Administration Win2003 Serveur

http://www.laboratoire-microsoft.
org
Essentiel Windows 2003

ADMINISTRER ET GERER UN ENVIRONNEMENT MICROSOFT WINDOWS SERVER 2003
Auteurs : Yann ALET, Brahim NEDJIMI et Loc THOBOIS

Version 1.0 2004-01-12
Ecole Suprieure dInformatique de Paris 23. rue Chteau Landon 75010 PARIS
www.supinfo.com
Administrer et grer un environnement Microsoft Windows Server 2003
2 / 76
Table des matires

1. INTRODUCTION A LADMINISTRATION DES COMPTES ET DES RESSOURCES................. 7 1.1. LENVIRONNEMENT DE WINDOWS 2003 SERVER .......................................................................................... 7 1.1.1. Rles des serveurs ................................................................................................................................. 7 1.1.2. La Famille Serveur Windows 2003 ....................................................................................................... 7 1.1.3. Prsentation du service dannuaire (Active Directory) ........................................................................ 8 1.1.4. Structure dActive Directory ................................................................................................................. 8 1.2. INSTALLATION ET CONFIGURATION DES OUTILS DADMINISTRATION ............................................................ 9 1.2.1. Installation des outils dadministration ................................................................................................ 9 1.2.2. Prsentation et configuration dune MMC ........................................................................................... 9 1.2.3. Rsolution des problmes lors de linstallation des outils dadministration....................................... 10 1.3. PRESENTATION ET CONFIGURATION DES UNITES DORGANISATIONS ........................................................... 10 1.3.1. Prsentation des units dorganisations ............................................................................................. 10 1.3.2. Model hirarchique des units dorganisation.................................................................................... 10 1.3.3. Dnomination des units dorganisation ............................................................................................ 10 1.3.4. Cration dune unit dorganisation................................................................................................... 11 1.4. DEPLACEMENT DES OBJETS DU DOMAINE .................................................................................................... 11 2. GESTION DES COMPTES DUTILISATEUR ET DORDINATEUR............................................. 12
2.1. CREATION DES COMPTES UTILISATEUR ....................................................................................................... 12 2.1.1. Prsentation des comptes dutilisateurs.............................................................................................. 12 2.1.2. Convention de nom des comptes utilisateurs....................................................................................... 12 2.1.3. Nomenclature de cration de compte utilisateur................................................................................. 12 2.1.4. Mot de passe utilisateur ...................................................................................................................... 13 2.1.5. Cration de compte dutilisateur......................................................................................................... 13 2.2. CREATION DE COMPTES DORDINATEUR...................................................................................................... 13 2.2.1. Prsentation des comptes dordinateurs ............................................................................................. 13 2.2.2. Cration de compte dordinateur ........................................................................................................ 13 2.3. MODIFICATION DES PROPRIETES DES COMPTE DUTILISATEUR ET DORDINATEUR ...................................... 13 2.4. CREATION DE MODELES DE COMPTE UTILISATEUR ...................................................................................... 14 2.4.1. Prsentation dun modles de compte utilisateur ............................................................................... 14 2.4.2. Proprits du modle de compte maintenus lors de la copie .............................................................. 14 2.5. ACTIVATION ET DESACTIVATION DUN COMPTE UTILISATEUR .................................................................... 15 2.6. RECHERCHE DANS ACTIVE DIRECTORY ...................................................................................................... 15 2.6.1. Recherche standard............................................................................................................................. 15 2.6.2. Recherche personnalise..................................................................................................................... 15 2.6.3. Sauvegarde des requtes ..................................................................................................................... 15 3. GESTION DES GROUPES .................................................................................................................... 17
3.1. PRESENTATION DES GROUPES...................................................................................................................... 17 3.1.1. Groupes sur un ordinateur local......................................................................................................... 17 3.1.2. Groupes sur un contrleur de domaine............................................................................................... 17 3.2. CONVENTION DE NOMMAGE DES GROUPES .................................................................................................. 18 3.3. GESTION DES GROUPES ............................................................................................................................... 18 3.3.1. Stratgie dutilisation des groupes dans un domaine unique.............................................................. 18 3.3.2. Stratgie dutilisation des groupes dans un environnement domaine multiple ................................ 19 3.3.3. Modification de ltendue dun groupe ............................................................................................... 19 3.4. GROUPES PAR DEFAUT ................................................................................................................................ 19 3.4.1. Groupes par dfaut sur un serveur membre........................................................................................ 19 3.4.2. Groupes par dfaut dans Active Directory.......................................................................................... 20 3.5. GROUPES SYSTEME ..................................................................................................................................... 20 4. GESTION DACCES AUX RESSOURCES ......................................................................................... 21
4.1. CONTROLE DACCES.................................................................................................................................... 21 4.1.1. Les entits de scurit ......................................................................................................................... 21 4.1.2. Le SID ................................................................................................................................................. 21 4.1.3. DACL - Discretionary Access Control List ......................................................................................... 21
http://www.laboratoire-microsoft.org Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3 / 76
4.2. AUTORISATIONS .......................................................................................................................................... 21 4.2.1. Autorisations standard ........................................................................................................................ 21 4.2.2. Autorisations spciales........................................................................................................................ 22 4.3. ADMINISTRATION DES ACCES AUX DOSSIERS PARTAGES ............................................................................. 22 4.3.1. Description des dossiers partags....................................................................................................... 22 4.3.2. Partage administratifs......................................................................................................................... 22 4.3.3. Cration de dossiers partags............................................................................................................. 22 4.3.4. Publication des dossiers partags....................................................................................................... 22 4.3.5. Autorisations sur les dossiers partags............................................................................................... 23 4.3.6. Connexion un dossier partag.......................................................................................................... 23 4.4. ADMINISTRATION DES ACCES AUX FICHIERS ET DOSSIERS NTFS ................................................................ 23 4.4.1. Prsentation de NTFS ......................................................................................................................... 23 4.4.2. Autorisations sur les fichiers et dossiers NTFS................................................................................... 24 4.4.3. Impact de la copie et du dplacement sur les autorisations NTFS...................................................... 24 4.4.4. Prsentation de lhritage NTFS......................................................................................................... 25 4.4.5. Identification des autorisations effectives ........................................................................................... 25 4.4.6. Cumul des autorisations NTFS et des autorisations de partage ......................................................... 26 4.5. MISE EN PLACE DES FICHIERS HORS CONNEXION ......................................................................................... 26 4.5.1. Prsentation des fichiers hors connexion............................................................................................ 26 5. IMPLEMENTATION DE LIMPRESSION......................................................................................... 28
5.1. PRESENTATION DE LIMPRESSION DANS LA FAMILLE WINDOWS SERVER 2003 ........................................... 28 5.1.1. Terminologie de limpression.............................................................................................................. 28 5.1.2. Types de clients dimpression supports par Windows 2003 .............................................................. 28 5.1.3. Fonctionnement de limpression ......................................................................................................... 29 5.2. INSTALLATION ET PARTAGE DIMPRIMANTES .............................................................................................. 29 5.2.1. Imprimantes locale et imprimantes rseau ......................................................................................... 29 5.2.2. Installation et partage dune imprimante............................................................................................ 29 5.3. AUTORISATIONS DIMPRIMANTES PARTAGEES ............................................................................................ 30 5.4. GESTION DES PILOTES DIMPRIMANTES ....................................................................................................... 30 6. 6.1. 6.2. 6.3. 6.4. 7. ADMINISTRATION DE LIMPRESSION .......................................................................................... 31 CHANGEMENT DE LEMPLACEMENT DU SPOULEUR DIMPRESSION .............................................................. 31 DEFINITION DES PRIORITES DIMPRIMANTES ............................................................................................... 31 PLANIFICATION DE LA DISPONIBILITE DES LIMPRIMANTES ......................................................................... 32 CONFIGURATION DUN POOL DIMPRESSION ................................................................................................ 32 GESTION DACCES AUX OBJETS DANS LES UNITES DORGANISATION............................ 33
7.1. STRUCTURE DES UNITES DORGANISATION ................................................................................................. 33 7.2. MODIFICATION DES AUTORISATIONS SUR LES OBJETS ACTIVE DIRECTORY ................................................. 33 7.2.1. Autorisations sur les objets Active Directory...................................................................................... 33 7.2.2. Dfinitions des autorisations effectives ............................................................................................... 33 7.3. DELEGATION DU CONTROLE DES UNITES DORGANISATION ........................................................................ 34 8. IMPLEMENTATION DES STRATEGIES DE GROUPES ............................................................... 35
8.1. DESCRIPTION DES STRATEGIES DE GROUPE ................................................................................................. 35 8.1.1. Prsentation des stratgies de groupes ............................................................................................... 35 8.1.2. Description des paramtres de configuration des utilisateurs et des ordinateurs .............................. 35 8.2. IMPLEMENTATION DOBJETS DE STRATEGIE DE GROUPE .............................................................................. 35 8.2.1. Les outils permettant dimplmenter les GPO. ................................................................................... 35 8.2.2. Les modles dadministration ............................................................................................................. 36 8.2.3. Description dun lien dobjet de stratgie de groupe.......................................................................... 36 8.2.4. Hritage de lautorisation de stratgie de groupe dans Active Directory .......................................... 36 8.3. ADMINISTRATION DU DEPLOIEMENT DUNE STRATEGIE DE GROUPE ............................................................ 36 8.3.1. Impact de lexistence dobjets de stratgie de groupe conflictuels ..................................................... 36 8.3.2. Attributs dun lien dobjet de stratgie de groupe............................................................................... 37 8.3.3. Filtrage du dploiement dune stratgie de groupe ............................................................................ 37 9. GESTION DE LENVIRONNEMENT UTILISATEUR A LAIDE DES STRATEGIES DE GROUPES ........................................................................................................................................................... 38
4 / 76
9.1. CONFIGURATION DE PARAMETRES DE STRATEGIE DE GROUPE..................................................................... 38 9.1.1. Prsentation des stratgies de groupes ............................................................................................... 38 9.1.2. Paramtres Non configur, Activ et Dsactiv.................................................................................. 38 9.2. ATTRIBUTION DES SCRIPTS AVEC LA STRATEGIE DE GROUPE....................................................................... 38 9.3. CONFIGURATION DE LA REDIRECTION DE DOSSIERS .................................................................................... 39 9.4. DETERMINATION DES OBJETS DE STRATEGIE DE GROUPE ............................................................................ 39 9.4.1. GPUpdate............................................................................................................................................ 39 9.4.2. GPResult ............................................................................................................................................. 40 9.4.3. Rapport de stratgie de groupe........................................................................................................... 40 9.4.4. Simulation de dploiement de GPO .................................................................................................... 40 9.4.5. Rsultat de dploiement de GPO......................................................................................................... 40 10. IMPLEMENTATION DES MODELES DADMINISTRATION ET DES STRATEGIES DAUDIT 41
10.1. VUE DENSEMBLE DE LA SECURITE DANS WINDOWS 2003 .......................................................................... 41 10.2. UTILISATION DE MODELES DE SECURITE POUR PROTEGER LES ORDINATEURS ............................................. 41 10.2.1. Prsentation des stratgies de scurit ............................................................................................... 41 10.2.2. Description des modles de scurit ................................................................................................... 41 10.2.3. Description des paramtres de modles de stratgies......................................................................... 42 10.2.4. Outils de cration et dimportation des modles de scurit personnalis ......................................... 42 10.3. CONFIGURATION DE LAUDIT ...................................................................................................................... 42 10.3.1. Prsentation de laudit........................................................................................................................ 42 10.3.2. Description dune stratgie daudit .................................................................................................... 43 10.4. GESTION DES JOURNAUX DE SECURITE ........................................................................................................ 43 11. PREPARATION DE L'ADMINISTRATION D'UN SERVEUR ........................................................ 45
11.1. PREPARATION DE L'ADMINISTRATION D'UN SERVEUR .................................................................................. 45 11.1.1. Utilisation des appartenances de groupe pour administrer un serveur .............................................. 45 11.1.2. Qu'est-ce que la commande Excuter en tant que ?............................................................................ 45 11.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?.................................................................................... 46 11.1.4. Rle de la console MMC dans le cadre d'une administration distance............................................ 46 11.1.5. Comment crer une MMC pour grer un serveur ? ............................................................................ 47 11.2. CONFIGURATION DE LA FONCTION BUREAU A DISTANCE POUR ADMINISTRER UN SERVEUR ........................ 47 11.2.1. Qu'est-ce que l'outil Bureau distance pour administration ? ........................................................... 47 11.2.2. Que sont les prfrences des ordinateurs clients dans le cadre d'une connexion Bureau distance ? 48 11.2.3. Bureaux distance.............................................................................................................................. 48 11.3. GESTION DES CONNEXIONS AU BUREAU A DISTANCE .................................................................................. 49 11.3.1. Que sont les paramtres de dlai des connexions de Bureau distance ? ......................................... 49 11.3.2. Qu'est-ce que le Gestionnaire des services Terminal Server ? ........................................................... 50 12. PREPARATION DE L'ANALYSE DES PERFORMANCES DU SERVEUR.................................. 51
12.1. PRESENTATION DE L'ANALYSE DES PERFORMANCES DU SERVEUR ............................................................... 51 12.1.1. Pourquoi analyser les performances ?................................................................................................ 51 12.2. ANALYSE EN TEMPS REEL ET PROGRAMMEE ................................................................................................ 51 12.2.1. Qu'est-ce que l'analyse en temps rel et programme ?...................................................................... 51 12.2.2. Qu'est-ce que le Gestionnaire des tches ?......................................................................................... 51 12.2.3. Qu'est-ce que la console Performances ? ........................................................................................... 52 12.2.4. Pourquoi analyser les serveurs distance ?....................................................................................... 52 12.3. CONFIGURATION ET GESTION DES JOURNAUX DE COMPTEUR ...................................................................... 53 12.3.1. Qu'est-ce qu'un journal de compteur ? ............................................................................................... 53 12.3.2. Comment planifier un journal de compteur ? ..................................................................................... 53 12.4. CONFIGURATION DES ALERTES.................................................................................................................... 53 12.4.1. Qu'est-ce qu'une alerte ?..................................................................................................................... 53 12.4.2. Comment crer une alerte ? ................................................................................................................ 54 12.5. CONSEIL DOPTIMISATION DUN SERVEUR .................................................................................................. 54 13. MAINTENANCE DES PILOTES DE PERIPHERIQUES ................................................................. 56
13.1. CONFIGURATION DES OPTIONS DE SIGNATURE DES PILOTES DE PERIPHERIQUES .......................................... 56 13.1.1. Qu'est-ce qu'un priphrique ? ........................................................................................................... 56
5 / 76
13.1.2. Qu'est-ce qu'un pilote de priphrique ?............................................................................................. 56 13.1.3. Qu'est-ce qu'un pilote de priphrique sign ? ................................................................................... 56 13.1.4. Qu'est-ce que la console Gestion des stratgies de groupe ?.............................................................. 57 13.2. UTILISATION DE LA VERSION PRECEDENTE D'UN PILOTE DE PERIPHERIQUE ................................................. 57 14. GESTION DES DISQUES...................................................................................................................... 58
14.1. PREPARATION DES DISQUES ........................................................................................................................ 58 14.1.1. Qu'est-ce que l'outil Gestion des disques ? ......................................................................................... 58 14.1.2. Qu'est-ce que l'outil DiskPart ? .......................................................................................................... 58 14.1.3. Qu'est-ce qu'une partition ? ................................................................................................................ 58 14.1.4. Comment convertir les systmes de fichiers ?..................................................................................... 59 14.2. GESTION DES PROPRIETES D'UN DISQUE ...................................................................................................... 59 14.2.1. Comment effectuer une nouvelle analyse des proprits dun disque ? .............................................. 59 14.3. GESTION DES LECTEURS MONTES ................................................................................................................ 59 14.3.1. Qu'est-ce qu'un lecteur mont ? .......................................................................................................... 59 14.3.2. Quel est l'intrt du lecteur mont ? ................................................................................................... 59 14.3.3. Comment grer un lecteur mont ? ..................................................................................................... 60 14.4. TYPE DE DISQUES ........................................................................................................................................ 60 14.4.1. Utilisation des disques de base ........................................................................................................... 60 14.4.2. Utilisation des disques dynamiques .................................................................................................... 60 14.5. CREATION DE VOLUMES .............................................................................................................................. 62 15. GESTION DU STOCKAGE DES DONNEES ...................................................................................... 63
15.1. GESTION DE LA COMPRESSION DES FICHIERS ............................................................................................... 63 15.1.1. Qu'est-ce que la compression des fichiers ?........................................................................................ 63 15.1.2. Qu'est-ce que la commande compact ? ............................................................................................... 63 15.2. CONFIGURATION DU CRYPTAGE DES FICHIERS ............................................................................................ 64 15.2.1. Qu'est-ce que le cryptage EFS ? ......................................................................................................... 64 15.2.2. Comment crypter un fichier ou un dossier ? ....................................................................................... 65 15.2.3. Quels sont les effets produits par le dplacement ou la copie de fichiers ou de dossiers crypts ?.... 65 15.3. IMPLEMENTATION DES QUOTAS DE DISQUE ................................................................................................. 65 15.3.1. Quest-ce qu'un paramtre de quota de disque ? ................................................................................ 65 15.3.2. Comment activer et dsactiver des quotas de disque ? ....................................................................... 65 15.3.3. Comment ajouter et supprimer des entres de quota de disque ? ....................................................... 66 16. GESTION DE LA RECUPERATION EN CAS D'URGENCE........................................................... 67
16.1. SAUVEGARDE DES DONNEES ....................................................................................................................... 67 16.1.1. Vue d'ensemble de la sauvegarde des donnes ................................................................................... 67 16.1.2. Qui peut sauvegarder les donnes ?.................................................................................................... 67 16.1.3. Qu'est-ce que les donnes sur l'tat du systme ? ............................................................................... 67 16.1.4. Types de sauvegardes.......................................................................................................................... 67 16.1.5. Qu'est-ce que ntbackup ? .................................................................................................................... 68 16.1.6. Qu'est-ce qu'un jeu de rcupration automatique du systme ?.......................................................... 68 16.2. PLANIFICATION DES OPERATIONS DE SAUVEGARDE .................................................................................... 68 16.2.1. Qu'est-ce qu'une opration de sauvegarde planifie ?........................................................................ 68 16.2.2. Comment planifier une opration de sauvegarde ? ............................................................................ 69 16.3. RESTAURATION DES DONNEES .................................................................................................................... 69 16.3.1. Qu'est-ce que la restauration des donnes ?....................................................................................... 69 16.4. CONFIGURATION DES CLICHES INSTANTANES.............................................................................................. 69 16.4.1. Qu'est-ce que les clichs instantans ? ............................................................................................... 70 16.4.2. Comment configurer des clichs instantans sur le serveur ? ............................................................ 70 16.4.3. Logiciel client pour les versions prcdentes des clichs instantans ................................................ 70 16.5. RECUPERATION SUITE A UNE DEFAILLANCE DU SERVEUR ........................................................................... 71 16.5.1. Contrle des paramtres systme au cours du processus damorage ............................................... 71 16.5.2. Modification du comportement au dmarrage laide du fichier Boot.ini......................................... 72 16.5.3. Utilisation des options damorage avances pour rsoudre les problmes de dmarrage ............... 72 16.5.4. Utilisation de la console de rcupration pour dmarrer lordinateur .............................................. 72 16.6. CHOIX D'UNE METHODE DE RECUPERATION EN CAS D'URGENCE .................................................................. 73 16.6.1. Quels sont les outils de rcupration en cas d'urgence ?.................................................................... 73 17. MAINTENANCE DES LOGICIELS A L'AIDE DES SERVICES SUS ............................................ 74
6 / 76
17.1. PRESENTATION DES SERVICES SUS............................................................................................................. 74 17.1.1. Qu'est-ce que Windows Update ?........................................................................................................ 74 17.1.2. Qu'est-ce que la fonctionnalit Mises jour automatiques ?.............................................................. 74 17.1.3. Comparaison entre Windows Update et la fonctionnalit Mises jour automatiques ....................... 74 17.1.4. Qu'est-ce que les services SUS ?......................................................................................................... 74 17.2. INSTALLATION ET CONFIGURATION DES SERVICES SUS .............................................................................. 75 17.2.1. Qu'est-ce qu'un point de distribution du serveur de service SUS ?..................................................... 75 17.2.2. Configurations de serveur requises pour les services SUS ................................................................. 75 17.2.3. Comment installer et configurer les services SUS ? ........................................................................... 75 17.2.4. Configuration de la fonctionnalit Mises jour automatiques ........................................................... 75
7 / 76
1. Introduction ladministration des comptes et des ressources

