Administration d'un serveur Windows 200x Partie 1 Server Administration d'un serveur Windows 200x Partie 1 Yonel GRUSSON
Sommaire Première Partie Les outils : Les consoles d'administration Mode Natif / Mode Mixte L'Active Directory Création d'un compte d'utilisateur Création d'une unité organisationnelle Déplacement d'un objet dans l'Active Directory Yonel GRUSSON
Sommaire L'Active Directory Les Groupes Type, étendue et contenu des groupes Les groupes prédéfinis Création d'un groupe Ajout dans un groupe Partage et publication d'un dossier partagé Yonel GRUSSON
Sommaire Seconde Partie Stratégies de groupe Les Quotas Distributed File System (DFS) Les relations d'approbation Service Terminal Server : Le bureau à distance Yonel GRUSSON
Les consoles d'administration L'administration de Windows 2000 Server s'effectue à l'aide de consoles. A l'installation des consoles sont pré-créées (msc pour MicroSoft Console) Yonel GRUSSON
Les consoles d'administration On retrouve certaines de ces consoles dans les outils d'administration du menu démarrer. Yonel GRUSSON
Les consoles d'administration Exécuter "compmgmt.msc" ou choisir l'option "gestion de l'ordinateur" permet d'obtenir la console suivante : Yonel GRUSSON
Les consoles d'administration Contrairement à Windows 2000, les fichiers *.msc sous Windows 2003 sont des fichiers XML : Yonel GRUSSON
Les consoles d'administration Il est possible de créer des consoles personnalisées à partir d'un cadre vide : Yonel GRUSSON
Les consoles d'administration Après avoir renommé la racine de la console ….. Il reste à ajouter des composants logiciels dits enfichables (msc) Yonel GRUSSON
Les consoles d'administration Yonel GRUSSON
Les consoles d'administration Avec certains composants, il est possible de viser une autre machine : Yonel GRUSSON
Les consoles d'administration Résultat de la création Yonel GRUSSON
Les consoles d'administration Avant d'enregistrer la console il est possible de préciser des options : Chaque mode d'utilisation est expliqué dans la zone "description" Yonel GRUSSON
Les consoles d'administration Enregistrement de la console : Yonel GRUSSON
Les consoles d'administration Exécution Ces consoles personnalisées (fichiers "msc") peuvent être transmises à des utilisateurs. Yonel GRUSSON
Mode Natif / Mode Mixte Mode natif, mode mixte Un serveur Windows 2000 peut fonctionner selon 2 modes : natif ou mixte. Le mode par défaut est le mode mixte. Le fonctionnement d'un domaine en mode mixte permet le fonctionnement de serveurs 2000 et NT Yonel GRUSSON
Mode Natif / Mode Mixte Le fonctionnement d'un domaine en mode natif permet d'utiliser des fonctionnalités de l'Active Directory qui ne sont valables qu'en mode natif (imbrication de groupes, création de groupe universel…) Yonel GRUSSON
Mode Natif / Mode Mixte Yonel GRUSSON
Mode Natif / Mode Mixte Windows 2003 Server définit quant à lui définit 2 niveaux fonctionnels : Niveau fonctionnel de domaine. Les fonctionnalités de domaine affecteront le domaine entier et seulement le domaine. Yonel GRUSSON
Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge Mode Natif / Mode Mixte Niveau fonctionnel de domaine : Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge Windows 2000 mixte (par défaut) Windows NT 4.0 Windows 2000 Server Windows 2003 Server Windows 2000 mode natif Windows 2003 Server version preliminaire Yonel GRUSSON
Mode Natif / Mode Mixte Windows 2003 Server définit quant à lui définit 2 niveaux fonctionnels : Niveau fonctionnel de forêt. Les fonctionnalités de forêt affecteront tous les domaines de la forêt en place. Yonel GRUSSON
Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge Mode Natif / Mode Mixte Niveau fonctionnel de forêt : Niveau fonctionnel de domaine Contrôleurs de domaine pris en charge Windows 2000 (par défaut) Windows NT 4.0 Windows 2000 Server Windows 2003 Server Windows 2003 Server version préliminaire Yonel GRUSSON
