La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Administration d'un serveur Windows 200x Partie 1

Présentations similaires


Présentation au sujet: "Administration d'un serveur Windows 200x Partie 1"— Transcription de la présentation:

1 Administration d'un serveur Windows 200x Partie 1
Yonel GRUSSON

2 Sommaire Première Partie Les outils : Les consoles d'administration
Niveaux fonctionnels L'Active Directory Création d'un compte d'utilisateur Création d'une unité organisationnelle Déplacement d'un objet dans l'Active Directory Yonel GRUSSON

3 Sommaire L'Active Directory Les Groupes
Type, étendue et contenu des groupes Les groupes prédéfinis Création d'un groupe Ajout dans un groupe Notion de SID Yonel GRUSSON

4 Sommaire Le serveur de fichiers Partage d'un dossier
Mise en place des permissions Publication d'un partage dans l'active directory Utilisation d'un partage (connexion d'un lecteur réseau) Yonel GRUSSON

5 Sommaire Seconde Partie Stratégies de groupe Les Quotas
Distributed File System (DFS) Les relations d'approbation Service Terminal Server : Le bureau à distance Yonel GRUSSON

6 Les consoles d'administration
L'administration de Windows 2000 Server s'effectue à l'aide de consoles. A l'installation des consoles sont pré-créées (msc pour MicroSoft Console) Yonel GRUSSON

7 Les consoles d'administration
On retrouve certaines de ces consoles dans les outils d'administration du menu démarrer. Yonel GRUSSON

8 Les consoles d'administration
Exécuter "compmgmt.msc" ou choisir l'option "gestion de l'ordinateur" permet d'obtenir la console suivante : Yonel GRUSSON

9 Les consoles d'administration
Contrairement à Windows 2000, les fichiers *.msc sous Windows 2003 sont des fichiers XML : Yonel GRUSSON

10 Les consoles d'administration
Il est possible de créer des consoles personnalisées à partir d'un cadre vide : Yonel GRUSSON

11 Les consoles d'administration
Après avoir renommé la racine de la console ….. Il reste à ajouter des composants logiciels dits enfichables (msc) Yonel GRUSSON

12 Les consoles d'administration
Yonel GRUSSON

13 Les consoles d'administration
Avec certains composants, il est possible de viser une autre machine : Yonel GRUSSON

14 Les consoles d'administration
Résultat de la création Yonel GRUSSON

15 Les consoles d'administration
Avant d'enregistrer la console il est possible de préciser des options : Chaque mode d'utilisation est expliqué dans la zone "description" Yonel GRUSSON

16 Les consoles d'administration
Enregistrement de la console : Yonel GRUSSON

17 Les consoles d'administration
Exécution Ces consoles personnalisées (fichiers "msc") peuvent être transmises à des utilisateurs. Yonel GRUSSON

18 Niveaux fonctionnels Mode natif, mode mixte
Un serveur Windows 2000 peut fonctionner selon 2 modes : natif ou mixte. Le mode par défaut est le mode mixte. Le fonctionnement d'un domaine en mode mixte permet le fonctionnement de serveurs 2000 et NT Yonel GRUSSON

19 Niveaux fonctionnels Le fonctionnement d'un domaine en mode natif permet d'utiliser des fonctionnalités de l'Active Directory qui ne sont valables qu'en mode natif (imbrication de groupes, création de groupe universel…) Yonel GRUSSON

20 Niveaux fonctionnels Yonel GRUSSON

21 Niveaux fonctionnels Windows 2003 Server définit quant à lui définit 2 niveaux fonctionnels : Niveau fonctionnel de domaine. Les fonctionnalités de domaine affecteront le domaine entier et seulement le domaine. Yonel GRUSSON

22 Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge
Niveaux fonctionnels Niveau fonctionnel de domaine : Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge Windows 2000 mixte (par défaut) Windows NT 4.0 Windows 2000 Server Windows 2003 Server Windows 2000 mode natif Windows 2003 Server provisoire Yonel GRUSSON