1.1. Lenvironnement de Windows 2003 Server
1.1.1. Rles des serveurs
De plus en plus dentreprise implmente de multiples technologies afin d'amliorer l'environnement de travail de leurs employs. Ainsi il n'est pas rare de voir une seule machine configure avec Active Directory, le serveur DNS, le serveur DHCP, le partage de connexion Internet, un serveur VPN et excutant aussi les services de partages de fichiers et dimpression. On distingue ainsi un certain nombre de rles : Les contrleurs de domaines : Se sont des serveurs sur lesquels on a install Active Directory et qui soccupe de lauthentification des utilisateurs dans un domaine. Les serveurs de fichiers : Se sont des serveurs qui permettent de crer un espace de stockage partag sur le rseaux. Ils mettent ainsi une partie de leur espace disque disponible sur le rseau. Les serveurs dimpression : Ils permettent de partager une imprimante sur un rseau et de grer la file dattente dimpression de celle-ci. Les serveurs dapplications : Ils permettent une application dutiliser le systme dexploitation comme support afin den utiliser les composants de gestion (ex : serveur de messagerie, de base de donnes, ).
Lensemble de ces rles peuvent tre gr laide de loutil Assistant Configurer votre serveur sous Windows 2003 Server.
1.1.2. La Famille Serveur Windows 2003

Parmi les produits de la famille Windows 2003, il existe quatre systmes dexploitation : Windows 2003 Web, Windows 2003 Standard, Windows 2003 Enterprise et Windows 2003 Datacenter. Mis part pour ldition Web, peu de choses les diffrencient. Le tableau suivant indique la configuration minimale requise pour linstallation de chacun de ces quatre systmes. Windows 2003 Web Edition Windows 2003 Standard Edition Windows 2003 Enterprise Edition 133 MHz ou plus (supporte 8 processeurs au plus) 733 MHz ou plus pour les processeurs de type Itanium Windows 2003 Datacenter Edition 400 MHz ou plus (supporte 64 processeurs au plus) 733 MHz ou plus pour les processeurs de type Itanium
Processeurs
133 MHz ou plus (supporte 2 processeurs au plus)
133 MHz ou plus (supporte 4 processeurs au plus)
8 / 76
Mmoire vive
128Mo minimum 512Mo minimum 256Mo recommands 1Go recommands 128Mo minimum 128Mo minimum 32Go maximum pour 32Go maximum pour 256Mo recommands 256Mo recommands les X86 et 64Go pour les X86 et 512Go 2Go maximum 4Go maximum les processeurs de pour les processeurs type Itanium de type Itanium Disque avec 1,5Go d'espace libre pour linstallation et 2Go pour les Itanium Disque avec 1,5Go d'espace libre pour linstallation et 2Go pour les Itanium
Disque dur
Disque avec 1,5Go d'espace libre pour linstallation
Disque avec 1,5Go d'espace libre pour linstallation
1.1.3. Prsentation du service dannuaire (Active Directory)

Le service Active Directory (Active Directory) permet une gestion centralise. Cela vous donne la possibilit dajouter, de retirer et de localiser les ressources facilement. Ainsi, nous avons : Une administration simplifie : Active Directory offre une administration de toutes les ressources du rseau dun point unique. Un administrateur peut se loguer sur nimporte quel ordinateur pour grer les ressources de tout ordinateur du rseau. Une mise lchelle : Active Directory permet de grer des millions dobjet rparti sur plusieurs sites si cela est ncessaire. Un support standard ouvert : Active Directory utilise DNS pour nommer et de localiser des ressources, ainsi les noms de domaine Windows 2003 sont aussi des noms de domaine DNS. Active Directory fonctionne avec des services de clients diffrents tels que NDS de Novell. Cela signifie quil peut chercher les ressources au travers dune fentre dun browser web. De plus, le support de Kerberos 5 apporte la compatibilit avec les autres produits qui utilisent le mme mcanisme dauthentification.
1.1.4. Structure dActive Directory

La structure dActive Directory est hirarchique, elle se dcompose comme suit : Objet : reprsente une ressource du rseau qui peut-tre par exemple un ordinateur ou un compte utilisateur. Classe : description structurelle dobjet tels les comptes dutilisateurs, ordinateurs, domaines, ou units organisationnelles. Unit organisationnelle (OU) : container utilis pour organiser les objets dun domaine lintrieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes dutilisateurs, les fichiers partags, les applications et mme dautres units organisationnelles. Domaine : chacun des objets dun rseau existe dans un domaine et chaque domaine contient les informations des objets quil contient. Un domaine est scuris, cest dire que laccs aux objets est limit par des ACL (Access Control List). Les ACL contiennent les permissions, associes aux objets, qui dterminent quels utilisateurs ou quels types dutilisateurs peuvent y accder. Dans Windows 2003, toutes les stratgies de scurit et les configurations (telles
9 / 76
les droits administratifs) ne se transmettent pas dun domaine lautre. Ladministrateur de domaine peut dterminer les stratgies uniquement lintrieur de son propre domaine. Arbre : cest un groupement ou un arrangement hirarchique dun ou plusieurs domaines Windows 2003 qui partagent des espaces de noms contigus (par exemple : administration.supinfo.com, comptabilit.supinfo.com, et training.supinfo.com). Tous les domaines dun mme arbre partagent le mme schma commun (la dfinition formelle de tous les objets qui peuvent tre enregistrs dans une architecture dActive Directory) et partagent un catalogue commun. Fort : cest un groupement ou un arrangement hirarchique dun ou plusieurs arbres qui ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com). Tous les arbres dune fort partagent le mme schma commun et le mme catalogue, mais ont des structures de noms diffrentes. Les domaines dune fort fonctionnent indpendamment les uns des autres, mais les forts permettent la communication dun domaine lautre. Sites : combinaison dune ou plusieurs IP de sous rseau connects par des liens hauts dbits. Ils ne font pas partie dun espace de nommage dActive Directory, et ils contiennent seulement les ordinateurs, les objets et les connexions ncessaires pour configurer la rplication entre sites. Ils permettent dintgrer la topologie physique du rseau dans Active Directory.
1.2. Installation et configuration des outils dadministration

1.2.1. Installation des outils dadministration
Les outils dadministration permettent la gestion des serveurs distance. Ils peuvent tre installs sur nimporte quelle machine sous Windows 2003 par lintermdiaire de adminpak.msi qui se trouve dans le dossier i386 du CD ROM dinstallation du systme. Les outils dadministration sont installs par dfaut sur le contrleur de domaine. Il peut tre utile, pour des raisons de scurit, dutiliser les outils dadministration en ayant ouvert une session avec votre compte de domaine basique et en utilisant la commande Excuter en tant que pour lancer les outils dadministration.
1.2.2. Prsentation et configuration dune MMC

Windows 2003 (toutes versions) intgre un modle d'outils d'administration nomm MMC (Microsoft.Managment Console) qui donne la possibilit aux administrateurs de crer eux-mmes leur propre console d'administration. Il suffit pour cela d'intgrer les composants logiciels enfichables (snap-in) couramment utiliss. Cela permet aussi de mettre disposition des administrateurs subalternes des outils d'administration personnaliss. Ainsi un administrateur ayant pour unique fonction la maintenance des comptes du domaine ne pourra supprimer un utilisateur ou un groupe par erreur puisque l'option de suppression n'apparatra pas dans sa console. Afin de pouvoir crer une MMC personnalise, il vous suffit de suivre la procdure suivante :
10 / 76
Allez dans le menu Dmarrer / Excuter (-R). Tapez MMC, puis Entrer. Dans le menu console, slectionnez Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter et slectionnez le composant que vous souhaitez ajouter votre console (Notez que linterface de cette fentre est trompeuse: si vous double-cliquez sur un composant ou si vous cliquez sur Ajouter, le composant est ajout la liste sans aucune confirmation).
1.2.3. Rsolution des problmes lors de linstallation des outils dadministration

Si des problmes surviennent lors de linstallation des outils dadministration, deux raisons principales peuvent en tre la cause : Permissions insuffisantes : Seul les utilisateurs membres du groupe Administrateurs on les privilges suffisants pour pouvoir installer les outils dadministration. Systme dexploitation non support : Seul Windows XP et Windows 2003 supporte linstallation des outils dadministration.
Si des problmes de liens morts dans laide surgissent : Lors de linstallation des outils dadministrations sur Windows XP, laide peut faire rfrence aux fichiers daide de Windows 2003 Server et ainsi gnrer des erreurs. Pour rsoudre ce problme, il suffit de copier le fichier daide de Windows 2003 Server sur la station Windows XP.
1.3. Prsentation et configuration des units dorganisations

1.3.1. Prsentation des units dorganisations
Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation.
Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex : reprsentation physique des objets ou reprsentation logique). Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon lorganisation des objets.
1.3.2. Model hirarchique des units dorganisation

Afin de pouvoir utiliser les proprits de gestion associe aux units dorganisation, il est ncessaire de construire un model hirarchique dimbrication des units dorganisation.
1.3.3. Dnomination des units dorganisation

Plusieurs mthodes de dnomination permettent de pointer sur une unit dorganisation :
11 / 76
Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que son chemin daccs complet (ex : OU=Recherche, DC=labo-microsoft, DC=lan) Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son conteneur (ex : Recherche). Le nom canonique : apportant autant dinformation que les noms uniques, il est utilis dans certains outils dadministration (ex : labo-microsoft.lan/Recherche).
1.3.4. Cration dune unit dorganisation

Deux possibilits soffre vous pour crer une unit dorganisation : Interface graphique : dans loutil dadministration Utilisateurs et ordinateurs Active Directory. Ligne de commande : avec loutil dsadd ou OrganizationalUnitDomainName [-desc Description] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]
1.4. Dplacement des objets du domaine

Dans certaine condition, il est utile de modifier lemplacement dun objet (utilisateur, ordinateur, ) dune unit dorganisation une autre dans le cadre dun changement de poste par exemple. Cette manipulation se fait dans loutil dadministration Utilisateurs et ordinateurs Active Directory.
12 / 76
2. Gestion des comptes dutilisateur et dordinateur

2.1. Cration des comptes utilisateur
2.1.1. Prsentation des comptes dutilisateurs
Les Comptes dutilisateurs permettent aux utilisateurs daccder aux ressources du rseau. Ils sont associs un mot de passe et fonctionnent dans un environnement dfinit (machine local ou domaine). Un utilisateur disposant dun compte de domaine pourra sauthentifier sur toutes les machines du domaine (sauf restriction explicite de ladministrateur). Un utilisateur disposant dun compte local ne pourra sauthentifier que sur la machine o est dclar le compte. Compte local : Les informations de Comptes dutilisateurs sont stockes localement sur les machines hbergeant les ressources rseau. Si une modification doit tre apporte un compte, celle-ci devra tre rpercute manuellement sur toutes les machines o le compte existe. Compte de domaine : Les informations de comptes sont centralises sur un serveur, dans lannuaire des objets du rseau. Si une modification doit tre apporte un compte, elle doit tre effectue uniquement sur le serveur qui la diffusera lensemble du domaine.
2.1.2. Convention de nom des comptes utilisateurs

On distingue quatre mthodes pour nommer un compte utilisateur : Le nom douverture de session (login) : thoboi_l Le nom douverture de session pr-windows : ESI\thoboi_l Le nom dutilisateur principal : thoboi_l@esi-supinfo.lan Le nom unique LDAP : CN=thoboi_l, CN=users, DC=esi-supinfo, DC=lan
Un login ne peut dpasser les 20 caractres, il prend en compte la casse et ne peut contenir de caractre spciaux comme : " / \ [ ] : ; | = , + * ? < >.
2.1.3. Nomenclature de cration de compte utilisateur

Un login doit obligatoirement tre unique dans son domaine. Ainsi il est ncessaire dans une grosse entreprise de crer une nomenclature de cration de login prenant en compte des particularits de nom comme les membres dune mme famille travaillant dans lentreprise. Il peut tre intressant aussi didentifier dans le login des employes temporaire (ex : T_thoboi_l). Une fois le compte crer, il suffit de le placer dans lunit dorganisation correspondant au dpartement de lutilisateur.
13 / 76
2.1.4. Mot de passe utilisateur

A la cration dun utilisateur, il est possible de spcifier un certain nombre de proprits concernant la gestion des mots de passe : Lutilisateur doit changer de mot de passe la prochaine ouverture de session : cette option permet de dfinir un mot de passe temporaire lors de la cration dun compte ou de la rinitialisation du mot de passe et dobliger ensuite lutilisateur le modifier. Lutilisateur ne peut pas changer de mot de passe : cette option permet de bloquer la fonctionnalit de modification de mot de passe. Le mot de passe nexpire jamais : particulirement utile pour les comptes de service, cette option permet de sassurer que le compte en question ne soit pas assujetti au rgle de stratgie de compte. Le compte est dsactiv : Permet de dsactiver un compte sans le supprimer.
2.1.5. Cration de compte dutilisateur

La cration dun utilisateur se fait via loutil graphique dadministration Utilisateurs et ordinateurs Active Directory ou laide de loutil en ligne de commande dsadd user (dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn FirstName] [-ln LastName] [-display DisplayName] [-pwd {Password|*}).
2.2. Cration de comptes dordinateur

2.2.1. Prsentation des comptes dordinateurs
Un compte dordinateur nexiste que dans un environnement de domaine, il permet didentifier chaque ordinateur qui a accs la base de compte Active Directory notamment pour lauthentification des utilisateurs. Les comptes dordinateur sont particulirement utiles pour la scurit et la gestion centralise : Ainsi on va pouvoir utiliser ces comptes pour configurer des audits, IPSec, les audits, le dploiement de logiciel, et les stratgies de scurit,.
2.2.2. Cration de compte dordinateur

La cration dun compte dordinateur se fait via loutil graphique dadministration Utilisateurs et ordinateurs Active Directory ou laide de loutil en ligne de commande dsadd computer (dsadd computer ComputerDomainName [-samid SAMName] [-desc Description] [-loc Location] [-memberof GroupDomainName ..] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | uci}]). Une autre possibilit soffre vous pour crer un compte dordinateur est de le crer partir du client lorsque celui-ci se joint au domaine. Dans ce cas, le compte dordinateur est cr dans le conteneur Computer.
2.3. Modification des proprits des compte dutilisateur et dordinateur
14 / 76
Une fois le compte cr, il est possible den modifier les proprits. La premire utilit est den mettre jour les informations, la seconde est daccder des proprits qui ne sont pas disponible lors de la procdure de cration de compte. Les diffrentes modifications qui vont tre apport aux comptes peuvent avoir plusieurs utilits : - Faciliter la recherche : le dpartement, le bureau, - Permettre de centraliser des informations lies au compte : le tlphone, lemail, Afin de modifier ces proprits, il vous suffit dutiliser loutil graphique dadministration Utilisateurs et ordinateurs Active Directory et dafficher les proprits de lobjet en double-cliquant dessus. Il est a not que dans ce mode graphique il est possible de slectionner plusieurs utilisateur afin de raliser des modifications en "masse". Une autre solution est dutiliser loutil en ligne de commande dsmod [user | computer] : dsmod user UserDN ... [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [empid EmployeeID] [-pwd (Password | *)] [-desc Description] [-office Office] [-tel PhoneNumber] [-email E-mailAddress] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}] dsmod computer ComputerDN ... [-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
2.4. Cration de modles de compte utilisateur

2.4.1. Prsentation dun modles de compte utilisateur
Un modle de compte est un compte utilisateur gnrique contenant les informations communes tous les comptes ayant le mme rle dans lentreprise. Une fois ce modle de compte cr (en utilisant la mme procdure que nimporte quel compte utilisateur), il suffira de le dupliquer chaque cration dun nouveau compte correspondant au rle. Ainsi le nouveau compte cr, hritera des proprits de modle. Pour des raisons de scurit il est ncessaire de dsactiver lensemble des modles de compte afin quil ne soit pas utilis pour entrer dans le systme. De plus il est conseill didentifier les modles de compte par une lettre significative en dbut de nom (ex : M_<nom_du_modele>).
2.4.2. Proprits du modle de compte maintenus lors de la copie

Lorsquun modle de compte est dupliqu, lensemble de ces proprits nest pas copi, la liste qui suit vous informe des proprits qui le sont : Onglet Adresse : Lensemble des informations est copi, lexception de la proprit Adresse. Onglet Compte : Lensemble des informations est copi, lexception de la proprit Nom douverture de session de lutilisateur qui est rcupr de lassistant de duplication de compte. Onglet Profil : Lensemble des informations est copi, lexception des proprits Chemin du profil et Dossier de base qui sont modifis pour reflter le changement de nom douverture de session.
15 / 76
Onglet Organisation : Lensemble des informations est copi, lexception de la proprit Titre. Membre de : Lensemble des informations est copi.
2.5. Activation et dsactivation dun compte utilisateur

Chaque compte utilisateur bnficie dun identifiant unique interne, Active Directory ou la base SAM, qui permet de lidentifier. Cet identifiant appel SID est utilis notamment par le systme de scurit de Windows 2003. Lorsque lon supprime un compte et que lon recr ce compte, mme avec des informations strictement identique, celui-ci se voit affecter un nouveau SID. Il perd ainsi lensemble de son contexte de scurit. Afin dviter davoir reconfigurer lensemble des droits et autorisations du compte utilisateur, il est conseill de toujours dsactiv les comptes utilisateur (lutilisateur ne pourra plus lutiliser) dans un premier temps. Aprs vrification, si la suppression peut se faire dans de bonne condition, vous pouvez la raliser. Lactivation et la dsactivation se fait via loutil graphique dadministration Utilisateurs et ordinateurs Active Directory ou laide loutil en ligne de commande dsmod user UserDN -disabled {yes|no}.
2.6. Recherche dans Active Directory

