L'offre S.E Réseau (NOS) Windows NT et 2000 de Microsoft, avec la moitié du marché environ. Netware de Novell, avec plus du tiers du marché. Part plutôt en baisse. Linux, avec une petite part du marché mais en progression (robustesse d'Unix et produits Apache et Samba)
L'offre WINDOWS NT ère Version en France NT 3.51 Interface type Windows Version 4.0 Interface type Windows NT 2000 Interface type Windows 98 Le Plus : Active Directory
Les caractéristiques de NT Système 32 bits Portabilité sur différentes plates- formes Multi-processeurs Multi-tâches Multi-utilisateurs
Les fonctions principales de NT Serveur de fichiers Serveur d ’imprimantes Serveur des services Intranet et Internet Serveur d’applications Un ensemble de services greffés au SE –Authentification –Accès à distance –etc.
Installation de Windows NT A partir d’un système Dos ou Windows95 Lancer à partir du CD la commande: \i386\winnt /ox Les 3 disquettes d’installation sont créées. ReBooter en utilisant les disquettes.
Installation de Windows NT L ’installation commence… Vous choisissez : – Le type du serveur, – Le nom du domaine, – Le type des licences, – Le mot de passe de l'administrateur – Vous configurez le réseau, – Vous installez (ou pas) IIS, Terminer par l’installation du dernier Service Pack (5)
Pour créer une disquette de Boot: –Formater la disquette sous NT –Copier les fichiers systèmes cachés –Boot.ini –Ntdetect.com –Ntldr Installation de Windows NT
Pour créer une disquette de réparation d’urgence: –Utiliser la commande rdisk -s –En cas de problèmes: Booter via les 3 disquettes (ou CD- ROM), choisir "Réparer" puis Insérer la disquette de réparation. Installation de Windows NT
Les Concepts de WINDOWS NT Domaines Les serveurs Ressources Utilisateurs Droits et permissions Groupes Relation d'approbation
Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : –Un service d'annuaire où les ressources sont regroupées logiquement pour rendre leur localisation plus facile. L’ouverture de session se fait sur l’annuaire
Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : –Un service d'annuaire X500 : Norme internationale NDS : Netware Active Directory : Microsoft (depuis Windows 200)
Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : –Les Groupes de Travail Les groupes sont informels et contrôlés par les utilisateurs qui mettent en commun leurs ressources. Windows 3, 95, DOS...
Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : – Domaine NT Un domaine est un groupe de travail associé à une gestion administrative centralisée. Il peut y avoir plusieurs serveurs sur un même domaine.
Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : – Domaine NT Un domaine est un groupe de serveurs exécutant Windows NT serveur et se partageant la même base de comptes.
– Domaine NT L’utilisateur ouvre une session sur un domaine particulier, il peut accéder à d’autres domaines si des relations d’approbations sont établies. Les Domaines NT
MODELE NT A DOMAINE UNIQUE Les clients ouvrent une session sur un ou plusieurs serveurs qui se partagent une base de comptes
MODELE NT A DOMAINE MAITRE Relations d ’approbations
Le domaine maître possède la base de compte. Tous les utilisateurs : –se connectent sur ce domaine –accèdent aux ressources des autres domaines au travers des relations d'approbation. MODELE NT A DOMAINE MAITRE
MODELE NT A PLUSIEURS DOMAINES MAITRES Approbation réciproque Comptes A à M Comptes N à Z
MODELE NT A PLUSIEURS DOMAINES MAITRES Les comptes d'utilisateur sont répartis sur plusieurs domaines maîtres. Ils accèdent aux ressources des autres domaines au travers des relations d'approbation. Les domaines maîtres sont reliés par des relations d'approbation réciproques
MODELE NT A APPROBATION TOTALE
Les comptes d'utilisateurs se répartissent sur l'ensemble des domaines. Ils accèdent aux ressources des autres domaines au travers des relations d'approbation réciproques.
Les SERVEURS Contrôleur principal de Domaine Base des Comptes d’utilisateur Contrôleur Secondaire de Domaine Copie de la base des comptes
Le Contrôleur principal (CPD) –Il supervise le domaine – La base de compte s’y trouve enregistré Le ou les contrôleurs secondaires (CSD) –Il gère la base de compte par duplication –Il passe CPD à l’initiative d’un administrateur Les SERVEURS
Le ou les serveurs autonomes –Il est utilisé dans des rôles très spécifiques. – Serveur d’application de type BD – Gestion locale des utilisateurs Les SERVEURS
Les serveurs ne forment qu'une seule unité administrative relativement au compte d'utilisateur et à la sécurité. Un utilisateur validé par un domaine voit toutes les ressources de ce domaine mais leur utilisation peut être limitée. Les SERVEURS
LES RESSOURCES Le rôle primordiale d'un serveur NT après l'authentification de la connexion est de proposer des ressources à l'utilisateur : Ressources Logicielles (Applications, Programmes et Données) Ressources Matérielles (Disques, imprimantes, modem, système de sauvegarde…)
LES RESSOURCES L'administrateur du réseau devra donc : Créer les ressources et les partager. Sécuriser et protéger les ressources. Les mettre à la disposition des utilisateurs par information, scripts et/ou mise à jour des postes.
