Windows Server 2003

WINDOWS SERVER 2003I - INTRODUCTIONSystme d'exploitation vocation professionnelle issu de Windows 2000 (et antrieurement de Windows NT 4.0, 3.51, 3.5 et 3.1). Dvelopp par Microsoft Corporation depuis le dbut des annes 90 initialement par une ancienne quipe de Digital Equipment Corporation (DEC). Commercialisation de Windows 2003 en 2003! Noyau diffrent de ceux de Windows 95, Windows 98 et NT 4.0, driv de celui de Windows 2000. Solution prsente des attentes telles que:

robustesse, scurisation, fonctionnalits serveur, gestion du poste client, administration distante, technologies d'infrastructure rseau,

Windows NT : Une rponse la volont de Microsoft Corporation de prendre pied dans les environnements systmes professionnels. A sa sortie, attaque directe contre Novell IntranetWare et les grands systmes propritaires. Depuis, attaqu directement par les Unix ouverts de type Linux ou FreeBSD. Existence de versions ddies "poste clients" destines tre utilises en association aux systmes "serveur". Systme serveur Systme poste client Windows NT 4.0 Serveur Windows NT 3.51 ou 4.0 Workstation Windows 2000 ou 2003 Serveur Windows 2000 ou XP Professionnel Caractristiques principales Prsent comme trs largement compatible avec les dveloppements antcdents raliss pour Windows. -> Prservation des investissements en logiciel et en formation (y compris pour les formations d'administrateurs). -> Prservation des investissements matriel car Windows 2003 n'est pas plus exigant que Windows 2000 en ressources matrielles (voire mme moins pour certains services). -> Drivers logiciels et matriels identiques ceux de Windows 2000.

1

Windows Server 2003 Practice

Systme d'exploitation rseau. -> Intgration pousse des fonctionnalits rseau au sein du noyau. Gestion de la scurit deux titres :

sret de fonctionnement (robustesse), scurit vis vis du contrle de l'utilisation de la machine (actions, intrusions, ...).

Systme d'exploitation d'entreprise (infrastructure informatique globale) et non plus seulement systme d'exploitation dpartemental (gestion de groupes de travail) ou poste de travail. Fonctionnalits amliorant le rendement de l'administrateur, de l'utilisateur et du matriel. Exemples:

administration centralise, vrai multitche, partage de ressources,

Quelques caractristiques de Windows 2003 Serveur Qualits

Administrabilit Scurit vis vis des intrusions Robustesse Maintenance de la part de Microsoft Systme en version 32 bits et 64 bits Systme multi-tche et multi-thread Support des ordinateurs multiprocesseurs Support des standards du march Systme d'entreprise Dfauts

Ncessit d'un administrateur dsign Incompatibilit de certains logiciels (DOS, Win95, Win98) Systme non multi-session Reboots Systme entirement proprit de Microsoft Corporation

Implantation constate Windows 2003 est entr principalement en concurrence avec Windows 2000 Serveur (son prdcesseur immdiat), Linux et Novell IntranetWare. C'est un produit qui a reu bon accueil:

Large implantation sur les petits serveurs de groupes de travail (en concurrence avec Linux). Peu implant sur les moyens et gros systmes (en concurrence avec Linux, Unix et les systmes propritaires).

Plusieurs versions de Windows 2003 Serveur:

2


En version 32 bits:

Windows 2003 Server Web Edition

Pas de gestion d'un parc de machines (Domaine). Serveur Internet De 1 2 processeurs, jusqu' 2 Go de mmoire. N'existe pas en version x64. N'existe pas en version Itanium.

Windows 2003 Server Standard

Gestion d'un parc de machines (Domaine). Priorit aux activits lies au rseau par rapport aux activits purement locales. Serveurs de fichiers et d'imprimantes Serveur Internet De 1 4 processeurs, jusqu' 4 Go de mmoire. Jusqu' 32 Go de mmoire en version x64. N'existe pas en version Itanium.

Windows 2003 Enterprise

dition modifie pour une meilleure extensibilit (quilibrage de charge) et sret de fonctionnement (clustering). Serveurs Internet et d'applications De 1 16 processeurs, jusqu' 64 Go de mmoire. Jusqu' 1 To de mmoire en version x64 et Itanium.

Windows 2003 Datacenter

Fonctionnalits de l'Advanced Server. Serveurs Internet et d'applications 16 ou 32 processeurs, 64 128 Go de mmoire. En version R2 (voir plus loin), jusqu' 64 processeurs. Jusqu' 1 To de mmoire en version x64 et Itanium. Version "poste client": Windows XP Professionnel En 2002, Microsoft a dit le successeur de Windows 2000 Professionnel : Windows XP Professionnel. Il en reprend le noyau et est plus une volution qu'une rvolution. Microsoft a aussi commercialis une version "personnelle" de Windows XP : Windows XP Home Edition. Celle-ci est principalement allge des possibilits d'administration centralise et de scurisation. Nouvelle release de Windows 2003 en 2006: Windows 2003 R2

Mise jour logicielle Ajout de fonctionnalits

Prochaine version serveur: Windows ? en ? Microsoft annonce un nouveau systme professionnel pour 2007: "Vista".

3


II - ELMENTS D'ARCHITECTURE, RSEAU INTERNETInternet : Rseau mondial d'inter-connexion de rseaux. Toute machine connecte au rseau Internet peut thoriquement communiquer avec tout autre machine elle-mme connecte. Dans la pratique, c'est loin d'tre systmatiquement le cas. Pour ce faire, un message d'une machine une autre machine est segment en paquets. Chacun des ces paquets est marqu par la machine source avec son nom et le nom de la machine cible et est mis sur le rseau destination de cette machine. Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de la communication, ces pertes peuvent tre tolres ou interdites. Dans le second cas, la perte est dtecte et le paquet est envoy de nouveau. Le transfert de ces paquets require la prsence d'une infrastructure matrielle gre par une infrastructure logicielle. Infrastructure matrielle Sous-rseau Un sous-rseau est un rseau dont chaque machine peut communiquer directement avec toute autre machine. Dans le cas des rseaux ethernet sur double paires torsades (technologie la plus courante actuellement), les machines sont interconnectes via des concentrateurs (hubs) ou des commutateurs (switchs). Un concentrateur relie les machines en toile. Il duplique et transmet tout paquet toutes les machines qui lui sont directement connectes. Une machine cible conservera et exploitera les paquets qui lui sont destins et oubliera les autres. Du fait de la duplication des paquets, la somme des bandes passantes instantanes sur l'ensemble des machines connecte est la bande passante du concentrateur (gnralement 10 ou 100 Mbits/s). La capacit de transfert est donc partage entre les machines connectes et est limite celle du concentrateur.

Un commutateur relie les machines en toile et transmet un paquet la seule machine laquelle il est destin. -> Une machine ne reoit que les seuls paquets qui lui sont destins. Chaque machine possde une bande passante potentielle vers les autres machines qui lui

4


sont connectes gale celle de son interface rseau (10, 100 ou 1000 Mbits/s). La bande passante globale du sous-rseau est toutefois limite par la vitesse de commutation du fond de panier du commutateur (matrice de commutation).

Un sous-rseau peut tre constitu par une toile de commutateurs ou concentrateurs sur lesquels viennent se connecter en toile les machines. Inter-connexion des sous-rseaux Toujours pour les rseaux ethernet, deux ou plusieurs sous-rseaux spars peuvent tre connects entre eux via un routeur. Un tel matriel est capable de "router" les paquets entre les sous-rseaux qui contiennent les machines source et cible. Dans les cas simples, les sous-rseaux sont directement connects sur un routeur unique qui aprs configuration semble agir comme un commutateur.

Dans les cas plus complexes (rseaux d'entreprise, Internet), un seul routeur ne permet pas l'inter-connexion de l'ensemble des sous-rseaux. Plusieurs routeurs relis entre eux conscutivement sont alors utiliss sur le chemin des paquets.

5


Pour des raisons de prennit de fonctionnement, le rseau de routeurs, au lieu d'tre construit en toile, pourra tre construit en graphe. Plusieurs chemins pourront exister pour aller d'un sous-rseau un autre sous-rseau. Pour un mme message, les paquets pourront transiter par des chemins diffrents et mme arriver dans un ordre diffrent de celui de dpart. Le matriel actif se contente d'assurer le transfert de l'information. Ce seront les machines qui reconstitueront la cohrence des messages l'arrive.

Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du rseau fdrateur permettant ainsi de rsoudre le problme du choix et de l'optimisation des liens de transit.Windows Server 2003 Practice

6

Infrastructure logicielle L'infrastructure logicielle d'un rseau informatique est base sur l'utilisation de un ou plusieurs protocoles de communication (i.e. langage de communication d'informations entre ordinateurs). Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole de l'Internet et tend se gnraliser. La diffrence essentielle entre ces trois protocoles est que TCP/IP est assez facilement "routable" (i.e. est gr par les routeurs) et permet donc d'interconnecter des sousrseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette caractristique ainsi que sa relative simplicit explique son adoption pour le rseau Internet. L'infrastructure logicielle comprend pour chaque protocole:

Les logiciels de configuration, de gestion et d'audit du fonctionnement des matriels du rseau (concentrateurs, commutateurs, routeurs, ...) (non abords ici). Les logiciels de configuration, de gestion et d'audit du fonctionnement local des machines permettant en particulier de donner un nom chaque machine pour autoriser les communications machine source machine cible. Les services rseau implants pour utiliser ou faciliter l'utilisation du protocole.

