De NT4 à Windows 2000 (Actualisation des compétences) Eric Voulot

Transcription

1 1 SOMMAIRE Installation de Microsoft Windows Automatisation des installations à l aide de l assistant Gestion d installation Rôle... 3 Création d un fichier de réponses... 3 Automatisation de l installation des contrôleurs de domaine... 3 Automatisation des installations en utilisant la duplication de disques... 3 Etude de la procédure de duplication de disque Utilisation de l outil de préparation du système... 4 Implémentation du système DNS dans Windows Présentation multimédia : Concepts du système DNS... 5 Installation du service serveur DNS... 5 Configuration des propriétés de transfert de zone... 7 Configuration de la notification DNS... 7 Configuration de zones intégrés Active Directory... 7 Création de zones intégrées à Active Directory Configuration de zone pour les mises à jour dynamiques... 8 Test du service Serveur DNS... 8 Installation d Active Directory... 9 Définition d Active Directory... 9 Topologies prises en charge par Active Directory... 9 Convention de dénomination Active Directory... 9 CN=David Dubois,CN=Users,DC=contoso,DC=msft... 9 Active directory et système DNS Présentation multimédia : Concepts d ADS de Windows Structure Logique Domaines Limite de sécurité Unité de duplication Modes des domaines Unités d organisation Hiérarchie des unités d organisation Unités d organisation et modèle à domaine unique Arborescences et forêts Arborescences Forêts Relations d approbation Schéma Structure physique Sites Contrôleurs de domaine Rôle des contrôleurs spécifiques Serveur de catalogue global Opérations principales simples Maître de schéma Maître de dénomination de domaine Maître d identificateur relatif Emulateur de contrôleur principal de domaine Maître d infrastructure Installation d Active Directory Préparation de l installation d Active Directory Configuration requise Options d installation... 19

2 2 Vérification des enregistrements de ressource SRV Vérification de l inscription des enregistrements de ressources SRV Vérification de la promotion du serveur Gestion des opérations principales simples Rappels Saisie des opérations simples Utilisation du compte administrateur Création de la structure physique d Active Directory Etude de la structure physique d Active Directory Sites Active Directory Sous-réseaux Appartenance à un site Nom par défaut du premier site Composants de duplication Objet serveur Objet NTDS Settings Objet Connexion Comparaison des duplications intrasite et intersite Duplication intra-site Duplication inter-site Protocoles de duplication Duplication intra-site Duplication Inter-site Liaison de sites Liens de sites Coût Intervalle Calendrier Ponts entre liens de site Implémentation de la structure physique d Active Directory Création d un site Création de sous-réseaux Création de ponts entre des liens de site Création d un serveur de catalogue global Surveillance du trafic de duplication Surveillance du trafic à l aide de la console de performances Surveillance du trafic de duplication à l aide de Replication Monitor Administration d Active Directory Création et gestion d objets Active Directory Création d Unités d Organisation Création, emplacement des comptes d utilisateurs et d ordinateurs Déplacement et recherche d objets Gestion de groupes Types de groupes Objectif des types de groupes Etendues de groupe Eléments à prendre en considération pour l utilisation de groupes universels Stratégie de planification de groupe Modification de groupes Contrôle de l accès aux objets Active Directory Autorisations Active Directory Règles sur les autorisations Modification de la propriété des objets Ajout d attributs d objet dans le catalogue global... 35

3 3 Délégation du contrôle administratif des objets Active Directory Utilisation de l assistant de délégation de contrôle Création d outils d administration personnalisés Création de listes de tâches Mise à niveau d un réseau vers Windows Vue d ensemble Mise à niveau des systèmes d exploitation d ordinateurs clients Identification des procédures de mise à niveau des ordinateurs clients Génération d un rapport de compatibilité matérielle Installation du service d annuaire pour les clients Windows 9X...38 Mise à niveau des serveurs membres Définition de la racine de la forêt Mettre à niveau un domaine NT 4.0 vers la racine de la forêt Windows Migration d objets vers Active Directory Création d une racine de forêt Mise à niveau des contrôleurs principaux de domaine...41 Préparation des contrôleurs de domaine Procédure de mise à niveau du CPD Mise à niveau des CSD Passage du mode mixte au mode natif Comparaison entre les modes Déploiement de Windows 2000 Professionnel à l aide des services d installation à distance Examen des services d installation à distance Installation d un serveur RIS Configuration et démarrage des services RIS Autorisation du serveur RIS et des comptes utilisateurs Configuration des options d installation à distance Noms des ordinateurs clients Pré-configuration des ordinateurs clients Déploiement d images à l aide des services RIS Création d une disquette de démarrage RIS Création d une image RIPrep Installation d un ordinateur source Création d une image à l aide de l assistant Préparation de l installation à distance Comparaison des images de CD-Rom et des images RIPrep Gestion des environnements d ordinateurs à l aide de Stratégie de groupe Présentation de la console Stratégie de Groupe Paramètres de stratégie de groupe Application d une stratégie de groupe Héritage de la stratégie de groupe dans Active Directory Ordre d héritage Résolution des Conflits Traitement des objets stratégie de groupe Création d un objet stratégie de groupe Configuration du registre à l aide de la console stratégie de groupe Gestion des logiciels à l aide de la console stratégie de groupe Etude des technologies de gestion de logiciels Windows Installer Installation et maintenance des logiciels Examen du cycle de vie des logiciels... 55

4 4 Déploiement de logiciels Attribution de logiciels Attribution à un utilisateur Attribution à un ordinateur Publication de logiciels Ajout/Suppression de programmes Appel de document Re-conditionnement d applications Publication de lots autres que Windows Installer Utilisation des modifications de logiciel Mise à niveau de logiciels Déploiement d une mise à niveau obligatoire Déploiement d une mise à niveau facultative Gestion des logiciels Association d extension de fichier à des application Création de catégories de logiciels Installation et configuration des services Terminal Serveur Présentation des services Terminal Serveur Fonctionnement des services Terminal Serveur Fonctionnalités et avantages Identification de la configuration matérielle requise pour les ordinateurs clients Détermination de la configuration du serveur Identification du serveur de licences et des licences client Licences serveur Licences client Installation des services Terminal Serveur et du logiciel client des services Terminal Serveur Installation du logiciel client des services Terminal Server Configuration des services Terminal Server pour des ordinateurs clients Configuration de l accès des utilisateurs Fin d une session Terminal server Etude des options d installation Utilisation des scripts de compatibilité des applications Configuration de l accès distant Etude de nouveaux protocoles Protocole EAP Service RADIUS Protocole L2TP Protocole BAP Configuration des connexions sortantes Création d'une connexion d'accès a distance Connexion à un VPN Configuration des connexions entrantes Configuration d un serveur de VPN Examen des stratégies d accès distant Evaluation des stratégies d accès distant Examen des stratégies par défaut et des stratégies multiples Création d une stratégie d accès distant Configuration des paramètres d appel entrant d un utilisateur Configuration d une stratégie d accès distant Configuration des paramètres d un profil d accès distant Proposer... 75

5 5 Examen du routage à la demande Configuration d un routeur de connexion à la demande Création d une interface de connexion à la demande Configuration d itinéraires IP statiques Implémentation du partage de connexion Examen du rôle du partage de connexion Sécurisation de Windows Sécurisation des ordinateurs et des services à l aide d une stratégie de groupe Implémentation d une stratégie de sécurité Ordre d application des paramètres de stratégie Modification des paramètres de sécurité Utilisation de modèles de sécurité prédéfinis Création de modèles de sécurité Analyse de le sécurité Configuration et analyse de la sécurité à partir de la ligne de commande Sécurisation du trafic réseau à l aide du protocole IPSec Définition du rôle du protocole IPSec dans un réseau Rôle du protocole IPSec dans la prévention des attaques de sécurité Fonctionnalités de sécurité IPSec Examen du processus IPSec Configuration des stratégies IPSec Identification des composants des règles de stratégie Sécurisation des fichiers à l aide du système EFS Cryptage d un dossier ou d un fichier Décryptage d'un dossier ou d'un fichier Utilisation de Cipher.exe Récupération des fichiers cryptés Prise en charge du protocole DHCP et du service WINS Nouvelles fonctionnalités DHCP Autorisation d un serveur DHCP dans Active Directory Examen de la mise à jour dynamique des serveurs DNS Configuration d étendues DHCP dans Windows Configuration d une étendue globale Configuration d une étendue de multidiffusion Examen des classes d option Examen de l adressage IP privé automatique Désactivation de l adressage IP privé automatique Nouvelles fonctionnalités WINS Fonctionnalités du serveur WINS Fonctionnalités des clients WINS Gestion des ressources disque Partage et publication de ressources disque Partage des dossiers Publication de dossiers dans la console Utilisateurs et ordinateurs Active Directory Implémentation de la fonctionnalité Fichier hors connexion Création d un système DFS Définition du système DFS Configuration d une racine DFS Configuration d une racine DFS autonome Configuration d une racine DFS de domaine Configuration de liaisons DFS... 95

6 6 Etude des autorisations NTFS Définition des autorisations NTFS spéciales Attribution d autorisations NTFS spéciales Gestion de l héritage des autorisations Gestion des quotas de disque Utilisation des quotas de disque Configuration des quotas de disque Surveillance des quotas de disque Gestion des disques GLOSSAIRE

7 1 MS 224 Tout au long du document, les symboles ci-dessous représentent : Point(s) important(s) Remarque(s) Installation de Microsoft Windows 2000 Plate-forme Windows 2000 Système d exploitation Windows 2000 PRO Description Remplace 95, 98 et NT 4 processeurs maxi, 4 Go maxi Windows 2000 Serveur Fonctionnalité 2000 PRO et idéale pour : - groupe de travail - serveur fichier, web, imp., groupe de travail 8 processeurs Windows 2000 Advanced Serveur 2000 Serveur + - meilleure disponibilité du système - grande entreprise - SGBD 64 Go 32 processeurs 2000 Datacenter Idem Advenced serveur + Gère plus de RAM et de processeurs Windows 2000 PRO : Fonctionnalité : - gestionnaire de synchronisation : compare les éléments du réseau avec cause de hors connexion. - Protocole IPP (Internet Printing Protocol) : permet d imprimer et d installer les pilotes via un Intranet ou Internet. - Plug and play - Protocole kerberos version 5 : protocole de sécurité des réseaux windows Encrypting file system : crypte les fichiers sur disque dur - Internet protocol Security : crypte le traffic TCP/IP - Service secondaire d ouverture de cession - Assistant de gestion d installation - Microsoft Windows Installer

8 1 Préparation de l installation Configuration minimale 2000 PRO 2000 SERVEUR pentium 133 pentium Mo 256 Mo HD 2 Go 1Go libr HD 2 Go 1Go libre Windows 2000 prend en charge la FAT 32. Pour intégrer un domaine, les conditions ci-dessous sont requises : - un nom de domaine valide vis-à-vis du DNS (cross-systems.com) - un compte d ordinateur - un DC et un ordinateur exécutant le DNS du domaine Installation de Windows 2000 sur un réseau : NB : les portions d installation (locale) peuvent être en FAT ou NTFS! Attention : Windows 2000 ne crée pas de disquettes d installation.

9 2 Commutateur pour l installation Winnt Winnt 32 Commentaires /a Active les options d accessibilité /e : commande /cmd : commande Exécute une commande avant la phase finale de l installation. /i : fichier-info Indique le nom (pas le chemin d accès) du fichier d informations du programme d installation. Par défaut : dosnet.inf /r : dossier /copydir : dossier Crée un sous dossier dans le dossier système Root (utile par exemple pour placer ses propres pilotes). On peut en créer autant que l on veut. /rx : dossier /copysource : dossier Crée un sous-dossier (supprimé après l installation) /s : chemin source /s : chemin source Indique l emplacement des fichiers d installation de W /t : lecteur-temp /tempdrive : lecteur Indique au lecteur pour les fichiers d installation temporaire /u : fichier-reponses /uncehand : nombre : fichiers Réalise une installation sans assistance à l aide d un ou des fichiers réponses (NT 32) /cmd cons /debugniveau : fichier Installe les fichiers nécessaires à la réparation et à la récupération Crée un fichier de débug au niveau spécifié /syspart : lecteur /udf : id, fichier-udf Crée les fichiers d installation sur un lecteur que l on peut modifier. A utiliser avec un tempdrive Effectue l installation avec un fichier de base de données d unicité

10 3 Automatisation des installations à l aide de l assistant Gestion d installation. Rôle Cet outil permet de créer, modifier facilement des scripts permettant de procéder à des installations personnalisées sur des stations de tytravail ou des serveurs. Avantages : - Créer des fichiers réponses et.udf. - Simplifie l inclusion de scripts d installation d applications dans le fichier réponse. - Crée le dossier de distribution Il se lance par setupmgr.exe Création d un fichier de réponses Unattend.txt : Pour l installation de Windows 2000 pro ou serveur. Remboot.sif : Pour l utilisation avec des service Remote Installation Services (voire module 7). Sysprep.inf : Pour l utilisation avec l outils de préparation du système. Si Windows 2000 est installé à partir d un CD Rom, le préciser dans la page du dossier de distribution et enregistrer le fichier sous Winnt.sif car ce sera celui recherché par winnt.exe. Automatisation de l installation des contrôleurs de domaine. Contrairement à NT4, il est possible de passer un serveur membre en contrôleur de domaine et vice-versa et ce grâce à la commande DCPROMO Réalisez l installation en tant que serveur membre. Executer la commande dcpromo/answer :<fichier_reponse> après l installation. Spécifier des options supplémentaires dans la section [DCInstall] du fichier de réponses Dcpromo. Pour plus d info voir le fichier unattend.txt dans le dossier I386 du CD-Rom de Windows Automatisation des installations en utilisant la duplication de disques. Permet de déployer rapidement Windows 2000 (configuration identique) en créant une image disque d une installation. Sysprep.exe est l utilitaire qui permet de réaliser cela!

