Yonel GRUSSON

Quelques distinctions…. Réseau Système réseau Système Client-Serveur Système Poste à Poste (Peer-to-Peer Yonel GRUSSON

Réseau Interconnexion Yonel GRUSSON

Système réseau Dans un sens strict un réseau n'est qu'une interconnexion de machines sans rôle prédéfini. Interconnexion assurée par un réseau local (Ethernet par exemple) ou un réseau étendue. Il s'agit d'une construction matérielle. L'aspect matériel ne prend un sens qu'avec l'installation et l'utilisation d'un système réseau (logiciel) qui va donner à chaque machine un comportement vis à vis des autres machines. Yonel GRUSSON

Système Client/Serveur Le "comportement" actuellement le plus répandu est le modèle Client/Serveur. Réseau Client Serveur Le client envoie une requête – Le serveur répond à la requête. Ce sont avant tout des notions logiques ("soft"). On parlera d'applications clientes et d'applications serveurs. Ces 2 applications peuvent être sur la même machine mais généralement les machines sont spécialisées. Les applications serveurs sont sur des machines appelés serveurs Yonel GRUSSON

Système Client/Serveur Communications server Serveur de Base de Données Serveur de Fichiers Serveur de messagerie Serveur d'impression vers WAN, autres LANs et serveurs Yonel GRUSSON De Baeriswyl Philippe

Système Poste à Poste Dans un réseau poste à poste (ou Peer to Peer) les machines du réseau sont à la fois client et serveur Client et Serveur Yonel GRUSSON

Système Poste à Poste Un réseau Microsoft est typiquement un réseau de cette catégorie. Que ce soit avec Windows 2000 (NT4) Serveur ou Professionnel (Workstation) une machine peut partager son disque, ses fichiers, ses imprimantes, ses applications. Par contre un réseau Novell est essentiellement Client/serveur. Un client Novell ne peut pas partager ses ressources et ne peut accéder qu'à un serveur Novell. Yonel GRUSSON

L'offre S.E Réseau (NOS) Unix, le plus ancien. Windows NT et 2000 de Microsoft, avec la moitié du marché environ. Netware de Novell, avec plus du tiers du marché. Part plutôt en baisse. Linux, avec une petite part du marché mais en progression (robustesse d'Unix, produits Apache et Samba et offre en progression) Yonel GRUSSON

D'autres offres… Apple Share d'Apple. IBM LAN Server Basé sur OS/2 (suite de LanManager). Banyan VINES Basé sur UNIX. Artisoft LANtastic. Netscape server products. Yonel GRUSSON

NOS, Protocoles et Modèle OSI NetWare application Windows NT application Other applications TCP/IP Applications AppleTalk stack UNIX application NFS, TCP/IP, proprietary applications AppleShare application AppleShare file service ATFP ATSP TP DDP OSI 7 6 5 4 3 2 1 TCP or UDP IP NetBIOS SPX IPX NetBEUI NCP SMB UNIX NetWare Windows NT Server AppleShare De Baeriswyl Philippe Yonel GRUSSON

L'offre WINDOWS Microsoft Préhistoire : Collaboration Microsoft/IBM pour LanManager sous OS2. 1993 1ère Version en France NT 3.51 (reprise d'OS/2) Interface type Windows 3 1996 Version 4.0 Interface type Windows 95 1999 NT 2000 (Professionnel – Serveur) Interface type Windows 98 Le Plus : Active Directory 2002 XP (Professionnel – Serveur) Yonel GRUSSON

Les caractéristiques de NT Système 32 bits Portabilité sur différentes plates-formes Multi-processeurs Multi-tâches Multi-utilisateurs Yonel GRUSSON

Les fonctions principales de NT Serveur de fichiers Serveur d’impression Serveur de services Intranet et Internet Messsagerie Web Active Directory (à partir de 2000), etc. Serveur de communications (routage) Serveur de sécurité Authentification Accès à distance etc. Yonel GRUSSON

Installation de Windows NT A partir d’un système Dos ou Windows95 Lancer à partir du CD la commande: \i386\winnt /ox Les 3 disquettes d’installation sont créées. ReBooter en utilisant les disquettes. Yonel GRUSSON