NetBEUI NetBEUI possde le gros avantage d'tre simple installer et configurer. Cette simplicit est principalement due au fait qu'il n'a pas t conu dans le but d'tre rout et qu'il n'intgre donc pas les paramtres qui pourraient tre ncessaires la gestion du routage. Les machines sont dsignes par des noms alphanumriques sur 15 caractres. Toutes les machines places sur le mme concentrateur, sur le mme commutateur ou lies par une suite de concentrateurs commutateur peuvent communiquer directement entre elles. Un certain nombre de services rseau ont t dvelopps pour NetBEUI. En particulier SMB (Server Message Block) et Lan Manager proposent les services:

de gestion d'utilisateurs, de gestion de rpertoires partags, de gestion d'imprimantes partages, ...

NetBEUI et les services qui lui sont associs est disponible sous les diffrentes versions de Windows et sous Linux (Samba). Outre sa non routabilit, NetBEUI utilis sous Windows possde l'inconvnient de mettre en uvre un processus d'exploration du rseau la recherche des machines qui y sont prsentes de manire en rendre accessible la liste. Dans le cas le plus dfavorable, chaque machine met rgulirement un "broadcast" (i.e. un message destin toutes les machines de son sous-rseau) destin susciter une rponse contenant le nom de la machine rpondant. Si n machines gnrent un broadcast entranant n rponses, on

7


obtient de l'ordre de n2 messages changs rgulirement. -> partir d'un certain nombre de machines, une part importante du trafic du rseau (voire prs de 100%) peut tre consacre ce processus d'exploration. Pour viter ce problme, dans une version plus labore (en particulier depuis Windows NT), un "matre explorateur" est lu automatiquement sur chaque sous-rseau. Cette machine sera la seule assurer l'exploration. Elle sera contacte par toute machine souhaitant connatre la liste des machines du rseau. TCP/IP Plus complexe que NetBEUI, TCP/IP intgre, outre des paramtres permettant de nommer les machines et de les placer dans des sous-rseaux, un ensemble de paramtres destins au routage. Paramtres gnraux:

Adresse IP : Une machine est nomme de manire unique sur son rseau par son "adresse IP" forme de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23 Masque de sous-rseau (Subnet Mask) : Form de 4 nombres compris entre 0 et 255, le masque de sous-rseau permet d'indiquer une machine quelles sont les adresses IP des machines qui font partie de son sous-rseau (i.e. les machines avec lesquelles elle peut communiquer sans routage). Comme son nom l'indique, le masque de sous-rseau est un masque numrique. Il est gr en arithmtique binaire. Si les "et binaire" entre les adresses IP de deux machines et le masque sont gaux alors les deux machines font partie du mme sous-rseau TCP/IP. Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 = 172.20.128.164 et I2 = 172.20.128.213. En binaire, le masque devient M = 11111111.11111111.11111111.10000000 et les adresses I1 = 10101100.00010100.10000000.10100100 et I2 = 10101100.00010100.10000000.11010101 Si (M & I1) = (M & I2) alors les machines font partie du mme sous rseau. Le signe & dsigne le "et binaire". M & I1 = 10101100.00010100.10000000.10000000 M & I2 = 10101100.00010100.10000000.10000000 (M & I1) est gal (M & I2) -> Ces deux machines sont sur le mme sous-rseau. Elles pourront communiquer directement si elles sont interconnectes par un concentrateur ou un commutateur. Les masques de sous-rseau ne peuvent pas tre considrs arbitrairement. Ils sont construits de gauche droite au moyen d'une suite de bits 1 suivie d'une suite de bits 0. Les masques de sous-rseau classiques sont : 255.255.255.0 -> 256 adresses dans le mme sous-rseau (si les trois premiers nombres de deux adresses IP sont les mmes, les deux adresses sont dans le mme sous-rseau) (ce masque correspond ce que l'on appelle usuellement une classe C), 255.255.255.128 -> 128 adresses (2 sous-rseaux sur une classe C : de 0 127 et de 128 255), 255.255.255.192 -> 64 adresses (4 sous-rseaux sur une classe C : de 0 63, de 64 127, de 128 191 et de 192 255), 255.255.255.224 -> 32 adresses (8 sous-rseaux sur une classe C), 255.255.255.240 -> 16 adresses (16 sous-rseaux sur une classe C),Windows Server 2003 Practice

8

255.255.255.248 -> 8 adresses (32 sous-rseaux sur une classe C), 255.255.255.252 -> 4 adresses (64 sous-rseaux sur une classe C). Dfinition des diffrentes classes IP

Passerelle par dfaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront envoys tous les paquets non destins une machine du mme sous-rseau que la machine source. Un routeur ou un ordinateur assurant le routage sera install cette adresse pour les rceptionner et les transmettre.

Paramtres de configuration DNS La technique de dnomination par adresse IP est pratique pour les ordinateurs car facilement manipule par eux. En revanche, la mmorisation est difficile pour les individus. Convention de dnomination supplmentaire: Dsignation de chaque machine par un ou plusieurs noms IP alphanumriques. Une machine porte un nom et appartient un domaine TCP/IP qui peut lui-mme tre le sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi possder plusieurs sous-domaines, qui eux-mmes peuvent possder des sous-domaines,... crant ainsi une organisation arborescente. Les parties du nom IP sont dlimites par des points avec, de gauche droite, le nom de la machine, puis les diffrentes parties du nom de domaine du plus particulier au plus gnral. Exemple: 172.20.128.99 bunny.edu-info.univ-fcomte.fr (machine bunny du sousdomaine edu-info.univ-fcomte.fr du sous-domaine univ-fcomte.fr du domaine fr). Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent tre gres de deux manires:

localement sur chaque machine au moyen de "fichiers hosts", Globalement sur un ensemble de machines relies en rseau au moyen d'un serveur DNS (Domain Name Server) qui gre la liste associe un domaine et peut tre interrog via une connexion rseau normalise. La configuration TCP/IP de la machine cliente inclut alors une rfrence ce serveur.

Les serveurs DNS sont gnralement organiss sous une forme arborescente calque sur l'arborescence des domaines TCP/IP qu'ils reprsentent. Chaque serveur grera tout ou partie des noms de machine associs au nom de domaine dont il est le nud. Il peut y avoir plusieurs serveurs DNS pour un mme nom de domaine soit pour distribuer les machines entre eux, soit au contraire pour rpliquer les bases de donnes de machines et avoir une redondance permettant une meilleure prennit ou encore un quilibrage de charge pour les domaine trs consults. Un serveur DNS aura les tches suivantes:

Grer sa base de donnes de noms Rsoudre un nom pour les machines qui le lui demandent quand il connat le nom (il appartient au domaine qu'il gre). Rpondre que le nom n'existe pas, s'il est certain qu'il n'existe pas (il n'est pas dfini dans le domaine qu'il gre). Propager la demande de rsolution vers le ou les serveurs DNS du sous-domaine concern s'il s'agit d'un nom associ l'un de ses sous-domaines.Windows Server 2003 Practice

9

Propager la demande de rsolution vers le serveur ou les serveurs DNS de son domaine matre si le nom n'appartient pas un de ses sous-domaines.

Nom d'hte : Nom donn la machine. Gnralement identique au nom qui lui est donn sur le DNS dont elle dpend. Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque cette machine spcifie des noms IP sans indiquer explicitement de nom de domaine, les suffixes sont tests les uns aprs les autres comme domaines implicites. DNS : Un ou plusieurs serveurs DNS peuvent tre dsigns pour tre joints lorsqu'une rsolution de nom DNS doit tre ralise pour obtenir l'adresse IP correspondant au nom IP ou rciproque.

Paramtres de configuration WINS Un problme spcifique aux machines Windows est qu'elles peuvent devoir rpondre la convention de nommage NetBEUI. Or, la non routabilit de ce protocole fait qu'il est impossible de l'utiliser pour des rseaux comportant un nombre important de machines. Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le routage. Le problme est d'arriver rendre compatibles les noms TCP/IP et les noms NetBEUI. Windows Internet Name Service (WINS) est l'une des solutions possibles. WINS est un service rseau pouvant tre implant sur un serveur permettant celui-ci de grer une base de donnes d'associations nom TCP/IP nom NetBEUI, et d'tre mme d'effectuer des rsolutions de nom via requtes rseau normalises. Il s'agit de l'quivalent rsolution nom TCP/IP nom NetBEUI de ce qu'est DNS pour les rsolutions nom TCP/IP adresse IP. Par rapport DNS, WINS apporte quelques possibilits supplmentaires:

L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent automatiquement sur ce serveur). Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms d'utilisateurs, des noms de machines, ... Des serveurs WINS peuvent tre configurs pour changer entre eux leurs bases de donnes et offrir ainsi des redondances et des possibilits d'administration plus labores. ... WINS primaire : Adresse IP du serveur WINS qui doit tre joint lorsqu'une rsolution WINS doit tre ralise. Le client WINS s'enregistre par la mme occasion. WINS secondaire : Adresse IP du serveur WINS qui doit tre joint lorsqu'une rsolution WINS doit tre ralise et que le serveur primaire ne donne pas de rponse soit car il ne fonctionne pas, soit car il ne connat pas l'association souhaite.

Filtrage IP Le protocole TCP/IP permet gnralement l'implantation de fonctions de filtrage tant du point de vue des paquets sortants que du point de vue des paquets entrants. Ces fonctions de filtrage pourront gnralement tre configures soit en fonction de l'adresse IP du client, soit en fonction du port TCP/IP utilis par l'ordinateur client. DHCP

10


Tous ces paramtres ncessaires l'infrastructure TCP/IP pourront tre renseigns soit directement sur l'ordinateur hte, soit sur un serveur DHCP (Dynamic Host Configuration Protocol) qui sera contact par l'intermdiaire du rseau par l'hte au moment de son dmarrage. L'intrt de l'utilisation de DHCP rside dans les points suivants:

La configuration des postes clients est centralise. L'affectation des paramtres pourra tre ralise dynamiquement ou statiquement. Dans le cas de l'affectation dynamique, on pourra par exemple ne disposer que d'un pool restreint d'adresses IP permettant d'accder Internet et affecter ces adresses aux seules machines en fonctionnement. ...

