se trouvent dans \snapshot : _REGISTRY_MACHINE_SAM · _REGISTRY_MACHINE_SECURITY · _REGISTRY_MACHINE_SOFTWARE · _REGISTRY_MACHINE_SYSTEM · _REGISTRY_USER_.DEFAULT · _REGISTRY_USER_NTUSER_SID · _REGISTRY_USER_USRCLASS_SID ·

Le Système de Restauration consomme une peu de ressources de votre ordinateur quand il contrôle le système de fichiers pour vérifier les changements et le mettant hors service cela peut vous permettre de récupérer des ressources.

L E R E G I S T R E


324 ======================================================================== Pour désactiver le service Système de Restauration, Bouton Démarrer, puis Tous les programmes, Accessoires, puis Outils Système, puis Restauration du Système. Choisissez Paramètres de la Restauration Système. Cochez Désactiver la Restauration du Système sur tous les lecteurs. ======================================================================== Deux stratégies sont disponibles pour gérer le Système de Restauration.

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\SystemRestore est la clé où vous trouverez tous les paramètres concernant le Système de Restauration. En général tous les paramètres dans la liste suivante sont de type REG_DWORD : CompressionBurst. Cette valeur spécifie le temps d'inoccupation en secondes utilisé pour la compression. C'est le temps utilisé pour compresser des données après que l'ordinateur devienne inoccupé. Le système de restauration peut compresser des données uniquement pendant le temps indiqué et ensuite il doit s'arrêter et attendre la prochaine fois que l'ordinateur devient inoccupé. DiskPercent and DSMax. Ces valeurs spécifient ensemble combien d'espace disque le Système de Restauration utilisera. Pour les disques durs plus petit que 4 GB, le Système de Restauration utilisera 400 MO, qui est la valeur de défaut de DSMAX. Pour des disques durs plus grand que 4 GB, le Système de Restauration utilisera 12 pour cent, qui est la valeur de défaut de DiskPercent. DSMin. Cette valeur spécifie la quantité { minima d'espace disque libre que le Système de Restauration exige pendant le processus d'installation. Cette valeur spécifie aussi la quantité minima d'espace disque que le Système de Restauration à besoins pour réactiver et reprendre la création de points de restauration après Windows l'est mis hors service en raison d'espace disque faible.· RestoreStatus. Cette valeur indique si le dernier point de restauration à rencontrer des problèmes (0x00), finit avec succès (0x01), ou a été interrompu (0x02). RPGlobalInterval. Cette valeur spécifie le temps en secondes que le Système de Restauration attend entre la création de points de contrôle. La valeur par défaut est de 24 heures, ou 0x15180.

L E R E G I S T R E


325RPLifeInterval. Cette valeur spécifie le temps en secondes que le Système de Restauration garde ces points de restauration avant leurs suppressions de l'ordinateur. La valeur par défaut est 0x76A700, ou 90 jours. RPSessionInterval. Cette valeur indique spécifie le temps en secondes que Système de Restauration attend avant qu'il ne crée des points de contrôle lorsque l'ordinateur est allumé. La valeur par défaut est zéro, mettant hors de service cette particularité. Vous pouvez changer cette valeur en 0xE10 pour créer un point de restauration chaque heure tant que l'ordinateur est allumé. Sur un ordinateur que vous personnalisez souvent, comme un ordinateur de laboratoire, vous pourriez créer un point de restauration chaque heure. ThawInterval. Cette valeur spécifie le temps en secondes que le Système de Restauration attend avant qu'il ne se réactive après que l'espace disque adéquat devienne disponible. Démarrer l'interface utilisateur du Système de Restauration et il sera ré active immédiatement. Cependant, vous pouvez mettre hors de service le Système de Restauration en modifiant la valeur de DisableSR en 0x01 et faisant en sorte donc que cela n'enlève les points de restauration existant comme cela fait quand vous mettez hors de service le Système de Restauration via l'interface utilisateur. Vous pouvez aussi utiliser l'outil de sauvegarde fournit par défaut pour Windows. Pour ouvrir cet utilitaire de sauvegarde, Bouton Démarrer, Tous les Programmes, Accessoires, Outils Système et ensuite Utilitaire de Sauvegarde (ou utiliser la commande "ntbackup.exe"). Cette commande possède un nombre impressionnant d'options possible que vous pourriez utiliser dans un script.

L E R E G I S T R E


326

Sauvegarder le Registre Régulièrement L'utilitaire Backup existe depuis les premières versions de Windows.

Windows 2003 Serveur apporte quelques améliorations significatives. Le premier est la copie fantôme "shadow copy". Une ombre de volume est une copie exacte du contenu d'un disque dur, incluant des fichiers ouverts. Les utilisateurs peuvent continuez à avoir accès aux fichiers sur le disque dur tandis que l'Utilité de Sauvegarde les sauvegarde pendant vers un volume de "copie fantôme". De cette façon, il copie correctement des fichiers qui changent pendant le processus de secours. La copie assure que les programmes peuvent continuer à écrire vers leurs fichiers sur le volume, des fichiers ouverts ne sont pas oubliés de la sauvegarde et la sauvegarde du système ne bloque pas les d'utilisateurs.

Pour ouvrir l'utilitaire de Sauvegarde, cliquer sur Démarrer..., Tous les Programmes, Accessoires, Outils Système et Utilitaire de Sauvegarde. Par la ligne de commande, vous pouvez utiliser "Ntbackup". L'utilitaire de Sauvegarde possède beaucoup d'options que vous pouvez utiliser via des scripts; vous pouvez avoir plus d'information sur ces options avec l'Aide sur l'Utilitaire de Sauvegarde. Pour sauvegarder les fichiers et dossiers d'un ordinateur, les utilisateurs doivent appartenir aux groupes : Administrateurs, Opérateur de Sauvegarde. S'ils ne sont pas dans aucun de ces groupes, ils doivent au moins avoir comme permission "lire" sur chaque fichier et dossier qu'ils veulent sauvegarder. Alternativement, vous pouvez donner la permission de pouvoir restaurer ou sauvegarder les fichiers et répertoires.

