Yonel GRUSSON 1 Administration d'un serveur Windows 200x Partie 2 Server
Yonel GRUSSON 2 Sommaire Première Partie Les outils : Les consoles d'administration Mode Natif / Mode Mixte L'Active Directory Création d'un compte d'utilisateur Création d'une unité organisationnelle Déplacement d'un objet dans l'Active Directory
Yonel GRUSSON 3 Sommaire L'Active Directory Les Groupes Type, étendue et contenu des groupes Les groupes prédéfinis Création d'un groupe Ajout dans un groupe Partage et publication d'un dossier partagé
Yonel GRUSSON 4 Sommaire Seconde Partie Stratégies de groupe Les Quotas Distributed File System (DFS) Les relations d'approbation Service Terminal Server : Le bureau à distance
Yonel GRUSSON 5 Une stratégie de groupe ou GPO (*) est un ensemble de paramètres applicable à des utilisateurs, des groupes d'utilisateurs ou des ordinateurs. Une GPO peut être définie pour un ordinateur local, un site, un domaine ou une unité organisationnelle. (*) GPO = Group Policy Object (Policy = Politique) Les stratégies de sécurité
Yonel GRUSSON 6 La stratégie s'impose à TOUS les objets situés dans le conteneur où est appliquée cette stratégie (ordinateur local, OU, site ou domaine). Les GPO sont des objets de l'Active Directory. Les stratégies de sécurité
Yonel GRUSSON 7 Les stratégies de groupe supportent l'héritage. Par défaut, si aucune stratégie n'est définie sur un conteneur, les stratégies du conteneur parent s'appliquent. L'ordre d'application est le suivant : site, domaine et unité organisationnelle ( note : des UOs peuvent être imbriquées ). Les stratégies de sécurité
Yonel GRUSSON 8 En l'absence de conflit, il y a cumul des stratégies. En cas de conflit, l'ordre de préséance est : Stratégie de l'UO Stratégie du domaine Stratégie du site Stratégie de l'ordinateur local Les stratégies de sécurité
Yonel GRUSSON 9 Création ou Modification au niveau d'un SITE : Les stratégies de sécurité
Yonel GRUSSON 10 Les stratégies de sécurité Création ou Modification au niveau d'un SITE :
Yonel GRUSSON 11 Les stratégies de sécurité Création ou Modification au niveau d'un DOMAINE :
Yonel GRUSSON 12 Les stratégies de sécurité Création ou Modification au niveau d'un DOMAINE : On modifier la GPO par défaut ou en créer une nouvelle (cumul)
Yonel GRUSSON 13 Les stratégies de sécurité Création ou Modification au niveau d'une UO :
Yonel GRUSSON 14 Les stratégies de sécurité Création ou Modification au niveau d'une UO :
Yonel GRUSSON 15 Les stratégies de sécurité Création ou Modification au niveau d'une UO : Il est possible de réutiliser une GPO défini sur un autre objet
Yonel GRUSSON 16 Consoles dans les outils d'administration : Les stratégies de sécurité Cette console concerne l'UO des contrôleurs de domaine (Domain Controlers) de l'Active Directory
Yonel GRUSSON 17 Consoles dans les outils d'administration : Les stratégies de sécurité Cette console est équivalente à : "Paramètres Windows" sous la "Configuration ordinateur" de la GPO définie sur l'UO "Domain Controlers"
Yonel GRUSSON 18 Consoles dans les outils d'administration : Les stratégies de sécurité
Yonel GRUSSON 19 Les stratégies de sécurité Consoles dans les outils d'administration : Cette console est équivalente à : "Paramètres Windows" sous la "Configuration ordinateur" de la GPO définie sur le domaine
Yonel GRUSSON 20 Aperçu de quelques sécurités Il est impossible de passer en revue toutes les stratégies de sécurité (Windows 2003 en propose 220 de plus que Windows 2000). Chacune d'elle est associée à une aide qu'il faut consulter. Les stratégies de sécurité
Yonel GRUSSON 21 D'une façon générale les différentes stratégies que l'on peut mettre en place sont : Paramètres logiciel : Pour permettre la diffusion et le déploiement de logiciels pour des utilisateurs et des ordinateurs. Modèles d'administration : Pour paramétrer l'environnement des utilisateurs (niveau d'accès au panneau de configuration, les quotas de disques, etc.) Les stratégies de sécurité