Installation de Windows NT L ’installation commence… Vous choisissez : Le type du serveur, Le nom du domaine, Le type des licences, Le mot de passe de l'administrateur Vous configurez le réseau, Vous installez (ou pas) IIS, Terminer par l’installation du dernier Service Pack (5) Yonel GRUSSON

Installation de Windows NT Pour créer une disquette de Boot: Formater la disquette sous NT Copier les fichiers systèmes cachés Boot.ini Ntdetect.com Ntldr Yonel GRUSSON

Installation de Windows NT Pour créer une disquette de réparation d’urgence: Utiliser la commande rdisk -s En cas de problèmes: Booter via les 3 disquettes (ou CD-ROM), choisir "Réparer" puis Insérer la disquette de réparation. Yonel GRUSSON

Les Concepts de WINDOWS NT Domaines Les serveurs Ressources Utilisateurs Droits et permissions Groupes Relation d'approbation Yonel GRUSSON

Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : Un service d'annuaire où les ressources sont regroupées logiquement pour rendre leur localisation plus facile. L’ouverture de session se fait sur l’annuaire Yonel GRUSSON

Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : Un service d'annuaire X500 : Norme internationale NDS : Netware Active Directory : Microsoft (depuis Windows 2000) Yonel GRUSSON

Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : Les Groupes de Travail Les groupes sont informels et contrôlés par les utilisateurs qui mettent en commun leurs ressources. Windows 3, 95, DOS... Yonel GRUSSON

Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : Domaine NT Un domaine est un groupe de travail associé à une gestion administrative centralisée. Il peut y avoir plusieurs serveurs sur un même domaine. Yonel GRUSSON

Les Domaines NT La gestion des ressources sur un réseau peut se faire selon 3 techniques : Domaine NT Un domaine est un groupe de serveurs exécutant Windows NT serveur et se partageant la même base de comptes. Yonel GRUSSON

Les Domaines NT Domaine NT L’utilisateur ouvre une session sur un domaine particulier, il peut accéder à d’autres domaines si des relations d’approbations sont établies. Yonel GRUSSON

RELATION D'APPROBATION Une relation d'approbation permet à un domaine (D2) de reconnaître (approuver) tous les comptes d'un autre domaine (D1) Voir cours sur les relations d'approbation. Yonel GRUSSON

MODELE NT A DOMAINE UNIQUE Les clients ouvrent une session sur un ou plusieurs serveurs qui se partagent une base de comptes Yonel GRUSSON

MODELE NT A DOMAINE MAITRE Relations d ’approbations Yonel GRUSSON

MODELE NT A DOMAINE MAITRE Le domaine maître possède la base de compte. Tous les utilisateurs : se connectent sur ce domaine accèdent aux ressources des autres domaines au travers des relations d'approbation. Yonel GRUSSON

MODELE NT A PLUSIEURS DOMAINES MAITRES Approbation réciproque Comptes A à M Comptes N à Z Yonel GRUSSON

MODELE NT A PLUSIEURS DOMAINES MAITRES Les comptes d'utilisateur sont répartis sur plusieurs domaines maîtres. Ils accèdent aux ressources des autres domaines au travers des relations d'approbation. Les domaines maîtres sont reliés par des relations d'approbation réciproques Yonel GRUSSON

MODELE NT A APPROBATION TOTALE Yonel GRUSSON

MODELE NT A APPROBATION TOTALE Les comptes d'utilisateurs se répartissent sur l'ensemble des domaines. Ils accèdent aux ressources des autres domaines au travers des relations d'approbation réciproques. Yonel GRUSSON

Les SERVEURS Contrôleur principal de Domaine Contrôleur Secondaire Base des Comptes d’utilisateur Contrôleur Secondaire de Domaine Copie de la base des comptes Yonel GRUSSON

Le ou les contrôleurs secondaires (CSD) Les SERVEURS Le Contrôleur principal (CPD) Il supervise le domaine La base de compte s’y trouve enregistré Le ou les contrôleurs secondaires (CSD) Il gère la base de compte par duplication Il passe CPD à l’initiative d’un administrateur Yonel GRUSSON

Le ou les serveurs autonomes Il est utilisé dans des rôles très spécifiques. Serveur d’application de type BD Gestion locale des utilisateurs Yonel GRUSSON

Les SERVEURS Les serveurs ne forment qu'une seule unité administrative relativement au compte d'utilisateur et à la sécurité. Un utilisateur validé par un domaine voit toutes les ressources de ce domaine mais leur utilisation peut être limitée. Yonel GRUSSON