Monthly Déplacez la plus récente sauvegarde complète hors site (enregistré sur la bande 5). Weekly Sauvegarder le serveur en entier sur la bande (enregistré sur les bandes de 1 à 4). Daily Sauvegarde les fichiers changés sur bande et marquer ces fichiers comme archivé (enregistré sur les bandes de 6 à 9). Le jeu de sauvegarde inclut l'information système, les dossiers de travail des utilisateurs, des documents, des dossiers de courrier, des profils errants d'utilisateur etc....

L E R E G I S T R E


327Les sauvegardes "Normales" contiennent les fichiers de tout le serveur; les sauvegardes « Incrémentielles » contiennent seulement les fichiers qui ont changé depuis la dernière sauvegarde normale ou incrémentielle. La deuxième partie d'une bonne stratégie est l'automatisation. Vous ne continuerez jamais dans votre plan de sauvegarde si vous ne faites pas d'automatisation. L'utilitaire de Sauvegarde intègre un gestionnaire de tâches. Dans l'Utilité de Sauvegarde, vous ne voyez pas une option qui permette de sauvegarder le registre. En outre, si vous essayez de sauvegarder les fichiers de ruche dans %SYSTEMROOT%\System32\config, vous échouerez. Au lieu de cela, vous sauvegarderez des données systèmes de Windows. Les données d'état du système sont la combinaison des composants de système suivants (des données Active Directory, SYSVOL et plus) :

Registre COM+ Class Registration database Les fichiers de boot, incluant les fichiers systèmes Les fichiers systèmes qui sont protégés par Windows

Pour sauvegarder le registre, vous devez copier toutes les données d'état du système. De même, pour restaurer le registre, vous devez rétablir toutes les données d'état du système. Cela fait l'utilitaire de sauvegarde une manière pas très pratique de restaurer le registre si c'est seulement cela que vous essayez de faire. L'utilitaire de Sauvegarde ne sauvegarde pas et ne restaure pas tout sur l'ordinateur. La clé HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore contient deux sous clés intéressantes. La première sous clé, "FilesNotToBackup", contient une liste de fichiers et de dossiers que l'utilitaire de sauvegarde ne sauvegarde pas. Chaque valeur contient un chemin à ne pas traiter, et ces valeurs contiennent souvent des caractères de remplacement. La deuxième sous clé,

L E R E G I S T R E


328 "KeysNotToRestore", contient une liste de clés à ne pas restaurer dans l'ordinateur. De même, chaque valeur contient une clé à ne pas traiter, et vous voyez des caractères de remplacement dans beaucoup de ces valeurs. L'utilitaire de sauvegarde ne sauvegarde pas les points de restauration du système, parce que \System Volume Information \_restoreGUID\* est dans "FilesNotToBackup". Il ne restaure pas les Informations Plug and Play, parce que CurrentControlSet\Enum\ est dans "KeysNotToRestore". La restauration des données d'état du système à partir d'une sauvegarde est semblable à la sauvegarde des données d'état de système. Si tout ce que vous avez sauvegardé était les données d'état du système, restaurer juste la sauvegarde entièrement. Restaurer les fichiers vers un emplacement supplémentaire. L'utilitaire de Sauvegarde vous dit qu'il ne restaurera pas toutes les données d'état du système vers un emplacement alternatif, mais ne vous inquiéter pas; il rétablit les fichiers de ruche du registre.

Quand vous rétablissez des données d'état du système vers un dossier, les fichiers de ruche sont dans le sous-dossier \Registry. Vous pouvez charger ces fichiers de ruche dans Regedit et copier ensuite les paramètres de ceux-ci vers le registre.

Restaurer les données d'état du système vers un emplacement supplémentaire est le meilleur choix si vous voulez rétablir un nombre limité de fichiers ou de paramètres. Vous ne devez pas toujours restaurer une sauvegarde et en arriver à la copie de secours du registre. Si la sauvegarde la plus récente contient les paramètres que vous voulez restaurer, vous serez heureux de savoir que l'utilitaire de sauvegarde copie les fichiers de ruche vers %SYSTEMROOT%\repair. N'essayez pas de remplacer les fichiers de ruche qui sont dans % SYSTEMROOT%\System32\config avec la copie qui est dans

L E R E G I S T R E


329%SYSTEMROOT %\repair parce que ces fichiers sont actuellement utilisés par Windows. Vous pouvez charger les fichiers de ruche de sauvegarde dans Regedit pour modifier les paramètres, ou vous pouvez démarrer la Console de Récupération et copier ensuite les fichiers de ruche de sauvegarde vers %SYSTEMROOT%\System32\config. L'utilitaire de sauvegarde met les paramètres par ordinateur dans les données d'état du système, mais il ne sauvegarde pas les paramètres par utilisateur à partir des dossiers de profil des utilisateurs. Ces paramètres sont dans chaque dossier de profil dans le fichier "Ntuser.dat". N'oubliez pas les enregistrements de classe par-utilisateur que Windows stocke sont dans %USERPROFILE% \LocalSettings\Application Data\Microsoft\Windows\UsrClass.dat. Vous devez choisir ceux-ci manuellement ou bien en les choisissant dans la Sauvegarde ou bien la Restauration par le biais de l'assistant. Vous pouvez employer le Système de Restauration pour fixer les profils des utilisateurs parce qu'il sauvegarde les paramètres des profils dans la clé HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

Options de Menu Avancé Windows vous offre quelques options pour démarrer l'ordinateur. Le mode Sans Echec est l'exemple le plus commun. Dans le Mode Sans Echec, Windows emploie des paramètres par défaut avec un jeu minimum de pilotes de périphériques exigés pour démarrer le système d'exploitation. Quand vous ne pouvez pas démarrer Windows normalement, vous pouvez normalement démarrer dans le Mode Sans Echec et réparez ensuite le problème ou employez le Système Restauration pour rétablir un point de restauration de contrôle. Vous pouvez aussi enlever des programmes en employant Ajout ou Suppression de Programmes et désinstaller les pilotes qui ne fonctionnent plus.

