Windows 2000 Server. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER Présentation

Transcription

1 Windows 2000 Server 1. Présentation Historique des réseaux Microsoft La famille du réseau Microsoft Caractéristiques Communes de Windows 2000 et NT Les apports par rapport à Windows NT4 2. Organisation du réseau Groupes de travail et domaines Organisation en domaine 3. Service d annuaire Active Directory Active Directory Service Objets Active Directory Composants Active Directory Domaines Active Directory Organizational Unit Arbres et forêt Active Directory Accès aux composants Active Directory Approbation entre domaines Noms de domaine Nommage des objets Objets de l' Active Directory Console Active Directory Processus d'authentification 4. Administration Types de comptes utilisateurs Création de comptes utilisateurs Profils d'utilisateurs Comptes de groupe Groupes Locaux (hors domaine) Groupes Active Directory (dans un domaine) Etendues de groupe Stratégie d'utilisation des groupes Groupes intégrés Groupes prédéfinis Groupes spéciaux 5. Protection des ressources Autorisations NTFS Héritage des autorisations NTFS Copie ou déplacement de fichier ou de dossier NTFS Partages de ressources Autorisations de partage Combinaison d'autorisations NTFS et d'autorisations de partage 6. Impressions Mécanisme d impression SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 1 1. Présentation Historique des réseaux Microsoft 15/04/1985 : MSNET associé à MSDOS 3.1 : Service Réseau minimal ; commercialisé par d autres sociétés et connu principalement sous le nom de «IBM PC Network Support Program» (3com Msnet 3+); Principal concurrent : Novell Netware avec le meilleur rapport qualité prix ; : Réaction de Microsoft avec une nouvelle génération de logiciel réseau en se basant sur le système d exploitation OS2/1 dont il était le principal développeur : Lan Manager ; la commercialisation est confiée à IBM (OS/2 lan Manager), compaq, 3Com (3+open) 1990 : Compaq et 3com arrêtent de commercialiser Lan Manager : (Produit complexe à présenter, vendre et maintenir). Le même jour Microsoft annonce la commercialisation directe de Lan Manager. Amélioration des performances avec Lan Manager 2.0 (20 % des parts du marché d OS réseaux). Microsoft décide de concevoir un nouvel OS Portable (80x86, PPC, Alpha, MIPS) : NT New Technology. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 2

2 Historique des réseaux Microsoft (suite) Août 1993 : NT Advanced Server 3.1 Harmonisation avec la gamme de produits Windows. Bonnes performances, pas de connectivité Novell, gourmand en mémoire vive et intégration minimale de TCP/IP. Septembre 1994 : Windows NT Server 3.5 : Diminution de l encombrement mémoire, connectivité Novell et TCP/IP Standard ; Windows WFW et outils d administration à partir de stations clientes. Octobre 1995 : Windows NT Server 3.51 support des cartes PCMCIA ; Compression des données et corrections de bugs : Windows NT server 4 Nouvelle interface utilisateur et fonctionnalités Internet. 1999/2000 : Windows 2000 (NT5) - Pilotes WDM (Win 32 Driver Model) communs à Windows 98 Une seule gamme de systèmes d exploitation : Windows 2000 Professionnel (Workstation) Windows 2000 Server (Serveur simple) Windows 2000 Advanced Server (Serveur Avancé : clustering ) Windows 2000 Data Center server (clustering ) SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 3 La famille du réseau Microsoft Serveurs Windows NT Server / 2000 S et AS Stations de travail Windows NT Workstation / 2000 Pro. Clients Système d'exploitation MS-DOS Système d'exploitation Windows 3.x Système d'exploitation Windows 95/98 Système d'exploitation Windows Millenium Système d'exploitation Windows XP SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 4