Yonel GRUSSON 22 Les modèles d'administration utilisent des fichiers ".adm". Ces fichiers modèles permettent de créer 2 fichiers Registry.pol qui lors de la connexion d'un utilisateur viennent modifier la base de registre de la station. Un fichier modifie HKEY_CURRENT_USER et l'autre HKEY_LOCAL_MACHINE. Les stratégies de sécurité
Yonel GRUSSON 23 Les paramètres des modèles d’administration proposent les options suivantes : Non Configurée : Windows ignore ce paramètre et aucune modification n'est apportée dans la base de registre Activée : le paramètre est activé et la valeur est ajoutée dans Registry.pol Les stratégies de sécurité
Yonel GRUSSON 24 Désactivée : le paramètre est désactivé et la valeur est ajoutée dans Registry.pol : Pour certains paramètres une ou des valeurs peuvent être ajoutées. Rappel : Le modèles d'administration qui configure l'environnement de l'utilisateur est chargé sur la station Les stratégies de sécurité
Yonel GRUSSON 25 Les Scripts : Pour permettre l'exécution de scripts soit à l'ouverture ou la fermeture d'une session soit au démarrage ou l'arrêt d'un ordinateur. La sécurité : Pour définir les différentes stratégies de sécurité comme les mots de passe, l'audit, etc. La redirection de répertoire : Pour rediriger certains répertoire des utilisateurs (menu démarrer, bureau, etc.) Les stratégies de sécurité
Yonel GRUSSON 26 Stratégies sur le domaine…. Les stratégies de sécurité
Yonel GRUSSON 27 Configuration Ordinateur Permet à l'administrateur de définir des stratégies appliquées aux ordinateurs quelque soit l'utilisateur qui ouvre une session Configuration Utilisateur Permet à l'administrateur de définir des stratégies appliquées aux utilisateurs quelque soit l'ordinateur sur lequel ils ouvrent une session Les stratégies de sécurité
Yonel GRUSSON 28 Quand les stratégies définies ne concernent qu'une seule partie, il est possible de désactiver l'autre. Les stratégies de sécurité
Yonel GRUSSON 29 Paramètres du logiciel Les stratégies de sécurité Permet le déploiement et la diffusion de logiciels sur des ordinateurs (pour tous les utilisateurs) ou auprès des utilisateurs
Yonel GRUSSON 30 Paramètres Windows de l’ordinateur L’ordinateur est dans ce cas un serveur ces stratégies sont donc importantes car elles proposent de nombreuses sécurités liées aux connexions et d’une façon générale à la gestion du réseau. Les stratégies de sécurité
Yonel GRUSSON 31 Les stratégies de sécurité Tenir compte de l'option "N'expire jamais" dans les propriétés de l'utilisateur Paramètres Windows
Yonel GRUSSON 32 Les stratégies de sécurité
Yonel GRUSSON 33 Seuil de verrouillage : Nombre de tentatives d'ouverture de session infructueuses autorisées Durée de verrouillage : Nombre de minutes pendant lequel le compte reste verrouillé (la valeur 0 = Verrouillage permanent – Intervention de l'administrateur) Réinitialiser le compteur : Nombre de minutes après lequel le compteur des tentatives est remis à 0. Délai de réinitialisation <= Durée de verrouillage Les stratégies de sécurité
Yonel GRUSSON 34 Les stratégies de sécurité Stratégie Kerberos
Yonel GRUSSON 35 Auditer certains évènements … Les stratégies de sécurité
Yonel GRUSSON 36 Les droits des utilisateurs… Les stratégies de sécurité
Yonel GRUSSON 37 Autres options de sécurité… Les stratégies de sécurité
Yonel GRUSSON 38 Paramétrages du journal des évènements… Les stratégies de sécurité
Yonel GRUSSON 39 Paramètres Windows de l’utilisateur Les stratégies de sécurité
Yonel GRUSSON 40 Scripts d’ouverture et de fermeture de session pour tous les utilisateurs. Ne pas confondre avec les scripts de connexion individuel. Les stratégies de sécurité Répertoire par défault
Yonel GRUSSON 41 Les stratégies de sécurité