2.6.1. Recherche standard
Une fois les comptes dutilisateurs et dordinateurs cr, des outils sont mis votre disposition pour pouvoir effectuer des recherches dans lannuaire. Ces recherches peuvent tre dfinis selon divers critre comme le type dobjet, les valeurs des proprits de ces objets. Pour lancer loutil de recherche, il suffit de lancer soit loutil de recherche graphique Utilisateurs et Ordinateurs Active Directory. Vous pouvez aussi utiliser loutil en ligne de commande dsquery user ou dsquery computer : dsquery user [{StartNode | forestroot | domainroot}] [-o {dn | rdn | upn | samid}] [-scope {subtree | onelevel | base}] [-name Name] [-desc Description] [-upn UPN] [-samid SAMName] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}] dsquery computer [{StartNode | forestroot | domainroot}] [-o {dn | rdn | samid}] [-scope {subtree | onelevel | base}] [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks] [stalepwd NumberOfDays] [-disabled] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]
2.6.2. Recherche personnalise

Il vous est possible aussi de raliser des requtes personnalises directement en LDAP. Pour cela, il vous suffit de slectionner loption Recherche personnalise dans loption Recherche :.
2.6.3. Sauvegarde des requtes
16 / 76
Une nouveau rpertoire fait son apparition dans loutil Utilisateurs et ordinateurs Active Directory. Il permet de crer, organiser et sauvegarder des requtes LDAP. Cela permet deffectuer les recherches courantes plus rapidement. Une fonctionnalit dexport au format XML est aussi disponible pour chacune des requtes sauvegardes.
17 / 76
3. Gestion des groupes

3.1. Prsentation des groupes
Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du rseau. Les groupes permettent daffecter en une seule action une ressource un ensemble dutilisateurs au lieu de rpter laction pour chaque utilisateur. Un utilisateur peut tre membre de plusieurs groupes. Il y a deux emplacements o lon peut trouver les groupes :
3.1.1. Groupes sur un ordinateur local

Ils permettent daccorder des permissions uniquement au niveau de la machine. Dans le cas dune machine non-reli un domaine, il est possible dinclure uniquement les comptes locaux. Les groupes locaux sont crs laide de loutil Gestion de lordinateur, puis dans le composant enfichable Utilisateurs et groupes locaux.
3.1.2. Groupes sur un contrleur de domaine

Ils sont utilisables sur lensemble des machines du domaine et permettent davoir une gestion centralise de la hirarchie des groupes. Ils peuvent contenir des utilisateurs du domaine et mme dautres domaines. Les groupes de domaine sont crs laide de loutil dadministration Utilisateurs et ordinateurs Active Directory et cela dans nimporte quel unit dorganisation prsente ou laide de loutil en ligne de commande dsadd group GroupDN -samid SAMName -secgrp yes | no -scope l | g | u.
3.1.2.1.
Type de groupe
Il existe deux types de groupes dans Active Directory : Les groupes de scurit : permettent daffecter des utilisateurs et des ordinateurs des ressources. Peux aussi tre utilis comme groupe de distribution. Les groupes de distribution : exploitables entre autres via un logiciel de messagerie. Ils ne permettent pas daffecter des ressources aux utilisateurs.
3.1.2.2.
Etendue des groupes
Les deux types de groupes dans Active Directory grent chacun 3 niveaux dtendue. Leurs fonctionnements vont dpendre du niveau fonctionnel du domaine qui peut varier entre mixte, natif 2000 et natif 2003. Selon le mode fonctionnel les fonctionnalits des groupes changent :
3.1.2.2.1. Les groupes globaux:
Membres Membres de Etendue Autorisations pour
Mode mixte Mode natif Comptes dutilisateurs du mme Comptes dutilisateurs et groupes domaine globaux du mme domaine Groupes locaux du mme domaine Groupes locaux de domaines Visibles dans leur domaine et dans tous les domaines approuvs Tous les domaines de la fort
3.1.2.2.2. Les groupes locaux de domaine :
18 / 76
Mode mixte Comptes dutilisateurs et groupes globaux de tout domaine Membres
Membres de Etendue Autorisations pour
Membres daucun groupe
Mode natif Comptes dutilisateurs, groupes globaux et groupes universels dun domaine quelconque de la fort, et groupes locaux de domaine du mme domaine Groupes locaux de domaine du mme domaine
Visibles dans leur propre domaine Le domaine dans lequel le groupe local de domaine existe
3.1.2.2.3. Les groupes universels :
Mode mixte Non utilisables Membres Membres de Etendue Autorisations pour
Mode natif Comptes dutilisateurs, groupes globaux et autres groupes universels dun domaine quelconque de la fort. Non utilisables Groupes locaux de domaine et universels de tout domaine. Visibles dans tous les domaines de la fort Tous les domaines de la fort
3.1.2.3.
Proprits Gr par
La proprit gestionnaire des groupes utilisateurs permet de connatre le responsable dun groupe. Cela permet aussi via loption Le gestionnaire peut mettre jour la liste des membres den modifier les membres.
3.2. Convention de nommage des groupes

Il est conseill de toujours identifier ltendue voir le type de groupe en ajoutant une lettre au dbut du nom du groupe. Exemple : G_nom : Groupe global U_nom : Groupe Universel DL_nom : Groupe de domaine local
3.3. Gestion des groupes

3.3.1. Stratgie dutilisation des groupes dans un domaine unique
La stratgie recommande pour les groupes globaux et locaux dans un domaine unique est la suivante : Ajoutez les comptes dutilisateur aux groupes globaux. Ajoutez les groupes globaux un autre groupe global (dans le cas dun environnement natif). Ajoutez les groupes globaux un groupe local de domaine. Affectez les autorisations sur les ressources au groupe local de domaine.
. Cette stratgie est aussi appele A G DL P.
19 / 76
3.3.2. Stratgie dutilisation des groupes dans un environnement domaine multiple

Dans chaque domaine, ajoutez aux groupes globaux des comptes dutilisateurs ayant la mme fonction. Imbriquez des groupes globaux dans un seul groupe global pour intgrer les utilisateurs. Cette tape nest utile que si vous grez un grand nombre dutilisateurs. Imbriquez des groupes globaux dans un groupe universel. Ajoutez les groupes universels aux groupes locaux du domaine pour grer laccs aux ressources. Affectez aux groupes locaux des autorisations appropris sur les ressources.
. Cette stratgie est aussi appele A G G U DL P.
3.3.3. Modification de ltendue dun groupe

Dans certain cas, il peut tre utile de modifier ltendue dun groupe dans Active Directory. Groupe global vers universel : Ceci nest possible que si le groupe nest pas lui-mme membre dun groupe global. Groupe global vers domaine local : Il nest pas possible de modifier directement un groupe global vers un groupe universel. Pour raliser cette modification, il est obligatoire de modifier le groupe global en groupe universel, puis en groupe de domaine local. Groupe de domaine local vers universel : Ceci nest possible que si le groupe nest pas lui-mme membre dun groupe de domaine local. Groupe universel vers global : Ceci nest possible que si le groupe nest pas lui-mme membre dun groupe universel. Groupe universel vers domaine local : Aucune limitation bexiste dans ce cas.
3.4. Groupes par dfaut

Les groupes par dfaut possdent des droits et des autorisations prdfinis qui permettent de faciliter la mise en place dun environnement scuris. Ainsi un certain nombre de rle courant, sont directement applicable en faisant membre du groupe par dfaut adquat lutilisateur qui lon souhaite donner des droits ou autorisations. Ces groupes et les droits qui leurs sont associs sont cr automatiquement.
3.4.1. Groupes par dfaut sur un serveur membre

Les groupes par dfaut sur un serveur membre sont stocks dans la base de compte local de la machine et sont visibles via le composant enfichable Utilisateurs et groupes locaux de la console dadministration Gestion de lordinateur. Ils sont crs automatiquement lors de linstallation de Windows 2003. Voici les rles et les proprits de certains dentre eux : Plein pouvoir sur le serveur. Lorsquun serveur est ajout au domaine, le groupe Admin. du domaine est ajout ce groupe. Un profil temporaire est cr pour lutilisateur que lon place dans ce groupe.
Administrateurs Invits
20 / 76
Utilisateurs avec pouvoir Utilisateurs Oprateurs dimpression
Peut crer des comptes utilisateurs et les grer. Peut crer des groupes locaux et les grer. Peut crer des ressources partages. Peut lancer des applications, utiliser les imprimantes. Peut grer les imprimantes et les files dattentes
Certain groupe par dfaut ne sont disponible que lorsque un service prcis est install comme les services DHCP et WINS qui installent les groupes par dfaut Administrateurs DHCP, Utilisateurs DHCP, Utilisateurs WINS.
3.4.2. Groupes par dfaut dans Active Directory

Les groupes par dfaut dans Active Directory sont stocks dans la base Active Directory et sont visibles via la console dadministration Utilisateurs et ordinateurs Active Directory dans les conteneurs Builtin et Users. Ils sont crs automatiquement lors de linstallation dActive Directory. Voici les rles et les proprits de certains dentre eux : Oprateurs de compte Oprateurs de serveur Contrleurs de domaine Invits du domaine Utilisateurs du domaine Ordinateurs du domaine Administrateurs du domaine Administrateurs de lentreprise Administrateurs du schma Les membres de ce groupe peuvent grer les comptes utilisateurs. Les membres de ce groupe peuvent administrer les serveurs du domaine. Ce groupe contient tous les comptes dordinateurs des contrleurs de domaine. Les membres de ce groupe vont bnficier dun profil temporaire. Contient tout les utilisateurs du domaine. Tous les utilisateurs crs du domaine sont membre de ce groupe Ce groupe contient tous les ordinateurs du domaine Ce groupe contient les utilisateurs administrateurs du domaine. Ce groupe contient les administrateurs de lentreprise. Permet de crer les relations dapprobations entre domaines. Ce groupe contient les utilisateurs capables de faire des modifications sur le schma Active Directory.
3.5. Groupes systme

Les groupes systmes sont des groupes dont les membres sont auto grer par le systme. Ces groupes sont particulirement utiles dans le cas daffectations dautorisations. Anonymous Logon Tout le monde Rseau Utilisateurs authentifis Crateur propritaire Reprsentent les utilisateurs qui ne ce sont pas authentifis. Tous les utilisateurs se retrouve automatiquement dans ce groupe. Regroupe les utilisateurs connects via le rseau. Regroupe les utilisateurs authentifis. Reprsente lutilisateur qui est propritaire de lobjet.
21 / 76
4. Gestion daccs aux ressources

4.1. Contrle daccs
Le systme de contrle daccs dans Windows 2003 est bas sur trois composants qui permettent la dfinition du contexte de scurit des lments du systme. Ces trois lments sont : Les entits de scurit Le SID DACL Discretionary Access Control List
4.1.1. Les entits de scurit

Les entits de scurit peuvent tre un compte utilisateur, dordinateur ou un groupe. Ils permettent daffecter laccs un objet en le reprsentant dans le systme informatique.
4.1.2. Le SID
Toutes les entits de scurit sont identifies dans le systme par un numro unique appel SID. Ce SID est li la vie de lobjet, ainsi si lon supprime un groupe et quon le recre ce mme groupe juste aprs (mme nom, mme proprits), celui-ci se verra attribuer un nouveau SID. Lensemble des dfinitions de scurit tant bas sur ce SID, les accs donn au groupe supprim ne seront pas transfr au nouveau groupe.
4.1.3. DACL - Discretionary Access Control List

Les DACL sont associ chaque objet sur lequel on va dfinir un contrle daccs. Les DACL sont composes dACE (Access Control Entry) qui dfinissent les accs lobjet. Les ACE se compose de la faon suivante : Le SID de lentit qui lon va donner ou refuser un accs. Les informations sur laccs (ex : Lecture, Ecriture, ) Les informations dhritage. Lindicateur de type dACE (Autoriser ou refuser). A chaque tentative daccs une ressource, cette liste sera parcourue afin de dterminer si laction voulue peut tre ralise.
4.2. Autorisations
4.2.1. Autorisations standard
Les autorisations permettent de fixer le niveau daccs quont les entits de scurit (pour un compte utilisateur, groupe dutilisateurs ou ordinateur) sur une ressource. Les ressources utilisant ce systme dautorisations pour rguler leurs accs sont multiples (Registre, Fichiers, Imprimantes, Active Directory, )
22 / 76
4.2.2. Autorisations spciales

Les autorisations standard sont limites aux actions de base sur un objet (ex : Lecture, Modifier, Contrle Total, ). Aussi pour pouvoir granuler de faon plus prcise les autorisations vous avez accs via le bouton Avanc une liste tendue dautorisations.
4.3. Administration des accs aux dossiers partags

4.3.1. Description des dossiers partags
Le partage dun dossier permet de rendre disponible lensemble de son contenu via le rseau. Par dfaut, lors de la cration dun partage, le groupe Tout le monde bnficie de lautorisation Lecture . Il est possible de cacher le partage dun dossier en ajoutant le caractre $ la fin du nom. Pour pouvoir y accder il sera obligatoire de spcifier le chemin UNC complet (\\nom_du_serveur\nom_du_partage$).
4.3.2. Partage administratifs

Windows 2003 cre automatiquement des partages administratifs. Les noms de ces partages se terminent avec un caractre $ qui permet de cacher le partage lors de l'exploration par le rseau. Le dossier systme (Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine de chaque volume (c$, d$, ) constituent autant de partages administratifs. Seul les membres du groupe Administrateurs peuvent accder ces partages en accs Contrle Total. Le partage IPC$ permet laffichage des ressources partages (dossiers partags, imprimantes partags).
4.3.3. Cration de dossiers partags

Sur des machines Windows 2003 Serveur en mode autonome ou serveur membre, seul les membres des groupes Administrateurs et Utilisateurs avec pouvoirs peuvent crer des dossiers partags. Sur des machines contrleur de domaine Windows 2003 Serveur, seul les membres des groupes Administrateurs et Oprateurs de serveurs peuvent crer des dossiers partags. Pour pouvoir crer un partage vous avez trois possibilits : Loutil dadministration Gestion de lordinateur laide du composant logiciel enfichable Dossier partags . Lexplorateur par le biais du menu contextuel de tous les dossiers de larborescence. La commande NET SHARE (net share NomDossierPartag=Unit:Chemin).
4.3.4. Publication des dossiers partags

Grce Active Directory, il est possible aux utilisateurs de retrouver un partage du domaine en faisant une recherche sur des mots cls. Pour mettre en place cette fonctionnalit, il suffit de crer un objet Dossier partag laide de la console Utilisateurs et ordinateurs Active Directory et de spcifier lors de sa cration, le chemin UNC
23 / 76
permettant daccder physiquement ce partage (lobjet Active Directory ntant quun raccourci vers la ressource physique). Il est aussi possible dautomatiser cette tache en cochant loption Publier ce partage dans Active Directory laide de loutil dadministration Gestion de lordinateur et du composant enfichable Dossier Partag directement sur le serveur qui hberge la ressource. Suite la publication, rien ne vous empche si le serveur hbergeant le partage de fichier tombe en panne de modifier le raccourci de lobjet Active Directory pour le faire pointer vers un nouveau serveur accueillant le partage temporairement. Les utilisateurs ne perdent donc plus trace de leurs ressources.
4.3.5. Autorisations sur les dossiers partags

Chaque dossier partag peut tre protger par une ACL qui va restreindre sont accs spcifiquement aux utilisateurs, groupes ou ordinateurs qui y accdent via le rseau. Il existe trois niveaux dautorisations affectables : Lecture : Permet dafficher les donnes et dexcuter les logiciels. Modifier : Comprend toutes les proprits de lautorisation lecture avec la possibilit de crer des fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus. Contrle total : Comprend toutes les proprits de lautorisation Modifier avec la possibilit de modifier aux travers du rseau les autorisations NTFS des fichiers et dossiers.
Les trois niveaux dautorisations sont disponibles en Autoriser ou en Refuser en sachant que les autorisations de refus sont prioritaires. Pour affecter des autorisations de partage, vous avez deux solutions : A laide de loutil dadministration Gestion de lordinateur et du composant enfichable Dossier Partag . A laide de lexplorateur dans les proprits du dossier partag.
4.3.6. Connexion un dossier partag

Afin quun client puisse accder un dossier partag, plusieurs moyen sont disponible : Favoris rseau : Permet de crer des raccourci vers les partages dsir. Lecteur rseau : Permet dajouter le dossier partag directement dans le poste de travail en lui attribuant une lettre. Excuter : Permet daccder ponctuellement la ressource en spcifiant simplement le chemin UNC daccs la ressource.
4.4. Administration des accs aux fichiers et dossiers NTFS

4.4.1. Prsentation de NTFS
NTFS est un systme de fichiers qui offre les avantages suivants : Fiabilit : NTFS est un systme de fichier journalis. En cas de problme ce journal sera utilis pour analyser les parties du disques qui ont pos problmes (cela vite le scandisk de lintgralit du disque que lon avait sous Windows 98).
24 / 76
Scurit : Le systme NTFS prend en charge le cryptage de fichier avec EFS. EFS permet dviter des problmes comme lespionnage industriel en empchant lexploitation des donnes mme si le disque durs est vol. NTFS permet aussi lutilisation dautorisation NTFS qui permettent de restreindre laccs aux donnes de la partition. Gestion du stockage : NTFS permet la compression de donnes transparentes pour tout les fichiers stockes sur la partition. Il permet aussi limplmentation de la gestion de quota pour restreindre de faon logique lespace que peux utiliser un utilisateur sur une partition.
Lutilisation de systme de fichier comme FAT et FAT32 est recommand uniquement pour faire du dual boot entre des systmes Windows 2003 et dautres systmes dexploitation tels que DOS 6.22, Win 3.1 ou Win 95/98. Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS. Les partitions NTFS ne peuvent pas tre converties vers FAT ou FAT32, la partition doit alors tre efface et recre en tant que FAT ou FAT32.
4.4.2. Autorisations sur les fichiers et dossiers NTFS

Les autorisations NTFS permettent de dfinir les actions que vont pouvoir effectuer les utilisateurs, groupes ou ordinateurs sur les fichiers.
4.4.2.1.

Autorisations sur les fichiers
Contrle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la possibilite de modifier les autorisations du fichier. Modification : Permet de modifier, supprimer, lire et crire les fichiers. Lecture et excutions : Permet de lire les fichiers et dexcuter les applications. Ecriture : Permet dcraser le fichier, de changer ses attributs et dafficher le propritaire. Lecture : Permet de lire le fichier, dafficher ses attributs, son propritaire et ses autorisations.
4.4.2.2.