3 Caractéristiques Communes de Windows 2000 et NT système d exploitation réseau à micro-noyau ; utilise l adressage 32 bits des processeurs Intel ; Gestion de la mémoire virtuelle système multi-tâche préemptif (Multithread unité de programme indépendant); couche HAL (Hardware Abstraction Layout) : système portable sur processeurs x86 et RISC (alpha de Digital, MIPS de Silicon Graphics) ; système multi-processeurs symétriques ; compatibilité avec les applications MS-DOS, Windows 16 et 32 bits, POSIX et OS/2 ; connectivités multiples (protocoles TCP/IP, IPX/SPX, NetBEUI, AppleTalk et DLC) ; support des clients MS-DOS, Windows, Macintosh, OS/2 et Novell Netware ; supporte les systèmes de fichiers FAT (File Allocation Table), NTFS (NT File system); RAID : «Redondance Array of Inexpensive Disk» niveaux 0 (agrégats), 1 (miroirs); 5 (niveau 1 plus informations de parité) ; SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 5 Les apports par rapport à Windows NT4 port USB port IEEE 1394 (firewire) port Infra-rouge (IRDA) Gestion de l'alimentation (pour les portables essentiellement) ACPI = Advanced Cofniguration and Power Interface) Conformité au standard (TCP/IP) : nécessité de TCP/IP. Système de fichiers NTFS5 (quotas + chiffrement) Défragmenteur de disque intégré ("DiskKeeper") Configuration réseau dynamique (sans redémarrage) Gestion centralisée du PC à l'aide de MMC (Microsoft Management Console) Sécurité accrue par l'authentification Kerbéros (système de clefs asymétriques, publique et privée), remplaçant l'antique système NTLM (NT LanManager) qui présentait des failles de sécurité (le mot de passe ne circule plus sur le réseau). DFS (Distributed File System), permettant de "fusionner" en une seule ressource plusieurs unités de disques réseau ADS (Active Directory Service) La nouveauté MAJEURE de Windows Remplace les "domaines NT". Basé sur un annuaire LDAP, avec une arborescence illimitée SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 6

4 Groupes de travail et domaines 2. Organisation du réseau Il est important de distinguer deux types d architectures réseaux : les réseaux «postes à postes» (Peer to peer) et les réseaux «Clients-Serveurs» (ou encore «station-serveur»). Réseaux «postes à postes» Dans cette configuration, chaque poste peut être à la fois client et serveur. Un serveur est un ordinateur sur lequel est mis en place un «partage» de ressources (fichiers, imprimantes,...) et un contrôle des accès à ces ressources. Un client est un ordinateur qui accède aux ressources d un serveur du réseau. Pour cela, l utilisateur doit avoir les permissions requises. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 7 Groupes de travail et domaines (2) Réseaux «postes à postes» (suite) Dans une configuration poste à poste, le partage de ressources ne peut se faire qu entre les ordinateurs regroupés au sein de groupes de travail (Workgroup). Le principal inconvénient de cette architecture est l impossibilité d obtenir une vision globale de la sécurité (administration décentralisée). Ex : Si l on veut affecter un mot de passe aux ressources partagées, il faut se déplacer sur chaque machine (serveur) et entrer le mot de passe. Un utilisateur souhaitant se connecter à ces ressources sera dans l obligation de saisir un mot de passe pour chacune d elles. La gestion des droits d accès et des permissions de partages (les comptes utilisateurs) se fait séparément sur chaque machine du groupe de travail avec parfois la nécessité de dupliquer certains comptes sur plusieurs ordinateurs. Ce type de réseau n assure pas une bonne sécurité et n est adapté qu à un petit nombre d utilisateurs (4 à 5 Max.). Windows for Workgroups, Windows 95/98, Windows NT Workstation, Windows 2000 Professionnal permettent de connecter des ordinateurs en réseau poste à poste. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 8