Pour démarrer en Mode Sans Echec ou un des autres modes, vous devez afficher le menu d'Options Avancé. D'abord redémarrer l'ordinateur. Quand vous voyez le message, "Please select the operating system to start," la presser la touche F8 et choisir ensuite une des options dans le menu : Safe Mode. Démarre Windows en utilisant des fichiers et des pilotes de base (souris, moniteur, clavier, stockage de masse, vidéo de base et services système par défaut sans connexions réseau). Si Windows ne démarrer pas à employer le mode sans échec, vous pourriez devoir employer la Console de Récupération pour·réparer Windows. Safe Mode With Networking. Démarre Windows en utilisant des fichiers et des pilotes de base, comme décrit ci-dessus, mais inclut des connexions réseau. Safe Mode With Command Prompt. Démarrer Windows en utilisant des fichiers et des pilotes de base. Après le "loging" sur le système d'exploitation, vous voyez une invite de commande au lieu de l'interface graphique utilisateur. Enable Boot Logging. Démarrer Windows et journalise tous les pilotes et services que le système d'exploitation essaye de charger. Le fichier de journalisation est

L E R E G I S T R E


330 "Ntbtlog.txt" et il est dans le dossier %SYSTEMROOT%. Safe Mode, Safe Mode with Networking, et Safe Mode with Command Prompt ajoutent à ce journal une liste de tous les pilotes et services que Windows chargé. Le journal est utile pour déterminer quel pilote ou le service empêche Windows de démarrer correctement.

Enable VGA Mode. Démarrer Windows en utilisant un pilote VGA de base. Ce mode est utile après l'installation d'un nouveau pilote pour la carte vidéo quand il fait que Windows ne démarre pas correctement. Windows emploie toujours le pilote VGA de base quand vous démarrer dans le Safe Mode, Safe Mode with Networking, ou Safe Mode with Command Prompt· Last Known Good Configuration. Windows démarre en utilisant des fichiers de ruche et des pilotes que Windows à sauvegarder la dernière fois qu'il s'est arrêté. N'importe quels changements faits depuis le dernier démarrage couronné de succès est perdu. Utiliser la Dernière Bonne Configuration Connue seulement quand le problème est dans la configuration parce qu'il ne résout pas de problèmes causés par des fichiers manquants ou corrompus. Directory Service Restore Mode. Restaure le répertoire "SYSVOL" et le service Active Directory sur un serveur. Cette option est sans effet sur Windows XP. Debugging Mode. Démarre Windows et envoie les informations de mise au point "debugging " un autre ordinateur par un câble série. Si vous êtes incapables de démarrer Windows en utilisant l'interface graphique utilisateur, vous pouvez normalement démarrer en employant le Safe Mode with Command Prompt. Pour lancer le Système de Restauration, et rétablir un de restauration de contrôle, exécuter la commande %SYSTEMROOT% \System32\Restore\rstrui.exe. Si le Mode Sans Echec ne vous permet pas de résoudre le problème, essayez la Console de Récupération. Elle offre des commandes qui vous aide à fixer une variété de problèmes liés au système. Vous pouvez activer ou désactiver des services; formater des disques; lire et écrire des fichiers sur un volume local en NTFS; et exécutez certains nombres d'autres tâches administratives. Vous pouvez copier des fichiers d'une disquette ou CD vers %SYSTEMROOT% pour remplacer fichiers système altérés. La console de Récupération est utile seulement si vous êtes déjà familiers avec la commande MS-DOS et vous devez vous connecter à l'ordinateur comme un administrateur pour pouvoir l'employer.

Console de Récupération Vous Démarrez la Console de Récupération de deux manières : A partir du CD d'installation de Windows. Démarrez l'ordinateur en boutant sur le CD d'installation de Windows et le programme d'installation vous propose une option pour démarrer la Console de Récupération. A partir de la liste du système d'exploitation quand l'ordinateur démarrer. D'abord installez la Console de Récupération sur l'ordinateur en tapant "D:\i386\winnt32.exe /cmdcons" dans la boîte de dialogue Exécuter,

L E R E G I S T R E


331Redémarrer l'ordinateur et choisissez la Console de Récupération dans la liste du systèmes d'exploitation.

La stratégie que vous pouvez activer pour ajouter plus de possibilité à la Console de Réparation est nouvelle pour Windows XP et 2003. The policies Recovery console : Permettez la connexion automatique administrative. Recovery console : Permettre la copie sur disquette et l'accès à tout les lecteurs et dossiers qui sont dans la stratégie administrative pour cet ordinateur dans \Windows Settings\Security Settings\Local Policies\Security Options. Enable Recovery console : Permet la connexion automatique administrative à la Console de Réparation comme l'Administrateur. Set Recovery console : Permet la copie sur disquette et l'accès à tout lecteurs et dossiers (l'accès est limité à la Console de Réparation dossier %SYSTEMROOT% par défaut). Après avoir activer cette stratégie, vous configurez la Console de Réparation en positionnant les variables d'environnements. Taper set variable = true | false à l'invite de commande. Setting Default Description AllowWildCards False Enable wildcards for some commands AllowAllPaths False Allow access to all files and folders AllowRemovableMedia False Allow file copying to removable media NoCopyPrompt False Don't prompt to overwrite existing files

Automated System Recovery Créez des sauvegardes ASR fréquemment comme faisant partie de votre stratégie. C'est le dernier recours pour le rétablissement du système, utile seulement si vous avez épuisé les autres options que j'ai décrit dans ce chapitre, incluant le Mode Sans Echec, la Dernière Bonne Configuration Connue et la Console de Réparation. Le rétablissement du Système Automatisé (ASR) est un processus en deux parties. La première partie doit sauvegarder le contenu de l'ordinateur en utilisant l'assistant ASR, qui est dans l'utilitaire de sauvegarde. L'assistant sauvegarde les données d'état du système, les services et tous les composants de système d'exploitation. Il crée aussi un fichier qui contient l'information sur les données sauvegardées, la configuration des disques et comment restaurer l'ordinateur. ASR ne supporte pas la restauration des fichiers de données, des programmes, etc... Il sauvegarde seulement les fichiers nécessaires au démarrage de l'ordinateur en cas d'échec. Voici comment se préparer pour un Rétablissement du Système Automatisé ======================================================================== Démarrer l'utilitaire de sauvegarde. 1. Cliquez sur Démarrer, puis Tous les Programmes, puis Accessoires, Outils Système et Utilitaire de Sauvegarde. Cliquez sur Menu Avancé. 2. Suivre les instructions affichées. ======================================================================== La deuxième partie du processus est de restaurer l'ordinateur. Vous employez ASR par pression la touche F2 quand le programme d'installation vous y incite. Le rétablissement du Système Automatisé lit la configuration du disque à partir du fichier créé plus tôt et restaure toutes les signatures des disques, tous les volumes et