23 Niveaux fonctionnels Windows 2003 Server définit quant à lui définit 2 niveaux fonctionnels : Niveau fonctionnel de forêt. Les fonctionnalités de forêt affecteront tous les domaines de la forêt en place. Yonel GRUSSON

24 Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge
Niveaux fonctionnels Niveau fonctionnel de forêt : Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge Windows 2000 (par défaut) Windows NT 4.0 Windows 2000 Server Windows 2003 Server Windows 2003 Server provisoire Yonel GRUSSON

25 Niveaux fonctionnels État initial Yonel GRUSSON

26 Niveaux fonctionnels Ici pas d'option "Augmenter le niveau fonctionnel de forêt" car il n'existe qu'un seul domaine. Yonel GRUSSON

27 Niveaux fonctionnels État final Yonel GRUSSON

28 L'Active Directory Ou Yonel GRUSSON

29 L'Active Directory Les Unités organisationnelles à la création de l'AD sont : Builtin (Windows 2000 Server) Yonel GRUSSON

30 L'Active Directory Les Unités organisationnelles à la création de l'AD sont : Builtin (Windows 2003 Server) Yonel GRUSSON

31 L'Active Directory L'UO Builtin contient les groupes prédéfinis dont les droits s'étendent sur le domaine local (groupes locaux). Les groupes principaux par défaut sont (cf. définitions plus loin) : Opérateurs de compte Administrateurs Opérateurs de sauvegarde Invités Opérateurs d'impression Duplicateurs Opérateurs de serveur Utilisateurs Yonel GRUSSON

32 L'Active Directory Les différentes Unités organisationnelles :
Computers Contient les comptes d'ordinateurs du domaine. Domain Controlers Contient les comptes d'ordinateurs des contrôleurs (serveurs) du domaine. Yonel GRUSSON

33 L'Active Directory Les différentes Unités organisationnelles : Users
Yonel GRUSSON

34 L'Active Directory L'Unité Organisationnelle "Users" contient les utilisateurs du domaine et les groupes globaux (quelques groupes locaux). Yonel GRUSSON

35 L'Active Directory Les comptes utilisateurs prédéfinis sont :
Administrateur qui a une étendue de pouvoir maximale. Il est recommandé de renommé ce compte Invité qui obtient un minimum de droit. Ce compte est créé désactivé et doit le rester ; son activation constitue un faille de sécurité. Yonel GRUSSON

36 L'Active Directory La réplication
La réplication est un concept important dans l'architecture des réseau Microsoft. Elle consiste à synchroniser et actualiser les annuaires à travers l'ensemble du réseau. Elle est multimaître, aucun contrôleur de domaine ne fait autorité. Yonel GRUSSON

37 L'Active Directory La réplication
Une modification sur un contrôleur quelconque est répercutée sur les autres contrôleurs soit de la forêt, soit du domaine (les notions de contrôleur principal –PDC- et secondaire –BDC- n'existent plus). Par contre, il n'existe qu'un seul gestionnaire du schéma de l'active directory dans une forêt. Yonel GRUSSON

38 L'Active Directory La réplication
La réplication Active Directory se fait sur un site. Un site est un ensemble de ou de sous-réseaux connectés entre eux avec une liaison disposant d’une bande passante minimum. Souvent, un site correspond donc à un réseau Ethernet par exemple. La notion de site est purement matérielle. Un domaine peut s’étendre sur plusieurs sites, mais la réplication, par défaut, ne se fera pas entre ces sites. Pour qu’elle aie lieu, il faut mettre en place un lien explicite dit "Inter-Site". Yonel GRUSSON

39 L'Active Directory Sites et domaines (exemple) Site Principal
Domaine X Domaine Y R2 R1 R3 Serveur 2 Serveur B Serveur A Serveur 1 Site Principal Site Auxiliaire Réseau Ethernet Wan Yonel GRUSSON