Autorisations sur les dossiers
Contrle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la possibilite de modifier les autorisations du dossier. Modification : Dispose de toutes les autorisations de Ecriture avec la possibilit de supprimer le dossier. Lecture et excutions : Permet dafficher le contenu du dossier et dexcuter les applications. Ecriture : Permet de crer des fichiers et sous-dossier, de modifier ses attributs et dafficher le propritaire. Lecture : Affiche les fichiers, sous-dossier, attributs de dossier, propritaire et autorisations du dossier. Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.
4.4.3. Impact de la copie et du dplacement sur les autorisations NTFS

Toutes les oprations de copie hritent des autorisations du dossier cible. Seul le dplacement vers la mme partition permet le maintien des autorisations. Les fichiers dplacs depuis une partition NTFS vers une partition FAT perdent leurs attributs et leurs descripteurs de scurit. Les attributs de fichiers pendant la copie/le dplacement dun fichier lintrieur dune partition ou entre deux partitions sont grs ainsi:
25 / 76
Copier lintrieur dune partition : Cre un nouveau fichier identique au fichier original. Il hrite des permissions du rpertoire de destination. Dplacer lintrieur dune partition : Ne cre pas un nouveau fichier. Il y a seulement une mise jour des pointeurs du dossier. Garde les permissions appliques lorigine au fichier. Dplacer vers une autre partition : Cre un nouveau fichier identique loriginal et dtruit le fichier original. Le nouveau fichier hrite des permissions du rpertoire de destination.
4.4.4. Prsentation de lhritage NTFS

Sur le systme de fichier NTFS de Windows 2003, les autorisations que vous accordez un dossier parent sont hrites et propages tous les sous-dossiers, et les fichiers quil contient. Tous les nouveaux fichiers et dossiers crs dans ce dossier hriteront aussi de ces permissions. Par dfinition, toutes les autorisations NTFS dun dossier cr seront hrites par les dossiers et fichiers quil contiendra. Il est possible de bloquer cet hritage (pour des raisons de scurit) afin que les permissions ne soient pas propages aux dossiers et aux fichiers contenus dans le dossier parent. Pour bloquer lhritage des permissions, afficher les proprits du dossier, allez dans longlet Scurit, puis cliquez sur le bouton Paramtres avancs dsactiver la case cocher Permettre aux autorisations hrites du parent de se propager cet objet et aux objets enfants. Cela inclut les objets dont les entres sont spcifiquement dfinies ici .. Dans la nouvelle fentre, cliquer Copier si vous souhaitez garder les autorisations prcdemment hrites sur cet objet, ou alors cliquer Supprimer afin de supprimer les autorisations hrites et ne conserver que les autorisations explicitement spcifies.
4.4.5. Identification des autorisations effectives

Lorsque vous accordez des autorisations un utilisateur, un groupe ou un utilisateur, il est parfois gnant de sy retrouver parmi entre les groupes auquel il appartient et les autorisations hrits. Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienne plusieurs autorisations diffrentes car il est membre de diffrents groupes. Dans ce cas, les autorisations se cumulent et en rsultent lautorisations la plus forte (ex : lecture + contrle total contrle total). Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune autorisation dessus. Cest une autorisation Refuser implicite. Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers. Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci dans TOUT les cas (ex : contrle total + refuser lecture La lecture sera bien refus). Le propritaire la possibilit daffecter les autorisations quil dsire sur tous les fichiers dont il est le propritaire mme si il na pas dautorisations contrle total dessus. Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout dabord se lapproprier.
26 / 76
Il est possible de vrifier les permissions effectives dun utilisateur laide de longlet Autorisations effectives de la fentre de paramtres de scurit avanc.
4.4.6. Cumul des autorisations NTFS et des autorisations de partage

Lorsqu un utilisateur est sujet aussi bien aux autorisations NTFS quaux autorisations de partage, ses permissions effectives sobtiennent en combinant le niveau maximum dautorisations indpendamment pour les autorisations NTFS et pour les autorisations de partage (ex : Lecture pour les autorisations de partage et modification pour les autorisations NTFS). Une fois les deux autorisations dfinies, il suffit de prendre la plus restrictive des deux. Exemple : Partage lecture + NTFS contrle total lecture et inversement Partage contrle total + NTFS lecture lecture
4.5. Mise en place des fichiers hors connexion

4.5.1. Prsentation des fichiers hors connexion
Les fichiers Hors Connexion remplacent le Porte-Document et fonctionnent de manire similaire loption Visualiser Hors-Connexion dInternet Explorer. Ainsi il est possible pour les utilisateurs itinrants de continuer accder leurs ressources rseau alors quils sont dconnects de celui-ci. Pour activer la fonction de mise hors-connexion cot serveur il suffit de partager un dossier et dactiver son cache afin de le rendre disponible hors connexion. Trois mode de mise en cache sont alors disponibles : - Cache manuel pour les documents : rglage par dfaut. Les utilisateurs doivent spcifier quels documents ils souhaitent rendre disponibles hors connexion. - Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache sur son disque dur pour une utilisation hors connexion les versions anciennes du document sur le disque sont automatiquement remplaces par des versions plus rcentes du partage quand elles existent. - Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que les fichiers dont les modifications des utilisateurs doivent tre ignor (ex : tarifs, applications, ). Elle permet notamment un gain de performance car les fichiers sont alors consult en local et non pas sur le rseau. Elle est active via loption Optimis pour les performances . La mise en cache peut tre aussi active par la commande NET SHARE et le commutateur /cache.
27 / 76
Lutilitaire de Synchronisation, vous permet de spcifier les fichiers qui seront synchronises, le type de connexions employe pour cette synchronisation (pour empcher par exemple une synchronisation lorsque lon est connect au rseau distance via un modem) et le moment o cette synchronisation est effectue (lors dune connexion, dune dconnexion, lorsque lordinateur est en veille,). Lorsque vous synchronisez, si vous avez dit un fichier hors connexion et quun autre utilisateur a fait de mme, alors, il vous sera demand si vous souhaitez : Garder et renommer votre exemplaire craser votre exemplaire avec la version disponible sur le rseau craser la version disponible sur le rseau et perdre les modifications de lautre utilisateur
28 / 76
5. Implmentation de limpression
5.1. Prsentation de limpression dans la famille Windows Server 2003
5.1.1. Terminologie de limpression
Pilote dimpression : Logiciel permettant dimplmenter sur lordinateur le langage de communication de limprimante. Tche dimpression : Tout document qui est envoy pour tre imprimer. Serveur dimpression : Ordinateur centralisant les tches dimpressions et grant la file dattente dimpression. Il contient le pilote dimprimante propre chacun des priphriques dimpression connects. Ce pilote est disponible dans la version de chacun des clients qui vont utiliser le serveur pour demander des travaux dimpression (Windows 95, 98, NT, 2000, 2003, ). Imprimante : Cest linterface logicielle quil y a entre le priphrique dimpression et Windows. Concrtement, le file dattente du priphrique dimpression ( ne pas confondre avec votre Epson ou votre Canon). Spouleur dimpression : Le spouleur dimpression est charg de recevoir, stocker et denvoyer vers le bon priphrique dimpression, les tches dimpression. File dattente dimpression : Cest lensemble des tches dimpression dans leurs ordre darriv. Port Imprimante : Interface logique de communication avec le priphrique dimpression. Priphrique dimpression : Cest le priphrique physique ralisant les tches dimpressions (cest votre Epson ou votre Canon).
5.1.2. Types de clients dimpression supports par Windows 2003

5.1.2.1. Clients Microsoft
Les clients 32 bits & 64 bits Microsoft ( partir de Windows 95), sont capables de tlcharger les pilotes dimpressions directement partir du serveur dimpression. Ceci se fait laide du partage administratifs print$. Pour les clients 16 bits Microsoft (famille MS-DOS), linstallations des pilotes est manuelle sur chaque poste client en ayant pris soin de tlcharge les bonnes versions de pilotes.
5.1.2.2.
Clients NetWare
Pour supporter les clients NetWare, il est obligatoire davoir install les services de fichiers et dimpressions pour NetWare. Le protocole IPX/SPX peut lui aussi tre ncessaire sur les clients et le serveur si les clients nimplmente pas TCP/IP.
5.1.2.3.
Clients Macintosh
Les clients Macintosh ncessitent linstallation des services dimpression Microsoft pour Macintosh. Le protocole Appletalk est lui aussi ncessaire pour la communication avec les clients Macintosh.
5.1.2.4.
Clients UNIX
Les clients UNIX ncessitent linstallation des services dimpression Microsoft pour UNIX. Les clients se connectent au serveur LPD en suivant les spcifications LPR.
29 / 76
5.1.2.5.
Clients IPP (Internet Printing Protocol)
Le support des clients IPP est assur sous Windows 2003 la suite de linstallation de IIS (Internet Information Services) ou de PWS (Personal Web Server).
5.1.3. Fonctionnement de limpression

Il existe deux mthode dans un environnement Windows 2003 pour pouvoir Imprimer :
5.1.3.1.
Impression sans serveur dimpression
Dans ce cas les diffrents clients se connectent directement limprimante rseau (cette imprimante doit tre quipe dune carte rseau intgre). Inconvnients lis : Chacun des clients hbergent sa propre file dattente, impossible de connatre sa position par rapport aux autres clients. Les messages derreur sont retourns uniquement vers le client dont la tche dimpression est en cours. Le spouling est ralis sur le client et non pas sur le serveur ce qui engendre une charge de travail supplmentaire sur le client.
5.1.3.2.
Impression avec serveur dimpression
Dans ce cas les diffrents clients se connectent via un serveur dimpression qui peut tre lui-mme connect une imprimante rseau ou directement reli au priphrique dimpression. Avantages lis : Le serveur gre la distribution des pilotes aux clients. La file dattente est unique pour tous les clients qui peuvent donc voir de faon effective leurs positions dans la file dattente. Les messages derreur sont retourns sur tous les clients dont la tche dimpression est en cours. Certains traitement sont transmis et raliser directement par le serveur dimpression.
5.2. Installation et partage dimprimantes

5.2.1. Imprimantes locale et imprimantes rseau
Une imprimante locale est une imprimante qui va tre directement reli au serveur dimpression par un cble de type USB, parallle (LPT) ou Infrarouge (IR). Une imprimante rseau est une imprimante qui va tre reli au serveur dimpression via linfrastructure rseau et la mise en place dun protocole rseau comme TCP/IP, IPX/SPX ou AppleTalk.
5.2.2. Installation et partage dune imprimante

Vous devez avoir les privilges dAdministrateur afin dajouter une imprimante votre serveur. Lassistant dAjout dimprimante vous guide pendant tout le processus qui vous permettra de dfinir quel priphrique dimpression est disponible, sur quel port physique le priphrique dimpression est branch, quel pilote utiliser, ainsi que le nom du priphrique dimpression sous lequel il sera connu sur le rseau.
30 / 76
Dans le cas dune imprimante rseau, il est ncessaire de crer un port TCP/IP avec ladresse IP de limprimante rseau. Le partage dune imprimante se fait dans les mmes conditions que lajout dune imprimante, cest dire quil faut tre Administrateur. Un clic droit sur limprimante, puis Proprits, l il faut choisir longlet Partage. Choisir le nom de partage de limprimante sur le rseau, et ensuite ajouter tous les pilotes ncessaires aux clients qui vont utiliser cette imprimante (en cliquant sur Pilotes supplmentaires). Le partage dune imprimante sur un serveur membre publie limprimante automatiquement dans Active Directory. Pour annuler cette publication, dcocher loption Lister dans lannuaire .
5.3. Autorisations dimprimantes partages

Il existe trois niveaux dautorisations pour dfinir les accs dune imprimante partage : Impression : Lutilisateur peut imprimer des documents. Gestion des documents : Lutilisateur peux imprimer et il peux grer compltement la file dattente de limpression. Gestion dimprimantes : Permet de modifier les autorisations de limprimantes, de grer la file dattente et dimprimer.
Le principe de gestion de cette ACL est identique la gestion des ACL du systme de fichier NTFS.
5.4. Gestion des pilotes dimprimantes

Windows 2003 Server offre le tlchargement automatique des pilotes pour les clients qui tournent sous Windows 2003, Windows XP, Windows 2000, Windows NT 4, Windows NT 3.51 et Windows 95/98. La plateforme Itanium est mme support avec Windows XP et Windows 2003. Cela est transmis au client via le partage administratif admin$ sur le serveur dimpression.
31 / 76
6. Administration de limpression
6.1. Changement de lemplacement du spouleur dimpression
Le spooleur dimpression est un excutable qui est en charge de la gestion de limpression. Il est effectue notamment les taches suivantes : Gestion de lemplacement des pilotes imprimantes. Rcuprer les documents, les stocker et les envoyer limprimante. Planification du travail dimpression.
Par dfaut, le spouleur dimpression se trouve dans le rpertoire systme lemplacement %SystemRoot%\System32\Spool\Printers. Il peut tre ncessaire de changer son emplacement pour des questions de performances ou de place. En effet, laccs aux fichiers systme et au rpertoire du spouleur simultanment va faire perdre en performance car la tte de lecture du disque va faire des aller retour incessant. De plus des problmes de fragmentation de fichiers pourraient apparatre sur le disque au vu des critures multiples. Le dplacement du fichier du spouleur est aussi utile dans le simple cas de la saturation du disque dur qui le contient. Il est aussi intressant de pourvoir dfinir des quota (en terme de taille de fichier et non en terme de nombre dimpressions) en utilisant la fonctionnalit de quota du systme de fichier NTFS. Pour cela il est indispensable disoler les fichiers du spouleur sur un volume ddi. Pour finir, une simple implmentation dun systme de disque dur tolrance de pannes incite dplacer les fichiers du spouleur. En prenant en compte lensemble de ces considrations, il est conseill de dplacer les fichiers du spouleur sur un disque ddi possdant son propre contrleur de disques. Une fois la dcision prise, il suffit daller dans le panneau de configuration Imprimantes et tlcopieurs , puis dans le menu fichier de cliquer sur Proprits de Serveur dimpression . Ensuite dans Avanc , de modifier le champ Dossier du spouleur . Une fois la modification effectue, il vous suffit de redmarrer le spouleur (NET STOP SPOOLER et NET START SPOOLER). Il est recommand que les travaux dimpressions en cours soient finis avant de dplacer les fichiers du spouleur.
6.2. Dfinition des priorits dimprimantes

Les priorits dimpression sont fixes en crant plusieurs imprimantes logiques qui pointent vers le mme priphrique dimpression et en leur assignant individuellement des priorits. Lchelle des priorits va de 1 (la plus faible, par dfaut) 99, la plus forte. Il faut ensuite limiter via longlet scurit lutilisation de chacune des imprimantes aux bons utilisateurs. Pour mettre en place les priorits dune imprimante, il suffit de se rendre dans longlet Avanc, puis de remplir la zone Priorit avec la valeur voulue.
32 / 76
Les priorits ne sont pris en compte quau niveau de la file dattente donc si un long travail dimpression est en cours, mme larriv dun travail prioritaire narrtera pas le travail en cours.
6.3. Planification de la disponibilit des limprimantes

Afin de pouvoir relayer un certain nombre dimpression des plages horaires prcisent (des gros travaux dimpressions que lon souhaite voir raliser la nuit), il est possible de spcifier dans les proprits de limprimante une plage horaire de disponibilit qui permettra tous les documents envoys cette imprimante (et ce quelques soit le moment de la journe) de pouvoir tre ralise uniquement pendant la plage horaire de disponibilit de limprimante. Il est conseill lors de la mise en place de la planification de la disponibilit de limprimante de crer deux imprimantes pointant vers le mme priphrique dimpression et de restreindre laccs de cette imprimante laide de longlet scurit.
6.4. Configuration dun pool dimpression

Si vous avez de grosses charges dimpression, vous pouvez utiliser un ou plusieurs priphriques dimpression identiques pour ne faire quune imprimante logique. Cest le Print Pooling (Pool dimpression). Le pool dimpression ne comporte pas ncessairement que des priphriques dimpression locaux, il peut aussi comporter des priphriques dimpression munis de carte (interface) rseau. Quand un travail dimpression sera rceptionn par le serveur, alors, il sera envoy au premier priphrique dimpression qui sera disponible. Pour crer un pool dimpression, il faut se rendre dans longlet Port , puis cliquer la case Activer le pool dimprimante et il ne reste plus qu choisir sur quels ports sont connects les priphriques dimpression.
33 / 76
7. Gestion daccs aux objets dans les units dorganisation

7.1. Structure des units dorganisation
Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation. Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire Active Directory. Il s permettent, un peu la manire des dossiers dans les disques durs, dordonner les objets sous une reprsentation physique (emplacements des utilisateurs ou des ordinateurs) des objets ou reprsentation logique (dpartement dappartenance des utilisateurs ou des ordinateurs). Il est fortement dconseill de dpasser les 5 niveau dimbrications dunit dorganisation. Les units dorganisation facilitent la dlgation dadministration selon lorganisation des objets. Les units dorganisation permettent aussi de dployer les stratgies de groupes efficacement et de manire cible. De plus la hirarchie cre laide des units dorganisation va permettre un systme dhritage pour les stratgies de groupes.
7.2. Modification des autorisations sur les objets Active Directory

7.2.1. Autorisations sur les objets Active Directory
Les autorisations Active Directory permettent de restreindre laccs des utilisateurs on contenu de lannuaire savoir les objets ou leurs proprits. Tout comme les autorisations NTFS, des autorisations standard et spciales sont disponible aussi bien en Accepter ou en Refuser . Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune autorisation dessus. Cest une autorisation Refuser implicite. Les autorisations peuvent tre dfinies sur les objets ou sur les units dorganisation qui bnficient de la proprit dhritage pour transmettre ces autorisations aux objets enfants. Cette fonctionnalit peut tre bloquer pour viter si ncessaire. Dans tout les cas, les objets dplacs hritent des autorisations de lunit dorganisation de destination. Pour pouvoir visualiser les fonctions de modifications des autorisations sur les objets Active Directory, dans loutil Utilisateur et ordinateur Active Directory , cochez loption Fonctionnalits avances dans le menu Affichage . Il suffit ensuite dafficher les proprits de lobjet ou de lunit dorganisation.
7.2.2. Dfinitions des autorisations effectives
34 / 76
Lorsque vous accordez des autorisations un utilisateur, un groupe ou un utilisateur, il est parfois gnant de sy retrouver parmi entre les groupes auquel il appartient et les autorisations hrits. Lorsque lon dfinit des autorisations, il est possible quun mme utilisateur obtienne plusieurs autorisations diffrentes car il est membre de diffrents groupes. Dans ce cas, les autorisations se cumulent et en rsultent lautorisations la plus forte (ex : lecture + contrle total contrle total). Les autorisations Refuser sont prioritaires sur les autres autorisations et ceci dans TOUT les cas (ex : contrle total + refuser lecture La lecture sera bien refus). Lorsquun utilisateur ne se trouve pas dans la DACL de lobjet, il na aucune autorisation dessus. Cest une autorisation Refuser implicite. Le propritaire la possibilit daffecter les autorisations quil dsire sur tous les fichiers dont il est le propritaire mme si il na pas dautorisations contrle total dessus.
7.3. Dlgation du contrle des units dorganisation

Il est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte quel utilisateur, groupe ou unit organisationnelle. Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit organisationnelle Ventes un utilisateur de cette UO. Lun des principaux avantages quoffre cette fonctionnalit de dlgation de contrle est quil nest plus ncessaire dattribuer des droits dadministration tendus un utilisateur lorsquil est ncessaire de permettre celui-ci deffectuer un certain nombre de tches. Ainsi, sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs pour son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, ce qui lui permettait de grer tous les comptes du domaine. Avec Active Directory, il suffira de faire un clic-droit sur lUO dans laquelle on souhaite lui dlguer cette tche et de slectionner Dlguer le contrle . On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de rinitialiser les mots de passe sur lUO ou un objet spcifique de lUO, ).
35 / 76
8. Implmentation des stratgies de groupes

8.1. Description des stratgies de groupe
8.1.1. Prsentation des stratgies de groupes
Les Stratgies de Groupe sont une collection de variables de configuration d'environnement de lutilisateur et de lordinateur qui sont imposes par le systme d'exploitation et non modifiable par l'utilisateur. Une stratgie de groupe peut sappliquer un site, un domaine ou une unit dorganisation et peut tre assign plusieurs fois simultanment sur diffrents conteneurs. Les stratgies de groupes sont aussi appeles GPO pour Group Policy Object.
8.1.2. Description des paramtres de configuration des utilisateurs et des ordinateurs

La console de gestion des stratgies de groupes se divise en deux arborescences : Ordinateur et Utilisateurs : Les paramtres de stratgies de groupe pour les ordinateurs dfinissent le comportement du systme dexploitation, dune partie du bureau et la configuration de la scurit. Les paramtres de stratgies de groupe pour les utilisateurs dfinissent les options dapplications affectes et publies, la configuration des applications et les paramtres du bureau.
8.2. Implmentation dobjets de stratgie de groupe

8.2.1. Les outils permettant dimplmenter les GPO.
Les diffrents outils permettant dditer les stratgies de groupes sont les suivants : Utilisateurs et ordinateurs Active Directory : Permet dditer les stratgies associs au domaine et aux units dorganisation. Sites et services Active Directory : Permet dditer les stratgies associs aux sites. Stratgie de scurit locale : Permet dditer les stratgies locale des machines.
Loutil Gestion des stratgies de groupe est disponible pour faciliter la gestion des GPO, celui-ci reprend les interfaces et fonctionnalits des outils suivants : Utilisateurs et ordinateur Active Directory. Sites et services Active Directory.
Ainsi que des modules dadministration des stratgies : Module de vrification des stratgies rsultantes (RSoP, Resultant Set of Policy). Module de sauvegarde et de restauration des objets de stratgie de groupe. Module de copie et dimport des objets de stratgies de groupes. Intgration du filtrage par le langage WMI (Windows Management Instrumentation).
36 / 76
Module de gnration de rapport. Module de recherche des objets de stratgie de groupe.
Loutil Gestion des stratgies de groupe nest pas fournie avec Windows Serveur 2003. Il est ncssaire de le tlcharger sur le site de microsoft ladresse http://www.microsoft.com
8.2.2. Les modles dadministration

Lensemble de la description des GPO se trouve dans des fichiers dont lextension est .adm . Ceux-ci contiennent une description hirarchique des modifications effectuer sur les clients pour mettre en place la stratgie sur le client. Ils contiennent aussi, les options de restrictions pour les valeurs, la valeur par dfaut, lexplication de chaque paramtre et les versions de Windows qui prennent en charge le paramtre. Rien ne vous empche de crer vos propres modles dadministration pour grer des lments qui ne le sont pas nativement.
8.2.3. Description dun lien dobjet de stratgie de groupe.