L E R E G I S T R E


332 disques contenant les fichiers du système d'exploitation. (Il essaye de restaurer tous les disques de l'ordinateur, mais ne peut être capable de le faire avec succès.) le Rétablissement du Système Automatisé installe alors un Windows minimum et ensuite rétablit la sauvegarde créée par l'assistant de Préparation de Rétablissement du Système Automatisé. Le processus est semblable à une réinstallation de Windows manuellement et ensuite restaure votre propre sauvegarde. Cela est automatisé.

L E R E G I S T R E


333

Renommez une icône Vous renommez une icône sans la commande "Renommer" du menu contextuel en éditant son enregistrement de "class". Changez la valeur de "LocalizedString". Vous voyez que l'ID de classe de la Corbeille est {645FF040-5081-101B-9F08-00AA002F954E}. Renommer l'icône en Poubelle aux Ordures, positionner la valeur de la clé HKCR\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}. Puis, cliquer sur le bureau et presse F5 pour rafraîchir son contenu. La valeur "LocalizedString" contient d'habitude quelque chose comme @%SystemRoot%\system32\SHELL32.dll,-8964, ce qui signifie que Windows emploie la chaîne avec l'ID 8964 du fichier Shell32.dll. Remplacez tout cela par le nouveau nom. LocalizedString est une valeur de type REG_EXPAND_SZ, donc vous pouvez employer des variables d'environnement. Par exemple, positionner LocalizedString à "Les déchets de%USERNAME" et l'utilisateur Jerry voit les Déchets de Jerry au-dessous de l'icône. Vous pouvez faire cela pour d'autres icônes aussi. Mon Ordinateur dont la classe ID est {20D04FE0-3AEA-1069-A2D8-08002B30309D}. Changer LocalizedString de HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} à "l’Ordinateur de %USERNAME" et l'utilisateur Jerry voit l'Ordinateur de Jerry. Vous ne voyez pas la valeur LocalizedString dans quelques enregistrements de classe. L'absence de cette valeur indique que Microsoft n'a pas eu l'intention de montrer les noms de ces objets dans l'interface utilisateur. Pour renommer une classe qui ne contient pas cette valeur, change la valeur de défaut d'HKCR\CLSID\ classID ou encore mieux, ajoutez-y la chaîne LocalizedString.

Personnaliser les icônes Chaque enregistrement de classe contient la sous clé "DefaultIcon". La valeur par défaut de cette sous clé est l'icône que Windows emploie quand il affiche des objets basés sur cette classe. Par exemple, la valeur par défaut de "DefaultIcon" dans HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} est l'icône que Windows affiche quand il crée l'objet "Mon Ordinateur" dans l'interface utilisateur, comme Explorateur Windows sur le bureau. Pour employer une icône différente, changez la valeur par défaut de "DefaultIcon". Vous pouvez employer un chemin et le nom du fichier du fichier d'icônes, qui a une extension ".ico", ou vous pouvez employer un chemin de ressource. Un chemin de ressource est ou bien un "Nom, Index" ou bien "Nom, - reSid". Nom est le chemin et le nom du fichier contenant l'icône, qui est d'habitude un fichier ".DLL" ou ".EXE". La plupart des icônes que Windows utilise viennent de %SystemRoot%\System32\Shell32.dll. L'index est le numéro d'index de l'icône, commençant par 0. ReSid est l'identificateur de ressource de l'icône. Les programmeurs assignent la ressource IDs aux ressources qu'ils déposent dans des fichiers de programme, incluant icônes, chaînes, boîtes de dialogue, etc...

Addition d'Icônes au Bureau Windows possède un bureau beaucoup plus sobre que les versions précédentes. Par défaut, vous voyez seulement l'icône de la corbeille. Vous pouvez ajouter les icônes

L E R E G I S T R E


334 typiques, quoique : Sur Propriétés de l'Affichage du bureau, cliquer sur Personnalise le Bureau de l'onglet Bureau. Dans la boîte de dialogue d'Articles de Bureau, choisissez les icônes que vous voulez montrer sur le bureau. Si l'icône que vous voulez ajouter n'est pas un de ces quatre choix, si vous voulez scripter ces changements, ou si vous voulez ajouter des icônes à d'autres dossiers spéciaux, vous devez éditer le registre. Tout les changement sont situés dans la branche SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer.

Changez cette branche dans HKLM pour affecter tous les utilisateurs; changez le dans HKCU pour affecter un utilisateur individuel.

Les sous clés "NameSpace" d'Explorer\ControlPanel, Explorer\Desktop et Explorer\MyComputer déterminent le contenu de chaque dossier correspondant. Vous ajoutez des icônes au Panneau de configuration, en éditant les sous clés correspondantes. Créer une nouvelle sous clé dans "NameSpace" et nommer le du nom de la classe ID de l'objet que vous voulez ajouter. Par exemple, pour ajouter une icône au bureau qui ouvre la boîte de dialogue "Exécuter...", ajoute une nouvelle sous clé appelée {2559A1F3-21D7-11D4-BDAF-00C04F60B9F0} dans Desktop\Namespace. Puis rafraîchissez le bureau en en cliquetant et appuyant sur F5. Vous pouvez ajouter des dossiers à Mon Ordinateur, aussi. Dans ce cas, j'ai ajouté les Outils d'Administration et Connexion Réseau à Mon Ordinateur.