Partage d’une Ressource Disque Arborescence du Serveur REP11REP10REP22REP21 Fichiers ou autres répertoires Le répertoire REP20 est proposé aux utilisateurs sous le nom de RESSOURC REP200REP201 REP20 X:\ REP1REP2
Les caractéristiques du Partage Nom du partage (RESSOURC) Le chemin d’accès sur le serveur (X:\REP2\REP20) Commentaire Nombre limite d’utilisateurs –Maximum –Limite précise (contrôle des licences) Les permissions d’accès
Les caractéristiques du Partage
Connexion sur une ressource partagée par un client NT WS L'utilisateur doit être informé de l'existence de la ressource (ici RESSOURC)
L'utilisation d'un disque réseau n'est pas obligatoire pour atteindre un programme présent sur ce disque : \\NomServeur\Ressource\Rep\….\NomProg Cette écriture se nomme Universal Naming Convention (UNC) dont la syntaxe est : \\Nom_Serveur\Nom_Partage\chemin Connexion à une ressource partagée
Les Ressources Spéciales Lettredisque$ (exemple C$, D$…) répertoire racine du disque du serveur. ADMIN$ - Ressource utilisée par le système pendant l'administration à distance d'un ordinateur. Le chemin d'accès de cette ressource est toujours celui de la racine système de Windows NT. Accessible aux groupes Administrateur, opérateur de sauvegarde et de serveur.
Les Ressources Spéciales NETLOGON - Ressource utilisée par le service Accès réseau d'un ordinateur Windows NT Server pendant le traitement des demandes d'ouverture de session sur un domaine. PRINT$ - Ressource utilisée lors de l'administration à distance des imprimantes.
Les Ressources Spéciales REPL$ - Ressource créée par le système si le serveur est configuré comme serveur d’exportation de duplication Le caractère $, placé derrière un nom de partage, permet de cacher cette ressource aux utilisateurs. Elle n'apparaît pas dans le voisinage réseau.
Partage d’une imprimante Terminologie NT PERIPHERIQUE D’IMPRESSION : Matériel qui produit l’imprimé. IMPRIMANTE : Interface logicielle entre le S.E et le périphérique d ’impression. L ’utilisateur se connecte aux noms d’imprimante qui représentent un ou plusieurs périphériques d’impression.
Partage d’une imprimante Terminologie NT Pilote d’impression : programme qui convertit les commandes graphiques en «langage d ’imprimante spécifique» (PostScript, PCL) Le SPOULEUR : bibliothèque de DLL qui reçoit, traite, planifie et distribue les documents.
Partage d’une imprimante Terminologie NT Mettre en Spoule : écrire le document dans un fichier sur disque. Serveur d’impression : serveur qui reçoit les documents. Imprimante à interface réseau : imprimante qui se connecte directement sur le réseau (carte ou boîtier).
Partage d’une imprimante Utilisation par le client : \\Nom_Serveur\DJ-IMP
Dans le but d'être partagé, le périphérique d'impression peut-être connecté de trois manières : Connexion sur un poste de travail avec son partage Connexion sur un port physique du Serveur Connexion sur le réseau (création d'un port logique et utilisation d'un protocole DLC, TCP/IP…) Partage d’une imprimante
L’installation la plus naturelle est la connexion 1 à 1 : 1 imprimante à 1 périphérique d’impression Stratégie de Partage d’une imprimante Périphérique d’impression ImprimanteDocument
Plusieurs imprimantes 1 périphérique d’impression. Stratégie de Partage d’une imprimante Périphérique d’impression ImprimantesDocument
1 imprimante (pool d’impression) plusieurs périphériques d’impression Stratégie de Partage d’une imprimante Périphériques d’impression Imprimante (Pool) Document
Stratégie de Partage d’une imprimante 1 imprimante (pool d’impression) plusieurs périphériques d’impression Les périphériques d’impression sont identiques. L’imprimante envoie le document à la première imprimante disponible.