11 4 Etude de la procédure de duplication de disque. La copie d image s effectue avec l outil d un autre fabriquant que Microsoft. La taille des disques dur des ordinateurs de destination doit être supérieur ou égal à celle des disques dur de l ordinateur source. Sans la présence d un fichier sysprep.ind, le mini programme invite l Sans la présence d un fichier sysprep.inf, le mini programme invite l utilisateur à entrer des variables (nom d ordinateur, d utilisateur..). Utilisation de l outil de préparation du système Cet outil génère des informations propre à l ordinateur de test. Grâce à des commutateurs, il est possible de personnaliser le fonctionnement de sysprep.exe. Commutateur -quiet -pnp -reboot -nosidgen Description Exécution sans intervention de l utilisateur. Force le programme d installation à détecter les périphériques Plug-and-Play des ordinateurs de destination Redémarre l ordinateur. Ne génère pas de nouveaux identificateur SID sur les ordinateurs de destination. Utile si l on n a pas l intention de dupliquer l ordinateur sur lequel on exécute sysprep ou dans le cadre d une préinstallation des contrôleurs de domaine.

12 5 Implémentation du système DNS dans Windows 2000 Nouvelles fonctionnalités : Transfert de zone incrémentielle. Intégration à Active Directory. Prise en charge des mises à jour dynamique. Assistants de configuration Présentation multimédia : Concepts du système DNS Décompressez ses fichiers et lancez PBSG_DNS.HTM Dns.zip Installation du service serveur DNS Pour garantir le bon fonctionnement dads et du logiciel client qui lui est associé, il faut d abord installer et configurer un serveur DNS. Si vous l installez en même temps qu ADS, il faudra créer manuellement une zone de recherche inversée, puis affecter à l attribut de zone la valeur Autoriser les mise à jour dynamique après l installation. L installation de DNS génère trois fichiers dont le rôle est : Type de fichier Domaine.dns z.y.x.w.in-addr.arpa Cache.dns Boot Description Fichier de base dedonnées de zone utilisé pour traduire des noms d hôte en adresse IP pour une zone donnée. Fichier de recherche inversé utilisé pour traduire des adresses IP en noms d hôte. Fichier cache qui contient les informations de l hôte nécessaires à la résolution des noms en dehors des domaines faisant autorité. Le fichier par défaut contient des enregistrements pour l ensemble des serveurs racine présents sur internet. Fichier qui contrôle le mode de démarrage du service Serveur DNS. Dans Windows 2000, ce fichier est facultatif car les paramètres sont stockés dan,s le registre. Configuration des zones dans Windows 2000 Une zone est une partie de l espace de nom de domaine définie par les enregistrements de ressources stockées dans un fichier de base de données de zone. Le transfert de zone est le processus de duplication d un fichier de base de données de zone vers plusieurs serveurs DNS. Windows 2000 prend en charge le transfert de zone incrémentiel et intégral. Il est possible de créer des zones par le biaid d ADS, ce sont des zones principales. Dans ce cas, elles sont dupliquées perndant la duplication d ADS et non au cours des transfert de zones. Configuration des transferts de zone Le transfert de zone copie les informations du fichier de base de données du serveur maître vers un serveur secondaire. Types de transfert de zone :

13 6 série. AXFR (intégrale), à expiration de l intervalle sur le secondaire, il y a alors comparaison des numéro de IXFR (incrémentielle), méthode utilisant également les numéros de série.

14 7 Lancement du transfert de zone Se déclenche lorsque : - Un serveur maître informe le(s) secondaire(s). - Le secondaire envoie une requête au primaire pour savoir si des modifications ont «té apportées. - Au lancement du service DNS sur le secondaire ou lorsque l intervalle (paramétrable) expire. Configuration des propriétés de transfert de zone Se fait en modifiant les propriétés de l enregistrement SOA d une zone donnée soit : Numéro de série. Intervalle d actualisation. Intervalle avant nouvelle tentative. Expire après. Durée de vie minimale. Configuration de la notification DNS Modifier les propriétés de la zone (onglet transfert de zone) en spécifiant l(s) serveur(s) secondaires. Configuration de zones intégrés Active Directory Les zones intégrées à Active Directory ne peuvent être crées que sur des serveurs DNS configurés pour exécuter le protocole de mise à jour dynamique DNS. Création de zones intégrées à Active Directory. Lorsque vous créez une zone de recherche directe, l assistant cré les enregistrements de resource de nom de ressource (NS) et de nom de serveur (Name Server), puis les duplique vers l ensemble des contrôleurs du domaine.

15 8 Configuration de zone pour les mises à jour dynamiques Protocole de mise à jour dynamique DNS Pour activer les mise à jour dynamique, le client et la zone doivent être configurer pour! Test du service Serveur DNS Surveillance : Modifiez les propriétés du serveur DNS (onglet Analyse). Il existe deux type de requêtes lors des tests : Simple qui consiste en une requête locale. Récursive qui consiste à envoyer un requête récursive à un autre serveur DNS. L une et l autre peuvent être effectuées en un seul test. Utilisation de Nslookup : Syntaxe : Nslookup [-option] [ordinateur_recherché] [ -serveur] Syntaxe Description [-option] Utilisez? pour obtenir la liste des options. [ordinateur_recherché] Entrez une IP et le résultat sera un nom d hôte et vice versa. [ -serveur] Nom du serveur DNS à utiliser pour résoudre la requête. Par défaut celui configuré dans la configuration IP du poste sera utilisé.

16 9 Installation d Active Directory Présentation d Active Directory Active Directory fournit la structure nécessaire pour organiser, gérer et contrôler les ressources réseau. Définition d Active Directory ADS est un service réseau qui contient des informations sur les informations réseau et les rend accessible aux utilisateurs et aux applications. Topologies prises en charge par Active Directory DHCP DNS SNTP LDAP LDIF Kerberos X.509 TCP/IP Convention de dénomination Active Directory CN=David Dubois,CN=Users,DC=contoso,DC=msft David Dubois => Nom complet relatif. Le nom principal d utilisateur (UPN) est composé du nom d ouverture de session et du nom du domaine dans lequel il se trouve soit David [email protected].

17 10 Active directory et système DNS Active directory utilise DNS pour pour servir les trois fonctions suivante : Résolution des noms. Définition d espace de noms. Localisation des composants physiques d Active Directory. Présentation multimédia : Concepts d ADS de Windows 2000 Concet ads.zip Structure Logique Il est important de comprendre la fonction des composants logiques de la structure d Active Directory pour réaliser les taches telles que planification, installation, configuration et dépannage d Active Directory.

18 11 Domaines Domaine : - Unité fondamentale de la structure logique d Active Directory. - Ensemble d ordinaateurs qui partagent une même base de donnée d annuaire. Limite de sécurité Le domaine sert de limite de sécurité. L administrateur dispose de base des droits d administration au sein de ce domaine. Chaque domaine dispose de ses propres stratégies et relations de sécurité avec les autres domaines. Unité de duplication Le domaine est l unité de duplication. Chaque contrôleur contient une copie de toutes lis informations de l annuaire du domaine. Chaque contrôleur est susceptible de recevoir des modifications de l annuaire et de les dupliquer vers les autres DC du domaine. Modes des domaines Par défaut un domaine est en mode mixte. Si tous les DC fonctionnent sous Windows 2000, ont peu alors le passer en mode natif. Certaines fonctionnalités d ADS ne sont applicables qu en mode natif comme : l imbrication de groupes l utilisation de groupes locaux de domaine sur des serveurs membres la création de groupes universels de sécurité. Un domaine peut être convertit en mode natif quel que soit le mode des autres domaines de la forêt. Le passage du mode mixte au mode natif est unidirectionnel.

19 12 Unités d organisation Hiérarchie des unités d organisation Consiste à regrouper des objets en une hiérarchie logique correspondant aux besoin de l entreprise comme : Structure organisationnelle reposant sur des services ou des limites géographiques. Modèle d administration reposant sur des responsabilités administratives (administrateur des users / administrateur des machines). Unités d organisation et modèle à domaine unique Du fait qu Active Directory peut gérer des millions d objets, il est possible de regrouper plusieurs domaines en un seul ce qui simplifie l administration et les règles de sécurité. L on utilisera alors les unités d organisation pour gérer les objets. Les objets si nécessaires pourront être facilement déplacés d une OU vers une autre!

20 13 Arborescences et forêts Le premier domaine Windows 2000 que l on cré est le domaine racine de la forêt qui contient la configuration et le schéma de la forêt. Raisons justifiants la création de plusieurs domaines : Des contraintes différentes en matières de mot de passe, selon les organisations. Un grand nombre d objets. Des noms de domaines Internet différents. Un meilleur contrôle de la duplication. L administration décentralisé du réseau. Arborescences Une arborescence est une organisation hiérarchique de domaines Windows 2000 partageant un espace de nom contigu. Forêts Une forêt est un regroupement d arborescences ne partageant pas un espace de nom contigu. Le fait d ajouter un nouveau domaine active directory en tant que nouvelle arborescence d une forêt existante permet de partager des ressources et des fonctions administratives! Relations d approbation Active Directory prend en charge les relations d approbation non transitives unidirectionnelles et transitives bidirectionnelles.

21 14 Schéma Le schéma d active directory contient les définitions (classes et attributs) de tous les objets. Les attributs ne sont définis qu une fois et peuvent être affectés à plusieurs objets. Un seul schéma pour l ensemble de la forêt. Le schéma est stocké dans une base de donnée ce qui signifie : Il peut être mis à la disposition des applications utilisateurs ; Il peut être mis à jour dynamiquement ; Il peut utiliser des listes de contrôle d accès discrétionnaires (DACL) pour protéger l ensemble des classes et des attributs. Le schéma est stocké dans une partition d annuaire (unité de duplication) d active directory. Il est stocké sous forme de base de donnée dans le fichier NTDS.DIT

22 15 Structure physique Dans active directory, la structure logique est séparée de la structure physique. Leur rôle sont différents : Structure logique :organiser les ressources réseau. Structure physique :configurer et gérer le trafic réseau, elle définit le lieu et le moment où est géré le trafic lié à la duplication et aux ouvertures de sessions. Sites Définir des sites permet de configurer l accès à Active Directory et la topologie de duplication de telle manière que Windows 2000 exploite les liaisons les plus rapide et planifie au mieux le trafic de duplication et d ouverture de session. Ce qui justifie la création de sites : Optimiser le trafic lié à la duplication. Permettre de se connecter au DC en utilisant une liaison rapide fiable.

23 16 Le site représente une représentation physique du réseau alors que les domaines en sont la représentation logique. De ce fait : Aucune corrélation n est nécessaire entre structure physique et logique. Active directory autorise plusieurs domaines dans un même site, ainsi que plusieurs sites dans un domaine. Aucune corrélation n est nécessaire entre les espace de nom des sites et des domaines. Contrôleurs de domaine Définition : Un contrôleur de domaine est un ordinateur Windows 2000 qui stocke un réplica de l annuaire. Un domaine peut avoir un ou plusieurs contrôleurs selon la taille de l entreprise. Active Directory utilise la duplication à plusieurs maîtres. A un instant t donné, le contenu de l annuaire peut être différent d un DC à un autre jusqu à ce que la duplication soit totalement terminée! Rôle des contrôleurs spécifiques Lors de la duplication certaines modifications sont irréalisables du fait du trafic généré et des conflits potentiels. C est pourquoi des rôles spéciaux sont confiés à des contrôleurs de domaines spécifiques.

24 17 Serveur de catalogue global Le catalogue global contient les informations nécessaires pour déterminer l emplacement de tout objet figurant dans l annuaire. Le premier serveur créé dans AD est un serveur de catalogue global. Il est possible d en configurer d autres pour répartir le trafic lié à l authentification des ouvertures de sessions et aux requêtes! Rôles du catalogue global : Ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations sur l adhésion à un groupe universel lorsqu un processus d ouverture de session est lancé. Il permet à un utilisateur de trouver des informations d annuaire dans la forêt entière quel que soit l emplacement des données. Nota bene : Dans un réseau à un seul domaine, aucun serveur de catalogue global n est requis car chaque contrôleur de domaine contient les informations nécessaires pour authentifier un utilisateur. Opérations principales simples Un maître d opération est un contrôleur de domaine auquel ont été affectés une ou plusieurs opération simples dans un domaine ou une forêt. Ces opérations ne sont pas autorisées sur différents DC du réseau. Ces opérations au nombre de cinq sont : Maître de schéma. Maître de dénomination de domaine. Emulateur de PDC. Maître d infrastructure. Chaque forêt doit disposer de contrôleurs de domaine qui remplissent deux des cinq opérations simples soit : Maître de schéma. Maître de dénomination de domaine.