L E R E G I S T R E


335

Folder Subkey Control Panel ControPanel\NameSpace Desktop Desktop\NameSpace My Computer MyComputer\NameSpace My Network Places NetworkNeighborhood\NameSpace Remote Computer RemoteComputer\NameSpace

Dissimulation d'Icônes du Bureau Avec les versions précédentes de Windows, vous enleviez des icônes du bureau en enlevant leurs sous clés de la clé "NameSpace". Cela causés souvent problèmes , particulièrement en enlevant le Voisinage Réseau du bureau. Windows possède une disposition spéciale pour la dissimulation d'icônes du bureau. Vous enlevez des icônes du Bureau ou Mon Ordinateur en éditant dans HKLM ou HKCU la branche SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer. Pour cacher icônes dans Mon Ordinateur, ajoutez une valeur de type REG_DWORD à "HideMyComputerIcons" le nom est la classe ID de l'icône que vous voulez cacher et mettre à 0x01 cette valeur. Rafraîchissez l'Explorateur pour voir vos changements. La dissimulation d'icônes du bureau est un peut plus compliquée. Dans "HideDesktopIcons", vous voyez deux sousclés : "ClassicStartMenu" et "NewStartPanel". La première sous clé détermine les icônes à cacher quand Windows emploie le Menu Démarrer classique. Le deuxième détermine les icônes se cacher quand Windows emploie le nouveau Menu Démarrer. Ajoutez une valeur de type REG_DWORD nommée pour la classe de l'icône ID à l'une ou l'autre sous clé pour le cacher dans cette vue. Mettez la valeur à 0x01. Par exemple, pour cacher la Corbeille quand le nouveau Menu Démarrer est utilisée, crée une valeur de type REG_DWORD appelée {645FF040-5081-101B-9F08-00AA002F954E} dans la sous clé "HideDesktopIcons\NewStartPanel", et ensuite mettre cette valeur à 0x01. Cliquez sur le bureau et pressez ensuite sur F5 pour rafraîchir.

Personnalisation d'Associations de Fichier Les associations de fichier contrôlent les aspects comment Windows traite des fichiers :

Quelles icônes Windows affiche pour un fichier· Quels applications sont lancées quand les utilisateurs double cliquent sur des fichiers· Comment l'Explorateur montre les types particuliers de fichiers·

L E R E G I S T R E


336 Quelles commandes apparaissent sur les menus contextuelles des fichiers· D'autres particularités, comme "InfoTips"·

La valeur par défaut d'une clé d'extension de fichier indique la classe de programme avec laquelle il est associé. La sous clé "shell" de la classe de programme contient des commandes que vous voyez sur le menu de contextuel. Dans la figure ci-dessus, vous voyez les clés que Windows consulte quand vous cliquez avec le bouton droit sur un fichier texte et cliquer ensuite Ouvrir. D'abord le système d'exploitation regarde l'extension du fichier dans HKCR. La valeur par défaut, montrée dans la Figure ci-dessus, indique que la classe de programme s'associé au fichier d'extension ".txt" est "txtfile". Donc le système d'exploitation regarde dans HKCR\TXTFILE pour la sous clé "shell" pour trouver les commandes à ajouter au menu contextuel. Par exemple, comme indiqué dans la Figure ci-dessus, Windows ajoute Ouvrir au menu de raccourci et quand les utilisateurs choisissent Ouvrir, il dirige la commande dans la commande sous clé. La commande dans la commande sous clé est par défaut "program" options "%1 ". Le program est le chemin et le nom du fichier du programme qu'on veut lancer. Vous employez %1 comme un élément de remplacement pour le fichier cible. Windows ajoute le chemin et le nom du fichier cible à la fin de la commande. Une autre personnalisation préférée et celui que j'emploie probablement le plus, me permet de rapidement ouvrir une invite ligne de commande avec comme dossier courant le dossier sur lequel je travaillais. J'ajoute la commande C:\WINDOWS\System32\cmd.exe /k cd "%1" la classes de programme de commande. Alors je clique avec le bouton droit sur un dossier et clique sur "CMD Prompt Here " pour ouvrir une invite de commande sur ce dossier. C'est un temps réel gain de temps. Voici les paramètres à ajouter à HKCR\Directory (répétez ces éléments dans HKCR\DRIVE) : Dans HKCR\DIRECTORY\SHELL, créez la sous clé cmdhere. Dans HKCR\DIRECTORY\SHELL\cmdhere, mettez la valeur par défaut à « CMD Prompt Here », ceci est le texte que vous verrez dans le menu contextuel. Dans HKCR\DIRECTORY\SHELL\cmdhere, créez la sous clé "command". Dans HKCR\Directory\shell\cmdhere\command, mettre C:\Windows\System32\cmd.exe /k cd "%1".

L E R E G I S T R E


337

Démarrer l'Explorateur de Windows dans un Dossier particulier L'idée est d'ouvrir l'Explorateur de Windows sans tout le désordre habituel, aussi vous pouvez vous concentrer sur un simple dossier. Ajoutez la commande explorer.exe /e, /root, /idlist, %I au programme de dossier de classe shell. Cliquez avec le bouton droit dans n'importe quel dossier, choisissez la commande que vous avez ajoutée. L'Explorateur de Windows s'ouvre avec ce dossier comme racine. Voici paramètres que vous ajoutez au dossier de programme class : Dans HKCR\FOLDER\SHELL, créez la sous clé fromhere. · Dans HKCR\FOLDER\SHELL\FROMHERE, faites en la valeur par défaut de l'Explorer à partir d'ici, c'est le texte qui apparaîtra dans le menu contextuel. Dans HKCR\FOLDER\SHELL\FROMHERE, créez la sous clé command. Dans HKCR\FOLDER\SHELL\FROMHERE\COMMAND, mettez la valeur par défaut à explorer.exe /e, /root, /idlist, %I. Configuration du Contenu du Menu de Démarrage Si vous voulez modifier certains paramètres, vous devez savoir où les trouver dans le registre. Pour cela, aller dans HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Le tableau ci-dessous décrit les valeurs que vous pouvez ajouter à cette clé s'ils ne sont pas déjà le présent. Vous voyez deux sections dans ce tableau, la première section, "Class Start Menu", contient les valeurs qui affectent de Menu Démarrer classique. Le deuxième, "New Start Menu", contient les valeurs qui affectent le nouveau Menu de Démarrer, mieux connu comme Menu Démarrer. La plupart de ces paramètres sont de type REG_DWORD, mais certains sont de type REG_SZ. La valeur des données possibles pour l'un des paramètres seront 0x01, 0x02, etc, de type REG_DWORD. Si les données possibles incluent NO ou YES, c'est une valeur de type REG_SZ. Classic Start Menu Name Data StartMenuAdminTools NO—Hide Administrative Tools