De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via une base de donnes unique, d'assurer la cohrence des informations transmises. C'est le cas sous Windows 2000. Commandes TCP/IP texte ipconfig La commande ipconfig permet de visualiser la configuration TCP/IP des diffrentes cartes rseau prsentes dans la machine. la syntaxe est ipconfig pour obtenir un rsum et ipconfig -all pour obtenir une description complte.

ipconfig

11


ipconfig -all

ping La commande ping permet de tester la prsence d'une machine sur le rseau. la syntaxe est ping nom_IP ou ping adresse_IP

ping nslookup La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP correspondant un nom IP, ou les noms IP correspondant une adresse IP. La syntaxe est nslookup nom_IP ou nslookup adresse_IP

12


nslookup Tracert La commande tracert permet d'obtenir la liste des matriels rseau (routeurs) traverss pour joindre une autre machine. La syntaxe est tracert nom_IP ou tracert adresse_IP

Tracert

III - CONCEPTS ET PLANIFICATIONLa gestion de la scurit Windows 2003: Systme d'exploitation scuris. Fonction de base du systme d'exploitation: Contrle discrtionnaire des activits des utilisateurs.

13


Action ou ressource refuse ou accorde en fonction de l'utilisateur. Possibilits multiples de scurisation:

autorisation d'utilisation d'une machine (obtention obligatoire d'un compte d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir), interdiction d'utiliser d'autres applications que celles dment autorises, interdiction d'installer des applications, interdiction de modifier l'environnement de travail, restrictions d'accs aux ressources (fichiers, imprimantes, ), audit des actions ralises par les utilisateurs (ouvertures de sessions d'utilisateur, accs des ressources,...),

Droit ou privilge: Autorisation d'excuter une action systme. Exemples: Crer des comptes, installer un pilote d'imprimante, partager un rpertoire, arrter le systme, ... Autorisation: Autorisation d'accs une ressource. Exemples: Imprimer sur une imprimante partage, lire un fichier, excuter une application, ... Tous les objets du systme sont soumis autorisations via des ACLs. Exemples: Les fichiers, les rpertoires, les imprimantes, les clefs du registre,... Un utilisateur possde tous les droits : l'"Administrateur". Il est nomm "root" sous UNIX. La gestion du rseau NOS (Network Operating System): Systme d'exploitation utilisable pour la connexion d'ordinateurs en rseau. -> connexion et communication facile entre ces machines. Nombre important de normes de cblage connectes aux machines via des cartes d'interface rseau (NIC, Network Interface Card):

Ethernet pais, fin et double paires torsades, Phonenet, Fibre optique, Infrarouge, Bluetooth, Wifi, Modem, ...

Nombre important de protocoles rseau reconnus (Pilotes conus par Microsoft ou par des diteurs tiers):

NetBEUI, TCP/IP,Windows Server 2003 Practice

14

IPX/SPX, DLC, Appletalk, ATM, TokenRing, FDDI,

Nombre important de services rseau tant du point de vue serveur que du point de vue client:

SMB, Lan Manager, DNS, WWW, FTP, Telnet, SMTP, NNTP, NTP, Proxy, DHCP, WINS, ADS, ...

-> grande interoprabilit dans le cadre de rseaux htrognes tout niveau. Protocole natif de Windows NT: NetBEUI. Protocole natif de Windows 2003: TCP/IP. NetBEUI Avantages Inconvnients

Rapide Peu gourmand en ressource systme Pas de routage Pas compatible avec Internet Protocole assez bavard sur le rseau

TCP/IP Avantages Inconvnients

Rapide Peu gourmand en ressource systme Routage Compatible avec InternetWindows Server 2003 Practice

15

Possiblement complexe paramtrer Protocole des "pirates"

Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI sans mme que NetBEUI soit install. Cette interface existe car Windows tant historiquement associ NetBEUI, il en intgre encore un nombre important de caractristiques:

dnomination des machines, explorateur rseau, ...

Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces conventions de nom. Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP mme si la base de Windows NT et 9x reste NetBEUI. Scurit gre au niveau du rseau. Le partage de ressources Utilisation d'une ressource partage: Utilisation d'objets offerts par une machine distante. Ressources partageables:

les rpertoires et les fichiers qu'ils contiennent, les imprimantes, dans une certaine mesure, les applications (Excution d'une application sur une machine distante avec transmission du rsultat d'excution sur la machine locale) (possibilit d'utiliser le service Terminal Server pour configurer un serveur de terminaux Windows, quivalent fonctionnel un serveur X).

Scurit au niveau des ressources partages. Active Directory Active Directory (AD) est un service d'annuaire destin contenir des "objets": utilisateurs, ordinateurs, applications, donnes partages, ... et tre interrog par d'autres machines. AD est bas sur un systme de gestion de base de donnes hirarchique driv d'ACCESS. Dans le cadre d'une utilisation "systme", AD possde l'avantage d'intgrer nativement des fonctionnalits de distribution et de rplication de ses informations sur plusieurs serveurs Active Directory. Ainsi, il exonre le systme d'intgrer ces caractristiques essentielles un fonctionnement prenne. Intrt d'AD:

Windows 2003 avec AD supporte des domaines de d'utilisateurs alors que, dans la pratique, Windows dizaines de milliers. Windows 2003 avec AD supporte des domaines de machines alors que, dans la pratique, Windows NTWindows Server 2003 Practice

plusieurs millions de comptes NT 4.0 tait limit quelques plusieurs dizaines de milliers de tait limit quelques centaines.

16

Unit Organisationnelle La caractristique la plus fondamentale d'Active Directory (hrite de l'annuaire X.500) est l'Unit Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire mme de contenir des feuilles ou d'autres objets conteneurs, crant ainsi une organisation arborescente. L'extensibilit d'Active Directory Un autre aspect d'AD est son extensibilit par la possibilit offerte de dfinir de nouveaux objets partir d'un paradigme hirarchique orient objet qui permet la cration de nouvelles classes d'objets par ajout d'attributs et hritage d'anciennes classes. Kerberos Kerberos V5.0 est le protocole d'authentification rseau de Windows 2003 pour les communications avec d'autres machines 2003, 2000 ou XP. Associ Active Directory, il rend Windows 2003 trs diffrent de Windows NT 4.0 du point de vue de la gestion de la scurit. Deux points importants sont signaler:

L'authentification mutuelle: Cette fonctionnalit permet aux clients et serveurs, lors d'une communication d'informations, de vrifier l'authenticit de leurs identits respectives pour viter les usurpations d'identit. L'approbation transitive: Si A fait confiance B, et B fait confiance C, alors A fait confiance C. -> En particulier, cette loi est vrifie pour les approbations entre "Domaines Windows 2003".

Kerberos succde NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour l'authentification avec des machine sous systme d'exploitation de version antrieure ou des machines indpendantes (hors domaine, voir plus loin). La notion de domaine Windows 2003 Domaine: Unit d'administration sous Windows 2003. Domaine: Groupe de machines relies en rseau et pouvant tre administres comme une machine unique du point de vue des comptes d'utilisateurs et de la politique de scurit associe. Active Directory permet une organisation diffrente de la classique et trs rigide organisation base de domaines et d'approbation entre domaines de Windows NT 4.0. Ce sont la souplesse de la gestion par base de donnes et les possibilits d'extension hrite de l'annuaire X.500 ( l'origine d'Active Directory) qui permettent ces nouvelles possibilits. Les UO dfinies au sein des domaines permettent le contrle de dlgation sous Windows 2003 alors que sous NT, ce sont les domaines. La notion de domaine au sens Windows NT 4.0 disparat donc avec Windows 2003 avec un emploi beaucoup plus souple.

17


Contrleur de domaine (DC, Domain Controller): Machine charge de l'administration du domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server). La base de donnes des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stocke sur les DCs du domaine au sein d'Active Directory et est rplique automatiquement entre eux. Autre dfinition d'un domaine: Ensemble d'ordinateurs partageant la mme base d'utilisateurs et de groupes d'utilisateurs. Contrairement au modle NT 4.0 o existe un et un seul contrleur de domaine "principal" auquel il peut tre adjoint 0, 1 ou plusieurs contrleurs de domaine "secondaires", un domaine Windows 2003 contient 1 ou plusieurs contrleurs de domaine placs au mme niveau hirarchique. Le problme de la "solution" NT 4.0 est que l'indisponibilit du contrleur primaire entrane l'arrt de toute possibilit d'administration du domaine: comptes d'utilisateur et machines. Dans le modle Windows 2003, ce n'est plus le cas car les tches d'administration peuvent tre continues. Dfinition possible de plusieurs domaines sur le mme rseau. ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP. Les domaines 2003 portent frquemment des noms mapps sur leurs quivalents TCP/IP et permettent l'administration centralise de leurs machines. En revanche, les domaines TCP/IP n'incluent pas cette notion d'administration systme centralise. Les tendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes d'utilisateurs. Approbation Il est possible d'tablir des relations d'approbation entre domaines permettant aux utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine. Elles pourront tre cres:

implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et cres automatiquement, explicitement auquel cas elles sont unidirectionnelles et cres explicitement par l'administrateur.

Arborescence de domaines: Structure de domaines hirarchise sur le mode arborescent par des relations d'approbation implicites. La base est constitue du domaine racine, qui possde un ou plusieurs domaines enfants, qui peuvent eux-mmes possder des domaines enfants. Les noms de ces domaines respectent les mmes conventions que les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine racine.