Yonel GRUSSON 42 Les stratégies de sécurité Le répertoire désigné contiendra les icônes du bureau
Yonel GRUSSON 43 Les stratégies de sécurité Configuration individuelle d’IE
Yonel GRUSSON 44 Les modèles d’administration de l’ordinateur Les stratégies de sécurité
Yonel GRUSSON 45 Les stratégies de sécurité Il s’agit de la configuration générale d’I.E
Yonel GRUSSON 46 Les stratégies de sécurité
Yonel GRUSSON 47 Les stratégies de sécurité Les modèles d’administration de l’utilisateur Partie importante car ces modèles permettent à l’administrateur de configurer l’environnement de travail des utililisateurs
Yonel GRUSSON 48 Les stratégies de sécurité
Yonel GRUSSON 49 Stratégies sur une Unité Organisationnelle Les stratégies de sécurité On retrouve les mêmes éléments mais ils s’appliqueront uniquement aux objets contenus par cette UO (ordinateurs et/ou utilisateurs
Yonel GRUSSON 50 Les QUOTAS Les QUOTAS permettent à l'administrateur de limitée l'espace disque d'un utilisateur. Les QUOTAS sont activés au niveau d'un disque (ou partition). Ils peuvent être plus ou moins restrictifs
Yonel GRUSSON 51 Les QUOTAS
Yonel GRUSSON 52 Les QUOTAS
Yonel GRUSSON 53 Les QUOTAS Activation des quotas Règles qui s'appliquent à l'utilisateur qui ne dispose d'aucune entrée de quota
Yonel GRUSSON 54 Les QUOTAS Entrée de Quota
Yonel GRUSSON 55 Les QUOTAS Entrée de Quota
Yonel GRUSSON 56 Distributed File System - DFS Le système DFS permet à l'administrateur de regrouper les différentes ressources partagées d'un ou plusieurs utilisateurs sous un seul partage. Intégrée à l'Active Directory une ressource DFS rend tous les partages transparents pour les utilisateurs.
Yonel GRUSSON 57 Distributed File System - DFS Application : L’adminstrateur désire présenter ces 2 partages à l’aide d’une seule connexion réseau
Yonel GRUSSON 58 Distributed File System - DFS Images capturée sous 2003 – Les interfaces 2000 sont très peu différentes
Yonel GRUSSON 59 Distributed File System - DFS
Yonel GRUSSON 60 Distributed File System - DFS Si le partage "Gibson" n'existe pas l'assistant vous demande de le créer
Yonel GRUSSON 61 Distributed File System - DFS Ajout des autres partages sous la racine :
Yonel GRUSSON 62 Distributed File System - DFS
Yonel GRUSSON 63 Distributed File System - DFS Sur le disque du serveur on trouve : Chrono et Dossiers sont ici des lien et non des répertoires
Yonel GRUSSON 64 Distributed File System - DFS Utilisation par un utilisateur :
Yonel GRUSSON 65 Distributed File System - DFS Publication dans l'Active Directory
Yonel GRUSSON 66 Distributed File System - DFS Il est possible d’imbriquer les racines DFS
Yonel GRUSSON 67 Distributed File System - DFS Il y a 2 types de racines DFS : Racine Autonome : Racine implanté sur un serveur, elle n'utilise pas l'Active Directory ( différent de la publication citée précédemment ). Racine de Domaine : Racine implantée dans l'Active Directory qui prend en charge la réplication des fichiers
Yonel GRUSSON 68 Les Relations d'Approbations
Yonel GRUSSON 69 Les Relations d'Approbations Le Problème…. Que doit faire l'administrateur du domaine D1 pour permettre à un utilisateur X de ce domaine d'utiliser la ressource R du domaine D2 ? Domaine D2 Domaine D1 R X
Yonel GRUSSON 70 Première solution : L'utilisateur X est déclaré une seconde fois sur le domaine D2. Mais il s'agit d'un autre utilisateur, même avec le même nom et un mot de passe identique. Il y a une redondance qui oblige l'utilisateur à gérer ses connexions. Seconde solution : Mise en place d'une relation d'approbation Le Problème….
Yonel GRUSSON 71 La Relation d'Approbation Une relation d'approbation permet à un domaine (D2) de reconnaître (approuver) tous les comptes d'un autre domaine (D1) Domaine D2 Domaine D1 Ensemble des ressources Ensemble des utilisateurs Flèche : Des ressources vers les utilisateurs convention MS D2 approuve D1. D2 est le domaine approbateur.