YES —Display Administrative Tools CascadeControlPanel NO—Display Control Panel as link

YES —Display Control Panel as menu CascadeMyDocuments NO—Display My Documents as link

YES —Display My Documents as menu CascadeMyPictures NO—Display My Pictures as link

YES —Display My Pictures as menu CascadePrinters NO—Display Printers as link

YES—Display Printers as menu IntelliMenus 0x00—Don't use personalized menus

0x01—Use Personalized Menus CascadeNetworkConnections NO—Display Network Connections as link

YES—Display Network Connections as menu Start_LargeMFUIcons 0x00—Show small icons in Start menu

0x01 —Show large icons in Start menu StartMenuChange 0x00—Disable dragging and dropping

0x01—Enable dragging and dropping StartMenuFavorites 0x00—Hide Favorites

0x01—Display Favorites StartMenuLogoff 0x00—Hide Log Off

L E R E G I S T R E


338 0x01—Display Log Off

StartMenuRun 0x00—Hide Run command 0x01—Display Run command

StartMenuScrollPrograms NO—Don't scroll Programs menu YES—Scroll Programs menu

New Start Menu Start_ShowControlPanel 0x00 —Hide Control Panel

0x01 —Show Control Panel as link 0x02 —Show Control Panel as menu

Start_EnableDragDrop 0x00 —Disable dragging and dropping 0x01 —Enable dragging and dropping

StartMenuFavorites 0x00 —Hide Favorites menu 0x01 —Show the Favorites menu

Start_ShowMyComputer 0x00 —Hide My Computer 0x01 —Show My Computer as link 0x02 —Show My Computer as menu

Start_ShowMyDocs 0x00 —Hide My Documents 0x01 —Show My Documents as link 0x02 —Show My Documents as menu

Start_ShowMyMusic 0x00 —Hide My Music 0x01 —Show My Music as link 0x02 —Show My Music as menu

Start_ShowMyPics 0x00 —Hide My Pictures 0x01 —Show My Pictures as link 0x02 —Show My Pictures as menu

Start_ShowNetConn 0x00 —Hide Network Connections 0x01 —Show Network Connections as link 0x02 —Show Network Connections as menu

Start_AdminToolsTemp 0x00 —Hide Administrative Tools 0x01 —Show on All Programs menu 0x02 —Show on All Programs menu and Start menu

Start_ShowHelp 0x00 —Hide Help and Support 0x01 —Show Help and Support

Start_ShowNetPlaces 0x00 —Hide My Network Places 0x01 —Show My Network Places

Start_ShowOEMLink 0x00 —Hide Manufacturer Link 0x01 —Show Manufacturer Link

Start_ShowPrinters 0x00 —Hide Printers and Faxes 0x01 —Show Printers and Faxes

Start_ShowRun 0x00 —Hide Run command 0x01 —Show Run command

Start_ShowSearch 0x00 —Hide Search command 0x01 —Show Search command

Start_ScrollPrograms 0x00 —Don't scroll Programs menu 0x01 —Scroll Programs menu

Paramétrer la Liste des Programmes Fréquemment Employée Chaque fois vous lancer un programme, Windows l'ajoute à la liste des programmes fréquemment employés que vous voyez dans le Menu Démarrer. Vous pourriez ne pas vouloir que chaque programme que vous lancez apparaissent dans cette liste. Par exemple, je ne veux pas voir le Bloc-notes dans cette liste, je ne veux non plus voir l'Invite de Commande. Vous pouvez choisir quels programmes font et ne font pas partie de cette liste en personnalisant HKCR\Applications.

L E R E G I S T R E


339

HKCR\Applications contient des sous clés pour une variété de programmes que Windows connaît. Le nom de chaque sous clé est le nom du fichier de programme. Ainsi, vous voyez la sous clé "notepad.exe" et "explorer.exe" dans HKCR\APPLICATIONS. Si vous voulez personnaliser cela pour un autre programme, ajoutez sa sous clé à cette clé. Par exemple, pour personnaliser si l'Invite de Commande apparaît dans la liste des programmes fréquemment employée, ajoutez la sous clé "cmd.exe" à HKCR\APPLICATIONS. Alors, que pour empêcher le programme de s'afficher dans cette liste, ajoutez la valeur "NoStartPage" de type REG_SZ.

L E R E G I S T R E


340

Effacer la liste d'Historique Pour que vous puissiez rapidement ouvrir des documents et des programmes que vous employez fréquemment, Windows maintient une listes d'historique. Ceux-ci sont "MRU" ou "most recently used lists". Le tableau ci-dessous vous expose où dans le registre le système d'exploitation stocke ces listes. Purger ces listes en enlevant les clés associées. Après l'enlèvement de la clé "RecentDocs", assurez-vous que vous avez supprimé le contenu de %USERPROFILE %\Recent, aussi. Location Subkey Internet Explorer's HKCU\Software\Microsoft\Internet Explorer\TypedURLs address bar Run dialog box HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Documents menu HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs Common dialog HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32 boxes \LastVisitedMRU Search Assistant HKCU\Software\Microsoft\Search Assistant\ACMru

5001. Internet 5603. Files and folders 5604. Pictures, music, and video 5647. Printers, computers, and people

La clé "ACMru" contient une variété de sous clés, selon les types d'éléments que vous avez cherché. Par exemple, si vous cherchez des fichiers et des dossiers, vous verrez la sous clé 5603, qui contient une liste de chaînes de recherche différentes. Si vous recherchez dans l'Internet en employant l'assistant de Recherche, vous verrez la sous clé 5001. Vous pouvez enlever chaque sous clé individuellement pour purger un type spécifique de la liste d'historique en question, ou peut enlever la clé "ACMru" pour purger tous les éléments de la liste d'historique. Remarque : Pour vider les documents récents Lancer l’éditeur Regedit, puis localiser la clé : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, puis créer une nouvelle valeur DWORD « ClearRecentDocsOnExit, et lui appliquer la valeur de 1.