5 Groupes de travail et domaines (3) Groupe de travail Un groupe de travail réunit des ordinateurs qui désirent partager des ressources (Fichiers, imprimante, messagerie...) dans un réseau de type «poste à poste». Dans cet environnement, les ressources et les comptes d utilisateurs sont gérés par chaque ordinateur du groupe. Réseaux stations-serveurs Dans ce modèle de réseaux, l administration est centralisée et la sécurité est primordiale. Seuls les utilisateurs ayant un compte dans la base de données d'annuaire centrale (du «réseau») pourront accéder aux ressources du réseau. C est dans une telle configuration que l on peut définir le domaine. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 9 Organisation en domaine L unité de base en matière d administration centralisée et de sécurité dans Windows NT et Windows 2000 est le domaine. Un domaine est un regroupement logique d ordinateurs et d utilisateurs. A la différence d un groupe de travail où chaque ordinateur dispose de sa propre base de données de comptes d utilisateurs, tous les ordinateurs d un domaine partagent une base de données de comptes commune. Le fait de regrouper des ordinateurs dans des domaines présente au moins trois avantages pour l administration : les administrateurs n ont à gérer qu un seul compte par utilisateur ; chaque utilisateur utilise un compte unique quelque soient les ressources auxquelles il souhaite accéder ; la recherche de ressources par un utilisateur se fait en parcourant des domaines correspondant à des entités fonctionnelles plutôt que des ordinateurs ou des imprimantes quelconques. Dans Windows 2000 cette base de données commune s appelle Active Directory (annuaire actif). Cet annuaire est mis à jour dynamiquement et contient : les caractéristiques des comptes d utilisateur ; la définition des groupes d utilisateurs ; La définition des ressources matérielles (ordinateurs, imprimantes ) les informations de sécurité (permissions sur les répertoires ) SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 10

6 3. Service d annuaire Active Directory Dans un domaine W2000, l'annuaire se trouve sur les ordinateurs configurés en contrôleurs de domaine. Un contrôleur est un serveur W2K qui gère tous les aspects liés à la sécurité au sein d'un domaine. Un mécanisme de réplication permet la recopie de l'active Directory entre contrôleurs de domaines. Active Directory utilise le Système de nom de domaine (DNS). I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 11 Active Directory Service Un service d'annuaire permet de stocker les informations sur les ressources d'un réseau. Il stocke des objets ayant un lien les uns avec les autres (serveur de fichier, imprimantes, utilisateurs ). Un service d'annuaire contient toutes les informations nécessaires à une utilisation et une gestion centralisée de ces objets. Il est possible de rechercher des ressources à partir de certains attributs : Exemple : liste des imprimantes couleurs du 3ème étage. I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 12

7 Objets Active Directory Un objet est composé d'un ensemble d'attributs. Il s'agit des caractéristiques de l'objet. I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 13 Composants Active Directory Les composants Active Directory sont organisés suivant une structure arborescente : unité organisationnelle domaine arbre forêt I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 14

8 Domaines Active Directory Le domaine constitue l'unité de base de la structure logique. Chaque domaine stocke uniquement les informations des objets qu'il contient. L'active Directory se compose d'un ou de plusieurs domaines, et chaque domaine peut s'étendre sur plusieurs emplacements physiques (voir sites). Chaque domaine possède un ou plusieurs DC (Domain Controler) Chaque contrôleur de domaine contient un «répliqua» complet de l annuaire uniquement pour le domaine le concernant Un domaine est une limite de sécurité ("gère sa propre sécurité"). Les listes de contrôles d'accès ou ACL contrôlent l'accès aux objets du domaine. L'administrateur d'un domaine bénéficie de droits absolus pour définir des stratégies de sécurité dans son domaine. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 15 Organizational Unit Une unité organisationnelle (UO ou OU) est un conteneur qui permet d'organiser les objets (comptes utilisateurs, ordinateurs, ) d'un domaine. Il est possible de déléguer une autorité administrative à une unité organisationnelle. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 16

9 Arbres et forêt Active Directory Un arbre est une structure hiérarchique (ou arborescence) d'un ou plusieurs domaines, obtenue en ajoutant un ou plusieurs domaines enfants à un domaine racine. Les domaines d'un arbre partagent une structure de nom hiérarchique s'appuyant sur le système de nommage DNS (Internet). Une forêt est une structure hiérarchique d'un ou de plusieurs arbres Forêt Arbres SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 17 Accès aux composants Active Directory Tous les domaines d'une forêt partagent un catalogue global commun (contient un répliqua partiel de tous les objets de l annuaire pour tous les domaines, mais avec seulement un petit nombre de leurs attributs) Le domaines d'une forêt fonctionnent de manière indépendante, mais la forêt permet d'établir des communications dans l'ensemble de l'organisation. Object Attributes Domain Domain Domain Domain Global Catalog Query Domain Domain Result Global Catalog Server SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 18