Une stratgie de groupe est compose dun objet Active Directory et dun dossier dont le nom est le SID de la GPO et qui se trouve dans le rpertoire SYSVOL celui-ci tant rpliqu sur tous les contrleurs de domaine. Cet objet une fois cr et paramtr peut tre li un ou plusieurs conteneur (Sites, Domaines, Units dorganisation). De mme, plusieurs GPO peuvent tre lie un mme conteneur.
8.2.4. Hritage de lautorisation de stratgie de groupe dans Active Directory

Lordre dans lequel les objets GPO (Group Policy Object Objet de Stratgie de Groupe) sont appliqus dpend du conteneur Active Directory auquel les objets GPO sont lis. Ils sont hrits et sont appliqus dans lordre suivant : au site, au domaine, puis aux units dorganisations.
8.3. Administration du dploiement dune stratgie de groupe

8.3.1. Impact de lexistence dobjets de stratgie de groupe conflictuels
Les stratgies sont cumulatives, ce qui signifie que plusieurs stratgies peuvent entrer en conflit sur un mme paramtre. Lorsquil y a un conflit entre deux GPO appliqus, la GPO conflictuelle la plus proche du client est applique. Lorsque les deux GPO sont dfinis un mme niveau (par exemple sur la mme OU), la GPO applique est celle qui se trouve en haut de la liste des stratgies de groupe appliques au conteneur.
37 / 76
Toutefois, les paramtres de scurit IP et les droits utilisateurs font exceptions. Le dernier objet GPO (le plus proche du client) remplace totalement tout autre objet GPO. Dans certain cas il peut tre intressant de changer ce mode de rsolution de conflit comme par exemple lorsque lon a dlgu ladministration dune UO une personne et que lon souhaite empcher cette personne davoir le dernier mot sur lapplication dun paramtre prcis. Pour cela vous pouvez utiliser loption Ne pas passer outre qui va empcher quune GPO plus proche de lobjet utilisateur ou ordinateur ne prime sur une GPO plus loign. Vous avez aussi Bloquer lhritage des stratgies qui va stopper les fonctions dhritage.
8.3.2. Attributs dun lien dobjet de stratgie de groupe

8.3.2.1. Option Appliqu
Cette option nest disponible quaprs linstallation de la console Gestion des stratgies de groupe . Loption Appliqu est un attribut du lien qui lie lobjet GPO aux conteneurs (sites, domaines, UO). Cette option propre chaque liaison dune GPO permet de forcer lapplication de son contenu. Elle est aussi appel Ne pas passer outre lorsque la console Gestion des stratgies de groupe nest pas installe.
8.3.2.2.
Activation et dsactivation dun lien
Cette option permet de ne plus appliquer une GPO un conteneur sans pour autant supprimer le lien qui les lie.
8.3.3. Filtrage du dploiement dune stratgie de groupe

Vous pouvez dcider dappliquer les GPO seulement des groupes et pas dautres laide de cette option. En effet, chaque objet GPO va tre li une ACL qui va dfinir quels sont les utilisateurs, ordinateurs ou groupes qui vont pouvoir accder lobjet GPO donc pouvoir appliquer ces paramtres. Ainsi si vous dsirez appliquer une GPO seulement sur le groupe Administrateur, il vous suffit dafficher les scurits de lobjet GPO et de retirer lautorisation Appliquer la stratgie de groupe tous les autres utilisateurs lexception du groupe Administrateurs .
38 / 76
9. Gestion de lenvironnement utilisateur laide des stratgies de groupes

9.1. Configuration de paramtres de stratgie de groupe
9.1.1. Prsentation des stratgies de groupes
Limplmentation des stratgies de groupes va permettre de centraliser la gestion de lenvironnement des utilisateurs. Ainsi les GPO vont permettre de dfinir les droits ncessaires aux utilisateurs. Lorsque vous administrer lenvironnement dun utilisateur de faon centralis, vous pouvez intervenir sur les lments suivants : Administration des utilisateurs et des ordinateurs : Modification des proprits du bureau laide de modification distante de la base de registre. Dploiement de logiciels : Automatisation complte de linstallation des programmes sur les postes clients en fonction du profil de lutilisateur. Application des paramtres de scurit : Permet de modifier le contexte de scurit de lenvironnement utilisateur. Dfinition dun environnement adapt : Possibilit de rediriger certains rpertoire sensible ou de bloquer la modification de leurs contenus.
9.1.2. Paramtres Non configur, Activ et Dsactiv

Avant mme la dfinition des proprits dun paramtre de stratgie de groupe, il est ncessaire de choisir si vous allez configurer ce paramtre et si oui, si vous allez lactiver ou le dsactiver. En effet tout paramtre a une valeur par dfaut. Si vous souhaitez laisser cette valeur par dfaut, il vous suffit de ne pas configurer le paramtre. Si vous souhaitez modifier ce paramtre, vous avez le choix dan la plupart des cas entre Activ ou Dsactiv ce paramtre. Exemple : Supprimer le menu Excuter du menu Dmarrer. Non configur : Le menu Excuter va safficher sauf si nimporte quelle autre GPO spcifie le contraire. Activ : Le menu Excuter va tre supprim sauf si une GPO ayant une priorit plus importante spcifie le contraire. Dsactiv : Le menu Excuter va safficher sauf si une GPO ayant une priorit plus importante spcifie le contraire.
Certains paramtres demande une configuration plus importante quun simple choix boolen. Si dans ce cas, une GPO ayant une priorit plus importante spcifie des proprits diffrentes pour le paramtre, lensemble des proprits sera remplac.
9.2. Attribution des scripts avec la stratgie de groupe

Grce une stratgie de groupe, vous pouvez affecter des scripts aux machines ou aux utilisateurs.
39 / 76
Les scripts affects aux ordinateurs seront excuts au dmarrage et/ou larrt de lordinateur et les scripts affects aux utilisateurs seront excuts louverture et la fermeture de la session. Plusieurs langages sont supports avec les scripts batch (NET USE ), les scripts WSH (Windows Script Host) ou des excutables. Via les proprits dun compte utilisateur, il est possible de spcifier un script douverture de session, mais cette mthode est moins souple au niveau administratif.
9.3. Configuration de la redirection de dossiers

Ce paramtre de stratgie de groupe permet de rediriger les dossiers sensibles de lutilisateur afin de centraliser sur un serveur les donnes et ainsi en faciliter la scurit et la sauvegarde. Les dossiers pouvant tre redirigs sont les suivants : Mes documents : Permet de centraliser les donnes utilisateur sur un serveur de fichiers pour que son contenu soit disponible quelque soit lordinateur sur lequel se connecte lutilisateur (ex : redirection vers le dossier de base de lutilisateur). Menu Dmarrer : Permet de faire pointer le contenu du menu Dmarrer de tous les utilisateurs vers un contenu unique. Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu unique. Application Data : Contient les prfrences applicatifs de certaines application qui peut tre sauvegarder sur un serveur avec la rplication.
Il est possible via la redirection avance, de rediriger les rpertoires vers des dossiers diffrents selon lappartenance de lutilisateur un groupe. La fonction de redirection de dossiers cre elle-mme automatiquement des dossiers avec les autorisations adequat.
9.4. Dtermination des objets de stratgie de groupe

9.4.1. GPUpdate
GPUpdate est un outil en ligne de commande qui permet de rafrachir instantanment lapplication des stratgies de groupe sur une machine cliente. En effet, les ordinateurs clients depuis Windows 2000 actualisent les GPO des intervalles dfinis. Lactualisation assure que les paramtres qui ont pu tre modifis par un administrateur sont appliqus le plus tt possible. (Eventualit dune personne qui ne redmarre jamais son ordinateur ou ne ferme jamais sa session). Par dfaut, les ordinateurs effectuent cette ractualisation toutes les 90 minutes + un temps alatoire entre 0 et 30 minutes et ce, afin dviter que tous les ordinateurs fassent des requtes au DC en mme temps.
40 / 76
En ce qui concerne les contrleurs de domaines, ils sont ractualiss toutes les 5 minutes. Vous pouvez modifier ces valeurs laide dune stratgie de groupe. GPUpdate [/Target:{Ordinateur | Utilisateur}] [/Force] [/Wait:<valeur>] [/Logoff] [/Boot] [/Sync]
9.4.2. GPResult
GPResult est un outil en ligne de commande qui permet de visualiser les stratgies rsultantes pour lordinateur et un utilisateur spcifi. Comme de nombreuses stratgies peuvent entrer en conflit, cet outil permet de visualiser les stratgies ffective. GPResult [/S systme [/U utilisateur [/P mot_de_passe]]]] [/SCOPE tendue] [/USER utilisateur_cible] [/V | /Z]
9.4.3. Rapport de stratgie de groupe

Grce la console Gestion de stratgie de groupe, il est possible dafficher un rapport par GPO permettant de visualiser uniquement les paramtres qui ont t modifi. Ce rapport sera cr au format HTML et sera enregistrable aussi au format XML.
9.4.4. Simulation de dploiement de GPO

Dans la console Gestion de stratgie de groupe, il est possible de lancer une simulation de dploiement de stratgie de groupe ce qui va gnrer un rapport.
9.4.5. Rsultat de dploiement de GPO

Dans la console Gestion de stratgie de groupe, il est possible de rcuprer les informations de dploiement de stratgie de groupe et den gnrer un rapport.
41 / 76
10. Implmentation des modles dadministration et des stratgies daudit

10.1.Vue densemble de la scurit dans Windows 2003
Un droit sous Windows 2003 est la possibilit dagir sur la configuration du systme. Ainsi pour quun utilisateur modifie lheure, ouvre une session, ou teigne lordinateur, il est ncessaire quil ait le droit associ. La diffrence avec une autorisation est que lautorisation constitue la possibilit daccder ou dutiliser une ressource (ex : fichier, dossier, imprimante, ). Par dfaut, un certain nombre de droits sont associs des groupes prdfinis (ex : les membres du groupe Oprateurs de sauvegarde peuvent sauvegarder et restaurer des fichiers et des repertoires.).
10.2.Utilisation de modles de scurit pour protger les ordinateurs

10.2.1. Prsentation des stratgies de scurit
Une stratgie de scurit est un ensemble de paramtres de scurit permettant de dfinir le contexte de scurit dun ordinateur. Les stratgies de scurit vont permettre de dfinir ces paramtres sur lordinateur local ou partir Active Directory. Lavantage de limplmentation dans Active Directory est la possibilit dappliquer ces paramtres sur un nombre dfinit de machine via une GPO.
10.2.2. Description des modles de scurit

Vu la multitude de paramtre qui sont personnalisable dans une stratgie de scurit, il est fournis directement avec Windows 2003 un certain nombre de modle correspondant chacun un contexte de scurit prcis. Modle Scurit par dfaut Compatible Fichier setup security.inf dc security.inf compatws.inf Description Configure la machine avec un niveau de scurit basique Offre un contexte de scurit trs proche de celui de Windows NT 4 ce qui permet dassurer une compatibilit accrue pour les applications conu pour lancien systme. Il amliore les variables de scurit pour les Stratgies de Compte et dAudit. Enlve tous les membres du groupe Utilisateur avec Pouvoir. Les ACL ne sont pas modifies. Il ne peut garantir le bon fonctionnement de toutes les applications (et leurs fonctionnalits). Modle le plus sr mis disposition des machines qui utilisent Windows 2000 en mode natif seulement. Il demande ce que toutes les connexions rseau soient signes et cryptes de manire digitale (implmentation de IPSec). Il ne permet pas la communication avec
Scuris
securews.inf securedc.inf
Hautement scuris
hisecws.inf hisecdc.inf
42 / 76
Scurit racine systme
des machines employant des modles plus anciens de clients Windows. Il ne se soucie pas du bon fonctionnement des applications. Spcifie les autorisations pour la racine du disque systme. Rootsec.inf
10.2.3. Description des paramtres de modles de stratgies

Stratgies de comptes Stratgies locales Journal des vnements Groupes restreints Services systme Registre Systme de fichiers Stratgies de cl publique Configurent des stratgies pour les mots de passe et les comptes. Configurent l'audit, les droits d'utilisateur et les options de scurit. Configure les paramtres des journaux des applications, des journaux systme et des journaux de scurit Configurent l'adhsion aux groupes prdfinis comme Administrateurs , Utilisateurs avec pouvoir , Admins du domaine, Configurent les paramtres de scurit et de dmarrage des services excuts sur un ordinateur Configure la scurit daccs (DACL) au niveau des cls du registre. Configure la scurit daccs (DACL) au niveau des chemins d'accs de fichiers spcifiques Configurent les agents de rcupration de donnes cryptes, les racines de domaines, les autorits de certification approuves, etc.
10.2.4. Outils de cration et dimportation des modles de scurit personnalis

Dans le cas ou les modles ne correspondent pas vos besoins, il est possible de personnaliser lun des modles existants ou den crer un nouveau. Pour cela il suffit dutiliser les deux composants logiciels enfichables : - Modles de scurit : Permet de visualiser et de grer les modles existant sur le systme (par dfaut dans le rpertoire %systemroot%\security\templates). - Configuration et analyse de la scurit : Permet de tester et dappliquer la machine en cours les modles de stratgies que lon a crs. Une fois votre modle cr et test, vous pouvez limporter dans Active Directory pour le dployer via une GPO. Pour cela, il vous suffit dans votre GPO de dvelopper le conteneur Configuration de lordinateur, puis Paramtres Windows et enfin faire un clic droit sur Paramtres de scurit pour slectionner Importer une stratgie.
10.3.Configuration de laudit
10.3.1. Prsentation de laudit
Laudit permet la cration dun journal recensant lensemble des actions effectu sur un objet ou un lment de configuration par une population prcise. Cela peut permettre par exemple de surveiller laccs certains fichiers ou la modification des paramtres de configuration des comptes utilisateur par des administrateurs subalterne.
43 / 76
10.3.2. Description dune stratgie daudit

Une stratgie daudit dtermine les types dactions que Windows 2003 va enregistrer dans le journal scurit. Pour implmenter une stratgie daudit, plusieurs mthodes sont mises votre disposition : Utiliser un modle de stratgie de scurit au niveau de lordinateur ou au niveau dune GPO. En effet, les stratgies de scurit contiennent des stratgies daudit pr configur. Configurer la stratgie daudit directement dans le composant logiciel enfichable Stratgie de scurit local de votre ordinateur. Configurer la stratgie daudit dans une GPO pour lappliquer un ensemble dordinateur. La stratgie de scurit va vous permettre de vrifier la russite ou lchec des vnements suivants : Connexions aux comptes Gestion des comptes Accs au service dannuaire Ouverture de session Accs aux objets Modification de stratgie Utilisation de privilges Suivi des processus Systme Un vnement est enregistr chaque authentification dun compte ur la machine qui authentifie lutilisateur. Un vnement est cr chaque cration, modification ou suppression dun compte ou dune proprit dun utilisateur ou dun groupe. Un vnement est enregistr chaque accs un objet Active Directory. Pour cela vous devez spcifier les objets dans les proprits dAD. Un vnement est enregistr chaque ouverture de session rseau ou local sur lordinateur qui accepte la connexion. Un vnement est enregistr chaque accs un fichier, dossier NTFS ou imprimante. Pour cela vous devez spcifier les objets dans les proprits NTFS ou de limprimante. Un vnement est enregistr chaque modification des options de stratgies de scurit. Un vnement est enregistr chaque utilisation dun droit. Un vnement est enregistr lorsquune application excute une action. Un vnement est enregistr lorsquun utilisateur redmarre ou arrte Windows Server 2003.
Lorsque vous mettez en place un audit sur des fichiers, dossiers, imprimantes ou objets Active Directory, assurez vous davoir activer les audits correspondant au niveau de la stratgie de scurit de la machine.
10.4.Gestion des journaux de scurit

Les journaux de scurit sont visibles dans lObservateur dvnements ils permettent de visualiser toutes les informations concernant votre systme. Vous pouvez trouver les trois journaux principaux suivants sur tous les serveurs : Application Scurit Systme Contient les vnements gnrs par des applications installes sur lordinateur (ex : SQL Serveur, Exchange, ). Contient les vnements gnrs par le systme daudit. Contient les vnements gnrs par les services et les applications intgrs Windows 2003.
Les deux journaux suivants ne sont prsents que sur les contrleurs de domaine : Service dannuaire Service de rplication de fichiers Contient les vnements gnrs par le service dannuaire Active Directory. Contient les vnements gnrs par le service de rplication de fichiers.
44 / 76
Pour chaque journal, vous pouvez spcifier la taille de celui-ci et le type de remplacement des donnes dun fichier journal : Remplacer les vnements si ncessaire Remplacer les vnements datant de plus de [x] jours Ne pas remplacer les vnements Chaque nouvel enregistrement remplace lenregistrement le plus ancien dans le journal. Les enregistrements sont conservs dans le journal pendant la dure spcifie avant dtre crass. Par dfaut, cette dure est de sept jours. Les nouveaux enregistrements ne sont pas enregistrs et le journal doit tre nettoy la main.
Vous avez la possibilit de sauvegarder le contenu de vos journaux dans les formats suivants : Fichiers journaux dvnements (.evt) (par dfaut) Fichiers dlimits par des virgules (.csv) Fichiers texte (.txt) Par dfaut seul ladministrateur ou les membres du groupe Administrateurs peuvent agir sur le contenu des journaux.
45 / 76
11. Prparation de l'administration d'un serveur

11.1. Prparation de l'administration d'un serveur
11.1.1. Utilisation des appartenances de groupe pour administrer un serveur
Nous pouvons distinguer 5 groupes locaux de domaines intgrs sous Windows 2003, ces groupes vont permettre de dfinir automatiquement des droits administratifs aux utilisateurs qui vont en devenirs membres. Administrateurs Oprateurs de sauvegarde Oprateurs de comptes Oprateurs de serveur Oprateurs dimpression Possde tous les droits ncssaires pour excuter lensemble des taches administratives. Possde tous les droits ncssaires pour effectuer des sauvegardes et restauration sur le serveur. Possde tous les droits ncssaires pour crer, modifier, supprimer les comptes utilisateurs ou les groupes, lexception des groupes Administrateurs et Oprateurs de sauvegarde. Possde tous les droits ncssaires pour assurer la sauvegarde et la restauration des fichiers. Possde les permissions requises pour grer et configurer les imprimantes rseau.
11.1.2. Qu'est-ce que la commande Excuter en tant que ?