40 Création d'un compte utilisateur
Une fois l'Active Directory installée la gestion des utilisateurs et des groupes ne peut se faire que par son intermédiaire. Sous Windows 2003 Server, cette console est supprimée Yonel GRUSSON

41 Création d'un compte utilisateur
La console de gestion de l'Active Directory Yonel GRUSSON

42 Création d'un compte utilisateur
Création d'un utilisateur (attributs obligatoires) Yonel GRUSSON

43 Création d'un compte utilisateur
Création d'un utilisateur (attributs obligatoires) Yonel GRUSSON

44 Création d'un compte utilisateur
Création d'un utilisateur (résultat) Yonel GRUSSON

45 Création d'un compte utilisateur
Compléter la description de l'utilisateur Yonel GRUSSON

46 Création d'un compte utilisateur
Compléter la description de l'utilisateur Yonel GRUSSON

47 Création d'un compte utilisateur
Compléter la description de l'utilisateur Par défaut le chemin des scripts est : %SYSTEMROOT%\SYSVOL\ <Nom_Domain>\Scripts Yonel GRUSSON

48 Création d'un compte utilisateur
Compléter la description de l'utilisateur Ajouter (ou supprimer) cet utilisateur à un groupe Yonel GRUSSON

49 Création d'un compte utilisateur
Les onglets : Environnement Sessions Contrôle distant Profil de services de Terminal Server concernent le service Terminal Server (non étudié ici). Yonel GRUSSON

50 Création d'une U.O Une Unité Organisationnelle permettra à l'administrateur d'organiser logiquement les différents objets de son domaine. Une Unité Organisationnelle pourra contenir des utilisateurs, des imprimantes, des partages et d'autres unités organisationnelles Attention : Ne pas confondre U.O et Groupe Yonel GRUSSON

51 Création d'une U.O Yonel GRUSSON

52 Création d'une U.O Yonel GRUSSON

53 Création d'une U.O Yonel GRUSSON

54 Déplacement d'un objet Il est toujours possible de déplacer un objet d'un Unité Oorganisationnelle dans une autre. Yonel GRUSSON

55 Les Groupes Les types de groupes sont :
Les groupes de sécurité seront utilisés pour gérer la sécurité des ressources du ou des domaines. Les groupes de distribution seront utilisés par des applications comme par exemple "Exchange 2000" qui s'appuient sur l'active directory. Yonel GRUSSON

56 Les Groupes Les étendues sont :
Groupes Locaux et Globaux pour organiser les comptes d'utilisateurs et appliquer des permissions Groupes Universels pour regrouper des utilisateurs de n'importe quel domaine et leur assigner des permissions dans n'importe quel domaine. Yonel GRUSSON

57 Les Groupes En mode mixte (compatible NT) :
Le groupe local peut contenir des utilisateurs et des groupes globaux de n'importe quel domaine. Le groupe global peut contenir des utilisateurs du même domaine que le sien. Le groupe universel n'existe pas dans ce mode de fonctionnement. Yonel GRUSSON

58 Les Groupes En mode Windows 2000 natif et 2003 :
Le groupe local peut contenir des utilisateurs, des groupes globaux et universels de n'importe quel domaine ainsi que des groupes locaux de son propre domaine. Le groupe global peut contenir des utilisateurs et des groupes globaux de son domaine. Yonel GRUSSON

59 Les Groupes En mode Windows 2000 natif et 2003 :
Le groupe universel peut contenir des utilisateurs des groupes globaux et universels d'un domaine quelconque de la forêt. Yonel GRUSSON

60 Les Groupes Importance du choix
Dans une architecture monodomaine (éventuellement multisite) l'impact du choix des groupes est peu important. Dans une architecture multidomaine (presque toujours multisite) : Les groupes locaux restent toujours sur un seul domaine et ne peuvent pas être répliqués. Yonel GRUSSON