18


Fort: Ensemble d'arborescences de domaines sans racine commune. La racine de la fort est la premire arborescence avoir joint la fort. Tous les domaines racines des arborescences de la fort possdent implicitement une relation d'approbation bidirectionnelle avec la racine de la fort.

Elments interconnectables au sein un domaine (1) Avec ouverture de session de travail

Un ou plusieurs contrleurs de domaine (sous Windows 2003 ou 2000 Server et Active Directory) sans hirarchie particulire. Des machines clientes simples sous Windows 2003 ou 2000 Server (mais sans Active Directory), XP ou 2000 Professionnel. Pour un poste Windows 2003 ou 2000 Server, on parle alors de "Serveur membre". Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.

Toutes ces machines rfrent la mme base de donnes des utilisateurs duplique au sein d'AD sur chacun des DC. Les ouvertures de session sont authentifies par le premier contrleur disponible trouv sur le rseau. (2) Sans ouverture de session sur l'un des DCs Etablissement possible de connexions simples avec d'autres machines sous Windows 2003, 2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre systme d'exploitation reconnaissant les protocoles installs sur la machine serveur et assurant les services de connexion des serveurs du domaine. Fourniture d'un login et d'un mot de passe. Accs limit aux ressources partages accessibles l'utilisateur authentifi.

19


Conventions UNC (Uniform Naming Convention) pour la dsignation des utilisateurs et des ressources:

domaine\utilisateur pour un nom d'utilisateur, \\serveur\ressource pour l'accs une ressource partage.

(3) Autres possibilits Toute machine en accs via un service sans authentification explicite (WWW, FTP anonymous, ...) ou grant son propre systme d'authentification (SQL Server, Oracle, ...). Les contrleurs de domaine Gestion centralise de la base de donnes des utilisateurs et des groupes d'utilisateurs ainsi que de la politique de scurit associe. Authentification des ouvertures de session et des accs aux ressources partages qu'ils proposent. Administration des utilisateurs. Redondance des bases de donnes d'utilisateurs et de groupes d'utilisateurs. Les machines Windows XP ou 2000 Professionnel Machines clientes simple du domaine. Pas de stockage d'une copie de la base de donnes des utilisateurs. Soumission des ouvertures de session un DC. Pas de rle d'administration. Les machines Windows 2003 ou 2000 Server en serveurs simples Machines gres comme des machines Windows XP ou 2000 Professionnel du point de vue de la base de donnes des utilisateurs mais possdant les capacits de Windows Server du point de vue des services rseau autres que ceux de gestion des domaines. Exemples:

Partage de ressources sur une machine qu'on ne souhaite pas tre contrleur de domaine. Fonctionnement d'un logiciel qui ncessite Windows Server sur une machine qu'on ne souhaite pas tre contrleur de domaine.

Les autres systmes Toute machine quel que soit son systme d'exploitation. Condition ncessaire pour l'tablissement d'une connexion:

Reconnatre d'un des protocoles du serveur de domaine. tre capable d'mettre un nom de login ainsi que le mot de passe associ (Protocole d'authentification reconnu par les contrleurs du domaine).Windows Server 2003 Practice

20

tre capable de grer la partie cliente du service auquel l'accs est ralis.

-> Privilges pour l'accs aux ressources partages accdes accords au compte de connexion sans avoir pour autant ouvert de session. DDNS, WINS et DHCP Une implantation Windows 2003 ncessitera frquemment le dploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol). Actuellement seul DDNS est rellement ncessaire car les domaines Windows 2003 l'utilisent obligatoirement. L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows 2003 construit (gnralement quivalent un domaine TCP/IP). Par rapport un serveur DNS classique, DDNS autorise l'enregistrement automatique et dynamique des clients. S'il est install sur une machine contrleur de domaine, cet enregistrement peut tre ralis au sein d'Active Directory. La distribution automatique de cette base vers tous les contrleurs eux-mmes munis de DDNS permet de crer des serveur DNS synchroniss et donc de prniser le fonctionnement du systme de rsolution de noms.. L'utilisation de WINS n'est rellement intressante que lorsque plusieurs sous-rseaux TCP/IP diffrents doivent communiquer entre eux via routage et donc constituer un seul et mme domaine de nom et que, de plus, la convention de nom simplifie de NetBEUI doit pouvoir tre utilise (volont de simplification pour les utilisateurs, prsence de machines anciennes, utilisation souhaite du voisinage rseau, ...) qui n'autorise pas le routage. La connexion entre ces sous-rseaux est tablie physiquement et logiquement au moyen de routeurs ddis au protocole TCP/IP. Le problme se pose alors de faire "se trouver" respectivement les machines lorsque qu'un ordinateur situ sur un sous-rseau doit "parler" avec une machine d'un autre sous-rseau. Au sein et sans sortir des diffrents sous-rseaux, le problme ne se pose pas car il est gr nativement par l'interface NetBEUI. Pour les communications entre sous-rseaux, l'information transitera et sera route au sein de "paquets" TCP/IP. WINS apporte un service de nom permettant d'associer automatiquement bijectivement les noms TCP/IP et les nom NetBIEU. Les machines seront configures pour interroger un serveur WINS si elles ont besoin d'une rsolution de nom. Au dmarrage, toute machine configure pour utiliser ventuellement un serveur WINS s'enregistre dans sa base de manire la renseigner. Sous Windows 2003, tout comme avec DDNS, une base de donnes WINS est stocke au sein d'Active Directory si le serveur WINS est contrleur de domaine et est donc distribue sur les contrleurs. Il est possible de configurer un ensemble de serveurs WINS indpendants pour qu'ils changent leurs bases de donnes. L'utilisation de DHCP, mme si elle n'est pas obligatoire, permet de centraliser la gestion des paramtres TCP/IP des machines d'un domaine. Les utilisateurs et les groupes d'utilisateurs Les utilisateurs Obligation d'tre rfrenc en tant quutilisateur autoris pour pouvoir utiliser une machine Windows 2003 ou accder une ressource partage par une machine Windows 2003.

21


Stockage dans la base de donne des utilisateurs et des groupes d'utilisateurs au sein d'Active Directory d'un certain nombre dinformations concernant chaque utilisateur:

nom d'utilisateur complet nom d'utilisateur principal (UPN, User Principal Name) nom d'utilisateur raccourci (quivalent NT 4.0, convention UNC) mot de passe les restrictions apportes aux actions qui lui sont autorises

Exemple de nom: John Smith comme nom complet, [email protected] comme nom principal (ATTENTION, le nom principal est format comme une adresse lectronique) et w2k3\smith comme nom quivalent NT en convention UNC. Les groupes Regroupement des utilisateurs en groupes dutilisateurs possdant un mme jeu de privilges et de autorisations. Un utilisateur peut appartenir plusieurs groupes. -> Possibilit de gestion hirarchise des comptes des utilisateurs. -> Facilit de gestion. Deux types de groupe:

Groupes de scurit: Leurs membres sont susceptibles de se voir attribuer des autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution. Groupes de distribution: Ils peuvent servir de listes de distribution mais pas l'attribution d'autorisations ou de droits.

Trois tendues de groupe sur une machine Windows 2003 Server contrleur de domaine:

Groupe tendue universelle: Ils peuvent avoir comme membres des groupes et des comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine ou dans la fort et peuvent recevoir des autorisations dans n'importe quel domaine de l'arborescence de domaine ou de la fort. Groupe tendue globale: Ils peuvent avoir comme membres des groupes et des comptes du domaine dans lequel le groupe est dfini et peuvent recevoir des autorisations dans n'importe quel domaine de la fort. Groupe tendue de domaine local: Ils peuvent avoir comme membres des groupes et des comptes du domaine Windows 2003 et peuvent tre utiliss pour octroyer des autorisations l'intrieur d'un domaine uniquement et seulement vers des machines Serveur contrleur ou membre.

Sauf cas particulier, ces groupes sont dploys et accessibles sur toutes les machines du domaine de dfinition et des domaines approuvant le domaine de dfinition. Un seul type de groupe peut tre dfini sur une machine Windows XP ou 2000 Professionnal ou 2000 ou 2003 Serveur en serveur simple:

les groupes locaux.Windows Server 2003 Practice

22

Sur ces machines, quand elles appartiennent un domaine, rception des groupes globaux et universels du domaine d'un des contrleurs de domaine. Aprs l'installation initiale d'un Windows Deux comptes dutilisateur locaux:

un compte "invit" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP Professionnal, dsactiv sous Windows 2000 ou 2003 Serveur un compte "administrateur" d'administration local

Diffrents groupes intgrs locaux:

Administrateurs Invits Utilisateurs Utilisateurs avec pouvoirs (utilisateurs possdant certains privilges d'administration non relatifs aux domaines) Oprateurs de sauvegarde Rplicateurs

Diffrents groupes spciaux (ne possdant pas de membre):

Crateur/propritaire (propritaires des objets) Systme (activits lies au systme d'exploitation) Rseau (activits d'utilisateurs provenant du rseau) Anonymous logon (utilisateur non authentifi) Utilisateur authentifi (utilisateur authentifi) Batch (processus batch) Dialup (utilisateur via un accs dial-up) Tout le monde (tout utilisateur authentifi rfrant au domaine natif ou un domaine approuv) Interactif (utilisateur qui accde une ressource en se connectant localement l'ordinateur proposant cette ressource) Service (un service)

Aprs l'installation de Windows 2000 ou 2003 Serveur en contrleur de domaine Deux comptes dutilisateur:

un compte "invit" du domaine un compte "administrateur" d'administration du domaine

Groupes intgrs crs au sein d'Active Directory:

Administrateurs (domaine local) Invits (domaine local) Utilisateurs (domaine local) Oprateurs de compte (domaine local) (gestion des comptes et des groupes d'utilisateurs sauf pour ceux qui possdent des privilges d'administration) Oprateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs du rseau) Oprateurs dimpression (domaine local) (gestion du bon fonctionnement des activits lies aux imprimantes) Duplicateurs (domaine local) (gestion des activits de rplication de rpertoires)Windows Server 2003 Practice

23

Admins du domaine (global) Invits du domaine (global) Utilisa. du domaine (global) Ordinateurs du domaine (global) Contrleurs du domaine (global) diteurs de certificats (global) Administrateurs de l'entreprise (universel ou global) Administrateurs de stratgie de groupe (universel ou global) Administrateurs du schma (universel ou global)

Sur les Windows membres simples d'un domaine Groupes et utilisateurs issus du domaine:

les comptes o "invit" du domaine o "administrateur" d'administration du domaine les groupes o Admins du domaine (global) o Invits du domaine (global) o Utilisa. du domaine (global) o ...