25 18 Chaque domaine AD doit disposer de contrôleurs de domaine qui remplissent trois des cinq opérations simples soit : Maître d identificateur relatif (RID) Emulateur de PDC. Maître d infrastructure. Maître de schéma Il contrôle les mise à jour et les modifications apportées au schéma. Pour pouvoir mettre à jour le schéma d une forêt, il faut avoir accès au maître de schéma. Maître de dénomination de domaine Il contrôle l ajout ou la suppression de domaine dans la forêt. Maître d identificateur relatif Il alloue des séquences d identificateurs relatif à chacun des différents CD au sein de son propre domaine. Emulateur de contrôleur principal de domaine Si il y a sur le domaine des clients non Windows 2000, il joue le rôle d un PDC NT 4.0 répondant aux demande de ses clients et dupliquant les mise à jour vers les BDC NT 4.0. En mode natif, il reçoit un duplication préférentielle des mots de passe effectués par d autres DC. Du fait que la duplication peut être longue, en cas de mot de passe erroné, le DC transmet la demande d authentification à l émulateur de PDC. Maître d infrastructure Il es responsable des mise à jour des groupes lorsque leur contenu est modifié. Installation d Active Directory L installation d active directory permet d installer : Une nouvelle forêt, à savoir le domaine racine et le premier contrôleur de domaine. Un DC supplémentaire dans un domaine existant. Un nouveau domaine enfant et son DC dans une arborescence existante. Une nouvelle arborescence et son DC dans une forêt existante. Préparation de l installation d Active Directory Configuration requise Windows 2000 serveur. Une partition ou un volume au format NTFS. Un espace disque suffisant pour l annuaire (1 Go recommandé). Un serveur DNS prenant en charge les enregistrements de ressources ainsi que le protocole de mise à jour dynamique DNS (facultatif).

26 19 Options d installation Ces options sont présentées dans le schéma ci-dessous : Le résultat des étapes de l installation d AD son enregistrées dans un fichier log qui se situe dans le dossier racine_système\debug. L installation d Active Directory ajoute les consoles d administration (MMC) suivantes : Domaines et approbation : o Administration des approbations entres domaines. o Gestion des suffixes de nom principal d utilisateur. o Changement du mode de fonctionnement des domaines. Sites et services : o Administration de la duplication des données soit : - Information relatives aux DC, sites, duplication inter-sites, services réseau. Utilisateurs et ordinateurs : o Administration et publication des informations dans l annuaire. Vérification des enregistrements de ressource SRV Pour cela à l issue de l installation vérifier le contenu du fichier systemroot%\system32\config\netlogon.dns qui doit contenir un enregistrement SRV du type : ldap.tcp.nom_domaine_active_directory IN SRV nom_contrôleur_domaine Vérification de l inscription des enregistrements de ressources SRV Pour cela, à l invite de commande tapez : NSLOOKUP Ls t SRV nom_domaine La liste des enregistrements doit alors être répertoriée.

27 20 Vérification de la promotion du serveur Pour cela s assurer que les éléments ci-dessous sont présents : Base de donnée qui se situe par défaut dans racine_système\ntds Volume sydtème partagé qui se situe dans racine_système\sysvol qui contient les scripts liés à la stratégie de groupe. Nom par défaut du premier site qui se nomme Premier-site-par-Defaut et contient le premier DC. Serveur de catalogue global Domaine racine Conteneurs par défaut crées avec le premier domaine o Builtin qui contient les groupes de sécurité par défaut. o Computers qui constitue l emplacement par défaut des objets ordinateurs du domaine. o Users qui constitue l emplacement par défaut des objets utilisateurs du domaine. Unité d organisation par défaut des DC Gestion des opérations principales simples Rappels Le premier DC créé contient tous les rôles d opérations principales (voir page 17) de la forêt et le domaine racine par défaut. Le premier DC créé dans un domaine enfant contient les rôles de o Maître d identificateur relatif. o Maître d infrastructure pour ce domaine par défaut. Si un des DC remplissant un des rôles devait être déconnecté, il faudrait au préalable les transférer avec l outil approprié désigné dans le tableau ci-dessous. Pour transférer ce maître d opération Maître de dénomination de domaine Maître de schéma Maître d identificateur relatif Emulateur de PDC Maître d infrastructure Ouvrez Domaines et approbation Active Directory Schéma Active Directory Utilisateurs et ordinateurs Active Directory Saisie des opérations simples La saisie du rôle du maître de RID, du maître de dénomination de domaine ou de schéma ne doit être envisagée que si le maître d opération actuel ne sera plus jamais utilisé!

28 21 Pour saisir un rôle d opération simple la procédure est la suivante dans une fenêtre d invite : Ntdsutil roles A l invite de maintenance fsmo, tapez connections A l invite de connexion du serveur, tapez connect to server [nom_du_serveur] 1 A l invite de maintenance fsmo, tapez une des commandes suivantes : o Seize domain naming master o Seize schema master Seize o Seize RID master o Seize PDC o Seize infrastructure master A l invite de commande fsmo, tapez quit A l invite ndsutil, tapez quit Utilisation du compte administrateur L utilisation de Windows 2000 en tant qu administrateur rend l OS vulnérable aux virus de type cheval de trois. Pour palier en autre à cela, il est possible d exécuter un programme en tant qu administrateur de deux façons : Soit en utilisant la commande runas Soit en maintenant la touche «Maj»enfoncée et en faisant un clique droit sur l icône approprriée. Il sera alors possible de saisir un compte utilisateur et un mot de passe. 1 Le nom du serveur est celui qui va saisir le rôle d opération principales simples.

29 22 Création de la structure physique d Active Directory Etude de la structure physique d Active Directory La structure physique d Active directory détermine quand et comment les duplications intra et inter-sites se produisent. Cela affecte les performances du réseau. Sites Active Directory Les sites AD permettent de contrôler le trafic lié à la duplication d AD, ainsi que la localisation des DC en réponse à une ouverture de session. Sous-réseaux Dans Active Directory, un site est défini comme étant un ou plusieurs sous-réseaux bien connectés. Lors de la création d un site il faut indiquer le ou les sous réseaux qui lui sont associés. Un sous réseau ne pouvant appartenir qu a un seul site. Appartenance à un site Elle est déterminée différemment pour un poste de travail que pour un DC. Dans le premier cas c est l adresse IP qui la déterminera. Pour un DC, c est au cours de l installation d AD et il reste constant. Nom par défaut du premier site Il se nomme Premier-Site-par-Defaut (nom que l on peut changer). Le site initial contient tous les sous-réseaux IP par défaut.

30 23 Composants de duplication Le processus nommé KCC permet d accomplir automatiquement la duplication entre DC, permettant ainsi de garantir que la duplication c est faite dans son intégralité. Il est toutefois possible de configurer manuellement ces connexions si elles ne correspondent pas à celles souhaitées. Objet serveur Enfant de l objet Site, il permet de gérer le DC dans le contexte de la duplication et de la gestion des sites. Si lors de la création de l objet serveur, l objet site n existait pas, il faudra alors procéder ultérieurement à un déplacement de l objet serveur. Objet NTDS Settings Enfant de l objet serveur, il est un conteneur de tous les objets de connexions de cet objet serveur. Objet Connexion Il s agit d un chemin de duplication unidirectionnel entre deux objets serveur. Deux DC liés par un objet de connexion sont appelés partenaires de duplication. Deux façons de créer des objets de connexion : Automatiquement lorsque le KCC s exécute sur le DC de destination. Manuellement par un administrateur.

31 24 Comparaison des duplications intrasite et intersite Il existe des différences importantes entre ces deux modes de duplication qu il faut comprendre afin de mettre en place une structure physique efficace! Duplication intra-site Processus de notification des modifications configurable (5 minutes par défaut). Si au bout d un certain temps configurable également (1 heure par défaut) aucune modification ne se produit, le DC déclenche une séquence de duplication afin de garantir qu aucun changement n a été oublié. Traffic non compressé puisque la bande passante est censé être rapide. Duplication urgente concernant les mises à jour (au sein d un site) sensibles en terme de sécurité à savoir : o Duplication du compte récemment verrouillé. o Modification d un secret LSA. o Modification de l état maître d un identificateur RID, uniquement entre DC sous Windows o Mot de passe d approbation inter-domaines (uniquement entre l émulateur de PDC et les CSD). Duplication inter-site Conçue sur le principe de base que les connexions inter-sites ne sont pas fiables d où : Planification de la duplication définie par des valeurs configurables (calendrier «quand?», intervalle «fréquences»). Trafic compressé (10 à 15% de la taille d origine) afin d optimiser la bande passante ce qui a pour effet d accroître la change CPU du DC. Protocoles de duplication Un seul protocole sur un site donné alors qu il faut préciser le protocole à utiliser pour une duplication inter-site. Duplication intra-site Utilise un appel de procédure distante RPC par l intermédiaire de IP qui assure une connexion uniforme à grande vitesse. Duplication Inter-site Il faut alors choisir entre RPC ou le protocole SMTP. La condition pour utiliser SMTP est que les DC doivent se trouver dans différents domaines et différents sites!

32 25 Liaison de sites Deux objets permettent d optimiser la duplication inter-site, il s agit de : Les liens de sites. Les ponts entre les liens de sites. Liens de sites Dans le schéma ci-dessus, si X a une liaison lente avec Y et une rapide avec Z, le fait de créer un pont entre X et Y en y affectant un coût adéquat (inversement proportionnel à la qualité de la liaison) va permettre d optimiser la duplication. Active Directory crée un lien de site par défaut nommé DEFAULTSITELINK qui sera utilisé par défaut. Coût Le coût d un lien de sites est une valeur inversement proportionnelle à la qualité de la bande passante et comprise entre 1 et Les coûts choisis doivent être proportionnels les uns par rapport aux autres. Au cas ou un nouveau lien entre deux sites était ajouté ou amélioré, il faudrait alors revoir les coûts affectés! Intervalle L intervalle défini la fréquence de duplication. Il s agit d une valeur comprise entre 15 et minutes (1 semaine). Par défaut la duplication entre tous les liens a lieu toutes les 180 minutes. Calendrier Il permet de planifier la duplication. Calendrier et intervalle sont étroitement liés. La duplication n aura lieu que durant les heures autorisées (calendrier ) à une fréquence donnée (intervalle). Ponts entre liens de site Le coût obtenu par un lien de sites est cumulatif. Par défaut tous les liens de sites sont transitifs et appartiennent de ce fait à un seul pont entre liens de sites. Sur un réseau totalement routé aucune configuration de pont n est donc nécessaire. Dans le cas contraire (réseau pas entièrement routé), il faudra désactiver la fonctionnalité de transitivité entre lien de sites puis configurer manuellement des ponts entre des liens de sites!

33 26 Implémentation de la structure physique d Active Directory Sur un réseau important, l implémentation d une structure efficace peut impliquer les tâches suivantes : La création de sites. La création de sous réseaux et leur regroupement en sites. Le déplacement d objets serveur entre des sites. La création de liens de sites et, de manière facultative, des ponts entre des liens de sites. La création d un objet de connexion pour remplacer la topologie de duplication par défaut crée par le Vérificateur de cohérence des connaissances. La création d un serveur de catalogue global. Création d un site Pour réaliser cette opération il faut être membre du groupe Administrateur de l entreprise et utiliser le composant site et services.

34 27 Création de sous-réseaux Une fois les sites créés, l étape suivante consiste à créer des sous-réseaux (via le composant sites et services) et les associer à des sites. On utilisera le même composant pour déplacer un objet serveur d un site vers un autre.

35 28 Création de ponts entre des liens de site Avant de créer des ponts (inutile sur un réseau entièrement routé), il faut désactiver (pour le protocole choisi «IP ou SMTP») la création de ponts entre des liens de sites Création d un objet de connexion. Se fait par le biais du composant Sites et service, via l objet NTDS Settings.

36 29 Création d un serveur de catalogue global Se fait par le biais du composant Sites et service, via l objet NTDS Settings en cochant la case associée. Surveillance du trafic de duplication Afin de pouvoir régler la topologie en fonction du trafic de duplication, il faut au préalable analyser ce trafic. Pour ce deux outils permettent de le faire : Moniteur système qui mesure le trafic de duplication entrant et sortant d un serveur donné. Active Directory Replication monitor qui permet d afficher la topologie de duplication intra-site. Surveillance du trafic à l aide de la console de performances Les compteurs de duplication mesurent la taille et l efficacité du trafic de duplication. Certains compteurs DRA contiennent les informations ci-dessous : Nombre total d octets DRA entrant depuis le démarrage. Nombre d octets DRA non compressés entrants (interne au site) depuis le démarrage. Nombre d octets DRA compressés entrants (inter-sites avant compression) depuis le démarrage. Nombre d octets DRA compressés entrants (inter-sites après compression) depuis le démarrage. Nombre d octets DRA non compressés sortant (dans le site) depuis le démarrage.