Quelles applications s’exécutent au démarrage de Windows ? Les sous clés "Run" et "RunOnce"sont utiles pour exécuter des programmes automatiquement quand l'ordinateur démarre ou quand les utilisateurs se connectent à l'ordinateur. Les sous clés "Run" et "RunOnce" sont dans deux endroit différents. D'abord vous voyez ces sous clés dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion. Les commandes ici se lance quand n'importe quel utilisateur se connecte sur l'ordinateur. Vous pouvez aussi voir ces sous clé dans HKCU\Software\Microsoft\Windows\CurrentVersion. Les commandes dans cette branche s'exécutent après qu'un utilisateur spécifique se connecte à Windows. Aussi,

L E R E G I S T R E


341Windows exécute les commandes dans "Run" différemment des commandes dans "RunOnce". Run. Windows exécute les commandes dans cette sous clé chaque fois qu'un utilisateur se connecter à l'ordinateur. RunOnce. Windows exécute les commandes dans cette sous clé une fois et enlève ensuite la clé de RunOnce après que la commande soit exécutée avec succès. 1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup 4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 5) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 6) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 7) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce Les commandes 4 et 5 sont exécutées pendant le processus d’initialisation de Windows. Les clés 1 - 2 - 6 et 7 sont exécutées lors de chaque connexion d’un utilisateur. La clé 3 correspond à des applications exécutées au démarrage de Windows ou après la désinstallation d’un programme. Evidemment, aucune de ces clés ne sont traitée lorsque Windows démarre en mode sans échec. Pour ajouter une commande à Run ou RunOnce dans HKLM ou HKCU, créez une valeur de type REG_SZ qui a un nom arbitraire mais descriptif. Mettez la ligne de commande que vous voulez exécuter pour cette nouvelle valeur. Par exemple, la clé Run dans HKCU a la valeur MSMSGS par défaut et cette valeur contient « C:\Program Files\Messenge \msmsgs.exe" /background, » qui exécute Windows Messenger chaque fois que l'utilisateur se connecte à Windows.

"Logging" Automatiquement Quelques utilisateurs n'aiment pas devoir se connecter à Windows. Quand ils redémarre l'ordinateur, ils veulent démarrer complètement jusqu'à avoir accès au bureau sans arrêter sans voir la boîte de dialogue de connexion de Windows.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon est où vous configurez le capacité de se connecter à Windows automatiquement. D'abord vous mettez la valeur REG_SZ de AutoAdminLogon à 1, ce qui active cette particularité. Rappelez-vous juste que c'est une valeur de type REG_SZ et pas REG_DWORD. Ensuite mettez les valeurs DefaultUserName et DefaultPassword le nom d'utilisateur et le mot de passe que vous voulez employer pour vous connecter au système d'exploitation. Tous les deux sont des valeurs de type REG_SZ. Pour finir mettez la valeur REG_SZ de DefaultDomainName au nom du domaine qui authentifie votre nom et mot de passe.

L E R E G I S T R E


342 Name Type Data HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon AutoAdminLogon REG_SZ 0 | 1 DefaultUserName REG_SZ Name DefaultDomainName REG_SZ Domain DefaultPassword REG_SZ Password

Changement d'Information d'Utilisateur C'est l'information que vous avez fourni quand vous avez installé Windows. Vous pouvez le changer. Les deux valeurs suivantes sont dans la clé : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion :

RegisteredOrganization. Le nom de l'organisation RegisteredOwner. Le nom de l'utilisateur

Tous les deux sont des valeurs de type REG_SZ. Le changement de l'organisation enregistrée et des noms du propriétaire n'affecte pas les applications installées.

AutoPlay Setting Name Type Data HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Enable Autoplay for CD and DVD drives NoDriveTypeAutoRun REG_DWORD Bit 0x20 Enable Autoplay for removable drives NoDriveTypeAutoRun REG_DWORD Bit 0x04

Panneau de configuration La catégorie Panneau de configuration vous permet de cacher des icônes spécifiques dans le Panneau de configuration. Créez une valeur de type REG_SZ dans la clé "HKCU\Control Panel\don't load" et nommer la en employant le nom du fichier .CPL que vous voulez cacher. Mettez cette valeur à Yes pour montrer l'icône ou No pour cacher l'icône. Le tableau ci-dessous montre les noms de fichier des .CPL qui viennent avec Windows. Par exemple, pour cacher l'icône Options d'Internet, ajoutez la valeur de type REG_SZ de Inetcpl.cpl à don't load et mettre sa valeur sur No. File name Description Access.cpl Accessibility Options Appwiz.cpl Add Or Remove Programs Desk.cpl Display Properties Hdwwiz.cpl Add Hardware Wizard Inetcpl.cpl Internet Properties Intl.cpl Regional and Language Options Joy.cpl Game Controllers Main.cpl Mouse Properties and Keyboard Properties Mmsys.cpl Sounds and Audio Devices Properties Nusrmgr.cpl User Accounts Nwc.cpl Client Service for NetWare Odbccp32.cpl ODBC Data Source Administrator Powercfg.cpl Power Option Properties Sysdm.cpl System Properties Telephon.cpl Phone and Modem Options Timedate.cpl Date and Time Properties

L E R E G I S T R E


343

Affichage de vos Favoris Avec Windows, afficher la liste des Favoris d'Internet Explorer dans le Menu Démarrer vous permet de rapidement d'afficher un article de favori d'Internet Explorer. Ouvrez simplement les Propriétés de la Barre de tâche, et à l'étiquette Avanced, activer l'affichage des Favoris. Faire le même changement dans le registre, suivez ces étapes : 1. À une invite de commande, créez un nouveau dossier (utiliser la commande MD) nommé WWW dans l'emplacement suivant : "%UserProfile %\Start Menu\WWW". Assurez-vous de mettre "" dans cette commande parce que c'est un long nom de fichier. 2. Copier tous vos favoris, typiquement dans %UserProfile %\Favorites, à votre nouveau dossier %UserProfile %\Start Menu\WWW. 3. Dans le registre, allez à HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\User Shell Folders. 4. Éditer la valeurd'entrée des Favoris, changeant sa valeur à "%UserProfile%\StartMenu\WWW". Cela forcera Internet Explorer à employer votre nouvelle liste d'adresses de Favoris au lieu de vos Favoris originaux.