Sur ces machines, existence prserve et utilisation possible des comptes et groupes locaux. Sur les contrleurs de domaine, existence prserve mais utilisation impossible des comptes et groupes locaux. Cration des utilisateurs et de nouveaux groupes locaux, globaux ou universels par ladministrateur systme ou toute personne possdant les privilges administrateur, admins du domaine ou oprateur de comptes. Contenu prcis dun compte dutilisateur d'un domaine Informations pouvant tre renseignes lors de la cration ou bien tout autre moment aprs la cration:

Nom d'utilisateur complet Nom d'utilisateur principal (UPN, User Principal Name) Nom d'utilisateur raccourci (quivalent NT 4.0, convention UNC) Mot de passe Adresse lectronique Numros de tlphone Horaires daccs Stations de travail autorises pour l'accs Adresse postale Date dexpiration (date au del de laquelle le compte est dsactiv, les fichiers personnels ne sont pas dtruits) Rpertoire de base (gnralement, le rpertoire personnel) (rpertoire local ou rseau) Script douverture de session (fichier de commandes lanc l'ouverture de session, mais pas lors du simple accs une ressource partage) Profil (localisation des fichiers de configuration de l'utilisateur) Place de l'utilisateur dans son organisation Groupes auxquels appartient l'utilisateur Informations de configuration Remote Access ServiceWindows Server 2003 Practice

24

Informations de configuration de l'utilisateur pour les services Terminal Server

SID (Security Identifier): Identificateur unique utilis pour dsigner un utilisateur ou un groupe d'utilisateurs au sein d'un domaine Windows 2003. Exemple: S-1-5-21-3292650235-2243138800-104724495-1005 Tout SID ayant t utilis ne le sera jamais plus. Les stratgies de groupes Via l'utilisation des stratgies de groupes (stratgies de scurit), il est possible de grer de manire centralise un grand nombre de paramtres relatifs aux utilisateurs et aux ordinateurs d'un domaine. Les possibilits offertes par les stratgies de groupes sont trs larges:

gestion de l'interface graphique, gestion des applications utilisables par les utilisateurs, installation d'applications, gestion des mises jour, droits des utilisateurs, configuration automatique des applications, ...

Les profils Profil: Ensemble d'informations visibles ou masques (exemple: clefs et valeurs du registre pour le paramtrage des applications) dfinissant l'environnement de travail d'un utilisateur. Par exemple, pour chaque utilisateur:

son son son son

menu dmarrer, bureau, dossier "Mes documents", registre (fichier NTUser.dat): o ses connexions rseaux, ses montages d'imprimante rseau, o ses variables d'environnement (path, set, ...), o ses dfinitions de couleurs, de police de caractres,... o ses paramtrages logiciels, o ...

...

Stockage des profils dans des ensembles de fichiers et de rpertoires stocks dans le rpertoire "Documents and Settings", gnralement dans un rpertoire portant le nom de l'utilisateur. "Default User": Profil par dfaut gr par le systme et attribu par copie chaque utilisateur (faute d'une configuration contraire) lors de sa premire connexion sur une machine. Le profil par dfaut doit tre configur sur chaque poste client. "All Users": Profil commun tous les utilisateurs. On y trouve en particulier les entres communes du Menu dmarrer, le bureau commun et la partie du registre commune tous

25


les utilisateurs de cette machine. Ce profil n'est gnralement modifiable que par l'administrateur. Attribution possible d'un profil personnel tout utilisateur modifiable uniquement par lui. Dans le cadre d'un domaine, centralisation possible de la gestion de manire que tout utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte. -> Profils sauvegards dans un rpertoire partag d'un serveur de fichiers du domaine (accessible toutes les machines du domaine).

Lors de la connexion, tlchargement automatique du profil sur le poste client dans le rpertoire "Documents and settings". Utilisation du profil (avec ou sans modification) sur le poste client. Lors de la dconnexion, dchargement automatique du profil du poste client vers le serveur. Conservation ventuelle du profil local en cache sur le poste client. Sinon, effacement.

La scurit: Les privilges (droits) Privilge (droit): Autorisation attribue aux utilisateurs et aux groupes dutilisateurs leur permettant d'excuter une action systme. Privilge attribu un groupe -> Automatiquement attribu lensemble de ses membres. A l'installation du systme d'exploitation, attribution par le programme d'installation de privilges par dfaut aux groupes d'utilisateurs et utilisateurs intgrs. Via les stratgies de groupes, les administrateurs pourront changer les privilges des groupes et utilisateurs intgrs et attribuer des privilges aux groupes qu'ils crent. Existence d'un "groupe par dfaut" dans lequel tout utilisateur est automatiquement plac. La scurit: les autorisations Autorisation: Autorisation d'accs une ressource accorde par un administrateur un utilisateur ou un groupe d'utilisateurs.

Accs scuris Accs scuris Accs scuris Accs scuris d'ACLs..

pour les fichiers et rpertoires crs dans une partition NTFS. pour les imprimantes. aux ressources rseau (fichiers, imprimantes, ...). tous les objets du systme d'exploitation soumis l'attribution

Propritaire: Utilisateur qui a cr ou qui s'est appropri un fichier ou un rpertoire (il possde gnralement tous les droits sur cet objet). Contrle d'accs organis par l'administrateur (effectu au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs). Autorisations pouvant tre attribues par l'administrateur (simplifi):

26


Pour les rpertoires (on fixe les permissions pour le rpertoire lui-mme et pour les fichiers qu'il contient ou qu'il contiendra lors de leur cration):

Aucun accs Lister Lire Ajouter Ajouter et lire Modifier Contrle total Accs spcial un rpertoire Accs spcial un fichier

Pour les fichiers

Aucun accs Lire Modifier Contrle total Accs spcial

Accs spciaux:

Lire crire Excuter Effacer Changer les permissions Prendre possession

Contrle total: toutes les permissions prcdentes sont attribues. NTFS 5 autorise l'hritage des autorisations pour un sous-rpertoire depuis son rpertoire parent. Il permet aussi un rpertoire de laisser ses sous-rpertoires hriter de ses propres autorisations. A l'installation du systme, permissions par dfaut attribues aux fichiers et rpertoires du systme d'exploitation aux groupes et utilisateurs intgrs -> scurit minimale. Droit de l'administrateur: Prendre possession et changer les permissions de l'intgralit des objets. Lors de la cration d'un fichier ou d'un rpertoire, attribution cet objet des permissions du rpertoire dans lequel il est plac (le crateur en est le propritaire). Lors du dplacement d'un fichier ou d'un rpertoire, conservation des informations de scurit. La scurit: L'audit Audit: Conservation d'une trace des vnements dtects sur une machine. A chaque vnement, enregistrement d'une ligne de description dans l'un des journaux d'vnements.

27


Evnements pouvant tre audits:

Systme (audit des activits du systme d'exploitation) Scurit (audit de l'activit des utilisateurs et de l'utilisation des ressources) Application (audit des applications et des services) Active Directory (spcifique aux DC) DNS (spcifique aux serveurs DNS) Rplication de fichiers (spcifique aux machines rplicatrices)

-> Autant de journaux diffrents. Journaux Systme et Application: Audit du fonctionnement de la machine pour dtecter les dysfonctionnements ventuels soit hardware, soit software. Journal scurit: Audit des activits des utilisateurs. vnements pouvant tre audits dans le journal scurit:

Les ouvertures et fermeture de session Les accs aux fichiers et objets L'utilisation de ses droits par un utilisateur La gestion des utilisateurs et des groupes Les modifications de la stratgie de scurit Les dmarrages et arrts du systme Le suivi de processus

Par dfaut, audit activ seulement pour les vnements lis aux journaux Systme, Application, Active Directory, DNS et Rplication de fichiers. La gestion des partitions et des systmes de fichiers Introduction du systme de fichiers NTFS avec Windows NT 4.0. Ncessaire la gestion de la scurit d'accs aux fichiers, l'implantation de la compression la vole et l'encryptage des donnes. Nouvelle volution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalits plus labores de gestion logicielle des disques en RAID (agrgats par bandes, disques en miroir, agrgats par bandes avec parit -> disques RAID). Gestion du systme de fichiers FAT32 (Windows 98). Gestion du systme de fichiers FAT16. Gestion des noms longs.

IV - INSTALLATION (TYPE SALLE TP)L'installation de Windows 2003 Serveur dbute par l'installation du systme d'exploitation lui-mme (avec service pack et updates ncessaires). Une fois le systme install, les services supplmentaires qu'il assurera pourront tre soit dj implants au sein du systme et donc directement utilisables aprs configuration, soit non installs et donc ncessiteront l'installation de composants systmes supplmentaires

28


qui eux aussi devront tre configurs. La configuration d'une machine en contrleur de domaine est un exemple typique de ce genre de service. Elle require l'installation de Active Directory et de DNS si celui-ci n'est pas disponible par ailleurs. Choix du systme de fichier de la partition d'installation Support de trois systmes de fichiers reconnus:

FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de scurit sur les fichiers, plus gourmand en espace, plus rapide FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows 98, pas de scurit sur les fichiers NTFS -> non compatible avec DOS, Windows 95 et 98, scurit sur les fichiers, moins gourmand en espace, moins rapide

(1) Installation de Windows 2003 Server Exemple d'installation d'un systme d'exploitation en plus d'un systme dj existant (DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000). Problme : accs aux fichiers d'installation. Deux solutions :

Fichiers d'installation de Windows 2003 disponibles sur une unit (disque dur, lecteur CD, lecteur rseau) de la machine d'installation fonctionnant sur un systme d'exploitation prexistant. Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine disposant d'un lecteur CD bootable.