Yonel GRUSSON 72 Avec une relation d'approbation, un utilisateur du domaine D1 : Se connecte et est authentifié par D1 (il ne figure pas dans l'Active Directory de D2). Utilise les ressources de D2. Pour cela il faut que l'administrateur de D2 affecte des permissions sur les ressources de D2 pour les groupes et/ou utilisateurs de D1. Rappel : La relation d'approbation seule donne un droit d'accès au domaine et non un droit d'utiliser les ressources de ce domaine. La Relation d'Approbation
Yonel GRUSSON 73 L'administrateur d'un domaine peut donc être amené à : Demander l'approbation de son domaine. En général c'est l'administrateur des utilisateurs ''demandeurs'' qui réclame que son domaine soit approuvé Approuver un autre domaine. En général à la suite d'une domaine d'approbation (cas précédent) La Relation d'Approbation
Yonel GRUSSON 74 L'administrateur d'un domaine peut donc être amené à : Gérer les permissions sur ses ressources pour les utilisateurs d'un domaine approuvé. A partir du moment ou une relation d'approbation à été mise en place, la fenêtre de connexion de l'utilisateur présentera tous les domaines concernés. La Relation d'Approbation
Yonel GRUSSON 75 Dans la mise en place des relations d'approbation, il faut bien distinguer les systèmes : NT4 Server. Aucune relation d'approbation n'est crée automatiquement. L'administrateur doit les implanter (cf. cours NT4). Windows 2000 et 2003 Server. Depuis Windows 2000 Server, des approbations bidirectionnelles transitives sont crées à la création d'un sous- domaine ou l'ajout d'un arbre de domaine dans une forêt. Les relations créées par l'administrateur seront dites explicites. La Relation d'Approbation
Yonel GRUSSON 76 Domaine D1 Domaine D2 Domaine D3 D1 Approuve D2 D2 Approuve D1 Bidirectionnelle : D1 Approuve D2 et D2 Approuve D1 Transitive : D1 approuve D2 et D2 approuve D3 donc D1 approuve D3 Attention : Entre les domaines NT les relations d'approbation ne sont jamais transitives D3 Approuve D2 D2 Approuve D3 La Relation d'Approbation
Yonel GRUSSON 77 Observation d'une situation : La Relation d'Approbation
Yonel GRUSSON 78 La Relation d'Approbation peda ( domaine NT4 ) gestion.ab ( domaine 2000 ) tsinfo.ab ( domaine 2000 ) Gestion.ab approuve peda tsinfo.ab approuve gestion.ab approuve tsinfo.ab peda approuve gestion.ab Les relations créées par l'administrateur sont dites EXTERNES
Yonel GRUSSON 79 Création d’une relation d’approbation Premier exemple : Entre un domaine NT4 nommé peda et un domaine Windows 2003 nommé clapton.sts. L'administrateur du domaine clapton.sts désire que les utilisateurs de son domaine puissent utiliser les ressources du domaine peda c'est à dire d'être authentifiés par ce domaine. Il va demander à être approuvé par ce domaine
Yonel GRUSSON 80 Création d’une relation d’approbation Avec un domaine NT4 (entre le domaine 2003 clapton.sts et le domaine NT4 peda)
Yonel GRUSSON 81 Création d’une relation d’approbation Sur le serveur du domaine clapton.sts :
Yonel GRUSSON 82 Ce mot de passe sera communiqué à l'administrateur du domaine peda afin qu'il puisse (ou non) valider l'approbation Création d’une relation d’approbation
Yonel GRUSSON 83 Création d’une relation d’approbation
Yonel GRUSSON 84 Création d’une relation d’approbation
Yonel GRUSSON 85 Sur le serveur du domaine peda : Création d’une relation d’approbation
Yonel GRUSSON 86 Création d’une relation d’approbation
Yonel GRUSSON 87 Entre 2 domaines Windows 2003 Server. Établissement d'une relation d'approbation bidirectionnelle entre les domaines clapton.sts et serv.bts. serv.bts Serveur : jfcas (domaine 2003) Clapton.sts doit approuver serv.bts Serv.bts doit approuver clapton.sts clapton.sts Serveur : eric (domaine 2003) Création d’une relation d’approbation
Yonel GRUSSON 88 Remarques : Il y a plusieurs façons de créer une relation d'approbation entre des domaines Windows 200x, en fonction : De l'objectif : relation bidirectionnelle, entrante ou sortante, Des conditions matérielles : domaines appartenant ou non à la même organisation, etc. Création d’une relation d’approbation
Yonel GRUSSON 89 Remarques : Dans l'exemple qui suit, la relation sera créée à partir du domaine clapton.sts (serveur eric) et sera validée directement à partir de ce serveur car l'administrateur de clapton.sts et également administrateur sur serv.bts. Création d’une relation d’approbation