10 Approbation entre domaines Une relation d'approbation est une relation établie entre deux domaines. Le domaine autorisé à approuver assure l'authentification d'ouverture de session du domaine approuvé. Dans l exemple, le domaine C approuve le domaine 1. Un utilisateur du domaine 1 pourra par exemple ouvrir une session dans le domaine C. I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 19 Noms de domaine Active Directory utilise DNS comme service de localisation et d'attribution de nom de domaine. Les noms de domaines W2K sont aussi des noms DNS. W2K utilise le DNS dynamique, ce qui permet aux clients ayant des adresses IP dynamiques d'être inscrits dynamiquement dans les tables du serveur DNS (évite d'avoir recours à WINS, service de nom internet de Microsoft). I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 20

11 Nommage des objets Dans Active Directory, chaque objet est identifié par un nom : Nom unique de domaine (DN) Nom unique relatif (RDN) Identificateur Unique Global (GUID) Nom d'utilisateur principal SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 21 Objets de l' Active Directory (1) Icône Dossier Description : Domaine Le nœud racine du composant logiciel enfichable représente le domaine administré. Ordinateurs Contient tous les ordinateurs Windows NT et Windows 2000 qui font partie du domaine. Système Contient les informations concernant les systèmes et les services Active Directory. Utilisateurs Contient tous les utilisateurs du domaine. Utilisateur Un objet utilisateur est un objet de l annuaire auquel s appliquent des règles de sécurité. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 22

12 Objets de l' Active Directory Contact Un objet contact est un compte qui ne dispose d aucune autorisation de sécurité. Ordinateur Un objet qui représente un ordinateur sur le réseau. Unité organisationnelle Groupe Les unités organisationnelles sont utilisées comme conteneurs pour organiser de façon logique des objets d'annuaire tels que les utilisateurs, les groupes et les ordinateurs. Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Dossier partagé Un dossier partagé est un objet partagé sur le réseau qui a été publié dans l'annuaire. Imprimante partagée Une imprimante partagée est une imprimante réseau qui a été publiée dans l'annuaire. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 23 Console Active Directory SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 24

13 Processus d'authentification L'authentification des utilisateurs est obligatoire, elle est réalisée : Par le contrôleur de domaine à travers Active Directory pour une ouverture de session sur le domaine Par l ordinateur à travers une base de compte locale pour une ouverture de session locale (le réseau n est pas utilisé dans ce cas). SRC2 / IUT Marne la Vallée W2K Server S. LOHIER Administration Compte d utilisateur Un compte d utilisateur comprend toutes les informations qui définissent un utilisateur de Windows 2K Server, les principales sont Données du compte Utilisateur Nom détaillé Date d expiration Répertoire de base Descriptif Nom unique saisi par l utilisateur lorsqu il ouvre un session Nom complet de l utilisateur Date de fin de validité du compte utilisateur Répertoire privé de l utilisateur sur le serveur Horaires d accès Script d ouverture de session Stations de travail accessibles Mot de passe Profil Les heures pendant lesquelles l utilisateur est autorisé à se connecter et à accéder aux services du réseau Fichier batch ou exécutable, exécuté automatiquement à l ouverture de session de l utilisateur Noms des stations de travail à partir desquelles l utilisateur est autorisé à travailler Mot de passe secret de l utilisateur pour ouvrir une session sur son compte Fichier contenant un enregistrement de l environnement de bureau de l utilisateur (groupes de programmes, connexions réseau, couleur de l écran, ainsi que les paramètres définissant les aspects d environnement modifiables par l utilisateur sur les stations de travail) SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 26