Premire phase: Lancement du programme d'installation

WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98 WINNT32.EXE (32 bits) sous Windows NT ou 2000. Lancement direct avec l'utilisation d'un CD bootable

But :

cration (s'elle n'existe pas encore) de la partition d'installation, prparation de l'installation par recopie des fichiers d'installation sur le disque dur de votre machine dans un rpertoire temporaire, cration d'un mini-NT bootable sur la partition d'installation.

Deuxime phase Redmarrage de l'ordinateur Travail en mode texte. Renseignements concernant principalement le matriel prsent sur la machine d'installation.

29


Installation de Windows 2003 Server -> ENTRE -> Installer Windows maintenant. Installation de Windows 2003 Server -> ENTRE -> Dtection automatique des priphriques de mmoire de masse. Installation de Windows 2003 Server -> ENTRE -> Pas d'autre priphrique. En cas de matriel spcifique, on peut charger des pilotes logiciels spciaux. Examen du contrat de licence puis F8. Installation de Windows 2003 Server -> N (s'il existe dj un systme) ou ENTRE (sinon) -> Installation d'une nouvelle copie dans notre cas. Possibilit d'effectuer une mise jour si un systme prexistait. Installation dans la partition dsire. Utilisation d'une partition existante. Possibilit de crer une partition s'il n'en existe pas. Choix du type de systme de fichier (NTFS, FAT) pour cette partition formater ou non si elle existait dj.. Installer dans le rpertoire \WINDOWS. ENTRE pour redmarrer la machine.

Troisime phase Redmarrage en mode graphique. Collecte des informations concernant la machine

Donner vos coordonnes (nom et organisation). Indiquer le mode de licence client. Toute connexion avec un utilisateur require l'achat pour le serveur 2003 d'une licence client. Windows 2003 Server propose deux modes de licence client (Microsoft considre que les utilisateurs sont honntes et ont achet un nombre suffisant de licences client) : o par serveur : On indique le nombre de licences disponibles sur le serveur et donc le nombre maximum de connexions simultanes sur ce serveur. C'est le mode de gestion des licences le plus simple, il s'accommode bien d'un site pourvu d'un seul domaine et d'un seul serveur. o par sige : Les licences sont associes aux utilisateurs. A chacun d'eux correspond une licence. Ce mode de gestion de licence est utilis dans les environnements poly-serveurs ou poly-domaines. Donner le nom de votre machine. 15 caractres alphanumriques au maximum, pas d'espace, pas d'accent, pas de ponctuation. Donner le mot de passe de l'administrateur.

Configuration du rseau

Dtecter la carte rseau install. Dans une certaine mesure, Windows 2003 est capable de dtecter les cartes d'interface rseau installe. Si elle n'est pas dtecte, installer le pilote trouv sur la disquette ou le CD fourni avec la carte. Demander l'installation du seul protocole TCP/IP.

Configuration du protocole rseau TCP/IP

On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP alloues de manire dfinitive. Configuration des paramtres du protocole TCP/IP. o Adresse IP : xxx.xxx.xxx.xxx o Masque de sous-rseau : yyy.yyy.yyy.yyy o Gateway : zzz.zzz.zzz.zzz.zzz o Nom de domaine : abcd.xyz o Serveur DNS : aaa.aaa.aaa.aaaWindows Server 2003 Practice

30

Terminer l'installation.

Fuseau horaire : Paris Installer la carte graphique dtecte.

Dernire phase de l'installation Redmarrer la machine Aprs dmarrage et ouverture de session administrateur, le gestionnaire de serveur est lanc automatiquement proposant la ralisation des tches suivant habituellement l'installation initiale.

Les aspects concerns sont:

l'installation et la gestion d'Active Directory Service la gestion de services de partage de fichiers la gestion de services de partage d'imprimantes la gestion de services Internet (ou Intranet) ... INSTALLATION ACTIVE DIRECTORY

Active Directory Service (ADS) est le service LDAP implant par Windows 2003 Server pour la gestion d'annuaires. Il est utilis pour toutes les tches d'administration demandant une forte implantation rseau et en particulier pour la cration de domaines. De base, ADS n'est pas install sous Windows 2003. Au cours de son installation, un domaine devra tre dfini. La machine d'installation pourra prendre diffrents rles:

31


premier contrleur d'un nouveau domaine dans une nouvelle fort, premier contrleur d'un domaine enfant d'un domaine existant, premier contrleur d'un nouveau domaine dans une fort existante, contrleur supplmentaire au sein d'un domaine existant.

Deux mthodes sont possibles pour installer Active Directory:

Utiliser l'utilitaire "Grer votre serveur" qui simplifie l'installation sans poser les questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour un nouveau domaine dans une nouvelle fort.. Utiliser l'assistant "dcpromo" (lanc en ligne de commande) qui permet de contrler tous les aspects de l'installation.

L'assistant "Grer votre serveur"

Ajouter ou supprimer un rle

Configuration par dfaut pour un premier serveur. Si "Configuration personnalise" est choisi, bascule sur dcpromo. ATTENTION, reboot ralis automatiquement en cours d'installation.

32


33


Choix du nom du nouveau domaine (au format nom TCP/IP)

Choix du nom compatible NetBEUI

34


Choix d'un ventuel redirecteur DNS

35


Confirmation -> Dmarrage de l'installation

36


Reboot automatique Rouverture de session (le mot de passe de l'administrateur du domaine est le mot de passe de l'ancien administrateur local)

37


Reprise de l'installation

38


Fin de l'installation

Contenu du journal "Configuration de votre serveur"

39


Utilisation de l'utilitaire dcpromo Quelques dfinitions importantes Contrleur de domaine Dans une fort Active Directory, serveur contenant une copie inscriptible de la base de donnes Active Directory, participant la rplication Active Directory et contrlant l'accs aux ressources rseau. Les administrateurs peuvent grer les comptes d'utilisateurs, l'accs rseau, les ressources partages, la topologie du site et les autres objets d'annuaire partir de n'importe quel contrleur de domaine de la fort. Contrleur de domaine supplmentaire Tout contrleur de domaine install sur un domaine existant. Tous les contrleurs de domaine participent de manire gale la rplication Active Directory mais, par dfaut, le premier contrleur de domaine install sur un domaine se voit attribuer la proprit des oprations matre unique. Domaine enfant Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situ immdiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine. Arborescence de domaine Dans DNS, structure de l'arborescence hirarchique inverse utilise pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de rpertoires utilises par les systmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stocks sur un disque, les rpertoires peuvent tre utiliss pour organiser les fichiers de faon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utiliss dans l'espace de noms. Dans Active Directory, structure hirarchique d'un ou plusieurs domaines lis par des relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir la mme fort. Fort Un ou plusieurs domaines Active Directory qui partagent les mmes dfinitions de classe et d'attribut (schma), les mmes informations relatives au site et la rplication (configuration), et les mmes fonctionnalits de recherche dans la fort (catalogue global). Les domaines d'une mme fort sont lis par des relations bidirectionnelles et transitives. Installation d'un nouveau domaine dans une nouvelle fort

40


Dbut de l'installation d'Active Directory Service

Choix du type de contrleur de domaine : un nouveau contrleur ou un contrleur supplmentaire. Ici, un contrleur de domaine pour un nouveau domaine

41


Choix du type de domaine cr: Nouveau domaine dans une nouvelle fort. nouveau domaine enfant dans une arborescence de domaines existante dans une fort existante, nouveau domaine dans une nouvelle arborescence de domaine au sein d'une fort existante Ici, un nouveau domaine dans une nouvelle fort

Choix du nom du domaine cr (nom complet)

42


Choix du nom du domaine NetBIOS pour compatibilit avec les versions antrieures de Windows

Emplacements de stockage des informations ADS

43


Alerte relative l'absence d'un serveur DNS compatible pour ce domaine -> Installation de la machine en serveur DNS.

44


Toujours pour compatibilit avec les anciennes versions de Windows

Dfinition du mot de passe administrateur pour le redmarrage en mode restauration ADS

45


Rsum de l'installation demande

Dbut de l'installation

Installation en cours

Dbut d'installation du service DNS

46


Fin d'installation de DNS

47


Fin d'installation d'ADS

Redmarrage de la machine Aprs redmarrage, ADS est en fonctionnement pour la gestion du domaine w2k3.univfcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configur. Suite : Configuration minimale du service DNS Installation d'un contrleur supplmentaire pour un domaine existant

Reprise de dcpromo avec choix d'un serveur supplmentaire

48


Authentification avec un compte administrateur du domaine d'insertion

Choix du domaine d'insertion

49


Choix de la localisation des fichiers et rpertoires Active Directory

Choix de la localisation du volume Systme d'Active Directory

50


Choix du mot de passe de restauration des services d'annuaire

Rsum de l'installation choisie puis installation

51


Les matres d'oprations Existence de 5 exceptions la rgle qui place les contrleurs d'un domaine au mme niveau du point de vue des charges d'administration et donc l'indiffrenciation des contrleurs -> 5 oprations matre unique:

Contrleur du schma Matre d'attribution de noms de domaine Matre RID (ID relatives) Matre de l'mulateur PDC Matre d'infrastructure

Ces oprations doivent tre assures par un contrleur "en ligne" pour que le domaine fonctionne correctement. Ces rles peuvent tre transfrs entre contrleurs.