37 30 Surveillance du trafic de duplication à l aide de Replication Monitor Replication Monitor (REPLMon) est un utilitaire en ligne de commande (à installer avec les outils de support de Windows 2000 qui se trouvent sur le CD) qui permet d effectuer les tâches suivantes : Afficher les serveurs qui participent (directement ou non) à la duplication. Afficher une valeur USN, le nombre de tentatives échouées et les raisons ainsi que les indicateurs utilisés pour les partenaires direct de duplication. Interroger le serveur (fréquence définie) et obtenir des statistiques, conserver un fichier journal. Remonter des alarmes (via ) sur les échecs. Afficher les objets n ayant pas encore été dupliqués. Effectuer une synchronisation entre deux domaines. Déclencher le Vérificateur de cohérence des connaissances pour recalculer la topologie de duplication. Administration d Active Directory Création et gestion d objets Active Directory La création d OU dans un domaine AD permet de mettre en place une structure logique afin de déléguer des tâches et appliquer des GPO.

38 31 Création d Unités d Organisation Les OU sont des objets conteneurs de : compte utilisateurs ; groupes ; comptes d ordinateurs ; d autres OU. Les OU permettent de définir les limites d administration du domaine en déléguant le contrôle administratif sur les objets contenus dans une OU. Pour créer des OU il faut disposer des droits Lire, Lister et créer des objets OU sur le conteneur Parent. Par défaut les membres du groupe administrateur peuvent créer des OU partout. Pour créer une OU utiliser Utilisateurs et ordinateurs d AD du menu Outils d administration. Création, emplacement des comptes d utilisateurs et d ordinateurs Avant de créer un compte, il faut connaître quel sera sont conteneur (OU à laquelle il appartient). Bien qu il soit possible de créer de tels comptes au niveau du domaine, cela est déconseillé car il serait alors difficile d optimiser la délégation de droits et augmenterait la complexité du réseau! Un nom d ordinateur doit être unique au sein d une forêt.

39 32 Déplacement et recherche d objets Les conditions ci-dessous s appliquent lors du déplacement d objets entre OU : Les autorisations qui sont directement accordés aux objets restent inchangés. Les objets héritent des autorisations de la nouvelle OU tandis que celles de l OU précédente n ont plus aucune incidence sur les objets. Il est possible de déplacer plusieurs objets simultanément. Il est possible de réaliser des fonctions d administration sur les objets résultant d une recherche. Gestion de groupes Active Directory prend en charge différents type de groupes. Ceux-ci peuvent s étendre sur plusieurs domaines ou être limités à un seul. Les étendues de groupe sont : Domaine local. Domaine Globale. Universelle. Le choix du type et l étendue du groupe sont limités par le mode de domaine! Types de groupes Objectif des types de groupes Groupes de sécurité (SID) : o Permettent d accorder ou de refuser des droits et des autorisations. Groupes des distribution (Pas de SID) : o Permettent d envoyer du courrier électronique.

40 33 Etendues de groupe Etendue du groupe Groupes de domaine local «Permettent d accéder aux ressources d un domaine» Groupes globaux «Permettent d accéder aux ressources d un domaine quelconque» Groupes universels ««Permettent d accéder aux ressources d un domaine quelconque» Peut contenir en mode mixte Des comptes d utilisateurs et des groupes globaux d un domaine quelconque Des comptes d utilisateur du même domaine Non disponible Peut contenir en mode natif Des comptes d utilisateur, des groupes globaux et des groupes universels d un domaine quelconque de la forêt, et des groupes de domaine local du même domaine. Des comptes d utilisateur et des groupes globaux du même domaine. Des comptes d utilisateurs, des groupes globaux et d autres groupes universels d un domaine quelconque de la forêt. Peut être membre de Groupes de domaine local du même domaine. Groupes universels et de domaine local d un domaine quelconque, et de groupes globaux du même domaine. Groupes de domaine local et de groupes universels d un domaine quelconque. Peut bénéficier d autorisations pour Le domaine dans lequel le groupe de domaine local existe. Tous les domaines de la forêt. Tous les domaines de la forêt. Eléments à prendre en considération pour l utilisation de groupes universels Réduire son utilisation pour diminuer le trafic (duplication vers tous les serveurs de catalogue global lors d une modification). En limiter l appartenance à des groupes.

41 34 Stratégie de planification de groupe Affecter des utilisateurs A à des groupes globaux G Affecter des groupes Globaux G à des groupes de domaine local DL Puis accorder des autorisations P Ajouter un ordinateur à un groupe pour permettre à cet ordinateur d accéder à une ressource partagée. Modification de groupes Modification du type de groupe o Transformer le groupe de sécurité en groupe de distribution et inversement. o Disponible en mode natif. Modification de l étendue de groupe o Transformer un groupe local ou de domaine local en groupe universel o Disponible en mode natif o Windows 2000 ne permet pas de modifier l étendue d un groupe universel. Suppression d un groupe o Supprimer le groupe sans en supprimer les objets membres o Impossible de restaurer un groupe et ses autorisations. Contrôle de l accès aux objets Active Directory Tout les objets AD disposent d un descripteur de sécurité les personnes autorisées (et le type d accès) à accéder à l objet. Pour alléger lez travail administratif, il suffit de regrouper les objets dans une OU car les autorisation affectées à une OU sont valables à tous les objets qu elle contient.

42 35 Autorisations Active Directory Windows 2000 stocke une liste d autorisations d accès utilisateur (DACL). Cette liste répertorie les personnes pouvant accéder à l objet ainsi que les actions qui peuvent être accomplies sur l objet en question. Règles sur les autorisations Si un utilisateur est membre de plusieurs groupes, il y a cumul des autorisations. Les autorisations refusées sont prioritaires sur toutes les autres autorisations qui auraient été accordées à un groupe dont l utilisateur est membre. Toujours veiller à ce qu au moins un utilisateur dispose de l autorisation contrôle total sur tous les objets. Lorsque l on accorde de façon explicite des autorisations sur un objet, ces paramètres remplacent les autorisations hérités d un objet parent. Modification de la propriété des objets La personne qui crée un objet en devient propriétaire qui contrôle les autorisations accordées pour cet objet et les bénéficiaires. Toute personne disposant de l autorisation Contrôle total sur un objet peut changer l autorisation modifier le propriétaire. Ajout d attributs d objet dans le catalogue global Il est possible d ajouter des attributs dans le catalogue global afin d augmenter le nombre de critère de recherche des objets. Pour cela l on peut utiliser «Schéma Active Directory» de MMC mais il faudra au préalable activer la bibliothèque DLL du schéma en tapant : Regsvr32 %systemroot%\system32\schmmgmt.dll Délégation du contrôle administratif des objets Active Directory Utilisation de l assistant de délégation de contrôle Un administrateur peut déléguer les types de contrôles suivants : Autorisation de créer ou modifier des objets dans une OU particulière. Autorisations de modifier des autorisations particulières comme l octroi de réinitialiser les mots de passe d un compte utilisateur.

43 36 Création d outils d administration personnalisés Cela est rendu possible par la création de consoles MMC personnalisées. Il existe deux modes de consoles qui sont : Mode auteur o Ajouter ou supprimer des composants logiciels enfichables. o Créer des fenêtres. o Afficher toutes les parties de l arborescence de la console. o Enregistrer des consoles MMC. Mode utilisateur o Accès total naviguer entre les différents composants enfichables ; ouvrir de nouvelles fenêtres et accéder à l arborescence. o Accès limité, fenêtre multiples Permettre d afficher de nouvelles fenêtres dans la console. o Accès limité, fenêtre unique Afficher une seule fenêtre dans la console. Création de listes de tâches Une liste de tâches est une vue simplifiée de la console MMC. Elle est destinée aux administrateurs débutant ou ceux dont l administration n est pas la fonction principale.

44 37 Mise à niveau d un réseau vers Windows 2000 Vue d ensemble Mise à niveau des clients et des serveurs membres A tout moment Mise à niveau du réseau 1 Planifier la mise à niveau vers Active Directory 2 Définir la racine de la forêt 3 Mettre à niveau le PDC 4 Mettre à niveau les CSD 5 faire passer le domaine en mode natif Mise à niveau des systèmes d exploitation d ordinateurs clients Identification des procédures de mise à niveau des ordinateurs clients Pour mettre à jour Windows 3.x passer au préalable par Windows 9.x Génération d un rapport de compatibilité matérielle Deux méthodes pour cela : Exécuter winnt32 /checkupradeonly Pointer sur l URL :

45 38 Installation du service d annuaire pour les clients Windows 9X Ce service permet aux ordinateurs qui ne peuvent pas exécuter Windows 200 de : Utiliser DFS à tolérance de panne. Effectuer des recherches dans Active Directory. Modifier les mots de passe d un contrôleur de domaine. Avant d installer ce service sur Windows 9x, il faut installer IE 4.01 ou ultérieur et activer le composant Active Desktop TM. Pour ce exécuter Dsclient.exe dans le dossier \clients\win9x du Cd de 2000 serveur. Mise à niveau des serveurs membres Cette mise à niveau relativement simple peut se résumer comme suit : Exécuter l assistant installation, Winnt32.exe. Le serveur reste membre du domaine ou du groupe de travail. S il fonctionnait auparavant, vous devez autoriser le service serveur DHCP dans AD après la mise à niveau. Définition de la racine de la forêt La racine de la forêt correspond au niveau supérieur de l espace de nom de l entreprise. La première étape consiste à créer la racine de la forêt. Deux choix possibles : Mettre à niveau un domaine NT 4.0 vers la racine de la forêt Windows Créer une racine de forêt Windows 2000.

46 39 Mettre à niveau un domaine NT 4.0 vers la racine de la forêt Windows 2000 Migration d objets vers Active Directory Lors de la mise à niveau, les objets ci-dessous font automatiquement l objet d une migration Les comptes utilisateurs migrent vers le conteneur Users. Les comptes d ordinateurs migrant vers le conteneur Computers. Les groupes globaux migrent vers le conteneur Users sous forme de groupes globaux. Les groupes locaux vers le conteneur users sous forme de groupes locaux de domaine. Les groupes intégrés migrent vers le conteneur Builtin. Comptes et groupes globaux ne migrent que lors de la création du premier contrôleur de domaine dans un nouveau domaine.si l on met à niveau un contrôleur de domaine en l ajoutant à un domaine, les comptes et les groupes globaux sont remplacés par les comptes et groupes Windows 2000 existants. Vous devrez migrer les comptes d un contrôleur de domaine Windows NT 4.0 vers un domaine 2000 existant avant d ajouter le contrôleur de domaine au domaine.

47 40 Création d une racine de forêt Dans ce cas de figure il faut créer un domaine racine, puis mettre à niveau les domaines principaux pour qu ils deviennent les enfants de ce nouveau domaine racine. Pour créer la tolérance de panne pour Active Directory, la racine de la forêt de l entreprise doit comporter au moins deux contrôleurs de domaine.

48 41 Mise à niveau des contrôleurs principaux de domaine Préparation des contrôleurs de domaine Avant de démarrer l assistant d installation, effectuer les tâches suivantes : Supprimer les programmes résidants, services réseau non Microsoft ou les logiciels clients. Pour plus d info sur les problèmes connus, consultez le document suivant : Relnotes.zip Déconnectez les périphériques rattachés aux câbles série (onduleur, modem ). Si le serveur possède des cartes ISA, paramétrez le BIOS de sorte qu il réserve toutes les requêtes d interruption (IRQ). Procédure de mise à niveau du CPD 1. Insérez le CD Rom ou exécutez le programme d installation Winnt32.exe 2. Le programme d installation met à niveau le système d exploitation. 3. L ordinateur redémarre et ouvre une session en tant qu administrateur. 4. L assistant d installation d Active Directory s exécute. 5. Configurez le nouveau domaine. Mise à niveau des CSD L assistant d installation ne permet pas de mettre à jour un CSD tant que le CPD ne l est pas. Dans la positive, sélectionnez CD supplémentaire pour un domaine existant.

49 42 Passage du mode mixte au mode natif Comparaison entre les modes Par défaut, lors de la création d un domaine 2000, ce dernier est en mode mixte. Mode mixte Mode natif Le domaine utilise le CPD mis à niveau comme Le contrôleur CPD n est plus le domaine principal pour domaine principal pour la duplication avec les CSD NT la duplication. Tous les CD se dupliquent entre eux 4.0 comme des homologues. Les nouvelles fonctionnalités de groupe Windows 2000 Les nouvelles fonctionnalités de groupe Windows 2000 (imbrication de groupes) ne fonctionnent pas. fonctionnent. La limite d objet de NT 4.0 (40000) s applique Limite d objets de plusieurs millions. toujours s il y a des CD NT 4.0 dans le domaine. Les clients autre que 2000 ne peuvent pas tirer parti de Transitivité des relations d approbation utilisable. la nature des relations d approbation transitives. Le passage au mode natif est une opération unidirectionnelle

50 43 Déploiement de Windows 2000 Professionnel à l aide des services d installation à distance Examen des services d installation à distance RIS permet d installer Windows 2000 pro à distance sans connaître l emplacement des sources et sans avoir à entrer des paramètres lors de l installation. Configuration Réseau requise Service DHCP Active Directory Service Serveur DNS Configuration serveur requise 2 Go d espace disque au minimum Images stockées sur Une partition NTFS Le service RIS peut fonctionner sur des DC ou des serveurs membres. Ces services ne prenne en charge que l installation de Windows 2000 Professionnel dont l image a été crée avec les outils de Microsoft. Installation d un serveur RIS Pour cela commencer par ajouter le composant «Services d installation à distance» Configuration et démarrage des services RIS Information à fournir à l assistant d installation : Emplacement des dossiers des images et des fichiers de prise en charge. Paramètres initiaux de prise en charge des clients. Emplacement des fichiers sources. Nom du dossier image initial. Description et texte d aide. L assistant d installation : Crée la structure des dossiers RIS. Copie les fichiers de prise en charge RIS sur le serveur. Crée l image de CD-Rom de Windows 2000 Pro. Démarre les services requis pour RIS. Pour limiter le trafic réseau et optimiser les performances du serveur RIS, il est conseillé de placer le placer sur le même site où se trouveront les ordinateurs clients. N activez la prise en charge des clients que lorsque le serveur est totalement configuré.