LES RESSOURCES Le rôle primordiale d'un serveur NT après l'authentification de la connexion est de proposer des ressources à l'utilisateur : Ressources Logicielles (Applications, Programmes et Données) Ressources Matérielles (Disques, imprimantes, modem, système de sauvegarde…) Yonel GRUSSON

LES RESSOURCES L'administrateur du réseau devra donc : Créer les ressources et les partager. Sécuriser et protéger les ressources. Les mettre à la disposition des utilisateurs par information, scripts et/ou mise à jour des postes. Yonel GRUSSON

Partage d’une Ressource Disque Arborescence du Serveur REP11 REP10 REP22 REP21 Fichiers ou autres répertoires Le répertoire REP20 est proposé aux utilisateurs sous le nom de RESSOURC REP200 REP201 REP20 X:\ REP1 REP2 Yonel GRUSSON

Les caractéristiques du Partage Nom du partage (RESSOURC) Le chemin d’accès sur le serveur (X:\REP2\REP20) Commentaire Nombre limite d’utilisateurs Maximum Limite précise (contrôle des licences) Les permissions d’accès Yonel GRUSSON

Les caractéristiques du Partage Yonel GRUSSON

Connexion sur une ressource partagée par un client NT WS L'utilisateur doit être informé de l'existence de la ressource (ici RESSOURC) Yonel GRUSSON

Connexion à une ressource partagée L'utilisation d'un disque réseau n'est pas obligatoire pour atteindre un programme présent sur ce disque : \\NomServeur\Ressource\Rep\….\NomProg Cette écriture se nomme Universal Naming Convention (UNC) dont la syntaxe est : \\Nom_Serveur\Nom_Partage\chemin Yonel GRUSSON

Les Ressources Spéciales Lettredisque$ (exemple C$, D$…) répertoire racine du disque du serveur. ADMIN$ - Ressource utilisée par le système pendant l'administration à distance d'un ordinateur. Le chemin d'accès de cette ressource est toujours celui de la racine système de Windows NT. Accessible aux groupes Administrateur, opérateur de sauvegarde et de serveur. Yonel GRUSSON

Les Ressources Spéciales NETLOGON - Ressource utilisée par le service Accès réseau d'un ordinateur Windows NT Server pendant le traitement des demandes d'ouverture de session sur un domaine. PRINT$ - Ressource utilisée lors de l'administration à distance des imprimantes. Yonel GRUSSON

Les Ressources Spéciales REPL$ - Ressource créée par le système si le serveur est configuré comme serveur d’exportation de duplication Le caractère $, placé derrière un nom de partage, permet de cacher cette ressource aux utilisateurs. Elle n'apparaît pas dans le voisinage réseau. Yonel GRUSSON

Partage d’une imprimante Voir cours sur les imprimantes Yonel GRUSSON

Les Comptes d’Utilisateur Concept de base pour l’utilisation des ressources d’un ou plusieurs domaines. Windows NT affecte à chaque utilisateur un numéro Identificateur de sécurité (SID) comme : S-1-5-21-2087915065-398913830-18775600-50 Yonel GRUSSON

Les Comptes d’Utilisateur Un compte se caractérise par : Nom d’utilisateur (unique sur le réseau) Nom détaillé Description du compte Mot de passe Appartenance à un ou plusieurs groupes Horaires d’accès Stations de travail accessibles Date d’expiration du compte Répertoire de base Script d’ouverture de session Profil Un accès à l'accès à distance (RAS) Yonel GRUSSON

Les Comptes d’Utilisateur Outils d'administration / Gestionnaire des utilisateurs Yonel GRUSSON

Les Comptes d’Utilisateur Menu "Utilisateur" - Option "Nouvel Utilisateur" Ou Option "Copier" (F8) Yonel GRUSSON

Les Comptes d’Utilisateur Conditions possibles sur le Mot de passe : Changement à la prochaine session, Impossible de le changer, Il n’expire jamais. Conditions sur le compte : Activé ou Désactivé mais toujours présent dans la base de comptes. Windows NT affecte un numéro Identificateur de sécurité (SID) à chaque utilisateur. Yonel GRUSSON