Contrleur du schma: Outils d'administration "Schma Active Directory" Matre d'attribution de noms de domaine: Outils d'administration "Domaines et approbations Active Directory" Matre RID: Outils d'administration "Utilisateurs et ordinateurs Active Directory" Matre de l'mulateur PDC: Outils d'administration "Utilisateurs et ordinateurs Active Directory" Matre d'infrastructure: Outils d'administration "Utilisateurs et ordinateurs Active Directory"

52


V - DNS et DDNSDynamic Domain Name Server (DDNS) est implant par Windows 2003 Server pour l'implantation de serveurs DNS. Aprs installation d'ADS et de DDNS, un certain nombre de nouveaux outils d'administration sont disponibles dont l'administrateur DNS.

53


Le gestionnaire DNS Les tches raliser via cet outil sont:

la configuration de la rsolution directe nom IP -> adresse IP, la configuration de la rsolution inverse adresse IP -> nom IP, l'intgration au sein du domaine univ-fcomte.fr par rfrenciation du o des serveurs DNS de ce domaine qui seront contacts lorsqu'une rsolution ne peut tre conclue localement.

En outre, le serveur de domaine telemaque, dfini pour le domaine w2k3.univ-fcomte.fr, devra tre dclar auprs de l'administrateur du domaine univ-fcomte.fr pour dlgation vers lui des requtes qui concernent ses machines.

Un seul serveur DNS dont le nom est TELEMAQUE Dfinition de zones de recherche directes pour les rsolution nom IP -> adresse IP et de zones de recherche inverses pour les rsolutions adresse IP -> nom IP

54


Menu contextuel associ au serveur TELEMAQUE

Une zone de recherche directe dfinie pour le domaine w2k3.univ-fcomte.fr, mais pas de zone inverse Zone directe _msdsc.w2k3.univ-fcomte.fr cre automatiquement et ncessaire pour que ce serveur DNS soit utilisable pour un domaine Windows 2003 Evnements DNS enregistrs dans le journal "Observateur d'vnements"

55


Menu contextuel associ aux clefs "zones de recherche directes" et "zones de recherche inverses" Configuration de w2k3.univ-fcomte.fr en zone directe

Menu contextuel associ un domaine TCP/IP en zone de recherche directe

Dclaration d'une nouvelle machine (hte) avec demande de cration automatique du pointeur PTR associ

56


et autorisation du changement de l'adresse associe ce nom par DDNS

Warning car la zone inverse n'existe actuellement pas!

Si la zone inverse existait.

Rsultat

57


Dclaration d'un nouvel alias

Etat aprs configuration Configuration de la classe 172.20.128.xxx en zone inverse

58


Existence actuelle d'aucune zne inverse

Lancement de l'assistant de cration de zone inverse

59


Cration d'une zne principale intgre Active Directory

Choix de l'tendue de rplication de cette zne

60


Dfinition de l'ID rseau de cette zone

Choix du mode de mise jour dynamique

61


Fin de l'assistant de cration de zone inverse

DNS avec zone de recherche inverse

62


Menu contextuel associ une zone de recherche inverse

Cration d'un nouveau pointeur de zone de recherche inverse

63


Lors de la cration d'un hte de zone de recherche directe, cration simultane du pointeur associ en zone de recherche inverse

Configuration d'un serveur DNS redirecteur

64


Onglet Redirecteurs dans les proprits du serveur DNS TELEMAQUE Reconfiguration des paramtres TCP/IP

Reconfiguration des paramtres TCP/IP pour intgrer le 172.20.128.115 comme DNS principal et w2k3.univ-fcomte.fr comme premier suffixe DNS Etat du DNS aprs configuration complte

Zone de recherche directe

65


Zone de recherche inverse Tests (nslookup) S'assurer que TCP/IP est correctement configur sur la machine de test (voir ci-avant).

Commande nslookup excute dans une invite de commande

66


tests nom IP -> adresse IP russis pour des noms du domaine

tests nom IP -> adresse IP rats pour des noms du domaine

test nom IP -> adresse IP russi pour un alias du domaine

67


test nom IP -> adresse IP pour un nom quelconque (noter le message "Reponse ne faisant pas autorite" qui s'explique par le fait que le notre DNS et son redirecteur ne s'authentifient pas)

tests nom IP -> adresse IP russis pour des noms complets

tests nom IP -> adresse IP rats pour des noms complets

tests adresse IP -> nom IP russis pour des adresses renseignes dans les zones inverses du serveur

68


test adresse IP -> nom IP rat pour des adresses renseignes dans les zones inverses du serveur

test adresse IP -> nom IP russi pour des adresses quelconques

lments d'utilisation L'ouverture de session La combinaison de touches Ctrl - Alt - Suppr donne accs la fentre d'ouverture de session. Le nom d'utilisateur et le mot de passe associ doivent tre indiqu. Il est aussi ncessaire de choisir le domaine de connexion (celui du compte) parmi ceux proposs. La fermeture de session Quelle que soit la tche en cours, la combinaison de touches Ctrl - Alt - Suppr donne accs une fentre permettant d'initier la procdure de fermeture de session. Le bureau Windows 2003 et ses composants Il constitue l'environnement de travail et reprend la mtaphore du bureau (type Macintosh). Il est compos en version de base du logiciel Internet Explorer 6.0 qui assure les fonctions d'interface utilisateur et de navigateur Internet.

69


Composants principaux :

une barre donnant accs au menu dmarrer, des icnes d'applications lanables, aux icnes des applications lances rduites ou non, ...,

des icnes cliquables qui reprsentent des raccourcis vers des composants du systme (l'utilisateur peut crer sur le bureau ses propres raccourcis donnant accs des documents ou des applications),

70


Menu contextuel associ au poste de travail

les fentres des applications lances et non rduites.

Le menu dmarrer Il permet le lancement des applications installes.

71


Prsence d'un groupe d'outils ddis l'administration de la machine.

Il peut tre configur par l'utilisateur pour contenir des icnes personnelles (Dmarrer -> Paramtres-> Barre des tches et menu dmarrer).

72


73


Description contenue dans le rpertoire D:\Documents and Settings\utilisateur pour les diffrents utilisateurs.

74


Le poste de travail Il donne accs une visualisation sous forme d'icnes des units, des rpertoires et des fichiers prsents ou accessibles sur l'ordinateur local. Les units sont affectes d'une lettre de lecteur. Elles peuvent tre de type :

lecteur de disquette, disque dur, lecteur de CD Rom, rpertoire rseau, disque amovible, ...

Le poste de travail donne aussi accs au panneau de configuration, aux documents de l'utilisateur, aux favoris rseau de l'utilisateur et l'accs rseau distance.

L'icne "Favoris rseau" Elle permet de rechercher et de lister les ordinateurs visibles ainsi que les diverses ressources disponibles sur le rseau proposes par ces machines:

imprimantes, rpertoires partags, utilisateurs, ...

Elle permet aussi de configurer des raccourcis rseau.

75


Favoris enregistrs

76


Tout le rseau

Le rseau Microsoft Windows (deux domaines ou workgroups dtects W2K3 et Odyssee)

Machines du domaine W2K3

77


La base de donnes Active Directory disponible sur la machine telemaque.w2k3.univfcomte.fr Le gestionnaire de tches Obtenu partir de la combinaison de touches Ctrl Alt Suppr. Il est compos de cinq onglets qui dcrivent l'tat du systme du point de vue des tches en cours d'excution. (1) Description des applications lances par l'utilisateur en session

78


Menu contextuel associ une application Noter la possibilit d'arrter (quit) une application Noter la possibilit de slectionner le processus correspondant une application (voir onglet suivant) (2) Liste des processus en cours d'excution (tous les processus)

79


Menu contextuel associ un processus Noter la possibilit de terminer un processus (kill) si les autorisations le permettent Noter la possibilit de dfinir la priorit d'un processus (avec prudence) Noter la possibilit de dfinir sur quel processeur un processus s'excute (3) Utilisation de la mmoire et du C.P.U.

Noter la prsence de deux historiques d'utilisation de processeur (2 processeurs virtuels sur un pentium IV hyperthread) (4) Utilisation du rseau

80


(5) Utilisateurs en cours

81


Menu contextuel associ un utilisateur Noter la possibilit de fermer la session d'un utilisateur Les fichiers systme Systme stock dans les rpertoires \Winnt de l'unit system:

\Winnt\Repair : fichiers de rparation \Winnt\System : fichiers systme (compatibilit Windows 3.11, 95, 98) \Winnt\System32 : fichiers systme 32 bits \Winnt\System32\config : une partie du registre \Winnt\System32\Dhcp : configuration et informations DHCP \Winnt\System32\Dns : configuration et informations DNS \Winnt\System32\Wins : configuration et informations WINS

Profils des utilisateurs sous \Documents and Settings Installation des applications sous \Program files Fichiers publis sous IIS sous \Inetpub ou ventuellement ailleurs Contenu des poubelles dans \Recycler sur chaque unit (la poubelle de chaque utilisateur est le rpertoire portant comme nom le SID de l'utilisateur)

Il peut tre utile de crer un rpertoire temporaire \temp Registre (Registry) : Base de donnes dcrivant la configuration du systme. Attention aux permissions sur l'ensemble de ces rpertoires. Les programmes d'installation les configurent de manire peut restrictive. Il est difficile de supprimer quelque chose de vritablement important sans tre administrateur. En revanche, il est possible d'ajouter ou de remplacer. LIMITER L'ACCES A LA CONSOLE.