61 Les Groupes Importance du choix
Dans une architecture multidomaine (presque toujours multisite) : La réplication des groupes globaux se fait sur le domaine. Seul le nom du groupe est répliqué sur les autres domaines. La réplication des groupes universels se fait sur la forêt. De plus l'intégralité du groupe est dupliquée ; Une seule modification dans le groupe entraine la réplication de la totalité du groupe. Yonel GRUSSON

62 Les Groupes Les groupes locaux prédéfinis :
Opérateurs de comptes. Ses membres peuvent administrer les comptes d'utilisateurs et les groupes. Opérateurs de serveur. Ses membres peuvent partager des ressources et effectuer des sauvegardes et des restaurations. Yonel GRUSSON

63 Les Groupes Les groupes locaux prédéfinis :
Opérateurs d'impression. Ses membres peuvent gérer les imprimantes. Administrateurs. Il comprend le compte "administrateur" et le groupe global "admins du domaine". Invités. Il contient le compte "Invité" et le groupe "Invités du domaine". Yonel GRUSSON

64 Les Groupes Les groupes locaux prédéfinis :
Opérateurs de sauvegarde. Ses membres peuvent effectuer des sauvegardes et des restaurations sur tous les contrôleurs du domaine. Utilisateurs. Il contient le groupe global "Utilisateurs du domaine" Yonel GRUSSON

65 Les Groupes Les groupes globaux prédéfinis :
Invités du domaine. Contient le compte invité. Utilisateurs du domaine. Tous les comptes utilisateurs crées sont affectés à ce groupe. Admins du domaine. Contient le compte "administrateur". Yonel GRUSSON

66 Les Groupes Les groupes globaux prédéfinis :
Administrateurs de l'entreprise. Les membres de ce groupe ont des droits administratifs sur tout le réseau –forêt- (et non pas limité au domaine). Il contient le compte "administrateur" Yonel GRUSSON

67 Uniquement en mode Natif
Création d'un groupe Uniquement en mode Natif Yonel GRUSSON

68 Création d'un groupe Ajouter des utilisateurs dans un groupe
Yonel GRUSSON

69 Création d'un groupe Il est possible d'intégrer des utilisateurs et des groupes d'un autre domaine avec lequel une relation d'approbation existe. Yonel GRUSSON

70 Notion de SID Lors de la création d'un objet (utilisateur, groupe, ordinateur,…) un identifiant unique (SID Sécurity IDentifiant) lui est attribué. Exemples de SID Pour une machine S Pour 2 utilisateurs du même domaine : S S Yonel GRUSSON

71 Notion de SID Structure du SID :
S pour SID ; 1 pour le niveau de révision ; 5 pour l'autorité d'émission (NT Authority) Ensembles de sous-autorités 1116 (500 pour le compte "Administrateur") Identificateur relatif d'un utilisateur Yonel GRUSSON

72 Le serveur de fichiers Contrairement à SAMBA sous linux, le serveur de fichiers sous Windows 200x n'est pas une application repérable ; Cette fonction est intégrée au système (il est impossible de ne pas l'installer). Le rôle d'un serveur de fichiers est de permettre aux utilisateurs de stocker et d'utiliser des fichiers sur une ressource mutualisée (partage). Yonel GRUSSON

73 Le serveur de fichiers Le partage d'une imprimante est également assuré par ce type de serveur. Un document imprimé n'est que le résultat de l'impression d'un fichier envoyé vers une imprimante. Le partage d'une zone de stockage ou d'une imprimante , l'accès à un fichier imposent une certaine sécurité : qui peut utiliser quoi et avec quels droits ? Yonel GRUSSON

74 Le serveur de fichiers Les étapes : Création d'un partage.
Mise à la disposition des utilisateurs … … en définissant des permissions (des droits) pour ces utilisateurs sur ce partage. … éventuellement en publiant le partage dans l'Active Directory Yonel GRUSSON