MenuShowDelay L'entrée MenuShowDelay contrôle combien de temps Windows s'attardera avant l'affichage en cascade de menu démarrer. HKCU\Control Panel\Desktop Entrée de valeur : MenuShowDelay Type : REG_SZ Valeur Typique : 400 (0 à 65534 ms)

Verrouiler le pavé Numérique (InitialKeyboardIndicators) L'entrée InitialKeyboardIndicators est employée pour activer le pavé numérique, comme la touche. Entrée de valeur : InitialKeyboardIndicators Type : REG_SZ Valeur typique : 0 Dans le registre, changez les paramètres de l'utilisateur dans HKEY_USERS \ <SID> \Control Panel\Keyboard ou bien dans HKEY_CURRENT_USER\Control Panel\Keyboard. Changez l'entrée InitialKeyboardIndicators avec la valeur 2. Cela forcera la touche "Num" à s'activer.

Filename Completion Si vous êtes un administrateur Unix ou programmeur, vous aimerez ceci. Beaucoup de shell Unix permettent de rapidement achever des noms de fichier dans le shell en employant la touche de tabulation. Exemple, si vous tapez "ls-l aar" puis la touche de tabulation, le shell cherche des fichiers dont les noms commencent par "aar". S'il trouve un, il complète automatiquement. HKCU\Software\Microsoft\Command Processor\CompletionChar. Valeur de type : REG_DWORD

L E R E G I S T R E


344 Valeur à 0x09.

LameButtonEnabled L'entrée LameButtonEnabled indique si les commentaires? hyper lien sont affichés dans la barre de titre de chaque fenêtre. Il est dans la sous clé HKEY_USERS \ <SID> \Control Panel\Desktop. Valeur : LameButtonEnabled Type : REG_SZ Valeur typique : 0 La mise de cette entrée à 1 permet cette fonctionnalité. Une valeur 0 met hors de service l'exposition de "Commentaires ?" hyperlien dans une fenêtre. L'entrée LameButtonText spécifie le texte dans l'hyper lien affiché dans la barre de titre de chaque fenêtre quand LameButtonEnabled est activé. Il est dans la sous clé HKEY_USERS \ <SID> \Control Panel\Desktop. Valeur : LameButtonText Type : REG_SZ Valeur typique : Commentaires ? Une chaîne vide supprime l'affichage de n'importe quel texte. La valeur du texte n'affecte pas la fonctionnalité, ou l'action prise par Windows, quand cet hyper lien est choisi.

InsertMode Une invite de commande permet d'utiliser le mode insertion / recopie. (ce mode par défaut peut être changé en appuyant sur la touche du clavier "Insertion"). Valeur : InsertMode Type : REG_DWORD Valeur typique : 1 La plupart des utilisateurs active le mode insertion, avec cette valeur à 1 (c'est ma préférence).

CachedLogonsCount Windows XP/2000/2003 est capable de mettre en cache de 0 à 50 connexions précédentes (logon) couronnées de succès localement. C'est typiquement fait sur des systèmes où un contrôleur de domaine est employé pour valider des connexions et la sécurité. Parfois (il arrive à tous d'entre nous) qu'un contrôleur de domaine ne soit pas disponible mais cela reste toujours possible pour l'utilisateur de provisoirement se connecter, employant les informations de connexion stockées localement. Notez le nombre de connexions par défauts en cache est de 10; cependant, il peut être mis à n'importe quelle valeur entre 0 et 50. Quand le contrôleur de domaine est indisponible l'utilisateur peut être enregistré en utilisation le cache, le message suivant apparaît : “A domain controller for your domain could not be contacted. You have been logged on using cached account information”.

L E R E G I S T R E


345 CachedLogonsCount HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Data type Range Default valueREG_SZ 0 - 50 entries (decimal) 10 Si le cache a été mis hors service ou l'information de connexion d'un utilisateur n'est pas dans le cache, ce message est affiché : "The system cannot log you on now because the domain <name of domain> is not available". Le sous clé de Cache (qui n'est pas dans Windows XP Édition Domestique) garde 11 entrées de cache. Une de ces entrées est "NL$CONTROL", qui contient l'entrée de l'utilisateur actuellement enregistré mis en cache. Les autres entrées dans la clé de Cache sont nommées NL$1 jusqu'à NL$10. Chaque entrée contient l'information de connexion pour une des 10 précédentes personnes qui se sont enregistrées sur l'ordinateur.

Notez que les 10 utilisateurs précédents "enregistré" sont des utilisateurs uniques. L'entrée qui n'a pas été employée contiendra des zéros. Info : Si votre application est inscrite dans la liste des Programmes ajouter / supprimer (mais il ne supporte pas vraiment la suppression), regarder ensuite dans l'emplacement du registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall. Supprimer ensuite le nom des programmes que vous désirez ne plus avoir sur cette machine. Changer votre chemin Source d’Installation Vous pouvez modifier l'objet de données de chemin source trouvé dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Sourcepath. Contrôler aussi pour voir si SourcePath est trouvé dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\Sourcepath et changer cette occurrence aussi. (Il n'y a aucun besoin d'ajouter cet objet s'il n'est pas le présent dans votre registre.) Par exemple, supposez que vous avez installé l'OS par défaut depuis le CD-ROM D:, alors que plus tard vous avez changé la lettre du CD-ROM en S:. Vous modifieriez SourcePath de D:\ à S:\. bien sûr, alors mettez simplement à jour SourcePath pour refléter l'emplacement qualifié pour les fichiers source.

gefi support wserver2003

Documents

famille windows serveur

schma active directory

rapport windows nt4

niveaux fonctionnels

matieres table

support de cours

objectifs du cours

licensing version serveur