14 Types de comptes utilisateurs Il existe 3 types de comptes utilisateurs: Comptes d'utilisateurs locaux : Locaux à la machine, créés dans la base de sécurité locale. Ne peuvent pas accéder aux ressources du domaine, donnent accès aux ressources locales. Ils ne peuvent être créés que sur des stations W2K Pro, serveurs autonome ou serveurs membres. Comptes d'utilisateurs de domaine : permettent d'accéder aux ressources du domaine. Ils sont créées dans l'annuaire AD et répliqués sur les DC du domaines. Peuvent être créés sur des contrôleurs. Comptes d'utilisateurs intégrés : créés automatiquement par le système. Exemple : administrateur et invité (le compte Invité est au départ désactivé. Il faut être vigilant si on décide de l activer, car il s agit d une porte ouverte sur le système. Il n est pas toujours nécessaire de s identifier comme invité! ) SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 27 Création de comptes utilisateurs L administrateur peut ajouter de nouveaux comptes d utilisateurs en les créant ou en copiant des comptes déjà existants à partir de la console Active Directory. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 28

15 Profils d'utilisateurs Sur les ordinateurs Windows 2000, les profils d'utilisateurs permettent de créer et de conserver automatiquement les paramètres du Bureau pour l'environnement de travail de chaque utilisateur sur l'ordinateur local. Un profil d'utilisateur est créé pour chaque utilisateur la première fois qu'il ouvre une session sur un ordinateur. Les profils d'utilisateurs présentent plusieurs avantages pour les utilisateurs : Plusieurs utilisateurs peuvent utiliser le même ordinateur, chacun recevant les paramètres du bureau à l'ouverture de sa session. Lorsque les utilisateurs ouvrent une session sur leur station de travail, ils reçoivent les paramètres du Bureau tels qu'ils existaient à la fermeture de leur dernière session. Lorsqu'un utilisateur personnalise son environnement de Bureau, cette personnalisation ne se reporte pas sur les paramètres du bureau des autres utilisateurs. Les profils d'utilisateurs peuvent être stockés sur un serveur de façon à suivre les utilisateurs quel que soit l'ordinateur exécutant Windows NT version 4.0 ou Windows 2000 sur le réseau sur lequel ils travaillent. Ils sont appelés profils d'utilisateurs itinérants. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 29 Comptes de groupe Les groupes simplifient l'administration en organisant les comptes d'utilisateurs en unités faciles à gérer. Il est possible d'attribuer les autorisations et les droits à un groupe d'utilisateur, plutôt qu'à chaque compte utilisateur. Groupes Locaux (hors domaine) Ils sont utilisés sur les ordinateurs n'appartenant pas à un domaine et permettent de simplifier l'accès aux ressources locales de l'ordinateur. Ils permettent d octroyer des autorisations et des droits sur la machine où ils sont créés. Ne peuvent contenir que des utilisateurs locaux. Ne peuvent être membre d'autres groupes. Les membres des groupes administrateurs et utilisateurs avec pouvoir de l'ordinateur local peuvent créer des groupes locaux. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 30

16 Groupes Locaux (hors domaine) Comme pour une station Windows 2000 Pro, ils sont crées à l aide de l outil «Gestion de l ordinateur». SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 31 Groupes Active Directory (dans un domaine) Au sein d un domaine, différents types et étendues de groupes sont créés dans l'ad. Les groupes de distribution n ont qu un intérêt limité et sont peu utilisés. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 32

17 Etendues de groupe (1) Les étendues de groupe (souvent confondues avec les types) permettent de fixer la portée des accès aux ressources («je veux que tel groupe puisse accéder à l imprimante du domaine voisin») I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 33 Etendues de groupe (2) Les groupes de domaine locaux d un domaine peuvent contenir des groupes globaux du domaine ou d un autre domaine. Un groupe global ne peut pas contenir un groupe de domaine local. Le mode mixte permet d assurer une compatibilité avec Windows NT I. U. T. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 34