75 Fichiers ou autres répertoires
Partage d'un dossier Arborescence du Serveur REP11 REP10 REP22 REP21 Fichiers ou autres répertoires Le répertoire REP20 est proposé aux utilisateurs sous le nom de RESSOURC. L'utilisateur connectera un lecteur réseau sur ce partage. REP200 REP201 REP20 X:\ REP1 REP2 Yonel GRUSSON

76 \\NomServeur\Partage\Rep\….\NomProg \\Nom_Serveur\Nom_Partage\chemin
Partage d'un dossier L'utilisation d'une disque réseau n'est pas obligatoire pour atteindre un programme (ou un fichier) présent sur un partage : \\NomServeur\Partage\Rep\….\NomProg Cette écriture se nomme Universal Naming Convention (UNC) dont la syntaxe est : \\Nom_Serveur\Nom_Partage\chemin Yonel GRUSSON

77 Les Dossiers partagés spéciaux
Lettredisque$ (exemple C$, D$…) répertoire racine du disque du serveur. ADMIN$ - Ressource utilisée par le système pendant l'administration à distance d'un ordinateur. Le chemin d'accès de cette ressource est toujours celui de la racine système de Windows 2kx. Yonel GRUSSON

78 Les Dossiers partagés spéciaux
NETLOGON - Ressource utilisée par le service Accès réseau d'un serveur Windows pendant le traitement des demandes d'ouverture de session sur un domaine. PRINT$ - Ressource utilisée lors de l'administration à distance des imprimantes. Yonel GRUSSON

79 Les Dossiers partagés spéciaux
IPC$ - Ressource permettant le partage des canaux utilisés lors des communications entre les programmes. Le caractère $, placé derrière un nom de partage, permet de cacher cette ressource aux utilisateurs. Elle n'apparaît pas dans le voisinage réseau. Yonel GRUSSON

80 Partage d'un dossier Yonel GRUSSON

81 Partage d'un dossier Création du partage Voir plus loin Yonel GRUSSON

82 Partage d'un dossier Les caractéristiques d'un partage sont :
Nom du partage ("Documents"). Le partage peut avoir plusieurs noms Le chemin d’accès sur le serveur (X:\REP2\REP20) Commentaire ("Répertoire collectif") Nombre limite d’utilisateurs "Maximum" ou "Limite précise" (pour un contrôle des licences, par ex.) Les permissions d’accès (Il faut utiliser les permissions NTFS) Yonel GRUSSON

83 Mise en place des permissions
La mise en place des permissions sur un partage peut se faire à deux niveaux : Au niveau du partage Dans ce cas les permissions (Lecture, Modifier et Contrôle Total) s'appliquent de façon identique à la totalité du partage sans distinction entre les sous-répertoires et les fichiers. Au niveau NTFS Yonel GRUSSON

84 Mise en place des permissions
Permissions au niveau du partage Pour ajouter ou supprimer un utilisateur ou un groupe Il est préférable d'utiliser les permissions NTFS Yonel GRUSSON

85 Mise en place des permissions
Conseil : Pour les volumes NTFS, utilisez les permissions de fichier et de répertoire pour contrôler la sécurité, aussi bien au niveau local qu'au niveau du réseau, et octroyez au groupe "Tout le monde" la permission "Contrôle Total" sur le partage. Extrait de la documentation MS Yonel GRUSSON

86 Mise en place des permissions
Attention aux sécurités d'accès par défaut (sur partage et NTFS) : Sous Windows 2000 c'est la philosophie "du tout ouvert et l’administrateur doit fermer" Yonel GRUSSON

87 Mise en place des permissions
Attention aux sécurités d'accès par défaut (sur partage et NTFS) : Sous Windows 2003 c'est la philosophie "du tout fermé et l’administrateur doit ouvrir" Yonel GRUSSON