Mode Natif / Mode Mixte État initial Yonel GRUSSON
Mode Natif / Mode Mixte Ici pas d'option "Augmenter le niveau fonctionnel de forêt" car il n'existe qu'un seul domaine. Yonel GRUSSON
Mode Natif / Mode Mixte État final Yonel GRUSSON
L'Active Directory Ou Yonel GRUSSON
L'Active Directory Les Unités organisationnelles à la création de l'AD sont : Builtin (Windows 2000 Server) Yonel GRUSSON
L'Active Directory Les Unités organisationnelles à la création de l'AD sont : Builtin (Windows 2003 Server) Yonel GRUSSON
L'Active Directory L'UO Builtin contient les groupes prédéfinis dont les droits s'étendent sur le domaine local (groupes locaux). Les groupes principaux par défaut sont (cf. définitions plus loin) : Opérateurs de compte Administrateurs Opérateurs de sauvegarde Invités Opérateurs d'impression Duplicateurs Opérateurs de serveur Utilisateurs Yonel GRUSSON
L'Active Directory Les différentes Unités organisationnelles : Computers Contient les comptes d'ordinateurs du domaine. Domain Controlers Contient les comptes d'ordinateurs des contrôleurs (serveurs) du domaine. Yonel GRUSSON
L'Active Directory Les différentes Unités organisationnelles : Users Yonel GRUSSON
L'Active Directory L'Unité Organisationnelle "Users" contient les utilisateurs du domaine et les groupes globaux (quelques groupes locaux). Yonel GRUSSON
L'Active Directory Les comptes utilisateurs prédéfinis sont : Administrateur qui a une étendue de pouvoir maximale. Il est recommandé de renommé ce compte Invité qui obtient un minimum de droit. Ce compte est créé désactivé et doit le rester ; son activation constitue un faille de sécurité. Yonel GRUSSON
Création d'un compte utilisateur Une fois l'Active Directory installée la gestion des utilisateurs et des groupes ne peut se faire que par son intermédiaire. Sous Windows 2003 Server, cette console est supprimée Yonel GRUSSON
Création d'un compte utilisateur La console de gestion de l'Active Directory Yonel GRUSSON
Création d'un compte utilisateur Création d'un utilisateur (attributs obligatoires) Yonel GRUSSON
Création d'un compte utilisateur Création d'un utilisateur (attributs obligatoires) Yonel GRUSSON
Création d'un compte utilisateur Création d'un utilisateur (résultat) Yonel GRUSSON
Création d'un compte utilisateur Compléter la description de l'utilisateur Yonel GRUSSON
Création d'un compte utilisateur Compléter la description de l'utilisateur Yonel GRUSSON
Création d'un compte utilisateur Compléter la description de l'utilisateur Par défaut le chemin des scripts est : %SYSTEMROOT%\SYSVOL\ <Nom_Domain>\Scripts Yonel GRUSSON
Création d'un compte utilisateur Compléter la description de l'utilisateur Ajouter (ou supprimer) cet utilisateur à un groupe Yonel GRUSSON
Création d'un compte utilisateur Les onglets : Environnement Sessions Contrôle distant Profil de services de Terminal Server concernent le service Terminal Server (non étudié ici). Yonel GRUSSON
Création d'une U.O Une Unité Organisationnelle permettra à l'administrateur d'organiser logiquement les différents objets de son domaine. Une Unité Organisationnelle pourra contenir des utilisateurs, des imprimantes, des partages et d'autres unités organisationnelles Attention : Ne pas confondre U.O et Groupe Yonel GRUSSON
Création d'une U.O Yonel GRUSSON
Création d'une U.O Yonel GRUSSON
Création d'une U.O Yonel GRUSSON
Déplacement d'un objet Il est toujours possible de déplacer un objet d'un Unité Oorganisationnelle dans une autre. Yonel GRUSSON
Les Groupes Les types de groupes sont : Les groupes de sécurité seront utilisés pour gérer la sécurité des ressources du ou des domaines. Les groupes de distribution seront utilisés par des applications comme par exemple "Exchange 2000" qui s'appuient sur l'active directory. Yonel GRUSSON