Les Comptes d’Utilisateur Yonel GRUSSON

Stratégie de création des comptes Yonel GRUSSON

Stratégie de création des comptes Durée Maximale du mot de passe N’expire jamais Dans N jours Durée Minimale du mot de passe Modification possible immédiatement Modification autorisée dans N jours Longueur minimale du mot de passe Mot de passe vide autorisé Longueur minimum X caractères Unicité du mot de passe Pas d’historique Mémoriser les N derniers mots de passe Yonel GRUSSON

Stratégie de création des comptes Verrouillage du compte Après X tentatives d’accès infructueuses Contrôle effectué sur une durée de N minutes En cas de verrouillage Verrouillage permanent (intervention de l’administrateur) Réinitialiser après N minutes Déconnecter de force les utilisateurs lorsque l’horaire d’accès est dépassé. Yonel GRUSSON

Comptes Prédéfinis A l'installation de Windows NT deux comptes d'utilisateurs sont créés automatiquement : Administrateur auquel un mot de passe est affecté lors de l'installation. La création d'un nouveau compte d'administrateur est fortement conseillé. Le compte administrateur peut être renommé mais pas supprimé. Yonel GRUSSON

Comptes Prédéfinis Invité, ce compte est utilisé pour les ouvertures de session effectuées par des utilisateurs qui ne possèdent pas de compte. Un utilisateur dont le compte est désactivé peut se servir de ce compte. Par défaut ce compte est désactivé et n'a aucune permission. Yonel GRUSSON

Droits et Permissions Les droits s'appliquent au système dans son ensemble. Les permissions s'appliquent uniquement à un objet précis (en général un répertoire, un fichier ou une imprimante). Yonel GRUSSON

LES DROITS Gestion des utilisateurs / Menu "Stratégies" / Option "Droit de l'utilisateur Yonel GRUSSON

LES DROITS Les différents droits sont : Accéder à cet ordinateur depuis le réseau Ajouter des stations de travail au domaine Arrêter le système Charger et décharger des pilotes de périphériques Forcer l'arrêt à partir d'un système distant Gérer le journal d'audit et de sécurité Modifier l'heure système Ouvrir une session localement Prendre possession des fichiers ou autres objets Restaurer des fichiers et des répertoires Sauvegarder des fichiers et des répertoires Yonel GRUSSON

LES PERMISSIONS Windows NT supporte deux systèmes de gestion de fichiers : NTFS et FAT. Ces deux systèmes doivent offrir des sécurités sur les partages. Le niveau de sécurité est moindre sur un volume FAT. Ces permissions concernent uniquement les répertoires partagés (pas les fichiers) et s'appliquent aux utilisateurs qui se connectent au travers du réseau Yonel GRUSSON

LES PERMISSIONS Permissions sur les répertoires partagés au travers d'un réseau (Système Minima) Yonel GRUSSON

LES PERMISSIONS Les permissions sur les répertoires partagés (Système minima) Lire (R) Modifier (M) Aucun Accès Contrôle total (R + M) Yonel GRUSSON

LES PERMISSIONS La Sécurité optimale est obtenue avec des volumes NTFS. Elles s'appliquent aux utilisateurs qui interviennent en local et aux utilisateurs qui se connectent au travers du réseau. Cette sécurité est indépendante des partages. Remarque : Ce second type de sécurité ne supprime pas le premier. Yonel GRUSSON

LES PERMISSIONS Permissions sécurisées offertes par NTFS Yonel GRUSSON

LES PERMISSIONS Sur les Répertoires Sur les Fichiers Yonel GRUSSON

Permissions de partage Les permissions sécurisées (NTFS) élémentaires possibles sur les répertoires et les fichiers sont : Lire (R) Écrire (W) Exécuter (X) Supprimer (D) Changer des permissions (P) Prendre possession (O) Combinaison de ces permissions élémentaires. Aucun Accès et Contrôle total Yonel GRUSSON

Permissions de partage En cas de divergence entre les deux systèmes les permissions les plus restrictives «l'emportent». Conseil : Pour les volumes NTFS, utilisez les permissions de fichier et de répertoire pour contrôler la sécurité, aussi bien au niveau local qu'au niveau du réseau, et octroyez au groupe "Tout le monde" la permission "Contrôle Total" sur le partage. Extrait de la documentation NT Yonel GRUSSON