88 Mise en place des permissions
Permissions NTFS Héritage des permissions : Le principe est qu'un fichier ou un répertoire hérite toujours des permissions définis au niveau du répertoire conteneur. Une fois que des permissions sont définies, il sera possible de "couper"cet héritage (en cas par exemple de modification des permissions définies au-dessus) Yonel GRUSSON

89 Mise en place des permissions
La permission effective d'un utilisateur sur un dossier ou un fichier est la somme des permissions qu'il possède directement ou au travers des groupes auxquels il appartient. Exemple : L'utilisateur Jean appartient aux groupes VENTE et ACHAT. Si les permissions suivantes sont définies sur un fichier : Groupe VENTE en Modification (Autoriser) Utilisateur Jean en Lecture seulement (Autoriser) Groupe ACHAT en Lecture (Autoriser) La permission effective de Jean sera "Modification". Yonel GRUSSON

90 Mise en place des permissions
Attention : Le droit "Refuser" est prioritaire sur le droit "Autoriser". Exemple : L'utilisateur Jean appartient aux groupes VENTE et ACHAT. Si les permissions suivantes sont définies sur un fichier : Groupe VENTE en Modification (Refuser) Utilisateur Jean en Lecture en Modification (Autoriser) Groupe ACHAT en Lecture (Autoriser) L'utilisateur Jean n'aura aucune permission Yonel GRUSSON

91 Mise en place des permissions
En cas de divergence entre les permissions sur le partage et les permissions NTFS les plus restrictives «l'emportent». Exemple : L'utilisateur Jean appartient au groupe VENTE. Si les permissions suivantes sont définies sur un fichier appartenant au partage DOC : Groupe VENTE en Modification (permissions NTFS) Partage DOC en Lecture (permission sur le partage) Jean sera alors asservi aux permissions les plus restrictives, à savoir celles du partage Yonel GRUSSON

92 Mise en place des permissions
Mise en place des sécurités d'accès NTFS Permissions grisées = permissions héritées Attention aux permissions par défaut Yonel GRUSSON

93 Mise en place des permissions
Mise en place des sécurités d'accès NTFS Yonel GRUSSON

94 Mise en place des permissions
Affiner les autorisations…. Yonel GRUSSON

95 Mise en place des permissions
Affiner les autorisations…. Yonel GRUSSON

96 Mise en place des permissions
Suppression des sécurités d'accès Yonel GRUSSON

97 Publication d'un partage
La publication dans l’Active Directory… Yonel GRUSSON

98 Publication d'un partage
La publication dans l’Active Directory… Yonel GRUSSON

99 Publication d'un partage
Connexion et/ou Recherche par un client … L'utilisateur n'a pas besoin de connaître les coordonnées du partage Yonel GRUSSON

100 Publication d'un partage
Connexion et/ou Recherche (1)… Yonel GRUSSON

101 Publication d'un partage
Connexion et/ou Recherche (2)… Yonel GRUSSON

102 Publication d'un partage
Connexion et/ou Recherche (3)… Attention Par contre Yonel GRUSSON

103 Utilisation d'un partage
Sans être publié dans l'Active Directory, un partage reste accessible. L'accès se fera alors classiquement en connectant un lecteur réseau (modes graphique, commande ou scripts ) : Yonel GRUSSON

104 Utilisation d'un partage
Commandes (cmd) Pour créer le partage : net share doc=d:\reptmp /unlimited /remark:"Documents comptables" Pour utiliser le partage : net use q: \\A41-05\doc Yonel GRUSSON

105 Utilisation d'un partage
Script (Vbscript) Dim WshNet Set WshNet=CreateObject("Wscript.NetWork") 'utilisation du partage WshNet.MapNetWorkDrive "q:","\\ A41-05\doc " En VbScript, pas d'instruction simple pour créer le partage Yonel GRUSSON


Télécharger ppt "Administration d'un serveur Windows 200x Partie 1"

Présentations similaires


Annonces Google