Cette commande permet de lancer un programme en utilisant un autre compte utilisateur que celui utilis pour la session en cours. Par exemple, si ladministrateur veut effectuer une tche administrative sur un serveur Windows 2003, et quune session Invit est dj ouverte sur ce serveur, il na pas besoin de fermer la session en cours pour le faire. Pour effectuer cette tche il peut utiliser la commande Excuter en tant que disponible en faisant un clic droit avec la touche Shift appuye sur lexcutable que lon veut lancer et de slectionner loption Excuter en tant que On peut galement utiliser la commande runas en ligne de commande : runas /user:nom_domaine\nom_utilisateur nom_programme Il est galement possible de crer des raccourcis qui utilisent directement la commande runas.
46 / 76
Il sera peut tre ncessaire dutiliser la touche MAJ+Click droit pour accder loption excuter en tant que dans le menu contextuel.
11.1.3. Qu'est-ce que l'outil Gestion de l'ordinateur ?

Il sagit dune dun ensemble doutil permettant ladministration dun ordinateur local ou distant. Cette console MMC est disponible via le Panneau de configuration, dans les Outils dadministrations ou en faisant un clic droit sur le Poste de travail et en choisissant loption Grer. Voila ci-dessous un descriptif des outils disponible : Catgorie Outils systme Outil Observateur dvnements Dossiers partags Description Permet de visualiser le contenu des journaux Applications, Scurits et Systmes. Ces journaux sont dune grande aide pour identifier une rreur sur le sysme. Permet de visualiser lensemble des partages en cours sur le serveur, les sessions ouverte (utilisateurs authentifi sur la machine) ainsi que les fichiers ouverts sur le serveur. Permet de crer et grer les utilisateurs et les groupes de la base de compte local (base SAM). Permet danalyser et de collecter les donnes relatives aux performances de l'ordinateur. Permet de grer les priphriques et les pilotes installs sur le serveur. Permet de grer les supports de stockage amovibles. Permet de dfragmenter le contenu dun disque afin den augmenter les performances daccs aux donnes. Permet de grer les disques durs en crant des partitions ou volume, leurs affectant des lettres dans le poste de travail et en les formatant si necessaires. Permet de dfinir les options de dmarrage des services du serveur. Permet de configurer et grer le service de gestion Windows. Permet de grer, crer et configurer l'indexation des catalogues supplmentaires pour stocker les informations d'index.
Utilisateurs et groupes locaux Journaux et alertes de performances Gestionnaire de priphriques Stockage Stockage amovible Dfragmenteur de disque Gestion des disques
Services et applications Services Contrles WMI Service dindexation
Pour administrer un serveur distance, il suffit de lancer la console Gestion de lordinateur sur un ordinateur quelconque, faire un click droit sur Gestion de lordinateur (local), et de cliquer sur Se connecter . Ensuite il suffit dentrer le nom ou ladresse IP de lordinateur que lon veut administrer distance.
11.1.4. Rle de la console MMC dans le cadre d'une administration distance

Vous pouvez utiliser Microsoft Management Console (MMC) pour crer, enregistrer et ouvrir des outils d'administration (appels consoles MMC) qui grent les composants matriels, logiciels et rseau de votre systme Windows. MMC n'excute pas de fonctions administratives alors que les outils htes les excutent. Les outils que vous pouvez ajouter une console sont principalement des composants logiciels enfichables. Vous pouvez
47 / 76
galement ajouter des contrles ActiveX, des liens vers des pages Web, des dossiers, des affichages de listes des tches et des tches. Il existe deux faons gnrales d'utiliser MMC : en mode utilisateur, en utilisant des consoles MMC existantes pour administrer un systme, ou en mode auteur, en crant des consoles ou en modifiant des consoles MMC existantes.
11.1.5. Comment crer une MMC pour grer un serveur ?

Il suffit pour cela douvrir une nouvelle console MMC (Dmarrer \ Executer puis taper mmc). Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter. Dans la liste des composants logiciels enfichables, cliquez sur un composant logiciel enfichable, puis sur Ajouter. l'invite, slectionnez l'ordinateur local ou distant que vous souhaitez grer l'aide de ce composant logiciel enfichable, puis cliquez sur Terminer. Cliquez sur Fermer, puis sur OK.
11.2. Configuration de la fonction Bureau distance pour administrer un serveur

11.2.1. Qu'est-ce que l'outil Bureau distance pour administration ?
Le bureau distance permet lutilisateur de se connecter distance un ordinateur et de contrler ce dernier distance. Lutilisateur se retrouve donc dans lenvironnement de la machine laquelle il se connecte (fond dcran, apparences, fichiers locaux, etc...). L'outil Bureau distance pour administration fournit un accs au serveur partir d'un ordinateur situ sur un autre site, l'aide du protocole RDP (Remote Desktop Protocol). Ce protocole transmet l'interface utilisateur la session cliente. De mme, il transmet les manipulations sur le clavier et la souris du client vers le serveur. Vous pouvez crer jusqu' deux connexions distantes simultanes. Chaque session que vous ouvrez est indpendante des autres sessions clientes et de celle de la console du serveur. Lorsque vous utilisez l'outil Bureau distance pour administrer un serveur distant, la connexion est tablie comme s'il s'agissait de l'ouverture d'une session sur le serveur local. Les paramtres relatifs lutilisation du bureau distance sont configurables via les proprits du Poste de travail, dans longlet Utilisations distance. La connexion distance peut seffectuer grce loutil mstsc.exe prsent dans %SystemRoot%\System32\. Le compte utilis pour ouvrir une session en utilisant le bureau distance doit obligatoirement avoir un mot de passe, et tre galement membre du groupe Utilisateurs du Bureau distance.
48 / 76
Vous devez galement vous assurer que loption bureau distance est activ, ce qui nest pas le cas par dfaut sous Windows 2003.
11.2.2. Que sont les prfrences des ordinateurs clients dans le cadre d'une connexion Bureau distance ?
Il est possible de crer des profils de connexions Bureau distance qui lanceront chaque connexion avec des paramtres bien prcis. Par exemple, Il est possible de crer et sauvegarder une connexion Bureau distance qui lancera automatiquement une application louverture de sessions, et changera la rsolution. Pour dfinir ce genre de comportement louverture dune session bureau distance, il faut cliquer sur le bouton Option >>
11.2.3. Bureaux distance

Il existe galement un composant logiciel enfichable MMC qui permet de grer plusieurs sessions Bureau distance simultanment. Il sagit du composant Bureau distance.
49 / 76
11.3. Gestion des connexions au Bureau distance

11.3.1. Que sont les paramtres de dlai des connexions de Bureau distance ?
Il faut savoir que chaque session Bureau distance ouverte sur un Serveur Windows 2003 consomme des ressources. Afin de limiter cette consommation, ladministrateur la possibilit de dfinir des dlais au bout desquelles les sessions seront automatiquement fermes. Il est possible de dfinir un dlai suivant 3 cas de figures : Fin de session dconnect : Dlai au bout duquel une session dconnect sera ferme. Limite de session active : Dure maximale dune session. Limite de session inactive : Dure maximal dune session inactive, c'est--dire que lutilisateur nutilise ni la souri, ni le clavier ou tout autre priphrique dentre. Ces paramtres peuvent tre dfinit via le les outils dadministration dans la console Configuration des services terminal serveur. Une session dconnecte est une session Bureau distance qui na pas t ferme. Cela signifie que lutilisateur a lanc la session, puis a ferm la fentre Bureau distance directement. Dans ce cas de figure les processus lancs dans cette session tournent toujours jusqu' fermeture de la session. Lutilisateur pourra rcuprer cette session si il se reconnecte.
50 / 76
11.3.2. Qu'est-ce que le Gestionnaire des services Terminal Server ?

Ce gestionnaire permet de surveiller les sessions en cours via un listing complet des processus sexcutant sur chaque session. Ladministrateur aura ainsi la possibilit de terminer un processus tournant sur une session inactive consommant trop de ressources par exemple. Il aura galement la possibilit de fermer la session dun utilisateur.
51 / 76
12. Prparation de l'analyse des performances du serveur

12.1. Prsentation de l'analyse des performances du serveur
12.1.1. Pourquoi analyser les performances ?
L'analyse des performances est indispensable la maintenance du serveur. Effectue de faon quotidienne, hebdomadaire ou mensuelle, elle permet de dfinir les performances de base du serveur. Grce cette analyse, vous obtenez des donnes sur les performances qui facilitent le diagnostic des problmes du serveur. Les donnes sur les performances permettent : De comprendre les caractristiques de la charge de travail et les effets correspondants sur les ressources du systme. D'observer les modifications et les tendances de ces caractristiques et de l'utilisation des ressources afin de planifier les mises niveau ultrieures. De tester les changements de configuration ou tout autre effort de rglage des performances en analysant les rsultats. De diagnostiquer les problmes et d'identifier les composants ou les processus pour optimiser les performances.
12.2.
Analyse en temps rel et programme

12.2.1. Qu'est-ce que l'analyse en temps rel et programme ?
Lanalyseur de performance permet deffectuer deux types danalyse : Les compteurs sont affichs en temps rel. On peut utiliser ce type danalyse pour un problme de performance ponctuel, non priodique. Ce type danalyse se dclenche une date et heure prcise (en cas de rplication entre 1h et 2h du matin par exemple), puis sauvegarde lactivit des compteurs dans un journal qui pourra tre consult ultrieurement.
En temps rel
Programm
12.2.2. Qu'est-ce que le Gestionnaire des tches ?

Le Gestionnaire des tches, accessible en pressant en mme temps les touches CTRL+ALT+SUPPR, puis en cliquant sur Gestionnaire des tches ou en pressant CTRL+SHIFT+ECHAP, permet dobtenir la liste des processus en cours dexcution ainsi que les ressources systmes sollicites pour chacun de ces processus. Cela permet de dtecter des anomalies comme par exemple un petit processus prenant la quasi-totalit de la mmoire systme et ralentissant ainsi ce dernier de faons importantes.
52 / 76
Il est possible via longlet processus de stopper ou de dfinir la priorit de certains processus. Longlet Performance renseigne lutilisateur sur lintensit dutilisation du microprocesseur et du fichier dchange via un graphique. Enfin longlet Mise en rseau renseigne lutilisateur sur lintensit du trafic rseau sur chacune des connexion via un graphique.
12.2.3. Qu'est-ce que la console Performances ?

La console performance est loutil permettant deffectuer des analyses de performances en temps rel ou programm. Pour slectionner les donnes rcuprer, indiquez les objets, les compteurs et les instances d'objets de performances. Un objet de performance est un ensemble logique de compteurs associs une ressource ou un service pouvant tre analyss (ex : le processeur). Un compteur de performance est un lment de donnes associ un objet de performance. Pour chaque compteur slectionn, le Moniteur systme affiche une valeur qui correspond un aspect spcifique des performances dfini pour l'objet de performance (ex : % dutilisation du processeur). Les instances d'objets de performance sont des ensembles d'un mme type d'objet. Par exemple, si un systme comporte plusieurs processeurs, le type d'objet Processeur dispose de plusieurs instances (ex : chaque processeur correspond une instance).
12.2.4. Pourquoi analyser les serveurs distance ?
Ceci permet de ne pas fausser les rsultats des performances. En effet, lanalyseur de performance consomme galement des ressources. Il convient donc de lancer cette console MMC sur un autre serveur et de crer des compteurs pointant sur le serveur quon veut analyser.
53 / 76
12.3. Configuration et gestion des journaux de compteur

12.3.1. Qu'est-ce qu'un journal de compteur ?
Les journaux de compteur permettent deffectuer des analyses programmes. Dans le processus de cration dun journal de compteurs, les informations suivantes sont requises : Nom du journal Type de fichier, format binaire, SQL, texte, etc Compteurs utiliss pendant lanalyse Type de lancement : planifi ou manuel. Il est galement possible de crer un journal en utilisant la commande logman.
12.3.2. Comment planifier un journal de compteur ?

Il est possible de lancer un journal de compteur manuellement ou via une planification. La planification se dfinit dans les proprits du journal, ou pendant le processus de cration du journal.
12.4.
Configuration des alertes

12.4.1. Qu'est-ce qu'une alerte ?
Une alerte est une fonction qui dtecte quel moment la valeur dun compteur atteint une valeur appele seuil dalerte. Si le seuil dalerte est atteint, ladministrateur peut planifier une action effectuer. Par exemple, il pourrait tre intressant de dfinir une alerte sur un serveur de fichier si lespace disque libre (objet : disque logique, compteur : espace libre) devient infrieur 10% de lespace total, et de planifier le lancement dun programme qui se chargera de supprimer les fichiers temporaire se trouvant sur ce serveur de fichier.
54 / 76
12.4.2. Comment crer une alerte ?

Suivez la procdure ci-aprs pour crer une alerte. : Pour crer une alerte : Pour ouvrir la console Performances, cliquez sur Dmarrer, Outils d'administration, puis sur Performances. Double-cliquez sur Journaux et alertes de performance, puis cliquez sur Alertes. Toutes les alertes existantes apparaissent dans le volet des informations. L'icne verte indique que l'alerte est en cours et l'icne rouge signale l'arrt de l'alerte. Cliquez avec le bouton droit sur une zone vierge du volet des informations, puis cliquez sur Nouveaux paramtres d'alerte. Dans la zone de texte Nom, tapez le nom de l'alerte, puis cliquez sur OK. Sous l'onglet Gnral, vous pouvez ajouter un commentaire pour votre alerte, ainsi que des compteurs, des seuils d'alerte et des intervalles d'chantillonnage. L'onglet Action permet de dfinir les actions raliser lorsque des donnes de compteur gnrent une alerte.
12.5.
Objet Mmoire
Conseil doptimisation dun serveur

Compteur Page/s Octets disponibles Octets valids Octets de rserve non pagine Dfauts de page/s Place moyenne acceptable 0 20 Au moins 5% de la mmoire totale Moins que la mmoire RAM physique Reste constante, naugmente pas. Infrieure 5 Infrieure 85 % Infrieure 10 Infrieure 4 Valeur dsire Basse Haute Basse Sans objet Basse Basse Basse Basse
Voila ci-dessous un tableau refltant les valeurs des compteurs dun serveur Windows 2003 performant :
Processeur % Temps processeur Systme : Longueur de la file du processeur Files de travail du
55 / 76
serveur : Longueur de la file Interruptions/s Disque dur % Temps du disque Taille de file d'attente du disque actuelle Disque, octets/transfert moy. Octets disque/s Interface Rseau Utilisation du rseau (dans Gestionnaire des tches) Interface rseau : Octets envoys/s Interface rseau : Total des octets/s Serveur : Octets reus/s
Dpend du processeur Infrieure 50 % 02 Ligne de base ou suprieure Ligne de base ou suprieure Inf. 30 %, en gnral
Basse Basse Basse Haute Haute Basse
Ligne de base ou suprieure Ligne de base ou suprieure Moins de 50 % de la capacit de la bande passante de la carte rseau
Haute Haute Sans objet
56 / 76
13. Maintenance des pilotes de priphriques

13.1. Configuration des options de signature des pilotes de priphriques
13.1.1. Qu'est-ce qu'un priphrique ?
Un priphrique est un quipement matriel qui se branche sur un ordinateur. Il peut sagir dune carte vido, une webcam, une souris, un disque dur, etc Nous pouvons distinguer deux types de priphrique : Plug-and-Play : Le priphrique est automatiquement reconnu par la famille Windows 2003. Non Plug-and-Play : Lutilisation dun pilote est indispensable pour pouvoir utiliser le priphrique sur la famille Windows 2003.
13.1.2. Qu'est-ce qu'un pilote de priphrique ?

Un pilote de priphrique est un logiciel fournis par le constructeur du priphrique permettant un OS de dtecter, configurer, et utiliser le priphrique correspondant ce pilote. Cest un peu comme un manuel dinstruction numrique (donc non exploitable par lutilisateur) pour OS. Les priphriques figurant dans la HCL ont leurs pilotes directement intgrs Windows.
13.1.3. Qu'est-ce qu'un pilote de priphrique sign ?
Un pilote de priphrique sign est un pilote qui a t test et approuv par Microsoft dans le WHQL (Windows Hardware Quality Lab). Lutilisation dun pilote sign garanti donc les performances et la stabilit du systme. Leurs utilisation est donc fortement recommande sur les serveurs jouant un rle important dans votre infrastructure rseau. Vous pouvez dfinir le comportement quadoptera Windows 2003 en cas dinstallation de pilote non sign : Les pilotes de priphriques non signs numriquement ne sont pas pris en compte
57 / 76
Un message d'avertissement s'affiche lorsqu'un pilote de priphrique non sign est dtect Les utilisateurs ne sont pas autoriss installer des pilotes de priphriques non signs
Ces paramtres sont dfinissables via les proprits systmes, dans longlet matriel, puis cliquez sur Signature du pilote. Le vrificateur des fichiers systme, sfc, est un outil de ligne de commande qui analyse et vrifie les versions de tous les fichiers systme protgs chaque redmarrage de votre ordinateur. Il remplace les fichiers effacs par des fichiers systme valides fournis par Microsoft. Cela fait partie de la fonctionnalit de protection des fichiers Windows de Windows Server 2003.
13.1.4. Qu'est-ce que la console Gestion des stratgies de groupe ?

La console de gestion des stratgies de groupes est composant dadministration librement telechargeable sur le site de Microsoft permettant de mieux gr les stratgies de groupes.
13.2. Utilisation de la version prcdente d'un pilote de priphrique

A chaque mise jour dun pilote de priphrique, Windows 2003 sauvegarde les fichiers du pilote en cours dutilisation. En cas de mise jour infructueuse (disfonctionnement du priphrique), loption Retour la version prcdente permet dutiliser la sauvegarde du prcdant pilote qui fonctionnait correctement.
58 / 76
14. Gestion des disques

14.1. Prparation des disques
14.1.1. Qu'est-ce que l'outil Gestion des disques ?
Cet outil permet de grer les disques connects lordinateur. Il permet aux utilisateurs ayant les permissions adquates de crer, modifier, supprimer des partitions ou volumes sur les disques connects. Il est galement possible via le composant MMC de transformer des disques de base en disques dynamiques.
14.1.2. Qu'est-ce que l'outil DiskPart ?