51 44 Autorisation du serveur RIS et des comptes utilisateurs Avant de pouvoir répondre aux demandes clients, un serveur RIS doit être autorisé dans Active Directory. Pour cela utilisez la console DHCP. Pour autoriser un serveur RIS ou DHCP, il faut être membre du groupe administrateur de l entreprise. Quant aux utilisateurs ils doivent être autoriser à créer des objets ordinateurs dans AD. Configuration des options d installation à distance Ceci permet de : Configurer les noms et les emplacement des ordinateurs clients. Pré-configurer les ordinateurs clients. Configurer les options d installation. Configurer des utilitaires de maintenance et de dépannage. Noms des ordinateurs clients Pour cela il est possible d utiliser des variables. Variable Valeur utilisée dans le nom de l ordinateur %Username Nom d ouverture de session de l utilisateur %First Prénom de l utilisateur %Last Nom de l utilisateur %# Chiffre incrémentiel %MAC Adresse de la carte réseau.

52 45 Pré-configuration des ordinateurs clients Cela consiste à prédéfinir un compte d ordinateur client et de l associer à un serveur RIS désigné qui sera seul autorisé à répondre. L identificateur universel unique (GUID) se trouve sur une étiquette située dans ou sur l ordinateur ou dans le BIOS. Pour les clients RIS sur disquette, le GUID sera l adresse MAC de la carte sur 32 caractères (complétez par des zéro si nécessaire). Pour configurer des options d installation, il suffit d appliquer des GPO (équivalent à la stratégie de sécurité sous NT 4.0) au domaine ou à L OU. En cas de conflit entre GPO, la dernière appliquée l emporte.

53 46 Déploiement d images à l aide des services RIS Lors de l installation des services RIS, une image de CD-Rom, un fichier de réponse standard (Ristandard.sif) sont créés. Une fois l image de CD-Rom créé, l on peur configurer le fichier de réponses 2 (fichier.sif) ou en créer un à l aide de l Assistant Gestion d installation. La section [Remoteinstall] détermine le comportement de l installation sur le disque du client soit : Section omise ou valeur à oui => suppression des partitions et formatage en une seule partition NTFS.Section avec valeur à non => utilisation des paramètres par défaut du fichier réponse. Une fois les fichiers réponses créés, il faut les associer à une image en allant sur les propriétés du serveur RIS via la console «Utilisateurs et ordinateurs AD». En appliquant de la sécurité NTFS sur les fichiers réponses, l on limite ainsi la diffusion d images à certains utilisateurs! Création d une disquette de démarrage RIS La disquette de démarrage n est pas liée au type de carte réseau du poste client (une liste de carte est proposée). Pour en créer une, il faut lancer la commande : \\Serveur _RIS\reminst\admin\i386\rbfg.exe 2 Un fichier réponse contient les informations qu un utilisateur doit généralement donner lors de l installation.

54 47 Création d une image RIPrep Ceci nécessite un ordinateur source et un serveur RIS. Cette méthode est la plus rapide pour déployer des applications avec l OS. Installation d un ordinateur source Méthodologie : Installation de Windows 2000 Professionnel. Configuration des composants et paramètres. Installation et configuration des applications. Test de la configuration de l OS et des applications. Lors de la création d une image RIPrep, les modifications apportées sont enregistrées dans le profil administrateur. Afin que tout utilisateur les perçoivent, il suffit de copier le profil administrateur dans celui de l utilisateur par défaut comme le montre l image ci-dessous :

55 48 Création d une image à l aide de l assistant Préparation de l installation à distance Avant de créer une image RIPrep sur un serveur RIS, s assurer qu une image de CD-Rom est présente sur ce serveur sans quoi il sera impossible d en créer une! Une fois l ordinateur source l exécution de l assistant Préparation de l installation à distance 3 va effectuer les tâches suivantes : Epurer tous les SID propres à l ordinateur de test. Créer l image RIPrep sur la partition image du serveur RIS. Créer un fichier réponse et l associer à l image. L image n est copiée que sur un seul serveur RIS. Pour améliorer la tolérance de panne il faut soit copier cette image manuellement sur d autres serveurs RIS, soit utiliser la duplication! 3 Pour créer une image RIPrep exécutez : \\serveur_ris\admin\i386\riprep.exe

56 49 Comparaison des images de CD-Rom et des images RIPrep Image de CD-Rom Image RIPrep Une image par défaut est automatiquement crée lors de Vous devez créer l image en utilisant l Assistant la configuration du serveur RIS Préparation de l installation à distance Elle ne peut contenir que l OS Elle peut contenir l OS et des applications Les applications peuvent être déployées en utilisant des GPO de groupe. L image est fonction des paramètres par défaut de L image est fonction d un ordinateur source préconfiguré. L apport d autres modifications l OS. n écessite le déploiement de l image vers un Un fichier réponse est nécessaire pour ordinateur client, la configuration de cet personnaliser l image. ordinateur, puis la recréation de l image. Elle effectue une installation réseau complète en Elle ne copie sur l ordinateur client que les fichiers copiant tous les fichiers de l image dans un et clés de registre nécessaires. dossier temporaire du disque dur local avant Elle constitue donc la méthode la plus rapide de d exécuter le programme d installation. déploiement d un système d exploitation et Vous pouvez la déployer vers tout ordinateur disposant d une couche d abstraction matérielle (HAL) prise en charge. d applications. Vous pouvez la déployer vers tout ordinateur utilisant la même couche HAL que l ordinateur source.

57 50 Gestion des environnements d ordinateurs à l aide de Stratégie de groupe Présentation de la console Stratégie de Groupe La stratégie de groupe est une technologie qui permet de gérer des environnements d ordinateurs sur un réseau Windows 2000 en appliquant des paramètres de configuration à des utilisateurs et des ordinateurs. Les paramètres de la console Stratégie de groupe sont contenus dans les objets GPO. Paramètres de stratégie de groupe Technologie IntelliMirror Etablissement de configurations applicables Spécification des paramètres pour : Modèles Paramètres de la console stratégie de groupe basée sur le registre. D administration Sécurité Options de sécurité pour les niveaux local, domaine et réseau. Installation Gestion centralisée de l installation des logiciels. Des logiciels Scripts Redirection De dossier Objets stratégie de groupe Script de démarrage/d arrêt, d ouverture/fermeture de session. Stockage des dossiers des utilisateurs sur le réseau.

58 51 Application d une stratégie de groupe Un objet GPO peut être appliqué à un conteneur (site, domaine, OU..). Du fait qu il y a héritage du conteneur parent, lors de l application d une GPO il est donc important d en comprendre le fonctionnement. Héritage de la stratégie de groupe dans Active Directory Tous les domaines du site reçoivent les mêmes paramètres de sécurité La comptabilité reçoit son propre menu démarrer et le papier peint du domaine approprié Les OU 1 et 2 reçoivent chacune un script d ouverture de session unique. Ordre d héritage Windows 2000 traite les objets GPO en commençant par le conteneur AD le plus éloigné. Su un compte d ordinateur et/ou d utilisateur Appartient à plusieurs domaine, sites, et/ou OU, Windows 2000 traite tous les objets applicables aux comptes. Dans le cas des Gpo appliquées au site, cet objet n est stocké que dans un seul domaine. Dans le cas d un site multi- domaines, le DC contenant la GPO sera sollicité (Attention à la bande passante). Résolution des Conflits GPO de l OU enfant et parent compatibles : les deux sont appliquées. GPO de l OU enfant et parent incompatibles : le dernier l emporte (l enfant). Si l ordre naturel d application des GPO ne convient pas, il est possible d intervenir dessus par : Ne pas passer outre : consiste à à empêcher le conteneur enfant de remplacer sa GPO par celle du parent. Bloquer l héritage des stratégies : consiste bloquer l héritage de tous les conteneur parents. En cas de conflit l option passer outre l emporte.

59 52 Traitement des objets stratégie de groupe Action Description L ordinateur démarre Windows 2000 : Application des paramètres d ordinateur de la stratégie de groupe. Exécution des scripts de démarrage. L utilisateur se connecte Windows 2000 : Application des paramètres d utilisateur de la stratégie de groupe. Exécution des scripts de d ouverture de session. Actualisation La stratégie de groupe est actualisée par défaut toutes les 90 minutes sur les postes clients et toutes les 5 minutes sur les DC. Actualisation non planifiable. Création d un objet stratégie de groupe Pour cela, utiliser la console «utilisateurs et ordinateurs AD»,. Dans les propriétés de l objet (OU, domaine ) ajouter une stratégie. La sécurité sur les stratégie respecte les même règles que NTFS (la plus restrictive l emporte). La liste des GPO est traité en ordre inverse. Afin d éviter des conflits, utiliser les boutons «Monter/Descendre» pour en modifier l ordre d exécution.

60 53 Configuration du registre à l aide de la console stratégie de groupe Explication sur les critères : Non configuré : Windows 2000 n apporte aucune modification à l ordinateur. Activé : Les paramètres sont implanté uniquement s il ne l était pas auparavant. Désactivé : Le paramètre n est pas implémenté. S il l était auparavant, il est alors supprimé!

61 54 Gestion des logiciels à l aide de la console stratégie de groupe Etude des technologies de gestion de logiciels Windows installer Format de fichier de lot en remplacement de install.exe (fichier.msi) Nouvelles fonctionnalités pour les logiciels (résilience, réparation automatique) Installation et maintenance des logiciels Technologie serveur Déploiement et gestion des lots par le biais de la console stratégie de groupe Windows Installer Les avantages de Windows installer sont : Installations personnalisées : Toutes les fonctionnalités seront visibles mais ne seront installées lorsque l utilisateur les sollicitera (clipart, dictionnaires ). Applications résilientes : Au cas où un fichier de l application est endommagé, il est automatiquement récupéré depuis la source. Suppression propre : Les fichiers partagés sont pris en compte afin de ne pas compromettre les autres applications. disposer de droits d administration (lecture seule). Installation et maintenance des logiciels Une fois que l on possède le lot Windows installer, l on peut alors mettre en œuvre des GPO pour déployer, mettre à jour ou supprimer des applications. Les fonctionnalités de déploiement et de gestion ne sont applicables qu aux clients Windows 2000 Pro.

62 55 Examen du cycle de vie des logiciels Lors de la phase de déploiement, deux méthodes sont possibles : Attribution d applications qui consiste à afficher les application dans le menu. Elle ne seront réellement installer que lorsque l utilisateur les sollicitera. Publication d applications pour laquelle l application n est pas annoncée sur le bureau mais peut être ajouter via Ajout/Suppression de programmes. Pour la phase de maintenance, il suffit de modifier le GPO pour qu il soit appliqué automatiquement. Concernant la phase de suppression, cette dernière peut être soit forcée soit facultative (ne concerne que les nouveaux utilisateurs qui ne pourront bénéficier de l application). Déploiement de logiciels 1 re étape 2 e étape Procurez vous un lot Windows Installer Placez le lot dans un dossier partagé 3 e étape 4 e étape Créez ou modifiez un objet GPO Sélectionnez une option de déploiement X Pour les étapes 3 et 4, utilisez la console «utilisateurs et ordinateurs Active Directory»

63 56 Attribution de logiciels Attribution à un utilisateur L application est installée la première fois que l utilisateur la démarre. Attribution à un ordinateur L application est installée au prochain démarrage de l ordinateur. Publication de logiciels Ajout/Suppression de programmes L application est installée quand l utilisateur la sélectionne dans le programme Ajout/Suppression de programmes du panneau de configuration. Appel de document L application est installée quand l utilisateur double clique sur un type de fichier inconnu. Il n est pas possible de publier une application pour les ordinateurs dans une OU. Par contre il est possible d attribuer une application à des utilisateurs ou ordinateurs dans une OU.

64 57 Re-conditionnement d applications Cela permet de bénéficier des fonctionnalité de Windows Installer pour d anciennes applications Description des étapes : 1 : Installez Windows installer (fourni avec Windows 2000 Serveur)dans un répertoire partagé du serveur. 2 : Installer Windows 2000 pro en tant qu administrateur (partition formatée) sur l ordinateur de référence. 3 : Se connecter aux ressources partagées (Wininstall, application) du serveur. 4 : Exécuter Discover à partir du dossier partagé (créé en 1) pour obtenir une image avant l installation de l application. 5 : Installer et configurer l application puis attendre quelques minutes. 6 : Exécuter à nouveau Discover pour obtenir une image après l installation de l application. 7 : Copier le dossier contenant le nouveau lot de l ordinateur de référence dans un emplacement réseau. Publication de lots autres que Windows Installer Limites aux déploiement de lots autres que Windows Installer Les applications peuvent être seulement publiées. Les applications ne se réparent pas automatiquement. Les applications nécessitent l intervention de l utilisateur pour être installées. Les applications ne peuvent pas être installées avec des privilèges élévés (l utilisateur doit disposer des droits nécessaires pour les installer).