82


VI - ADMINISTRATIONInformations preliminaries Sites Internets http://www.microsoft.com : Site Microsoft http://www.windowsupdate.com : Site Microsoft pour la mise jour des systmes d'exploitation http://www.microsoftupdate.com : Site Microsoft pour la mise jour des systmes d'exploitation et logiciels applicatifs Livres Microsoft Windows 2003 Resource Kit (environ 300, 6 livres + 1 CD) :

Planification et dploiement Administration des serveurs Architecture TCP/IP Internet Information Services Interoprabilit des rseaux Systmes distribus Utilitaires logiciels: o scopy o addusers o pviewer ADMINISTRATION (LE PANNEAU DE CONFIGURATION)

Le panneau de configuration Il permet une partie de la configuration de lordinateur. Il est ddi aux paramtrages du matriel et des logiciels installs localement.

L'affichage IL ralise la configuration de l'affichage au sens:

thme du bureau, motif ou image d'arrire plan du bureau, cran de veille, couleurs, iconographie, rsolution, nombre de couleurs, vitesse de balayage, type de carte graphique et configuration de son pilote logiciel.Windows Server 2003 Practice

83

Thme du bureau

84


Image ou motif d'arrire plan Personnalisation du bureau par Active Desktop

Economiseur d'cran

85


Look pour l'affichage

Rsolution, nombre de plan de couleurs

86


87


Bouton "Avanc" partir de l'onglet paramtres: Configuration plus prcise des paramtres d'affichage (taille des polices utilises, rsolutions gres par la carte graphique, frquence de rafraichissement du moniteur, ...)

Ajout de matriel

88


Windows 2003 gre le plug'n'play. -> Les cartes d'extension et les priphriques matriels sont automatiquement reconnus et installs (ou retires). Problme: Les priphriques trop anciens ou trop rcents peuvent ne pas tre reconnus. Problme: L'installation de nouveaux pilotes peut tre ncessaire. Problme: Le plug'n'play peut ne pas fonctionner correctement. Problme: Un matriel peut ne pas fonctionner correctement. Le panneau "Ajout/Suppression de matriel" permet de rsoudre ces problmes.

89


Test de la configuration matrielle de l'ordinateur

90


Tout est normal

Un pilote logiciel pose problme

91


Fin de l'assistant et bascule vers l'assistant de mise jour du matriel (pilotes)

92


93


Pas de solution sans CD de pilote

Ajout/Suppression de programmes Il permet l'installation et la suppression de logiciels et de composants systme sur l'ordinateur.

94


Modification/dsinstallation de programmes Affichage ou non des mises jour

Installation de nouveaux programmes

95


Installation/dsinstallation de composants du systme d'exploitation

Composants systme (services) disponibles

Autres services de fichiers et d'impression en rseau

96


Services de mise en rseau

Serveur d'applications

Services Internet disponibles

Options d'alimentation Il permet la gestion de l'nergie consomme par la machine et la gestion d'un onduleur.

97


Configuration de paramtres de gestion et d'conomie d'nergie

Configuration de paramtres avancs d'interface

98


Configuration de la mise en veille prolonge

99


Configuration de la gestion d'un onduleur dtection des coupures de courant, arrt automatique de la machine en cas de panne de courant prolonge, envoi d'alertes administratives Panneau de configuration gnralement rendu inutile par le logiciel fournit par le fabriquant d'onduleurs.

Options des dossiers Configuration des options d'affichage et d'utilisation de Internet Expolorer en tant qu'interface utilisateur.

Paramtres gnraux

100


Paramtres d'affichage

101


Types de fichier associs aux extensions

102


Paramtres d'utilisation des fichiers hors connexion

Options Internet Configuration des paramtres relatifs l'accs Internet au moyen de Internet Explorer et des logiciels qui se configurent sur les paramtres de Internet Explorer.

103


Page de dmarrage, paramtres de cache et de gestion de l'historique des navigations

Bouton "Paramtres" de l'onglet "Gnral": mode de vrification, localisation disque, taille et contenu pour le cache

104


Onglet "Connexions": Paramtres de la connexion

Bouton "Paramtres rseau" de l'onglet "Connexion": Configuration d'un serveur proxy

Bouton "Avance...": Configuration port par port et exclusions

105


Applications associes aux diffrents services Internet

106


107


Paramtres avancs. Il peuvent tre diffrents d'un systme un autre.

Date/Heure Configuration de la date, de l'heure de la machine, du passage automatique l'heure d't et du fuseau horaire si la rfrence horaire GMT est ncessaire.

108


Imprimantes Configuration des Imprimantes (voir plus loin)

La gestion des licences sur Windows 2003 Server Ce panneau permet le choix du mode de gestion des licences d'accs client ainsi que l'ajout ou la suppression de licences d'accs client dans le mode par serveur. Par Sige Le mode de licence "Par sige" est la meilleure option si les clients utilisent frquemment plusieurs serveurs sur le rseau. Le mode de licence Par sige permet tous les ordinateurs du rseau d'accder tous les serveurs d'un rseau. Il n'y a aucune limite quant au nombre de connexions simultanes, quel que soit le serveur. Par sige est le mode de licence normal pour un produit serveur install sur plusieurs serveurs d'un rseau. Par Serveur Le mode de licence "Par serveur" est la meilleure option de licence lorsqu'un produit serveur est install sur un seul serveur accessible tout moment par tout au plus un sousensemble des utilisateurs. Les connexions simultanes Par serveur un serveur spcifique sont alloues sur une base premier arriv, premier servi et limites au nombre de licences d'accs client alloues au serveur. Cela peut s'avrer conomique pour un rseau dot d'un seul serveur ou pour un produit serveur accessible sur un serveur par un seul dpartement ou groupe d'une organisation. Une unique conversion en licence Par sige est autorise.

109


Mode de gestion des licences pour la machine locale.

Ajour de nouvelles licences "Par serveur"

Suppression de licences "Par serveur"

Mises jour automatiques Il permet de choisir le mode de gestion des mises jour automatiques du systme sur le site http://www.windowsupdate.com.

110


Trois possibilits d'actions si actif: rien d'automatique, tlchargement automatique mais installation la demande, tout automatique

Sons et multimdia Configuration des sons et des priphriques Multimdia utiliss par le systme.

Configuration du volume

111


Configuration des sons en rponse des vnements

Choix des pilotes audio

112


Choix des pilotes utiliss pour la gestion de la voix

Pilotes installs

113


Connexions rseau Il assure les oprations de configuration des paramtres rseau et/ou d'accs distance (modem).

114


Nouvelle connexion

Connexion au rseau local

115


Proprits de la connexion locale: Composants clients installs Services installs, Protocoles installs,... Possibilit d'avoir un cho de cette fentre dans la barre des tches.

Installation de nouveaux composants rseau (clients, services ou protocole)

116


Clients

Services

117


Protocoles

Proprits du protocole TCP/IP: Adresse IP et paramtres de base

118


Proprits du protocole TCP/IP: Paramtres IP complets

Proprits du protocole TCP/IP: Configuration DNS

119


Proprits du protocole TCP/IP: Configuration WINS

Proprits du protocole TCP/IP: Options de scurit

120


Option de scurit TCP/IP: Filtrage

Possibilit de configurer plusieurs adresses IP ou passerelles par dfaut sur la mme interface

121


Outils d'administration

Autres outils d'administration locale mais aussi outils plus particulirement ddis l'administration des domaines (Voir plus loin)

122


Proprits du systme

Paramtres gnraux (systme d'exploitation, rfrences de l'installateur, type de machine)

123


Identification rseau par un nom de machine et une appartenance un domaine ou un groupe de travail. Suivant le statut de la machine, tous les changements sont possibles ou non Configuration matrielle du systme

Configuration avance Configuration avance -> Performances -> Effets visuels

124


Configuration avance -> Performances -> Avanc

Configuration avance -> Performances -> Avanc -> Mmoire virtuelle

125


Options de performances

126


Profils des utilisateurs

Dmarrage et rcupration

127


Variables d'environnement

Rapport d'erreurs

128


Mise jour automatiques

Utilisation distance

129


Tches planifies Programmation de tches (rcurrentes ou non)

Fentre tches planifies

Cration d'une nouvelle tche

130


Choix du programme excuter

Choix de l'instant d'excution Paramtrage des diffrentes options horaires

131


Choix de l'utilisateur excutant le programme

Cration de la tche planifie

132


Rsultat

Proprits d'une tche

Proprits d'une tche: Configuration horaire

133


Proprits d'une tche: Modalits de fonctionnement Proprits d'une tche: Scurit

Proprits d'une tche planifie hebdomadaire

Proprits avances d'une tche planifie hebdomadaire

134


Rsultat

Menu contextuel associ une tche planifie

Rsultat de la dsactivation via l'utilisation des proprits Compatibilit avec la commande AT

135


Configuration de l'utilisateur excutant les commandes de la commande AT

Via invite de commande, cration et affichage des commandes de la commande AT

Les commandes de la commande AT apparaissent dans les tches planifies, mais toute modification les transforme en une commande classique.

136


Programmation au moyen de la commande schtasks

Liste des tches planifies

Programmation d'une tche planifie

Rsultat

137


Noms et mots de passe utilisateurs

Pare-feu Windows

Autres panneaux de configuration

Clavier Souris Options de modems Options d'accessibilit Options de jeu Scanneurs et appareils photo Options rgionales Polices Panneaux installs par les applications (Java Plug-in, QuickTime, HP JetAdmin, Symantec LiveUpdate, Recherche Acclre, ODBC,...) ... Administration (L'explorateur et ses fonctions)

Lexplorateur Windows 2003 L'explorateur Windows 2003 est l'outil de visualisation et de configuration des units dclares sur la ma

Windows Server 2003

Documents

Transcript of Windows Server 2003