Diskpart est un outil ayant exactement les mmes fonctions que le gestionnaire de disque. La seule diffrence vient du fait quil sutilise sous linvite de commande, ou dans la console de rcupration si cette dernire a t installe.
14.1.3. Qu'est-ce qu'une partition ?

Avant de pouvoir crire des informations sur un disque, lutilisateur devra au pralable crer une ou plusieurs partition(s). Il sagit dun espace rserv sur un disque dur, cet espace devra par la suite tre formate dans un systme de fichier reconnu par Windows 2003 (FAT, FAT32, NTFS) avant de pouvoir y stocker la moindre information. Il ne peut y avoir que 4 partitions par disque, une partition vont permettre dhberger un systme dexploitation qui sera directement dmarrable par le bios de lordinateur. Nous pouvons distinguer 2 types de partition : Partition principale : Rserve un espace disque dfinit par lutilisateur directement exploitable.
59 / 76
Partition tendu : La partition tendue ne peut pas, la diffrence de la partition principale, tre formate avec un systme de fichiers. Ce sont les lecteurs logiques que vous crez dans cette partition qui sont formats selon un systme de fichiers donn.
Les lecteurs logiques sont similaires aux partitions principales, l'exception prs que vous pouvez crer jusqu' 24 lecteurs logiques par disque. Vous pouvez formater un lecteur logique et lui affecter une lettre de lecteur. Une fois la partition principale ou le lcteur logique cr, ils sont accessibles via une lettre de lalphabet, C : par exemple pour la partition hbergeant le plus souvent le systme.
14.1.4. Comment convertir les systmes de fichiers ?

Le systme de fichier NTFS est apparu sous Windows NT. Ce systme de fichier permet contrairement au FAT, ou FAT32 de bnficier des avantages suivants : Scurit daccs : Possibilit de dfinir grces aux ACL (Access Control List) la liste des utilisateurs autoriss accder, une ressource stocke sur la partition format en NTFS. EFS : Possibilit de cryptage. Quota : Restriction despace utilisable pour un utilisateur donn. Compression des donnes la vole.
Sont principal inconvenniant est quil nest pas support sous les systmes de la famille Windows 9x. Pour convertir sous Windows 2003 une partition formate FAT en NTFS, ladministrateur peut utiliser la commande convert (convert [lecteur :]: /fs:ntfs).
14.2.
Gestion des proprits d'un disque

14.2.1. Comment effectuer une nouvelle analyse des proprits dun disque ?
Il peut arriver que Windows ne dtecte pas un disque qui vient dtre connect lordinateur, dans ce cas, il est necessaire dutiliser la commande Analyser les disques de nouveau. Windows effectuera ainsi une nouvelle analyse des disques connects, et mettra jour les proprits de ce dernier.
14.3.
Gestion des lecteurs monts

14.3.1. Qu'est-ce qu'un lecteur mont ?
Un lecteur mont est une partition formate laquelle on accde via un dossier plutt quune lettre daccs. Ce dossier servant de point daccs la partition doit obligatoirement se trouver sur une partition NTFS et tre vide au moment du montage du lecteur.
14.3.2. Quel est l'intrt du lecteur mont ?

Les lecteurs monts NTFS se rvlent pratiques pour ajouter des volumes un ordinateur alors que toutes les lettres de lecteur ont dj t affectes. Vous pouvez galement ajouter de l'espace un volume en y montant d'autres disques en tant que dossiers au lieu d'avoir recrer le volume sur un disque de plus grande capacit.
60 / 76
14.3.3. Comment grer un lecteur mont ?

Pour crer un lecteur monter on peut passer par le gestionnaire de disque en faisant un click droit sur la partition ou le volume que lon dsire monter, puis en slectionnant loption : Modifier la lettre de lecteur et les chemins .
On peut galement utiliser diskpart avec loption assign.
14.4.
Type de disques
14.4.1. Utilisation des disques de base
Lappellation disque de base reprsente le mode gestion par dfaut des disques. Il permet la cration de deux types de partition : Principale et Etendue. Les partitions principales (qui peuvent tre au nombre maximal de 4 sur un mme disque) sont celles qui sont amorables. Les OS doivent imprativement se trouver sur ce type de partition, faute de quoi ils ne pourront dmarrer. Une partition tendue constitue un espace non allou du disque. Afin de pouvoir exploiter cet espace, il faut au pralable y crer un ou plusieurs lecteur(s) logique(s). Cette partition permet doutrepasser la limite des 4 conteneurs que lon peut crer.
14.4.2. Utilisation des disques dynamiques

Les disques dynamiques offrent de nombreux avantages par rapport aux disques de base. Il va tre par exemple possible dtendre un volume sur plusieurs disques condition quils soient dynamique afin de crer un volume runissant lespace disponible de ces disques. Tout ceci est de plus ralis de faon entirement logiciel il ny a donc pas ajouter de carte particulire). Il est galement possible de redimensionner les tailles des volumes cr lorigine sur un disque dynamique et cela la vole sans avoir redmarrer lordinateur, ni mme avoir dconnecter les clients travaillant sur le volume. Mais les disques dynamiques prsentent toutefois des contraintes. Il nest pas possible de raliser un double amorage sur des disques dynamiques, et ce, mme si les deux systmes dexploitation reconnaissent ce type de disque. De plus, les disques amovibles, connects en USB ou par interface IEEE ne peuvent tre transforms en disques dynamiques. Cest galement le cas des disques dordinateurs portables. Il faut galement noter quun espace minimum de 1Mo pour la base de donnes des disques dynamiques est requis. Cet espace est automatiquement rserv lorsque lon utilise les outils de Windows 2003 pour partitionner un disque.
61 / 76
Enfin, il faut savoir que les disques dynamiques ne sont pas reconnus par les versions antrieures Windows 2000, ni par les systmes Linux ou UNIX. La conversion dun disque de base en disque dynamique est extrmement simple : cela se fait via la console Gestion des disques, ou via lutilitaire diskpart.exe. Il sagit de slectionner le disque convertir, de faire un clic droit dessus, et de choisir loption Convertir en disque dynamique. Lopration inverse requiert que tous les volumes prsents sur le disque dynamique soient supprims avant de procder la conversion. Il est possible de crer 5 types de volumes avec des disques dynamiques sous Windows 2003 Server :
Volume Volume Volume Volume Volume simple agrg par bande fractionn en miroir RAID5
14.4.2.1.
Volume simple
Un volume simple est lquivalent dune partition principal ou dun volume logique sur un disque dynamique. Lunique diffrence est quil nest pas soumis aux mmes limites que ces derniers notamment par le fait que lon peut en crer autant que lon souhaite. Il est possible dtendre un volume simple en volume fractionn. Cependant, vous ne pouvez tendre que les volumes natifs, c'est--dire, tous les volumes non issus dune mise niveau de disque de base vers disque dynamique.
14.4.2.2.
Volume agrg par bande
Avec des volumes agrgs par bandes, le volume est cr sur plusieurs disques dynamiques en utilisant un espace de taille gal surlensemble de ces disques. Exemple : Si lon possde 2 disques de 20Go et 1 disques de 30 Go, la taille de notre volume compos des trois disques sera au final de 60Go au lieu de 70Go). Les 10Go restant pouront tre utilis pour un autre volume. Les donnes sont rparties de manire quitable sur chacun des volumes, ce qui a pour avantage damliorer les performances de lcture et dcriture. Cependant, tant donn que les donnes sont rparties sur tous les disques, si lun deux est dfaillant, lintgralit des donnes est perdue. De plus, si lon souhaite ajouter un disque un volume agrg xistant, il est ncssaire de sauvegarder le contenu du volume, puis de supprimer le volume, de le recrer avec le disque supplmentaire et de restairer la sauvegarde sur le volume. Ce qui signifie que lon ne peut pas directement ajouter un disque dur un volume agrg existant.
14.4.2.3.
Volume fractionn
Le systme de volume fractionn, sollicite lui aussi plusieurs disques dynamiques, cependant la mthode de remplissage est diffrente. En effet, les donnes sont dans un premier temps crites sur le premier disque, puis une fois ce dernier rempli, les donnes vont continuer tre stockes sur le suivant et ainsi de suite. Comme le systme de volume agrg par bandes, si lun des disques connais une dfaillance, lintgralit des donnes est perdue. Lavantage de ce type de volume est de pouvoir tre tendu tant que de lespace est disponible sur lun des disques de la machine.
62 / 76
14.4.2.4.
Disques trangs
Quand vous dplacez un disque dynamique vers un nouvel ordinateur, ce dernier le traite comme un disque tranger. En effet, la base de donnes du disque dplac ne correspond pas encore la base de donnes des disques dynamiques de lordinateur. Afin de la faire correspondre, il est ncessaire de slectionner loption Importer des disques trangers. Cette option met jour la base de donnes du disque dplac avec la base de donnes des disques existante et permet de vrifier si lensemble des disques composant un volume ont bien t dplac.
14.4.2.5.
Ractivation dun disque
Si un disque est dconnect cause d'un endommagement, d'une coupure de courant ou d'une dconnexion, le disque n'est pas accessible. Le cas chant, vous devez rparer les partitions ou les volumes. Pour ce faire, ouvrez l'outil Gestion des disques, cliquez avec le bouton droit sur la partition ou le volume affichant l'tat Manquant ou Dconnect, puis cliquez sur Ractiver le volume. Une fois le disque ractiv, il doit afficher l'tat Connect. Il faut toujours essayer de ractiver le disque si celui-ci est marqu comme manquant, ou dconnect
14.5.
Cration de volumes
La cration dun volume simple, comme tout autre type de volume se fait toujours de la mme faon. Il suffit de faire un click droit sur un Espace non allou dans le gestionnaire de disque, de cliquer sur Nouveau nom, et de suivre les instructions de lassistant de cration de volume. Dans le cas de la cration dautre type de volume, un assistant va vous permettre de faciliter vos choix dans le cadre de la cration de volume fractionn et de volume agrg en ralisant tout les calculs pour vous.
63 / 76
15. Gestion du stockage des donnes

15.1. Gestion de la compression des fichiers
15.1.1. Qu'est-ce que la compression des fichiers ?
La compression des donnes est une option qui permet de compresser les donnes de faon transparete pour lutilisateur. Cela va utiliser un algorythme (comme on le fait pour des fichiers zip, rar ou ace) qui va permettre dutiliser moins despace sur un volume au format NTFS. Lutilisation de la compression des donnes affecte tout de mme les performances lors de laccs ces donnes. Il vaut donc mieux envisager cette option que si aucune autre alternative nest possible. Il faut galement noter que les dossiers et les fichiers se compressent indpendamment. Cela signifie quun dossier peut tre compress sans que les fichiers quil contient le soient pour autant, et vice versa (lattribut de compression au niveau des dossiers permettant uniquement de spcifier lattribut dont vont hriter les fichiers qui vont y tre copis). Pour que la compression des dossiers affecte galement les fichiers quil contient, le dossier doit tre compress avant dy placer les fichiers. Enfin, notez quen cas de copie dun fichier compress, ce dernier est dans un premier temps dcompress, puis copi dans le dossier de destination, et enfin compress nouveau. Il faut donc sassurer que le volume de destination possde suffisamment despace libre pour accueillir le fichier dcompress. Ci-dessous, le tableau rcapitulant le traitement de ltat de compression dun fichier ou dun dossier : Mme lecteur Copie Dplacement Les fichiers et dossiers hritent de leur tat de compression Les fichiers et dossiers conservent leur tat de compression Lecteur dorigine et de destination diffrents Les fichiers et dossiers hritent de leur tat de compression Les fichiers et dossiers hritent de leur tat de compression
Il nest pas possible de compresser un fichier ou un dossier crypt.
15.1.2. Qu'est-ce que la commande compact ?

La commande compact affiche et modifie la compression des fichiers ou des rpertoires dans les partitions NTFS. Utilise sans paramtre, la commande compact affiche l'tat de la compression du rpertoire en cours. Syntaxe compact [{/c|/u}] [/s[:rp]] [/a] [/i] [/f] [/q] [NomFichier[...]] Paramtres /c /u /s:rp /a /i Description Compresse le rpertoire ou le fichier indiqu. Dcompresse le rpertoire ou le fichier indiqu. Indique que l'action demande (compression ou dcompression) doit s'appliquer tous les sous rpertoires du rpertoire indiqu ou du rpertoire en cours si aucun rpertoire n'est spcifi. Affiche les fichiers cachs ou les fichiers systme. Ne tient pas compte des erreurs.
64 / 76
/f /q NomFichier /?
Force la compression ou la dcompression du rpertoire ou du fichier indiqu. Ce paramtre est utilis lorsque la compression d'un fichier est interrompue par une panne du systme. Pour forcer la compression du fichier dans sa totalit, utilisez les paramtres /c et /f et spcifiez le fichier compress partiellement. Signale uniquement les informations les plus importantes. Indique le nom du fichier ou du rpertoire. Vous pouvez utiliser plusieurs noms de fichier ainsi que des caractres gnriques (* et ?). Affiche de l'aide l'invite de commandes.
15.2.
Configuration du cryptage des fichiers

15.2.1. Qu'est-ce que le cryptage EFS ?
Le cryptage des fichiers est une opration trs utile dans le cadre dune organisation devant tre scurise. En effet, la gestion des autorisations ne permet pas une scurit maximum ; si un utilisateur mal veillant russi rcuprer le mdia sur lequel se trouvent les donnes auxquelles il na normalement pas accs sur le rseau, il peut cependant brancher ce disque dur sur un autre OS o il est administrateur et ensuite avoir accs lintgralit des informations. Le cryptage des donnes vite que ce genre de situation puisse se produire. Quand un utilisateur crypte un fichier ou un dossier, le systme stocke le fichier en question sous une forme crypte en utilisant la cl publique de cet utilisateur, et le dcrypte quand lutilisateur veut y accder nouveau en utilisant sa cl prive.Seul la cl priv de lutilisateur ayant crypt le fichier peut dcrypter le fichier. Ceci se fait de faon totalement transparente pour lutilisateur, alors que lutilisateur non autoris se verra laccs refus. Il faut cependant noter que les donnes ne sont pas cryptes quand elles circulent sur le rseau. Il faut donc penser activer IPSec et WebDAV pour permettre un cryptage des donnes lors de leurs transports sur le rseau. Un agent de rcupration doit tre configur afin de pouvoir rcuprer les fichiers crypts dans le cas, par exemple, du dpart d'un employ ou de la perte de sa cl de dcryptage. Cet agent de rcupration doit tre dfinit avant le cryptage des fichiers
Par dfaut le compte administrateur est utilis comme Agent de rcupration
65 / 76
15.2.2. Comment crypter un fichier ou un dossier ?

Pour crypter un dossier : dans la boite de dialogue Proprits pour le dossier, cliquer sur longlet Gnral, ensuite, cliquer sur le bouton Avanc et slectionner la case cocher Crypter le contenu pour scuriser les donnes . Le dossier nest pas crypt, mais les fichiers qui y seront placs seront crypts. Dcocher la case si vous souhaitez que les fichiers ne soient plus crypts.
15.2.3. Quels sont les effets produits par le dplacement ou la copie de fichiers ou de dossiers crypts ?
Ci-dessous, le tableau rcapitulant le traitement de ltat de cryptage dun fichier ou dun dossier : Action\Destination Copie Dplacement Destination : Dossier crypt Les fichiers et dossiers deviennent crypts Les fichiers et dossiers deviennent crypts Destination : Dossier non crypt Les fichiers et dossiers conservent leur tat de cryptage Les fichiers et dossiers conservent leur tat de cryptage
Si vous copiez le fichier crypt d'un volume NTFS dans un volume FAT ou FAT32, le fichier devient non crypt. Si vous copiez le fichier d'un volume FAT dans un dossier crypt sur un volume NTFS, le fichier est crypt.
15.3.
Implmentation des quotas de disque

15.3.1. Quest-ce qu'un paramtre de quota de disque ?
Un quota est une limite despace disque virtuel pour un utilisateur. En activant un Quota, ladministrateur va pouvoir dfinir lespace maximum que pourront exploiter les utilisateurs locaux, ou du domaine sur le disque sur lequel il a activ le quota et ceci mme si le disque dtient encore de lespace libre.
15.3.2. Comment activer et dsactiver des quotas de disque ?

Il suffit daller dans les proprits du disque sur lequel on dsire activer le quota, cliquer sur longlet Quota, puis cocher la case Activer la gestion de quota.
66 / 76
15.3.3. Comment ajouter et supprimer des entres de quota de disque ?

En activant la gestion de quota, les limites despace exploitable seront par dfaut appliqu pour tous les utilisateurs (sauf ladministrateur). Cependant, il peut arriver que pour une raison particulire, ladministrateur veuille autoriser un utilisateur particulier utiliser une plus grande ou plus petite portion despace disque que les autres utilisateurs. Dans ce cas, il faudra crer une entre de quota. Une entre de quota permet de dfinir un quota pour un utilisateur. Cependant il nest pas possible de crer une entre de quota pour un groupe dutilisateur. Il faut galement savoir quune entre de quota est prioritaire sur le quota par dfaut. En cas de stockage de fichiers compresss sur un disque sur lequel est activ la gestion de quota, cest la taille du fichier sans compression qui est comptabilis. La gestion de quota est une option accessible que sur les partitions ou volume format en NTFS. Ce screenshot montre 2 entrs de quota : Une entre illimite pour ladministrateur cre automatiquement en cas dactivation de la gestion de quota Une entre dfinie manuellement qui limit 100 Mo lespace disque exploitable pour lutilisateur invit.
Il est galement possible dimporter et dexporter des entres de quota vers dautre volume afin dallger les tches administratives.
67 / 76
16. Gestion de la rcupration en cas d'urgence

16.1. Sauvegarde des donnes
16.1.1. Vue d'ensemble de la sauvegarde des donnes
La sauvegarde est un processus simple qui consiste dupliquer des informations dun emplacement un autre. Ceci permet de faire face aux situations durgences o les donnes ont t perdues. On peut alors utiliser une sauvegarde afin de restituer un environnement de travail pour reprendre la production de lentreprise. Reste savoir quelles sont les informations sauvegarder, sur quelle frquence se feront les sauvegardes, et quel type de sauvegarde seront effectu.
16.1.2. Qui peut sauvegarder les donnes ?

Par dfaut, seul les membres des groupes suivant peuvent effectuer une sauvegarde : Administrateur Oprateurs de sauvegardes Oprateurs de serveurs Sinon lutilisateur doit sois tre propritaire du fichier quil souhaite sauvegarder, ou sois au moins avoir lautorisation NTFS lecture sur le fichier en question.
16.1.3. Qu'est-ce que les donnes sur l'tat du systme ?