65 58 Utilisation des modifications de logiciel Les fichiers «.mst» permettent de déployer simultanément plusieurs configuration d une même application. Ces modifications peuvent si nécessaire être liée à une GPO bien précise. Les modifications s appliquent dans l ordre indiquées dans les modifications. On ne peut ajouter et supprimer des modifications que lors du déploiement de lots et non ultérieurement. Mise à niveau de logiciels Déploiement d une mise à niveau obligatoire Utilisateur exécutant la Version 1.0 d une application. La version 2.0 de l application est déployée comme une mise à niveau bligatoire. Les utilisateurs peuvent utiliser uniquement la version 2.0 de l application. Si la version 1.0 est installée, elle est remplacée par la 2.0. Si la version 1.0 n était pas installée, l utilisateur devra avoir recours à «Ajout/Suppression de programme» pour que la version 2.0 s installe à la prochaine ouverture de session.

66 59 Déploiement d une mise à niveau facultative Utilisateur exécutant la version 1.0 d une application. La version 2.0 de l application est déployée comme une mise à niveau facultative. Les utilisateurs peuvent utiliser l une ou l autre version de l application. version 1.0 version 2.0 L appel de document installe la version 2.0 uniquement si l objet GPO qui la déploie est de niveau supérieur(1). Si l application 1.0 n est pas encore installée, l utilisateur pourra choisir entre les versions 1.0 ou 2.0. La remarque (1) restant valable. Redéploiement de logiciels 1 re étape 2 e étape Le correctif logiciel est placé sur le serveur L objet GPO est redéployé 3 e étape 4 e étape L utilisateur ouvre une session et appel l application Le correctif logiciel est appliqué En fonction de la méthode utilisée pour le lot d origine (attribution ou publication l on obtiendra : Publication et installée : Menu démarré, raccourcis du bureau, registre mis à jour lors de la prochaine ouverture de session. Attribution à un utilisateur : Idem Attribution à un ordinateur : Service pack ou correctif sont automatiquement mis à jour lors de la prochaine mise sous tension.

67 60 Suppression de logiciels Suppression forcée Les logiciels sont automatiquement supprimés des ordinateurs et ne peuvent plus être réinstallés Suppression facultative Windows Installer Les logiciels ne sont pas supprimés des ordinateurs mais ils ne peuvent plus être installés Seuls les logiciels installés à partir de lots Windows Installer peuvent être supprimés à partir de la console Stratégie de groupe Gestion des logiciels Association d extension de fichier à des application Vous pouvez créer des objets GPO pour contrôler les applications associées à une extension de fichier. Les priorités que vous définissez s appliqueront uniquement aux utilisateurs dépendant de l objet GPO

68 61 Création de catégories de logiciels Access Excel Microsoft Outlook PhotoDraw Microsoft Picture It 99 PowerPoint Word Sans catégorie Graphisme PhotoDraw Microsoft Picture It 99 Microsoft Office Access Excel PowerPoint Word Avec Catégorie Communication Microsoft Outlook Le fait de classer les logiciels par catégorie per met à l utilisateur de choisir (dans l Ajout/Suppression de programmes) u n logiciel dans une catégorie donnée plutôt que de le rechercher dans une liste triée alphabétique ment. La création de catégorie se fait en modifiant les propriétés d un objet GPO. L attribution d un logiciel à une catégorie peut se faire à tout moment.

69 62 Installation et configuration des services Terminal Serveur Présentation des services Terminal Serveur Ils permettent l accès multi-utilisateur au système d exploitation Windows Fonctionnement des services Terminal Serveur Description des trois parties intervenant : L ordinateur client : Il ouvre une session uniquement avec le logiciel de base (client terminal serveur). Le protocole RDP : Il prend en charge la communication entre le client et le serveur en optimisant le déplacement de l interface graphique vers l ordinateur client. Le serveur exécutant les services TS : Il gère les ressources clients, traite les frappes au clavier puis achemine le résultat vers le client. Fonctionnalités et avantages Accès au bureau et aux applications Windows Sécurité et fiabilité accrue (prise en charge du cryptage). Administration et support technique améliorés (administration et contrôle distant). Déploiement centralisé d applications verticales.

70 63 Identification de la configuration matérielle requise pour les ordinateurs clients. OS Mémoire vive Processeur Carte vidéo Windows Mo Pentium VGA Windows NT Mo 486 VGA Windows Mo 486 VGA Windows Mo 386 VGA Windows pour Workgroup Mo 386 VGA Windows CE Fournisseur Fournisseur Fournisseur Détermination de la configuration du serveur Du fait que ce service est plus consommateur de ressources que les autres (DNS, DHCP, ) il faudra tenir compte des facteurs suivants : Caractéristique des utilisateurs qui se connecteront : Nombre(s) d application(s) qui seront ouvertes en simultanée. Système serveur : Pour des raisons de performance et de sécurité, utiliser NTFS. Compter : o 10 Mo supplémentaire pour un utilisateur occasionnel o 21 Mo pour un utilisateur avancé. Utilisez des cartes réseau performantes afin de soulager le système. Identification du serveur de licences et des licences client

71 64 Licences serveur Un serveur de licences gère toutes les licences des TS en mode serveur d application. Il s agit d un service à part entière de Windows 2000 serveur. Il doit être déployé : sur un DC dans le cadre de Windows 2000 en mode natif y compris au niveau d un site. sur un serveur TS ou sur un serveur membre Dans le cadre de NT 4 ou de Workgroup. Comptez 5 Mo pour 6000 licences. Licences client Accès client : Pour les périphériques connus autre que Windows Internet connector : Pour une utilisation simultanée et anonyme sur internet. Intégrées : Pour les clients Windows 2000 (automatiquement licenciés). Provisoires : Délivrées à un TS lorsque le serveur de licence n en dispose plus de libre. Installation des services Terminal Serveur et du logiciel client des services Terminal Serveur Ce service peut s installer lors de la mise en place du serveur ou ultérieurement. S i l installation se fait dans un second temps (Ajout/Suppression de programme ), il est possible de choisir entre deux modes : Mode application Mode administration à distance : ne requiert aucune licence mais ne permet que deux connexions simultanées. A travers les outils d administration, plusieurs élément sont ajoutés concernant ce service soit : Créateur de clients TS. Configuration des services TS. Gestionnaire des licences des services TS. Gestionnaire des services TS.

72 65 Installation du logiciel client des services Terminal Server. Client Nombre de disquettes nécessaires Windows 16 bits 4 Windows 32 bits 2

73 66 Configuration des services Terminal Server pour des ordinateurs clients Configuration de l accès des utilisateurs Si TS est installé sur un DC, tous les utilisateurs du domaine sont autorisés à utiliser ce service. Pour désactiver l accès à ce service, modifiez les propriétés de l'utilisateur, notamment en désactivant cet accès (voir image ci-dessus). Il est également possible à ce niveau (onglet profil) de créer un profil propre à un utilisateur! Fin d une session Terminal server Il est important de comprendre les conséquences de l arrêt d une session : Déconnexion d une session : L utilisateur se déconnecte mais sa session tourne toujours. Il pourra se reconnecter ultérieurement et retrouvera l environnement tel qu il l a laissé. Fermeture d une session : L utilisateur met fin à la session. Tous les programmes sont fermés et les données perdues si elles n ont pas été sauvegardées au préalable!

74 67 Etude des options d installation Il est recommandé de se connecter en tant qu administrateur puis de passer par «l Ajout/Suppression» de programmes afin que plusieurs utilisateurs puissent accéder à cette application. Utilisation des scripts de compatibilité des applications Ces scripts modifient les applications (en modifiant le registre) pour qu elles fonctionnent correctement dans un environnement multi-utilisateurs. Ceux-ci se situent dans le dossier racine_système\application Compatibility Scripts\Install Avant d exécuter un script, vérifiez sont contenu via le bloc note (vérification du lecteur ou se situe l application.).

75 68 Configuration de l accès distant Etude de nouveaux protocoles Protocole EAP Ce protocole permet : Au client et au serveur de négocier la méthode d authentification à utiliser. De prendre en charge l authentification à l aide de : o Cartes à jeton numérique. o MD5-CHAP o TLS Garantir la prise en charge des futures technologies d authentification par le biais d une API. Service RADIUS Les clients Radius se configurent dans le service «routage et accès distant». Les serveurs Radius sont des serveurs exécutant IAS.

76 69 Protocole L2TP Fonction L2TP PPTP Utilisé pour créer un tunnel crypté X X Utilise PPP X X Requiert un réseau interconnecté de transit IP X Cryptage PPP X Cryptage IPSec X En option Authentification en tunnel X Contrairement à PPTP, L2TP prend en charge la compression des en-tête (4 octets au lieu de 6). Utiliser PPTP avec IPSec revient à crypter deux fois puisqu il crypte déjà avec PPP. Cette solution est donc déconseillée! Protocole BAP Windows 2000 prend en charge le protocole pour la configuration dynamique de connexions à liaison multiple. Pour que le protocole à liaison multiple PPP fonctionne, il faut que le client et le serveur aient activés le protocole à liaison multiple PPP. Si le serveur RAS est configuré pour le rappel automatique, il ne sera en mesure (dans le cadre de liaisons multiples) que via un seul périphérique! La configuration du protocole se fait au moyen des stratégies d accès distant.

77 70 Configuration des connexions sortantes Les trois types de connexions sortantes sont : Les connexions d accès à distance o Les connexions à un réseau ou un serveur privé. o Les connexions à un ISP. Les connexions à un VPN. Les connexions à un autre ordinateur par câble ou infrarouge. Création d'une connexion d'accès a distance

78 71 Connexion à un VPN Un réseau VPN est créé à l aide des protocoles PPTP ou L2TP et permet d établir des connexion sécurisées sur un réseau public. Configuration des connexions entrantes Configurer une connexion entrante revient à ouvrir un port par lequel un client peut se connecter au serveur. Si l ordinateur n est ni un serveur ni un membre du domaine, utilisez l assistant connexion réseau comme pour les connexions sortantes. Si l ordinateur est un serveur et un membre du domaine, il faut utiliser le service Routage et accès distant pour configurer les connexions entrantes.

79 72 Configuration d un serveur de VPN Pour configurer et démarrer un serveur VPN aller dans : Outils d administration/routage et accès distant Clique droit sue le serveur puis Configurer et activer le routage et l accès distant. Exécutez l assistant installation du serveur de routage et d accès distant. Dans cette page de l assistant Configurations communes Protocoles du client distant Connexion Internet Attribution d adresses IP Gestion de plusieurs serveurs d accès distant Procédez comme suit Sélectionner Serveur réseau privé virtuel (VPN). Si tous les protocoles que vous utiliserez figurent dans la liste, cliquez sur suivant. Si on désire installer des protocoles supplémentaires,, aller dans la page Propriétés accessible à partir de l icône Connexion au réseau local dans Connexions réseau et accès à distance. Sélectionner votre la connexion Internet dans la liste. L une des autres connexions (habituellement le LAN) sera la connexion au réseau privé. Sélectionnez une méthode d affectation (DHCP, plage d adresses). Indiquez si vous souhaitez utiliser un serveur radius. Si c est le cas, vous devrez indiquer le nom de ces serveurs (primaire et secondaire) ainsi que leurs mots de passe respectif. Configurez les stratégies d accès distant (Voir chapitre suivant). Lors du premier démarrage d un serveur VPN, 128 ports PPTP, L2TP sont disponibles. Il est possible d en ajouter (Attention à la disponibilité de la bande passante.

80 73 Examen des stratégies d accès distant Stockées localement, pas dans Active Directory Composants o Conditions o o Autorisations Profil Les stratégies permettent d attribuer un type de connexion à un utilisateur selon un ensemble de conditions. Concernant les condition, ces dernières ne fonctionnent pas (bug)y compris avec SP1. Pour les utiliser il faut au préalable implémenter un hotfix. Evaluation des stratégies d accès distant Avec cette logique, les réseaux en mode natif et en mode mixte peuvent utiliser des serveur RAS Windows Les stratégies d accès distant sont évaluées comme indiqué ci-dessous : 1. Le service routage et accès distant compare les conditions de la stratégie d accès distant à celles de la tentative de connexion souhaitée. 2. Le service routage et accès distant contrôle les autorisations d appel entrant du compte de l utilisateur. 3. Le service routage et accès distant continue à comparer les paramètres de la tentative de connexion à ceux du compte de l utilisateur et du profil de stratégie.