Permissions de partage Niveaux d’implantation des permissions : Les permissions peuvent être définies sur un répertoire ; Elles s'appliquent sur les sous-répertoires et les fichiers qu'il contient et qu'il contiendra (propagation et acquisition des permissions). Les permissions peuvent être définies ou redéfinies sur un fichier individuellement. Elles annulent et remplacent alors les permissions héritées du répertoire. Yonel GRUSSON

Permissions de partage Exemples de permissions : Sur un répertoire : (RWX) (RX) (WX) (Non spécifiés) (Toutes) (Toutes) Les utilisateurs peuvent ajouter des fichiers dans le répertoire et lire les fichiers mais pas les modifier. Les utilisateurs peuvent ajouter des fichiers dans le répertoire mais ne peuvent pas les lire Contrôle total Répertoire Fichier Yonel GRUSSON

Permissions de partage Exemples de permissions : Sur un fichier : (RWXD) (Aucun Accès) Les utilisateurs peuvent lire, modifier et supprimer ce fichier Les utilisateurs n'ont aucun moyen d'accéder au fichier, même s'ils appartiennent à un groupe ayant obtenu un droit d'accès sur ce fichier. Yonel GRUSSON

Permissions de partage Les permissions peuvent être : STANDARDS (Combinaisons de permissions proposées et prédéfinies par Windows NT). PERSONNALISEES ou Accès spécial (Combinaisons de permissions définies par l'administrateur). Yonel GRUSSON

Sécurité sur le partage d’une imprimante Voir cours sur les imprimantes Yonel GRUSSON

Les Groupes Chaque utilisateur possède des permissions sur chaque ressource. UTILISATEURS RESSOURCES Yonel GRUSSON

Les Groupes Très souvent plusieurs utilisateurs ont les mêmes permissions sur les mêmes ressources. UTILISATEURS Groupe 1 RESSOURCES Groupe 2 Yonel GRUSSON

Les Groupes Exemple : 15 utilisateurs et 5 Ressources Sans création de groupe : 75 Combinaisons possibles. Avec la création de 3 Groupes et si chaque utilisateur n'appartient qu'à un seul groupe : 15 (Liens utilisateur / Groupe) + 15 (Liens Groupe / Ressource) Yonel GRUSSON

Les Types de Groupes Groupe GLOBAL Un groupe global contient seulement des comptes d'utilisateur d'un domaine. "Global" car les membres d'un tel groupe sont susceptibles de recevoir des droits et des permissions dans d'autres domaines. Yonel GRUSSON

Les Types de Groupes Groupe LOCAL Un groupe local peut contenir des comptes d'utilisateur d'un domaine et des groupes globaux. Les groupes globaux proviennent du même domaine ou d'autres domaines au travers d'une relation d'approbation. "Local" car les membres d'un tel groupe ne peuvent recevoir des droits et permissions que dans un seul domaine. Yonel GRUSSON

Les Types de Groupes Domaine approbateur A Domaine approuvé B Groupe Global Groupe Global Groupe Local Yonel GRUSSON

Les Groupes Locaux prédéfinis Administrateurs : Les membres ont tous les droits sur le domaine et les serveurs. Utilisateurs : Ne peuvent ouvrir de session locale sur le serveur. Ont les droits définis par les administrateurs. Invités : cf. compte invité. Opérateurs de compte : Peuvent utiliser le gestionnaire des utilisateurs (créer des comptes, des groupes, etc..… Yonel GRUSSON

Groupes Locaux Prédéfinis Opérateurs de sauvegarde : Peuvent sauvegarder et restaurer des fichiers sur les serveurs du domaine. Opérateurs d'impression : Peuvent créer, supprimer et gérer le partage des imprimantes. Opérateurs de serveur : Ont les droits des opérateurs d'impression et de sauvegarde, peuvent créer, supprimer et gérer des ressources partagées. Yonel GRUSSON

Groupes Globaux Prédéfinis Admins du domaine : Il est membre du groupe local "Administrateurs". Le compte "Administrateur" fait partie de ce groupe. Utilisateurs du domaine : Il est membre du groupe local "Utilisateurs". Tous les comptes créés sont ajoutés automatiquement dans ce compte (ils peuvent être supprimés). Invités du domaine : Il contient le compte prédéfini "Invité" Yonel GRUSSON