18 Stratégie d'utilisation des groupes (1) Il est recommandé d affecter des permissions (P) aux groupes de domaine locaux (DL), de regrouper les comptes d utilisateurs (Account) dans des groupes globaux (G), et enfin d intégrer ces derniers dans des groupes locaux. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 35 Stratégie d'utilisation des groupes (2) Cette organisation peut permettre de rajouter simplement des permissions à des utilisateurs ou des groupes du domaine ou d un autre domaine sans intervenir directement sur les permissions. Groupe global Ginette Secrétaires du domaine vente Fernande Groupe local Utilisateurs d Office C:\Office : Lecture Albert Edouard Groupe global Comptables du Gaston domaine Finance Charles Groupe local Gestionnaires d Office C:\Office : Contrôle total Jacques Firmin Ronald Groupe global Informaticiens Marcel SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 36

19 Groupes intégrés Les groupes par défaut placés dans le dossier Builtin de la console «Utilisateurs et ordinateurs Active Directory» sont : Opérateurs de compte Administrateurs Opérateurs de sauvegarde Invités Opérateurs d'impression Duplicateur Opérateurs de serveur Utilisateurs Ces groupes intégrés ont une étendue de domaine local et sont utilisés principalement pour attribuer des ensembles d'autorisations par défaut aux utilisateurs chargés d'exécuter un contrôle administratif dans ce domaine. Par exemple, au sein d'un domaine, le groupe Administrateurs dispose d'une autorité administrative très vaste sur tous les comptes et toutes les ressources du domaine. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 37 Groupes prédéfinis Les groupes prédéfinis placés dans le dossier Utilisateurs de la console «Utilisateurs et ordinateurs Active Directory» sont : Éditeurs de certificats Admins du domaine Ordinateurs du domaine Contrôleurs de domaine Invités du domaine Utilisateurs du domaine Administrateurs de l'entreprise Administrateurs de stratégies de groupe Administrateurs du schéma Vous pouvez utiliser ces groupes avec une étendue globale pour regrouper les différents types de compte d'utilisateur du domaine (utilisateurs, administrateurs et invités courants) dans des groupes. Vous pouvez ensuite placer ces groupes dans des groupes ayant une étendue de domaine local dans celui-ci et dans d'autres domaines. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 38

20 Groupes spéciaux En plus des groupes contenus dans les dossiers Builtin et Utilisateurs, Windows 2000 Server inclut plusieurs identités spéciales. Par commodité, ces identités sont souvent appelées groupes. Ces groupes spéciaux n'ont pas une appartenance au groupe spécifique que vous pouvez modifier, mais ils peuvent représenter des utilisateurs divers à des moments différents, selon les circonstances. Les trois groupes spéciaux sont les suivants : Tout le monde Représente tous les utilisateurs actuels du réseau, y compris les invités et les utilisateurs d'autres domaines. Réseau Représente les utilisateurs qui accèdent actuellement à une ressource spécifique sur le réseau. Interactif Représente tous les utilisateurs connectés actuellement à un ordinateur spécifique et qui accèdent à une ressource donnée sur cet ordinateur. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER Protection des ressources Il s'agit de règles de sécurité associées aux dossiers et fichiers des partitions NTFS. Le système NTFS, stocke une liste de contrôle d'accès ACL (Access Control List) associée à chaque fichier ou dossier. Liste ACL Liste ACL Partition NTFS Utilisateur1 Lecture Utilisateur1 Lecture Groupe1 Contrôle total Utilisateur2 Contrôle total Groupe1 SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 40

21 Autorisations NTFS sur les fichiers Pour les fichiers, il existe 5 autorisations. Modifier permet de supprimer et de modifier le fichier en plus des autres autorisations ; Contrôle total permet de modifier les autorisation et de prendre possession du fichier en plus de toutes les autres autorisations. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 41 Autorisations NTFS sur les dossiers Pour les dossiers, il existe 6 autorisations. Afficher le contenu du dossier ne permet que de lister les fichiers et sous-dossiers SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 42