Yonel GRUSSON 90 Condition préliminaire, les serveurs DNS doivent "se voir" mutuellement Création d’une relation d’approbation
Yonel GRUSSON 91 Création d’une relation d’approbation
Yonel GRUSSON 92 Résumé de l'opération Création d’une relation d’approbation
Yonel GRUSSON 93 Création d’une relation d’approbation
Yonel GRUSSON 94 Création d’une relation d’approbation
Yonel GRUSSON 95 On obtient sur le domaine serv.bts : Création d’une relation d’approbation
Yonel GRUSSON 96 Création d’une relation d’approbation
Yonel GRUSSON 97 On désire donner des permissions d'accès au utilisateurs du domaine serv.bts sur le répertoire Gibson. Attribution de permissions aux utilisateurs du domaine serv.bts : Mise à disposition des ressources
Yonel GRUSSON 98 L'administrateur de clapton.sts ne fait pas partie des administrateurs de serv.bts Mise à disposition des ressources
Yonel GRUSSON 99 Mise à disposition des ressources Le groupe global contiendra les utilisateurs qui désirent utiliser les ressources du domaine A Le Groupe local contiendra le groupe global du domaine B avec éventuellement d'autres utilisateurs et/ou groupes du domaine A Domaine A Domaine B Groupe Global Groupe local
Yonel GRUSSON 100 Il est évidemment possible d'ajouter nominativement des utilisateurs du domaine B dans le groupe local du domaine A. Mais dans le cas de domaines éloignés et/ou de domaines administrés par des personnes différentes, il est préférable et plus simple d'utiliser un groupe global intégré dans un groupe local. L'administrateur du domaine B ajoute et supprime des utilisateurs dans le groupe global et ceci sans faire intervenir l'administrateur du domaine A Mise à disposition des ressources
Yonel GRUSSON 101 Administration à distance L'administration des serveurs et des postes doit parfois se faire à distance. Il existe de nombreux outils de prise en main à distance, par exemple : Real VNC, produit libre PcAnyWhere de la société Symantec Dans cet optique, Windows 2003 Server intègre un outil d'administration à distance.
Yonel GRUSSON 102 Administration à distance Le service de Terminal Server de Microsoft offrent deux modes d'utilisation : Mode Terminal Server qui permet à un utilisateur d'exécuter une application sur un serveur depuis une station utilisée en mode terminal. Ce mode nécessite une installation propre à l’application et une gestion de licence pour utiliser le service Terminal Server.
Yonel GRUSSON 103 Administration à distance Mode Bureau à distance pour l'administration depuis une station D’un serveur ou D’une autre station.
Yonel GRUSSON 104 Administration à distance Mise en place du bureau à distance sur la machine distante ( serveur ou station ) : 1.Activer le service Terminal Server ( ce service est activé à l’installation. Il peut être désactivé voire désinstallé pour des raisons de sécurité ). 2.Activer le bureau à distance ( option désactivée par défaut ). 3.Limiter les accès.
Yonel GRUSSON 105 Administration à distance Installer le service Terminal Server.
Yonel GRUSSON 106 Administration à distance Activer et configurer le service Terminal Server. Aucune configuration particulière n’est nécessaire pour utiliser le bureau à distance
Yonel GRUSSON 107 Administration à distance Activer le bureau à distance
Yonel GRUSSON 108 Administration à distance Limiter les accès des machines
Yonel GRUSSON 109 Administration à distance Limiter les accès des utilisateurs Démarche identique avec le groupe «Utilisateurs du Bureau à distance»
Yonel GRUSSON 110 Administration à distance Utilisation depuis une station
Yonel GRUSSON 111 Administration à distance Utilisation depuis une station Déconseillé Remarque : L’administrateur n’a pas besoin d’être connecté sur le domaine. Le bureau distant Le bureau local
Yonel GRUSSON 112 Administration à distance Gestion des licences Terminal Server La mise en place du mode Terminal server Impose que tout utilisateur du service doit avoir une licence. En l'absence de licence un client pourra utiliser néanmoins le service pendant 120 jours.
Yonel GRUSSON 113 Administration à distance Gestion des licences Terminal Server
Yonel GRUSSON 114 Administration à distance Gestion des licences Terminal Server