Les Comptes d’Utilisateur Concept de base pour l’utilisation des ressources d’un ou plusieurs domaines. Windows NT affecte à chaque utilisateur un numéro Identificateur de sécurité (SID) comme : S
Les Comptes d’Utilisateur Un compte se caractérise par : –Nom d’utilisateur (unique sur le réseau) –Nom détaillé –Description du compte –Mot de passe –Appartenance à un ou plusieurs groupes –Horaires d’accès –Stations de travail accessibles –Date d’expiration du compte –Répertoire de base –Script d’ouverture de session –Profil –Un accès à l'accès à distance (RAS)
Outils d'administration / Gestionnaire des utilisateurs Les Comptes d’Utilisateur
Menu "Utilisateur" - Option "Nouvel Utilisateur" Ou Option "Copier" (F8)
Conditions possibles sur le Mot de passe : –Changement à la prochaine session, –Impossible de le changer, –Il n’expire jamais. Conditions sur le compte : –Activé ou Désactivé mais toujours présent dans la base de comptes. Windows NT affecte un numéro Identificateur de sécurité (SID) à chaque utilisateur. Les Comptes d’Utilisateur
Stratégie de création des comptes
Durée Maximale du mot de passe –N’expire jamais –Dans N jours Durée Minimale du mot de passe –Modification possible immédiatement –Modification autorisée dans N jours Longueur minimale du mot de passe –Mot de passe vide autorisé –Longueur minimum X caractères Unicité du mot de passe –Pas d’historique –Mémoriser les N derniers mots de passe
Verrouillage du compte –Après X tentatives d’accès infructueuses –Contrôle effectué sur une durée de N minutes En cas de verrouillage –Verrouillage permanent (intervention de l’administrateur) –Réinitialiser après N minutes Déconnecter de force les utilisateurs lorsque l’horaire d’accès est dépassé. Stratégie de création des comptes
A l'installation de Windows NT deux comptes d'utilisateurs sont créés automatiquement : Administrateur auquel un mot de passe est affecté lors de l'installation. La création d'un nouveau compte d'administrateur est fortement conseillé. Le compte administrateur peut être renommé mais pas supprimé. Comptes Prédéfinis
Invité, ce compte est utilisé pour les ouvertures de session effectuées par des utilisateurs qui ne possèdent pas de compte. Un utilisateur dont le compte est désactivé peut se servir de ce compte. Par défaut ce compte est désactivé et n'a aucune permission. Comptes Prédéfinis
Droits et Permissions Les droits s'appliquent au système dans son ensemble. Les permissions s'appliquent uniquement à un objet précis (en général un répertoire, un fichier ou une imprimante).
LES DROITS Gestion des utilisateurs / Menu "Stratégies" / Option "Droit de l'utilisateur
Les différents droits sont : Accéder à cet ordinateur depuis le réseau Ajouter des stations de travail au domaine Arrêter le système Charger et décharger des pilotes de périphériques Forcer l'arrêt à partir d'un système distant Gérer le journal d'audit et de sécurité Modifier l'heure système Ouvrir une session localement Prendre possession des fichiers ou autres objets Restaurer des fichiers et des répertoires Sauvegarder des fichiers et des répertoires LES DROITS
LES PERMISSIONS Windows NT supporte deux systèmes de gestion de fichiers : NTFS et FAT. Ces deux systèmes doivent offrir des sécurités sur les partages. Le niveau de sécurité est moindre sur un volume FAT. Ces permissions concernent uniquement les répertoires partagés (pas les fichiers) et s'appliquent aux utilisateurs qui se connectent au travers du réseau
LES PERMISSIONS Permissions sur les répertoires partagés au travers d'un réseau (Système Minima)
LES PERMISSIONS Les permissions sur les répertoires partagés (Système minima) –Lire (R) –Modifier (M) –Aucun Accès –Contrôle total (R + M)
LES PERMISSIONS La Sécurité optimale est obtenue avec des volumes NTFS. Elles s'appliquent aux utilisateurs qui interviennent en local et aux utilisateurs qui se connectent au travers du réseau. Cette sécurité est indépendante des partages. Remarque : Ce second type de sécurité ne supprime pas le premier.