22 Autorisations NTFS effectives Les autorisations NTFS peuvent être cumulées Les autorisations effectives sont déterminées en effectuant la réunion (OU logique) de toutes les autorisations cumulées. Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les dossiers L'autorisation Refuser est prioritaire sur les autres autorisations Partition NTFS Groupe B Écriture Utilisateur1 Lecture Lecture/Écriture Dossier A Fichier1 Groupe A Refuser l'écriture sur Fichier2 Fichier2 SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 43 Héritage des autorisations NTFS Une fois définies les autorisations d'un dossier parent, tous les fichiers et sous-dossiers créés dans ce dossier héritent par défaut de ces autorisations. Pour empêcher cet héritage, il faut désactiver la case «Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet» Si les cases sont grisées, cela signifie que le fichier ou le dossier a hérité les autorisations du dossier parent. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 44

23 Copie ou déplacement de fichier ou de dossier NTFS Lors d une copie ou d un déplacement de fichier ou de dossier, les autorisations peuvent changer selon l emplacement de destination : Toutes les opérations de copie héritent des autorisations de destination Seul le déplacement vers la même partition permet le maintien des autorisations initiales Partition NTFS C:\ Partition NTFS D:\ Copie Déplacement Copie ou déplacement Partition NTFS E:\ SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 45 Partages de ressources Pour accéder à une ressource au travers du réseau (dossier, imprimante, ), il faut que celle-ci soit partagée. Le nom de partage doit répondre à la norme UNC (Universal Namming Convention) avec une longueur maximale de 12 caractères. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 46

24 Autorisations de partage Quel que soit le système de fichiers utilisé sur une partition, il est possible d établir des autorisations sur un partage de dossier. Il existe 3 autorisations de partage pour les dossiers. Les fichiers et sous-dossiers sont affectés par les même permissions. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 47 Combinaison d'autorisations NTFS et d'autorisations de partage Les règles suivantes s'appliquent : Les autorisations NTFS sont obligatoires sur les volumes NTFS Les utilisateurs doivent disposer des autorisations NTFS appropriées et d'autorisations sur les dossiers partagés L'autorisation plus restrictive de la combinaison d'autorisations NTFS ou de la combinaison d'autorisations sur les dossiers partagés s'applique Utilisateurs CT Public Lecture Fichier1 Contrôle total Fichier2 Volume NTFS SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 48

25 6. Impressions Dans Windows 2000 différentes notions sont utilisées pour définir un service d impression : le périphérique d impression indique le périphérique matériel de sortie ; une imprimante indique l interface logicielle entre l application et le périphérique d impression ; le spouler est un service qui agit comme interface entre l application d impression et le moniteur d impression, son rôle est de gérer les travaux d impression (routage des travaux vers les ports, gestion des priorités...). le processeur d impression gère et traite les types de données pour les rendre conformes au périphérique d impression ; le routeur localise l imprimante, copie le pilote d imprimante sur l ordinateur local et transmet le travail d impression du client au serveur d impression ; le moniteur d impression contrôle en envoie le travail d impression vers un ou plusieurs ports. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 49 Mécanisme d impression Le mécanisme d impression peut être décrit par les étapes suivantes : 1. le pilote d imprimante est chargé ; 2. l application génère un fichier de sortie qui comprend le contenu et le formatage du document, ce fichier est généré par le GDI (Graphics Device Interface) et contient des appels à l interface pilote de périphérique (DDI : Device Driver Interface) ; 3. le spouler reçoit le document et le transmet au processeur d impression ; 4. le processeur d impression traite le fichier selon le type de données et le renvoie au spouler ; 5. le spouler de l ordinateur client passe le document au spouler du serveur d impression par l intermédiaire du router ; 6. sur le serveur d impression, le spouler transmet le document au moniteur d impression qui écrit les données sur la destination correspondante (LPT1, COM1, \\serveur\nomdepartage ou la carte réseau d une imprimante) 7. le périphérique d impression reçoit les informations, un message informe l utilisateur lorsque le document est imprimé. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 50

26 Mécanisme d impression (suite) Client Application GDI A partir du serveur 1 Serveur Pilote d'imprimante Système d'impression 2 Fichier Copie Journal du pilote (DDI) d'imprimante 3 4 Spouleur Routeur 5 Système d'impression Spouleur Processeur d'impression Données d'impr. brutes Moniteur d'impression 6 7 SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 51