Dans le processus de sauvegarder, lutilisateur a la possibilit (si il possde les autorisations requises) deffectuer une sauvegarde de ltat du systeme. Il sagit une sauvegarde de toutes les informations requises par le systeme dexploitation pour son bon fonctionnement. Voila la liste des composants de ltat du systeme : Registre Fichiers de dmarrage, inscriptions de classe Com+, y compris les fichiers systme Base de donnes Services de certificats Service d'annuaire Active Directory Rpertoire SYSVOL Information de service de cluster Mtarpertoire IIS Fichiers systme sous protection de fichiers Windows
16.1.4. Types de sauvegardes

Lutilisateur a la possibilit deffectuer plusieurs types de sauvegardes en fonctions de la stratgie adopte. Dsactivation de l'attribut archive Oui
Type de sauvegarde Normal / Complte
Description Sauvegarde les fichiers et dossiers slectionns.
68 / 76
Copie Incrmentiel Diffrentiel Journalire
Sauvegarde les fichiers et dossiers slectionns Sauvegarde les fichiers et dossiers slectionns qui ont t modifis depuis la sauvegarde normale ou incrmentielle Sauvegarde les fichiers et dossiers slectionns qui ont t modifis depuis la dernire sauvegarde Sauvegarde les fichiers et dossiers slectionns qui ont t modifis au cours de la journe
Non Oui Non Non
Le logiciel de sauvegarde considre quun fichier a t sauvegard si son attribut prt tre archiv est dsactiv.
16.1.5. Qu'est-ce que ntbackup ?

Lutilitaire de sauvegarde est aussi disponible en ligne de commande avec la syntaxe suivante : ntbackup backup [systemstate] "nom de fichier bks" /J {"nom tche"} [/P {"nom pool"}] [/G {"nom GUID"}] [/T { "nom bande"}] [/N {"nom mdia"}] [/F {"nom fichier"}] [/D {"description jeu"}] [/DS {"nom serveur"}] [/IS {"nom serveur"}] [/A] [/V:{yes|no}] [/R:{yes|no}] [/L:{f|s|n}] [/M {type sauvegarde}] [/RS:{yes|no}] [/HC:{on|off}] Cela permet de crer des script de sauvegarde, par contre il existe des limites ce mode dexecution : Avec loutil en ligne de commande il nest pas possible de sauvegarder des fichiers on ne peut sauvegarder que des dossiers complets. Vous pouve par contre pointer sur une selection de suvegarde (.bks) qui contient cette liste de fichier. La commande ne supporte pas les caractres joker comme * ou ? ce qui signifie que *.jpg nenregistrera pas les fichiers .jpg dans la sauvegarde.
16.1.6. Qu'est-ce qu'un jeu de rcupration automatique du systme ?

Lutilitaire de sauvegarde propose lutilisation de la Rcupration du systme automatique (ASR). Cet outil permet deffectuer une sauvegarde complte du systeme (sans les donnes personnels), sur disquette. Ceci permettrait de restaurer le systeme si ce dernier de dmarrer plus tel quil ltait au moment de la sauvegarde. Bien que cet outil sois spcialis dans la sauvegarde de ltat du systeme, il dispose dune option, Toute les informations sur cet ordinateur, qui permet de sauvegarder non seulement ltat du systme, mais galement toutes les donnes stockes sur lordinateur.
16.2. Planification des oprations de sauvegarde

16.2.1. Qu'est-ce qu'une opration de sauvegarde planifie ?
Il sagit dune opration de sauvegarde qui se dclanchera une date et heure prcise.
69 / 76
Ceci permet dviter doublier une sauvegarde qui devrait tre effectu priodiquement, ou dtre physiquement prsent pour lancer une sauvegarde en dehors des horaires de travail. Plusieurs options de planification de sauvegarde sont disponibles : Une fois Tous les jours Toutes les semaines Tous les mois Au dmarrage du systme A louverture de session Si inactif Une seule fois une date et une heure spcifiques l'heure spcifie chaque jour l'heure spcifie chacun des jours spcifis de la semaine l'heure spcifie une fois par mois Au prochain dmarrage du systme la prochaine ouverture de session par le propritaire de l'opration de sauvegarde Quand le systme est rest inactif pendant un nombre de minutes donn
16.2.2. Comment planifier une opration de sauvegarde ?

Vous pouvez planifier des sauvegardes rgulires l'aide de l'Assistant Sauvegarde ou Restauration pour que vos donnes archives soient toujours jour. Vous devez avoir ouvert une session en tant qu'administrateur ou oprateur de sauvegarde pour planifier une opration de sauvegarde.
16.3.
Restauration des donnes

16.3.1. Qu'est-ce que la restauration des donnes ?
La restauration des donnes est le processus de restitution des informations provenant dune sauvegarde. On a souvent recours aux restaurations en cas durgence (sinistre).
16.4.
Configuration des clichs instantans
70 / 76
16.4.1. Qu'est-ce que les clichs instantans ?

Un clich instantan (shadow copy) est un systeme de rcupration de donne(s) partage(s). Ainsi, la suite dune mauvaise manipulation dun fichier prsent sur un volume sur lequel on a activ les clichs instantans, il va tre possible daccder (en lecture seule) une version prcdente du document. Les clichs instantans sont dsactivs par dfaut.
16.4.2. Comment configurer des clichs instantans sur le serveur ?

Il y a deux faons de dactiver les clichs instantans sur un volume. Sois en utilisant la console gestion de lordinateur, sois en affichant les proprit du volume et en slectionnant longlet Clichs instantans. Ensuite, il sagit dactiver, ou dsactiver la gestion de clichs instantans. Il est possible galement de dfinir la quantit despace maximal exploitable pour la sauvegarde des clichs instantans. Par dfaut cette taille est fixe 100 Mo.
16.4.3. Logiciel client pour les versions prcdentes des clichs instantans
Pour que les clients puissent accder une version prcdente dune ressource partage, ils doivent au pralable installer le logiciel Client pour version prcdente.
71 / 76
Ce logiciel est disponible sur le serveur Windows 2003 dans le dossier suivant : %systemroot%\WINDOWS\system32\clients\twclient\x86\twcli32.msi Ensuite pour pouvoir obtenir un listing des diffrentes versions dune ressource partage, il suffit dafficher les proprits du fichier, et daller dans longlet Versions prcdentes.
16.5. Rcupration suite une dfaillance du serveur

16.5.1. Contrle des paramtres systme au cours du processus damorage
Windows 2003 Server fournit deux types de configuration pour dmarrer un ordinateur : la configuration par dfaut, et la dernire bonne configuration connue. Les informations relatives ces deux configurations sont stockes dans la base de Registre dans HKEY_LOCAL_MACHINE\SYTEM\CurrentControlSet et HKEY_LOCAL_MACHINE\SYTEM\LastKnowGood. Lors de louverture de session russie, la configuration en cours de Windows est systmatiquement sauvegarde en tant que dernire bonne configuration connue. Ces options de dmarrage sont accessibles en tapant sur la touche F8 au dmarrage de lordinateur au menu de slection du systme dexploitation. Voici un tableau indiquant les cas o il faut ou non utiliser la dernire bonne configuration connue : Cas Aprs installation dun nouveau pilote, Windows 2003 Server ne rpond plus. Dsactivation accidentelle dun pilote de priphrique essentiel. Problme non li des changements de configuration de Windows 2003 Server. Aprs une ouverture de session Pannes matrielles, fichiers manquants ou endommags. Dernire bonne configuration connue Oui Oui Non Non Non
72 / 76
16.5.2. Modification du comportement au dmarrage laide du fichier Boot.ini

Le fichier Boot.ini se compose de deux sections :
[boot loader] qui contient le timeout et lemplacement de lOS lancer par dfaut. [operating systems] qui contient lemplacement de lensemble des OS installs sur lordinateur.
Les emplacements des OS sont indiqus grce des chemins ARC (Advanced RISC Computing). Cette notation permet dindiquer la ou les partitions sur lesquelles le(s) systme(s) rsident. Le tableau suivant contient une description de chaque lment du chemin de nom. Convention scsi(x) Description Spcifie un contrleur SCSI sur lequel le BIOS SCSI n'est pas actif. La variable x reprsente un chiffre qui indique l'ordre de chargement du contrleur. La numrotation du contrleur commence 0. Spcifie n'importe quel contrleur qui n'utilise pas la convention SCSI(x), en loccurrence, les controleurs IDE et les controleurs SCSI avec BIOS actif. La variable x reprsente un chiffre qui indique l'ordre de chargement du contrleur. La numrotation du contrleur commence 0. L'identificateur SCSI du disque lorsque le BIOS du controleur SCSI nest pas actif. La numrotation commence 0. Le numro qui identifie le disque sur lequel le systme d'exploitation rside lorsque multi identifie le contrleur. La numrotation commence 0. Spcifie la partition sur laquelle le systme d'exploitation rside. La numrotation commence 1.
multi(x)
disk(y) rdisk(z) partition(a)
Voici un exemple de fichier boot.ini: [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows 2003 Server" Ce fichier dcrit un ordinateur qui utilise Windows 2003 Server comme OS par dfaut. Cet OS se trouve sur un controleur IDE ou SCSI avec BIOS actif, sur le premier disque, sur la partition 1.
16.5.3. Utilisation des options damorage avances pour rsoudre les problmes de dmarrage
Le mode sans chec est le mode de diagnostic le plus souvent utilis pour rsoudre des problmes de dmarrage du systme. Il permet de lancer Windows avec un nombre minimum de pilotes. Ainsi, si linstallation dun nouveau logiciel empche Windows de dmarrer normalement, il est toujours possible de lancer ce dernier en mode sans chec, et partir de l, modifier le paramtre du logiciel qui pose problme, ou tout simplement le supprimer. Ce mode, est accessible en tapant sur la touche F8 au dmarrage de lordinateur, au niveau de la slection de lOS lancer.
16.5.4. Utilisation de la console de rcupration pour dmarrer lordinateur
73 / 76
La console de rcupration peut tre utilise dans le cas o les deux solutions proposes prcdemment ne fonctionnent pas. Il faut cependant avoir le mot de passe administrateur de la machine pour pouvoir lutiliser. Cette console permet deffectuer les tches suivantes :
Dmarrer et arrter de services Reconfigurer les services qui empchent lordinateur de dmarrer correctement Formater les lecteurs sur un disque dur Lire et crire des donnes sur un disque format en FAT ou NTFS Rparer le systme en copiant un fichier partir dune disquette ou dun CD-ROM Autres tches dadministration
Linstallation de la console de rcupration se fait partir du CD-ROM dinstallation de Windows 2003 Server. Tapez la commande ci-dessous partir de linvite de commande en basculant sur le lecteur CDROM (d : par exemple): D:\i386\winnt32.exe /cmdcons Il est galement possible de lancer la console de rcupration en bootant avec le CD-ROM dinstallation de Windows 2003 Server, et en tapant r au menu Bienvenue ! du CD. Ensuite pour lancer la console de rcupration partir du menu, choisissez lOS dmarrer, puis slectionnez linstallation rcuprer, et enfin entrez le mot de passe administrateur. Utilisez ensuite la commande help pour obtenir la liste des commandes accessibles.
16.6. Choix d'une mthode de rcupration en cas d'urgence

16.6.1. Quels sont les outils de rcupration en cas d'urgence ?
Ce tableau rsume les outils utiliser en cas durgence : Mode sans chec Dernire bonne configuration connue Sauvegarde Console de rcupration Rcupration systeme automatique (ASR) utiliser quand un problme empche le dmarrage normal de Windows Server 2003 n'utiliser que si la configuration est incorrecte et que lutilisateur na pas dj ouvert de session depuis la modification qui pose problme. utiliser pour crer une copie des donnes sur le disque dur et l'archiver sur un autre priphrique de stockage utiliser si vous ne pouvez pas corriger les problmes avec une des mthodes de dmarrage utiliser lors de la restauration des donnes d'une sauvegarde
74 / 76
17. Maintenance des logiciels l'aide des services SUS

17.1. Prsentation des services SUS
17.1.1. Qu'est-ce que Windows Update ?
Windows Update est l'extension en ligne de Windows qui vous permet de maintenir votre ordinateur parfaitement jour. Utilisez Windows Update pour choisir les mises jour que vous souhaitez appliquer au systme d'exploitation, aux logiciels et au matriel de votre ordinateur. Le contenu du site Web de Windows Update est amlior rgulirement, de sorte toujours vous proposer les mises jour et les solutions les plus rcentes pour protger votre ordinateur et en assurer le fonctionnement optimal. Windows Update analyse votre ordinateur et vous propose ensuite une slection de mises jour entirement personnalise, qui s'applique uniquement aux logiciels et au matriel dont vous disposez.
17.1.2. Qu'est-ce que la fonctionnalit Mises jour automatiques ?

La fonctionnalits de mise jour automatiques permet de configurer et de planifier une installation automatise des mises jour de Windows. Plusieurs options vous sont proposes : Vous tes prvenus avant de tlcharger une nouvelle mise jour et juste avant de linstaller. Les nouvelles mises jour sont tlcharges, et vous tes prvenus juste avant de les installer. Les nouvelles mises jour sont tlcharges et installes selon la planification de votre choix.
17.1.3. Comparaison entre Windows Update et la fonctionnalit Mises jour automatiques

Windows Update et la fonctionnalit Mises jour automatiques sont deux composants distincts conus pour fonctionner ensemble et assurer la scurit des systmes d'exploitation Windows. Windows Update est un site Web Microsoft sur lequel les utilisateurs de Windows peuvent tlcharger des logiciels cruciaux et non cruciaux. La fonctionnalite Mises jour automatiques vous permet d'interagir automatiquement avec le site Web Windows Update pour obtenir les mises jour critiques des logiciels. En tant qu'administrateur systme, vous contrlez totalement le niveau de cette interaction avec la fonctionnalit Mises jour automatiques, l'aide des services SUS.
17.1.4. Qu'est-ce que les services SUS ?

Le service SUS, qui est disponible depuis Windows 2000, a pour rle de consulter Windows Update rgulirement (via des planifications), et de tlcharger des mises jours. Ces Mises jours sont ensuite stock en interne, et sont disponible pour tous les serveurs et clients Windows du rseau.Il sagit en quelque sorte dun Proxy pour mises jours. Ladministrateur devra ensuite configurer les clients pour planifier leurs connections vers le(s) serveur(s) SUS afin deffectuer les mises jours. Cette configuration peut tre effectue en utilisant une GPO. Lintrt principal des services SUS est de pouvoir tester une mise jour sur un nombre restreint de machine, puis de publier ces mises jours si les mises jour se sont droules correctement sur les machines de test.
75 / 76
17.2. Installation et configuration des services SUS

17.2.1. Qu'est-ce qu'un point de distribution du serveur de service SUS ?
Le service SUS permet lutilisation de point de distribution. Il sagit de serveurs prsents sur le rseau qui hbergeront les fichiers de mise jours tlchargs. Cependant, par dfaut, le serveur excutant le service SUS est le point de distribution.
17.2.2. Configurations de serveur requises pour les services SUS

La configuration minimale pour excuter le service SUS est la suivante. Matriel : Pentium III 700 Mhz ou suprieur 512 Mo de mmoire vive 6 Go despace disponible Logiciel : Windows 2000 SP2 ou suprieur, ou Windows 2003 Server IIS 5.0 ou version ultrieur IE 6.0 ou suprieur
17.2.3. Comment installer et configurer les services SUS ?

Le service SUS nest pas directement disponible sur Windows 2003, ladministrateur rseau doit se connecter ladresse suivante pour tlcharger cet outil : http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp.
17.2.4. Configuration de la fonctionnalit Mises jour automatiques
76 / 76
La fonctionnalit Mises jour automatiques reprsente la partie cliente de SUS. Ce client (prsentt sur tout les systmes depuis Windows 2000) permet de maintenir jour les diffrents patch du systme en choisissant un mode opratoire parmis les 3 suivantes : Le systme avertit l'administrateur avant le tlchargement des mises jour et avant l'installation des mises jour tlcharges. Le tlchargement des mises jour s'effectue automatiquement, et le systme avertit un administrateur avant l'installation des mises jour. Le tlchargement et l'installation des mises jour s'effectuent suivant une planification spcifie.
Pour dfinir la source ou se connecte Mises jour automatiques il vous suffit de modifier dans une stratgie de groupe (GPO) la configuration (Configuration de l'ordinateur\Modles d'administration\Composants Windows\Windows Update).

Administration Win2003 Serveur

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Administration Win2003 Serveur

Uploaded by

Copyright:

Available Formats

http://www.laboratoire-microsoft.

Essentiel Windows 2003

Auteurs : Yann ALET, Brahim NEDJIMI et Loc THOBOIS

Administrer et grer un environnement Microsoft Windows Server 2003

Table des matires

Administrer et grer un environnement Microsoft Windows Server 2003

Administrer et grer un environnement Microsoft Windows Server 2003

Administrer et grer un environnement Microsoft Windows Server 2003

Administrer et grer un environnement Microsoft Windows Server 2003

Administrer et grer un environnement Microsoft Windows Server 2003

1. Introduction ladministration des comptes et des ressources

1.1.2. La Famille Serveur Windows 2003

133 MHz ou plus (supporte 2 processeurs au plus)

133 MHz ou plus (supporte 4 processeurs au plus)

Administrer et grer un environnement Microsoft Windows Server 2003

Disque avec 1,5Go d'espace libre pour linstallation

Disque avec 1,5Go d'espace libre pour linstallation

1.1.3. Prsentation du service dannuaire (Active Directory)

1.1.4. Structure dActive Directory

Administrer et grer un environnement Microsoft Windows Server 2003

1.2. Installation et configuration des outils dadministration

1.2.2. Prsentation et configuration dune MMC

Administrer et grer un environnement Microsoft Windows Server 2003

1.2.3. Rsolution des problmes lors de linstallation des outils dadministration

1.3. Prsentation et configuration des units dorganisations

1.3.2. Model hirarchique des units dorganisation

1.3.3. Dnomination des units dorganisation

Administrer et grer un environnement Microsoft Windows Server 2003

1.3.4. Cration dune unit dorganisation

1.4. Dplacement des objets du domaine

Administrer et grer un environnement Microsoft Windows Server 2003

2. Gestion des comptes dutilisateur et dordinateur

2.1.2. Convention de nom des comptes utilisateurs

2.1.3. Nomenclature de cration de compte utilisateur

Administrer et grer un environnement Microsoft Windows Server 2003

2.1.4. Mot de passe utilisateur

2.1.5. Cration de compte dutilisateur

2.2. Cration de comptes dordinateur

2.2.2. Cration de compte dordinateur

2.3. Modification des proprits des compte dutilisateur et dordinateur

Administrer et grer un environnement Microsoft Windows Server 2003

2.4. Cration de modles de compte utilisateur

2.4.2. Proprits du modle de compte maintenus lors de la copie

Administrer et grer un environnement Microsoft Windows Server 2003

2.5. Activation et dsactivation dun compte utilisateur

2.6. Recherche dans Active Directory

2.6.2. Recherche personnalise

2.6.3. Sauvegarde des requtes

Administrer et grer un environnement Microsoft Windows Server 2003

Administrer et grer un environnement Microsoft Windows Server 2003

3. Gestion des groupes

3.1.1. Groupes sur un ordinateur local

3.1.2. Groupes sur un contrleur de domaine

Etendue des groupes

Membres Membres de Etendue Autorisations pour

Administrer et grer un environnement Microsoft Windows Server 2003

Mode mixte Comptes dutilisateurs et groupes globaux de tout domaine Membres

Membres de Etendue Autorisations pour

Membres daucun groupe

Mode mixte Non utilisables Membres Membres de Etendue Autorisations pour

3.2. Convention de nommage des groupes

3.3. Gestion des groupes

. Cette stratgie est aussi appele A G DL P.

Administrer et grer un environnement Microsoft Windows Server 2003