LES PERMISSIONS Permissions sécurisées offertes par NTFS
LES PERMISSIONS Sur les RépertoiresSur les Fichiers
Les permissions sécurisées (NTFS) élémentaires possibles sur les répertoires et les fichiers sont : Lire (R) Écrire (W) Exécuter (X) Supprimer (D) Changer des permissions (P) Prendre possession (O) Combinaison de ces permissions élémentaires. Aucun Accès et Contrôle total Permissions de partage
En cas de divergence entre les deux systèmes les permissions les plus restrictives «l'emportent». Conseil : Pour les volumes NTFS, utilisez les permissions de fichier et de répertoire pour contrôler la sécurité, aussi bien au niveau local qu'au niveau du réseau, et octroyez au groupe "Tout le monde" la permission "Contrôle Total" sur le partage. Extrait de la documentation NT
Niveaux d’implantation des permissions : Les permissions peuvent être définies sur un répertoire ; Elles s'appliquent sur les sous- répertoires et les fichiers qu'il contient et qu'il contiendra (propagation et acquisition des permissions). Les permissions peuvent être définies ou redéfinies sur un fichier individuellement. Elles annulent et remplacent alors les permissions héritées du répertoire. Permissions de partage
Sur un répertoire : (RWX) (RX) (WX) (Non spécifiés) (Toutes) Les utilisateurs peuvent ajouter des fichiers dans le répertoire et lire les fichiers mais pas les modifier. Les utilisateurs peuvent ajouter des fichiers dans le répertoire mais ne peuvent pas les lire Contrôle total Permissions de partage Exemples de permissions : Répertoire Fichier
Sur un fichier : (RWXD) (Aucun Accès) Les utilisateurs peuvent lire, modifier et supprimer ce fichier Les utilisateurs n'ont aucun moyen d'accéder au fichier, même s'ils appartiennent à un groupe ayant obtenu un droit d'accès sur ce fichier. Permissions de partage Exemples de permissions :
Les permissions peuvent être : –STANDARDS (Combinaisons de permissions proposées et prédéfinies par Windows NT). –PERSONNALISEES ou Accès spécial (Combinaisons de permissions définies par l'administrateur). Permissions de partage
Partage d'une imprimante Les permissions sur le partage d'une imprimante sont simples. Elles se résument à : – Contrôle Total – Imprimer / Ne pas imprimer – Gestion des documents – Aucun Accès
Partage d'une imprimante
Les Groupes Chaque utilisateur possède des permissions sur chaque ressource. UTILISATEURS RESSOURCES
Groupe 2 Très souvent plusieurs utilisateurs ont les mêmes permissions sur les mêmes ressources. Les Groupes UTILISATEURS RESSOURCES Groupe 1
Exemple : 15 utilisateurs et 5 Ressources Sans création de groupe : 75 Combinaisons possibles. Avec la création de 3 Groupes et si chaque utilisateur n'appartient qu'à un seul groupe : 15 (Liens utilisateur / Groupe) + 15 (Liens Groupe / Ressource) Les Groupes
Groupe GLOBAL Un groupe global contient seulement des comptes d'utilisateur d'un domaine. "Global" car les membres d'un tel groupe sont susceptibles de recevoir des droits et des permissions dans d'autres domaines. Les Types de Groupes
Groupe LOCAL Un groupe local peut contenir des comptes d'utilisateur d'un domaine et des groupes globaux. Les groupes globaux proviennent du même domaine ou d'autres domaines au travers d'une relation d'approbation. "Local" car les membres d'un tel groupe ne peuvent recevoir des droits et permissions que dans un seul domaine. Les Types de Groupes
Domaine approbateur ADomaine approuvé B Groupe Global Groupe Local
Administrateurs : Les membres ont tous les droits sur le domaine et les serveurs. Utilisateurs : Ne peuvent ouvrir de session locale sur le serveur. Ont les droits définis par les administrateurs. Invités : cf. compte invité. Opérateurs de compte : Peuvent utiliser le gestionnaire des utilisateurs (créer des comptes, des groupes, etc..… Les Groupes Locaux prédéfinis
Opérateurs de sauvegarde : Peuvent sauvegarder et restaurer des fichiers sur les serveurs du domaine. Opérateurs d'impression : Peuvent créer, supprimer et gérer le partage des imprimantes. Opérateurs de serveur : Ont les droits des opérateurs d'impression et de sauvegarde, peuvent créer, supprimer et gérer des ressources partagées. Groupes Locaux Prédéfinis
Admins du domaine : Il est membre du groupe local "Administrateurs". Le compte "Administrateur" fait partie de ce groupe. Utilisateurs du domaine : Il est membre du groupe local "Utilisateurs". Tous les comptes créés sont ajoutés automatiquement dans ce compte (ils peuvent être supprimés). Invités du domaine : Il contient le compte prédéfini "Invité" Groupes Globaux Prédéfinis