81 74 Examen des stratégies par défaut et des stratégies multiples Stratégie d accès distant par défaut o Mode natif (la stratégie par défaut refuse toutes les tentatives sauf si l option Permettre l accès est définie pour le compte utilisateur. o Mode mixte (la stratégie par défaut est ignorée). Stratégie multiples o Si une tentative de connexion ne correspond à aucune stratégie d accès distant, elle va échouée, même si l autorisation d appel entrant d un utilisateur indique Permettre l accès. Création d une stratégie d accès distant Les trois composants d une stratégie d accès distant sont : Configuration des paramètres d appel entrant pour les utilisateurs figurant dans Utilisateurs et ordinateurs Active Directory. Création d une stratégie et de ses conditions dans Routage et accès distant. Modification du profil de la stratégie. Configuration des paramètres d appel entrant d un utilisateur Mettre schéma Sur un serveur autonome, aller dans les propriétés de l utilisateur. Contrôler l accès via la stratégie d accès distant n est disponible que pour les comptes de serveurs RAS 2000 ou membre d un domaine Windows 2000 natif. Vérifier l identité de l appelant permet au serveur de vérifier le numéro autorisé à appelé. Si un serveur RAS sous NT 4.0 utilise un domaine 2000 natif pour obtenir les paramètres de rappel, Contrôler l accès via la Stratégie d accès distant est interprété comme refuser l accès. Configuration d une stratégie d accès distant Si tentative de connexion A lieu entre 8 :00 et 17 :00, du lundi au vendredi ET Provient d une IP *.* ET Provient d un utilisateur du groupe des ventes La définition d une nouvelle stratégie d accès distant se fait au niveau de l outil d administration Routage et accès distant.

82 75 Configuration des paramètres d un profil d accès distant ET ET Proposer Temps de connexion de 90 minutes 4 lignes à liaisons multiples (la ligne est coupée si elle est utilisée à 50% pendant 10 minutes). Cryptage IPSec requis. Examen du routage à la demande Pour initier un routage à la demande initié par deux voies entre deux routeurs, effectuer la preocédure cidessous : Configurer la connexion à l intranet local, le serveur d accès distant et les paramètres de ports. Créer une interface de connexion à la demande. Configurer des itinéraires IP statiques. Configuration d un routeur de connexion à la demande Connexion du routeur o Configurer une IP statique et un masque de sous-réseau. o Configurer les adresses du serveur DNS et WINS. Configuration du service Routage et accès distant o Démarrer un serveur de routage et d accès distant configuré manuellement. o Configurer un pool d adresses statiques pour les connexions à la demande entrantes.

83 76 Création d une interface de connexion à la demande Mettre schéma Les interfaces de connexion à la demande peuvent être configurées après leur création. Configuration d itinéraires IP statiques Mettre schéma Se paramètre en ajoutant un nouvel itinéraire statique. Implémentation du partage de connexion Il permet de partager une connexion externe vers Internet. Examen du rôle du partage de connexion Accès à Internet pour les réseaux de petite taille Conservation des adresses IP DHCP, DNS, WINS pour les réseaux de petite taille. Filtrage des paquets IP par un pare-feu. L activation du partage de connexion s active en cochant «Activer le partage de connexion Internet» lors de la création réseau dans l assistant Connexion réseau. Le protocole NAT est activé lors de la mise en place du serveur. Il peut être ajouté sur un serveur RAS existant.

84 77 Sécurisation de Windows 2000 Windows 2000 prend en charge les carte à puce. Sécurisation des ordinateurs et des services à l aide d une stratégie de groupe Consiste à définir des modèles de sécurité et de les appliquer à l aide de la console Stratégie de groupe. Implémentation d une stratégie de sécurité Mettre schéma Cette implémentation peut être faite de deux manières : Manuellement (modification des paramètre de sécurité locaux ) : o Windows 2000 serveur : Outils d administration/stratégie de sécurité locale o Windows 2000 Professionnel : Ajout du composant enfichable «Stratégie de groupe». Automatiquement (console stratégie de groupe) Ces paramètres peuvent êtres appliqués pour un site, un domaine ou une OU. Ordre d application des paramètres de stratégie Des paramètres de filtrage et de blocage s appliquent également

85 78 Modification des paramètres de sécurité Vous trouverez ci-dessous une liste de zone de sécurité des ordinateurs configurable au moyen de la stratégie de groupe ou du composant enfichable «Configuration et analyse de sécurité» soit : Stratégie de compte : o Mot de passe ; o verrouillage de compte ; o protocole Kerberos 5. Stratégie locale : o Audit ; o attribution de droits et autorisations aux utilisateurs ; o diverses options de sécurités configurables en local. Journal des évènements : o Configuration de l accessibilité à ces journaux. Groupes restreints : o Gérer les membres des groupes intégrés dotés de fonctionnalités prédéfinies. Service système o Permet de configurer la sécurité et le démarrage des services s exécutant sur un ordinateur. Registre o Permet de configurer la sécurité sur les clefs du registre. Système de fichier o Permet de configurer la sécurité sur les chemins d accès de fichiers spécifiques. Stratégies de clé publique o Permet de configurer des agents de récupération de données cryptées, des racines de domaine, des autorisations de certification approuvées. Stratégies de sécurité IP dans Active Directory o Permet de configurer le protocole IPSec. Utilisation de modèles de sécurité prédéfinis Il s agit d un composant enfichable de la MMC. Il est possible d appliquer un modèle de sécurité individuellement ou à des groupes à l aide de la console stratégie de groupe. La sécurité n est appliquée que sur un client Windows 2000 nouvellement installé sur NTFS. La sécurité n est appliquée ni sur un NT 4.0 mis à niveau ni sur du Windows 2000 installésur une FAT.

86 79 Création de modèles de sécurité Si les modèles prédéfinis ne conviennent pas, deux méthodes pour cela : Exportation à partir d une stratégie de sécurité locale. Utilisation des modèles de sécurité. Le nouveau modèle ainsi créé peu immédiatement être importé dans une configuration de sécurité ou un objet GPO. Analyse de le sécurité Consiste à comparer la configuration de la sécurité des ordinateurs locaux à une autre configuration importée à partir d un modèle (fichier.inf) et stocké dans une base de donnée distincte (fichier.sdb). Une fois la comparaison terminée, les indicateurs de couleur dans l arborescence des paramètres de sécurité signifies : Coche rouge : les paramètres divergent. Coche verte : paramètres corrects. Sans indicateurs : paramètres non configurés dans la base de donnée.

87 80 Configuration et analyse de la sécurité à partir de la ligne de commande Secedit.exe fournit des fonctionnalités qui ne sont pas disponibles dans l interface utilisateur graphique. Pour plus de renseignements quant à la syntaxe, vous referez à l aide en ligne. Sécurisation du trafic réseau à l aide du protocole IPSec IPSec authentifie les ordinateurs et crypte la transmission des données entre les hôtes d un réseau, d un intranet ou d un extranet, qu il s agisse de communications poste de travail à serveur ou serveur à serveur. Définition du rôle du protocole IPSec dans un réseau Amélioration de la sécurité des réseaux par les moyens suivants : Authentification mutuelle des ordinateurs. IPSec peut utiliser Kerberos V5 pour authentifier les utilisateurs. Etablissement d une association de sécurité entre les deux ordinateurs (y compris dans le cadre d un accès RAS). Cryptage des données à l aide de DES, Triple DES(3DES) ou DES 40 bits. Ce protocole présente les avantages ci-dessous : Support de l interface des clés publiques. Support de clés pré-partagées. Transparence du protocole aux utilisateurs et aux applications. Administration centralisée et souple des stratégies à l aide de la console Stratégie de groupe. Standard ouvert.

88 81 Rôle du protocole IPSec dans la prévention des attaques de sécurité Fonctionnalités de sécurité IPSec IPSec prend en compte les méthodes d intrusion grâce aux fonctions suivantes : Protocole ESP : confidentialité des données par cryptage des paquets IP. Clés cryptographiques : garanti l authenticité des données. Gestion automatique des clés : Gestion et échange dynamique des clés entre les ordinateurs en utilisant le protocole ISAKMP. Négociation automatique de la sécurité Sécurité au niveau du réseau : IPSec existe dans la couche réseau et assure la sécurité des applications. Authentification mutuelle Filtrage des paquets IP Examen du processus IPSec

89 82 Configuration des stratégies IPSec Pour créer et configurer des stratégies IPSec: Locale : utiliser stratégie de sécurité locale. De domaine : utiliser stratégie de sécurité de domaine. Il est possible de définir plusieurs stratégies mais une seule est attribuée à un ordinateur à la fois. De plus la stratégie de domaine l emporte sur la stratégie locale. Trois type de stratégies : Client (en réponse seule) : Emission possible en texte clair mais répond aux requêtes IPSec et tente de négocier la sécurité. Serveur (sécurité exigée) : Permet de recevoir le traffic client en texte clair et de répondre aux requêtes IPSec. Sécuriser le serveur (nécessite la sécurité) : Autorise IPSec entrant et sortant. N autorise pas les communications comportant du texte clair. Identification des composants des règles de stratégie Les règles définissent la manière et le moment où une stratégie IPSec est appelée. Six composants d une règle : Liste de filtre IP : Définit le trafic sécurisé par cette règle. Action de filtrage : Répertorie les actions de filtrage qui sont exécutées lorsque le trafic correspond à un filtre IP. Méthodes de sécurité : Indique comment les ordinateurs qui communiquent doivent sécuriser leurs échanges. Paramètres du tunnel : Dans certains cas (routeurs connectés uniquement par Internet), possibilité d activer le mode tunnel IPSec. Méthode d authentification : Définit la manière dont chaque utilisateur sera assuré que sont correspondant est qui il affirme être. Windows 2000 prend en cxharge trois méthodes d authentification : o Kerberos. o Certificats X509. o Clé pré-partagée. Type de connexions : Permet de définir si cette règle s applique au LAN, WAN ou accès distant.

90 83 Sécurisation des fichiers à l aide du système EFS EFS fournit la technologie clé de cryptage des fichiers stockés dans une partition NTFS. Cryptage d un dossier ou d un fichier Il n est pas possible de crypter des fichiers ou dossier sur un volume compressé. Tout fichier ou sous-dossier copié dans un dossier crypté est lui même crypté. Tout fichier ou dossier transféré d un dossier crypté vers un dossier décrypté reste crypté. Décryptage d'un dossier ou d'un fichier EFS détecte automatiquement le cryptage et localise le certificat d utilisateur et la clé privée associée. Votre clé privée est associée à DDF Le contenu du fichier s affiche sous forme de texte ordinaire Utilisation de Cipher.exe Cet utilitaire permet à partir de l invite de commande de crypter et décrypter des fichiers et dossiers à l aide de caractères génériques.

91 84 Récupération des fichiers cryptés La clef du propriétaire n est pas disponible. L agent de récupération utilise sa clef privée pour récupérer le fichier Par défaut, les administrateurs de domaine sont des agents de récupération., pour les ordinateurs autonomes, c est l administrateur local.

92 85 Prise en charge du protocole DHCP et du service WINS Nouvelles fonctionnalités DHCP Détection des serveurs DHCP non autorisés : Evite les conflits d affectation. Intégration du protocole DHCP au système DNS : Réduction des tâches d administration pour la gestion des serveurs DNS. Prise en charge améliorée des étendues : Permet de rationnaliser l administration en cours des configurations IP. Prise en charge des classes d option : Mise en place de configuration particulières destinées à certains clients DHCP. Affectation automatique d adresses IP : Les clients 2000 peuvent en cas de panne du DHCP s affecter automatiquement une IP provisoire privée pour une communication interne (pas d accès à Internet). Surveillance et rapports statistiques améliorés : Affichage graphique de données statistiques concernant les éléments suivants : o Nombre d adresses disponibles par rapport à celles qui sont épuisées ; o Nombre de baux traités par seconde ; o Nombre total d étendues et d adresses sur le serveur. Réinscription éventuelle des enregistrements de ressources dans le système DNS : les clients dynamiques se réinscrivent auprès de DNS lors du renouvellement du bail. Autorisation d un serveur DHCP dans Active Directory Pour autoriser un serveur DHCP dans ADS, ouvrez à partir des outils d administration le gestionnaire DHCP puis faire un clique droit sur le serveur DHCP à autoriser et sélectionner Gérer les serveurs autorisés. Autorisez alors le serveur concerné après avoir entré son IP ou son nom. Pour autoriser un serveur DHCP, il faut être membre du groupe Administrateur de l entreprise, qui existe dans la racine de la forêt.

93 86 Examen de la mise à jour dynamique des serveurs DNS Par défaut Windows 2000 est configuré pour permettre la mise à jour dynamique des serveurs DNS. Configuration d étendues DHCP dans Windows 2000 Le protocole DHCP de Windows 2000 inclus la prise en charge des étendues globales et de multidiffusion ainsi que d un assistant pour les créer. Pour créer une nouvelle étendue, exécutez la procédure suivante : 1. Ouvrez la console DHCP à partir du menus Outils d administration 2. Double cliquez sur le serveur DHCP concerné. 3. Faire un clique droit puis nouvelle étendue. Par défaut les étendues sont inactives. Pour en activer une, cliquez avec le bouton droit sur son nom, pointez sur Toutes tâches puis cliquez sur Activer.