Les Groupes Les étendues sont : Groupes Locaux et Globaux pour organiser les comptes d'utilisateurs et appliquer des permissions Groupes Universels pour regrouper des utilisateurs de n'importe quel domaine et leur assigner des permissions dans n'importe quel domaine. Yonel GRUSSON
Les Groupes En mode mixte (compatible NT) : Le groupe local peut contenir des utilisateurs et des groupes globaux de n'importe quel domaine. Le groupe global peut contenir des utilisateurs du même domaine que le sien. Le groupe universel n'existe pas dans ce mode de fonctionnement. Yonel GRUSSON
Les Groupes En mode natif : Le groupe local peut contenir des utilisateurs, des groupes globaux et universels de n'importe quel domaine ainsi que des groupes locaux de son propre domaine. Le groupe global peut contenir des utilisateurs et des groupes globaux de son domaine. Yonel GRUSSON
Les Groupes En mode natif : Le groupe universel peut contenir des utilisateurs des groupes globaux et universels d'un domaine quelconque de la forêt. Yonel GRUSSON
Les Groupes Les groupes locaux prédéfinis : Opérateurs de comptes. Ses membres peuvent administrer les comptes d'utilisateurs et les groupes. Opérateurs de serveur. Ses membres peuvent partager des ressources et effectuer des sauvegardes et des restaurations. Yonel GRUSSON
Les Groupes Les groupes locaux prédéfinis : Opérateurs d'impression. Ses membres peuvent gérer les imprimantes. Administrateurs. Il comprend le compte "administrateur" et le groupe global "admins du domaine". Invités. Il contient le compte "Invité" et le groupe "Invités du domaine". Yonel GRUSSON
Les Groupes Les groupes locaux prédéfinis : Opérateurs de sauvegarde. Ses membres peuvent effectuer des sauvegardes et des restaurations sur tous les contrôleurs du domaine. Utilisateurs. Il contient le groupe global "Utilisateurs du domaine" Yonel GRUSSON
Les Groupes Les groupes globaux prédéfinis : Invités du domaine. Contient le compte invité. Utilisateurs du domaine. Tous les comptes utilisateurs crées sont affectés à ce groupe. Admins du domaine. Contient le compte "administrateur". Yonel GRUSSON
Les Groupes Les groupes globaux prédéfinis : Administrateurs de l'entreprise. Les membres de ce groupe ont des droits administratifs sur tout le réseau –forêt- (et non pas limité au domaine). Il contient le compte "administrateur" Yonel GRUSSON
Uniquement en mode Natif Création d'un groupe Uniquement en mode Natif Yonel GRUSSON
Création d'un groupe Ajouter des utilisateurs dans un groupe Yonel GRUSSON
Création d'un groupe Il est possible d'intégrer des utilisateurs et des groupes d'un autre domaine avec lequel une relation d'approbation existe. Yonel GRUSSON
Partage et publication d'un dossier Deux étapes : La création du partage avec ses différentes autorisations (utilisateurs, groupes et les autorisations correspondantes) La publication du partage dans l'Active Directory afin que les utilisateurs puissent s'y connecter. Yonel GRUSSON
Partage et publication d'un dossier Arborescence du Serveur REP11 REP10 REP22 REP21 Fichiers ou autres répertoires Le répertoire REP20 est proposé aux utilisateurs sous le nom de RESSOURC. L'utilisateur connectera un lecteur réseau sur ce partage. REP200 REP201 REP20 X:\ REP1 REP2 Yonel GRUSSON
Partage et publication d'un dossier L'utilisation d'une disque réseau n'est pas obligatoire pour atteindre un programme (ou un fichier) présent sur un partage : \\NomServeur\Partage\Rep\….\NomProg Cette écriture se nomme Universal Naming Convention (UNC) dont la syntaxe est : \\Nom_Serveur\Nom_Partage\chemin Yonel GRUSSON
Les Dossiers partagés spéciaux Lettredisque$ (exemple C$, D$…) répertoire racine du disque du serveur. ADMIN$ - Ressource utilisée par le système pendant l'administration à distance d'un ordinateur. Le chemin d'accès de cette ressource est toujours celui de la racine système de Windows 2kx. Yonel GRUSSON