94 87 Configuration d une étendue globale Sous NT 4.0, les adresses IP destinées aux clients DHCP se limitent à un seul sous réseau logique par réseau physique. Sous NT 2000, les étendues globales fournissent des IP à plusieurs sous-réseaux logiques par réseau physique. Le SP2 de NT 4.0 permet la prise en charge d étendues globales. Quelques raisons d utiliser ces étendues : Besoin d ajouter sur un sous réseau plus d hôtes que prévu ; Remplacer des plages d adresses existantes par de nouvelles ; Le réseaux utilise deux DHCP pour gérer des sous réseaux logiques distincts sur un même réseau physique. Pour configurer une étendue globale faire : 1. Ouvrir la console DHCP ; 2. Double cliquer sur le serveur DHCP concerné ; 3. Clique droit sur le serveur DHCP concerné, puis Nouvelle étendue globale ; 4. Dans l assistant donnez un nom à cette nouvelle étendue globale puis préciser les étendues à inclure.

95 88 Configuration d une étendue de multidiffusion Cette technique permet de déployer des informations auprès de plusieurs ordinateurs à la fois en utilisant un seul message dirigé ce qui permet de minimiser le trafic réseau. Lorsque l on crée une étendue de multidiffusion, le DHCP configure automatiquement une adresse de multidiffusion destinée aux clients sélectionnés. Pour configurer une telle étendue faire : 1. Ouvrir la console DHCP ; 2. Double cliquer sur le serveur DHCP concerné ; 3. Clique droit sur le serveur DHCP concerné, puis Nouvelle étendue multidiffusion ; 4. Dans l assistant précisez le nom de la nouvelle étendue et la plage d adresse IP de multidiffusion ; 5. Indiquez les IP exclues et la durée du bail ; 6. Activez l étendue.

96 89 Examen des classes d option Dans un réseau NT 4.0, le serveur DHCP fournit les mêmes options à tous ses clients. Sous Windows 2000, il est possible de fournir des configurations uniques aux ordinateurs clients. Windows 2000 prend en charge deux types de classes d options : Classes définies par le fournisseur : gérer des options DHCP à des clients définis par une certaine marque d ordinateur ; Classes définies par l utilisateur : gérer des options DHCP à des clients nécessitant une configuration commune. Examen de l adressage IP privé automatique Windows 2000 prend en charge un nouveau mécanisme d affectation d adresse IP appelé Adressage IP privé automatique (activé par défaut) et qui consiste à affecter aux clients des IP sans avoir recours à un serveur DHCP ou aux IP statiques. Pour ce Microsoft a réservé les adresses IP à

97 90 Ce mécanisme n attribue qu une IP simple (sans options telle que gateway, wins ) et donc les machine ne peuvent communiquer que sur leur seul sous-réseau. Désactivation de l adressage IP privé automatique Cette fonctionnalité se désactive en ajoutant l entrée IPAutoconfigurationEnabled à la clef de registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID_de_ la_carte L entrée IPAutoconfigurationEnabled est de type REG_DWORD avec comme valeur 0 pour désactiver ce mécanisme. Nouvelles fonctionnalités WINS Fonctionnalités du serveur WINS Connexions continues ; Enterrement manuel ; Capacités d administration améliorées o Filtrer et rechercher des enregistrements. o Supprimer des enregistrements statiques ou dynamiques. o Sélectionner plusieurs enregistrements. o Vérifier la cohérence de la base de données. o Exporter des données WINS sous la forme d un fichier texte délimité par des virgules. Fonctionnalités des clients WINS Tolérance de panne accrue. Réinscription dynamique.

98 91 Gestion des ressources disque Windows 2000 fournit des techniques améliorées qui permettent de gérer des ressources disques : Publication du partage des ressources dans le service d annuaire (localisation plus facile). Meilleure administration des dossiers partagés grâce à DFS. Autorisations NTFS étendues par rapport à NT 4.0. Gestion des quotas de disque sur des volumes NTFS. Partage et publication de ressources disque IL est possible de définir le mode de mise en cache des ressources disque dans Active Directory pour permettre aux utilisateurs d y accéder en mode déconnecté. Partage des dossiers Pour réaliser cala faire : 1. A partir du menu Outils d administration, ouvrez la console de gestion de l ordinateur. 2. Sous Outils système, cliquez sur Dossiers Partagés puis Partages. 3. Cliquez avec le bouton droit dans le volet détail puis sur Nouveau partage de fichiers. 4. Suivez les instructions de l assistant. Il es toujours possible de partager un dossier à partir de l explorateur comme sous NT 4.0.

99 92 Publication de dossiers dans la console Utilisateurs et ordinateurs Active Directory Pour publier un dossier, suivre la procédure ci-dessous : 1. Menu Outils d administration/utilisateurs et ordinateurs Active Directory 2. Cliquez avec le bouton droit sur l OU ou le domaine désiré puis pointez sur Nouveau/Dossier partagé. 3. Dans la zone Nom du dossier partagé, taper le nom sous lequel il s affichera dans AD. 4. Dans la zone Chemin réseau, entrez le chemin d accès puis OK. Le dossier partagé s affiche dans le domaine. Il est également possible de publier des informations sur des imprimantes.

100 93 Implémentation de la fonctionnalité Fichier hors connexion Cette fonctionnalité permet à l utilisateur un accès sans interruption en mode connecté ou non selon le même principe q un navigateur Web qui conserve un cache des sites Web récemment visités. Il existe trois modes de mise en cache : Mise en cache manuelle des documents : L utilisateur précise quels documents seront mis en cache. Mise en cache automatique des documents : Les fichiers ouverts sont automatiquement mis en cache et accessibles hors connexion. Les novelles versions remplacent les anciennes. Mise en cache automatique des programmes : Tous les fichiers et programmes du dossier partagé sont mis en cache. Création d un système DFS DFS permet de créer une arborescence de répertoires logique à partir de nombreux systèmes physiques. Bien que déjà présent sous NT 4.0, l outils d administration permettant de gérer l arborescence a été amélioré dans Windows Définition du système DFS

101 94 DFS permet de gérer plusieurs dossiers partagés à partir d un seul emplacement Deux types de système DFS sont configurables : Système DFS autonome : o Topologie sur un seul serveur ; o Pas de tolérance de panne. Système DFS de domaine : o Topologie Dans AD ; o Pointage vers des dossiers identiques pour assurer la tolérance de panne. o Prise en charge des noms DNS. o Duplication de fichiers. Seul les clients équipés du logiciel client DFS peuvent accéder aux ressources DFS. Windows 98, NT 4.0, 2000 en sont équipé. Pour Windows 95 il faut le télécharger et l installer! Configuration d une racine DFS La racine peut être crée sur une partition FAT ou NTFS. On lui préfèrera cependant NTFS pour des raisons de sécurité. Configuration d une racine DFS autonome Option Sélectionnez le type de racine DFS que vous voulez créer Sélectionnez le serveur hôte pour la racine DFS Spécifiez le partage de racine DFS Indiquez le nom de la racine DFS Option Sélectionnez le type de racine DFS Description Type de système DFS que vous voulez créer. Sélectionnez l option Créer une racine DFS autonome. Point de connexion initial, ou serveur hôte, pour toutes les ressources de l arborescence DFS. Vous pouvez créer une racine DFS sur un ordinateur quelconque exécutant Windows 2000 serveur. Dossier partagé contenant la racine DFS. Vous pouvez sélectionner un dossier partagé ou en créer un. Nom évocateur de la racine DFS. Configuration d une racine DFS de domaine Sélectionnez le domaine hôte pour la racine DFS Sélectionnez le serveur hôte pour la racine DFS Spécifiez le partage de racine DFS Indiquez le nom de la racine DFS Description Type de système DFS que vous voulez créer. Sélectionnez l option Créer une racine DFS de domaine. Une racine DFS de domaine utilise Active Directory pour stocker la topologie d arborescence DFS, et prend en charge les noms DNS et la duplication de fichiers. Domaine hôte de l arborescence DFS. Un domaine hôte peut héberger plusieurs racines DFS. Point de connexion initial, ou serveur hôte, pour toutes les ressources de l arborescence DFS. Vous pouvez créer une racine DFS sur un ordinateur quelconque exécutant Windows 2000 serveur. Dossier partagé contenant la racine DFS. Vous pouvez sélectionner un dossier partagé ou en créer un. Nom évocateur de la racine DFS.

102 95 Configuration de liaisons DFS Nom du lien Option Envoyer l utilisateur vers ce dossier partagé Commentaire Cette référence est mise en cache sur les ordinateurs clients pendant x secondes Description Nom que les utilisateurs verront lorsqu ils se connecteront au système DFS Nom UNC de l emplacement réel du dossier partagé auquel la liaison fait référence. Informations facultatives permettant d effectuer le suivit du dossier paertagé. Durée pendant laquelle la référence à une liaison DFS est mise en cache sur les ordinateurs clients. Etude des autorisations NTFS Il existe 13 autorisations d accès spéciales. Deux d entre elles sont particulièrement utiles pour contrôler l accès aux ressources : Modifier les autorisations. Approbation. Définition des autorisations NTFS spéciales Modifier les autorisations n accorde pas pour autant un contrôle total.

103 96 Attribution d autorisations NTFS spéciales Après avoir sélectionné les propriétés d un fichier ou d un dossier suivre la procédure du schéma ci-dessous : Gestion de l héritage des autorisations Héritage du parent Interdiction de l héritage des autorisations Le dossier sur lequel on empêche l héritage devient le nouveau dossier parent. Ses autorisations seront léguées aux sous dossiers et fichiers qu il contient.

104 97 Gestion des quotas de disque Utilisation des quotas de disque Cette fonctionnalité fait que : L utilisation du disque est fonction de la propriété des fichiers et des dossiers o Windows 2000 comptabilise l espace disque correspondant au fichier par rapport à la limite de quota de l utilisateur. Les quotas de disque ne prennent pas en compte la taille de compression des fichiers. L espace disponible pour les applications dépend des limites associées aux quotas o Lors de l installation d une application, l espace disponible indiqué correspond à celui rapporté par les quotas (en fonction de l utilisateur). Windows 2000 effectue le suivit des quotas de disque indépendamment pour chaque volume NTFS o Même si les volumes résident sur le même disque dur physique. Les quotas de disque ne peuvent être appliqués que sur des volumes NTFS Configuration des quotas de disque Pour activer les quotas de disques, visualisez les propriétés d un volume et dans l onglet quotas configurez les options décrites dans le tableau suivant. Option Activer la gestion de quota Refuser de l espace disque aux utilisateurs qui dépassent leur limite de quota Ne pas limiter l espace disque Limiter l espace disque à Définir le niveau d avertissement à Entrées de quota Description Active la gestion des quotas de disque Les utilisateurs ne peuvent pas écrire sur leur volume lorsque l espace disque est insuffisant. La quantité d espace disque allouée aux utilisateurs n est pas limitée Spécifie la quantité d espace disque allouée aux utilisateurs Spécifie la quantité d espace disque allouée aux utilisateurs avant l affichage d un message Permet d ajouter et de supprimer des entrées, et d en afficher les propriétés

105 98 Surveillance des quotas de disque Pour ouvrir la boîte de dialogue Entrée de quota nom_disque, pour un volume donné choisissez : Pour chaque utilisateur, il est possible de visualiser : Propriétés/onglet quota/bouton entrée des quotas. La quantité d espace disque utilisée. Qui a dépassé du seuil d alerte (triangle jaune). Qui a dépassé ses quotas (cercle rouge). La valeur du seuil d avertissement. Dans les propriétés d un disque la couleur du feu vous indique l état des quotas : pour le système de quotas de disques désactivés. lorsque Windows 2000 renouvelle les informations de quotas. lorsque le système de quota de disque est activé.

106 99 Gestion des disques

107 100 GLOSSAIRE ADS : Active Directory Service. Représenté dans les schémas par AXFR : Transfert de zone intégrale. BIOS : Basic Input/Output System. CN : Comon Name. DACL : Discretionary Acces List. DC : Domain Component. DES : Data Encryption Standard. DFS : Distributed File System. DNS : Domain Name System. DRA : Directory Replication Agent. EFS : Encrypting File System. ESP : Encapsulating Security Payload. FAT : File Allocation Table. GPO : Group Policy Object. GUID : Globally Unique Identifier. HAL : Hardware Abstraction Layer. IAS : Internet Authentification Service. IPP : Internet Printing Protocol. IPSec : Internet Protocol Security. ISP : Internet Service Provider. IRQ : Interupt ReQuest. ISAKMP : Internet Security Association and Key Management Protocol. IXFR : Transfert de zone incrémentielle. KCC : Knowledge Consistency Checker. LSA : Local Security Authority. MD5 : Message Digest 5. MMC : Microsoft Management Console. NAT : Network Adress Translation. NS : Enregistrement de resource de source de nom. NTFS : Windows NT File System. OS : Operating System. PDC : Primary Domain Controler. PPP : Point to Point Protocol. RAS : Remote Access Service. RDP : Remote Desktop Protocol. RID : Relative Identifier RIS : Remote Installation Sercice. RPC : Remote Procedure Call. SMTP : Simple Mail Transfer Protocol. SOA : Start Of Authority. TCP/IP : Transmission Control Protocol/Internet Protocol TLS : Transport Layer Security. TS : Terminal Server. UPN : User Principal Name. USN : Update Sequence Number. VPN : Virtual Private Network. WINS : Windows Internet Names Service.