Les Dossiers partagés spéciaux NETLOGON - Ressource utilisée par le service Accès réseau d'un serveur Windows pendant le traitement des demandes d'ouverture de session sur un domaine. PRINT$ - Ressource utilisée lors de l'administration à distance des imprimantes. Yonel GRUSSON
Les Dossiers partagés spéciaux IPC$ - Ressource permettant le partage des canaux utilisés lors des communications entre les programmes. Le caractère $, placé derrière un nom de partage, permet de cacher cette ressource aux utilisateurs. Elle n'apparaît pas dans le voisinage réseau. Yonel GRUSSON
Partage et publication d'un dossier Yonel GRUSSON
Partage et publication d'un dossier Création du partage Yonel GRUSSON
Partage et publication d'un dossier Conseil : Pour les volumes NTFS, utilisez les permissions de fichier et de répertoire pour contrôler la sécurité, aussi bien au niveau local qu'au niveau du réseau, et octroyez au groupe "Tout le monde" la permission "Contrôle Total" sur le partage. Extrait de la documentation MS Yonel GRUSSON
Partage et publication d'un dossier Les caractéristiques d'un partage sont : Nom du partage ("Documents"). Le partage peut avoir plusieurs noms Le chemin d’accès sur le serveur (X:\REP2\REP20) Commentaire ("Répertoire collectif") Nombre limite d’utilisateurs "Maximum" ou "Limite précise" (pour un contrôle des licences, par ex.) Les permissions d’accès (Il faut utiliser les permissions NTFS) Yonel GRUSSON
Partage et publication d'un dossier Héritage des permissions : Le principe est qu'un fichier ou un répertoire hérite toujours des permissions définis au niveau du répertoire conteneur. Une fois que des permissions sont définies, il sera possible de "couper"cette héritage (en cas par exemple de modification des permissions définies au-dessus) Yonel GRUSSON
Partage et publication d'un dossier En cas de divergence entre deux groupes de permissions, les permissions les plus restrictives «l'emportent». Exemple : L'utilisateur Jean appartient aux groupes VENTE et ACHAT. Si les permissions suivantes sont définies sur un fichier : Groupe VENTE en Modification Groupe ACHAT en Lecture seulement Jean sera alors asservi aux permissions les plus restrictives, à savoir celles du groupe ACHAT Yonel GRUSSON
Partage et publication d'un dossier Mise en place des sécurités d'accès Permissions grisées = permissions héritées Attention aux permissions par défaut Yonel GRUSSON
Partage et publication d'un dossier Mise en place des sécurités d'accès Yonel GRUSSON
Partage et publication d'un dossier Affiner les autorisations…. Yonel GRUSSON
Partage et publication d'un dossier Affiner les autorisations…. Yonel GRUSSON
Partage et publication d'un dossier Suppression des sécurités d'accès Yonel GRUSSON
Partage et publication d'un dossier Attention aux sécurités d'accès par défaut : Sous Windows 2000 c'est la philosophie "du tout ouvert et l’administrateur doit fermer" Yonel GRUSSON
Partage et publication d'un dossier Attention aux sécurités d'accès par défaut : Sous Windows 2003 c'est la philosophie "du tout fermé et l’administrateur doit ouvrir" Yonel GRUSSON
Partage et publication d'un dossier La publication dans l’Active Directory… Yonel GRUSSON
Partage et publication d'un dossier La publication dans l’Active Directory… Yonel GRUSSON
Partage et publication d'un dossier Connexion et/ou Recherche par un client … L'utilisateur n'a pas besoin de connaître les coordonnées du partage Yonel GRUSSON
Partage et publication d'un dossier Connexion et/ou Recherche (1)… Yonel GRUSSON
Partage et publication d'un dossier Connexion et/ou Recherche (2)… Yonel GRUSSON
Partage et publication d'un dossier Connexion et/ou Recherche (3)… Attention Par contre Yonel GRUSSON
Partage et publication d'un dossier Sans être publié dans l'Active Directory, le partage reste accessible en "mode NetBios". L'accès se fera alors classiquement en connectant un lecteur réseau : Yonel GRUSSON