CH7 Windows. Introduction

Transcription

1 CH7 Windows Introduction

2 MS-DOS 1985 : Windows MS-DOS : Windows : Windows : Windows : Windows 3.0 Historique Historique 1993 : Windows 3.1 Historique Historique 1993 : Windows NT : Windows : Windows NT : Windows for Workgroups : Windows NT Workstation : Windows 95 for Workgroups : Windows NT Workstation : Windows

3 Historique 1996 : Windows Historique NT : Windows : Windows 98 NT Second 4.0 Edition : Windows Millenium : Windows Second Edition : Windows XP Millenium : Windows : Windows Vista XP : Windows Server : Windows Vista 2008 : Windows Server

4 Windows NT NT est basé sur le projet MACH Micro-kernel services de base restreint mais simple stable + serveurs travaillant en mode utilisateur memory server, display server, process server, file server, network server 32 bits Les processus ont des espaces mémoires bien séparés permet d avoir certain process en mode protégé 5

5 Windows NT 4 GUI même interface que Windows 95 Scalability Modèle client/serveur - deux versions NT 4 workstation NT 4 server Support support de beaucoup de hardware supporte OpenGL 9

6 Windows NT 4 GUI même interface que Windows 95 Scalability Modèle client/serveur - deux versions NT 4 workstation NT 4 server Support support de beaucoup de hardware supporte OpenGL 9

7 Windows NT 4 Server Windows NT 4 Server Permet la mise en œuvre d applications ou services client/serveur base de données, serveur de messagerie, Permet la mise en œuvre d applications ou serveur de fichiers, d impression services client/serveur File and print services inclus en standard base de données, serveur de messagerie, clients serveur MS-DOS, de fichiers, Windows d impression 3.1, Windows 95, Unix, OS/2, Macintosh File and print services inclus en standard Supporte plusieurs protocoles clients MS-DOS, Windows 3.1, Windows 95, NetBIOS Unix, OS/2, sur Macintosh TCP/IP, DLC, IPX Supporte plusieurs protocoles NetBIOS sur TCP/IP, DLC, IPX Windows NT 4 Server Windows NT 4 Server Autres capacités fournies en standard serveur DHCP (NT 4 workstation possède un client DHCP intégré) Autres Windows capacités Internet fournies Naming Service en standard (WINS) Base de données distribuée des mappings serveur DHCP (NT 4 workstation possède un client DHCP intégré) nom IP ; enregistrement dynamique, queries. Windows Internet Naming Service (WINS) Data protection features Base de données distribuée des mappings disk striping, RAID 5, disk mirroring nom IP ; enregistrement dynamique, queries. Remote Data protection Access Server features (RAS) Interface disk striping, avec RAID Novell 5, disk Netware mirroring et Macintosh Remote Access Server (RAS) Interface avec Novell Netware et Macintosh 10 10

8 Windows NT 4 Server Windows NT 4 Server Account lockout security Protection contre les attaques sur les mots de Account passe lockout security Administrative Protection contre tools les attaques sur les mots de Server passe Manager Administrative User Managertools User Server Manager for Domains User Manager User Manager for Domains NT 4 server + BackOffice suite NT 4 server + BackOffice suite Microsoft BackOffice Suite pour Windows NT 4 server : Microsoft Systems BackOffice Management Suite Server pour (SMS) Windows NT SQL 4 server : Exchange Systems Management Server Server (SMS) Internet SQL server Information Server (IIS) Distributed Exchange Server File System (DFS) Server Index Internet Server Information Server (IIS) Distributed File System (DFS) Server Index Server 11 11

9 Windows NT 4 Workstation Version pour stations de travail Standalone Peer-to-peer networking (workgroup) Membre d un «Domain» Mêmes kernel et GUI que NT 4 Server Optimisé en tant que client Fourni avec les outils d administration de la machine locale (user accounts, permissions ) 12 13

10 Windows NT 4 en réseau Windows NT 4 en réseau Workgroup aka «the peer-to-peer model» Workgroup Partage de ressources Les aka machines «the peer-to-peer se «voient model» dans» le «voisinage réseau» Partage de ressources Sur chaque machine qui possède des Les ressources, machines préciser «voient qui peut» dans y accéder le «voisinage réseau» Utilisateurs locaux Sur chaque machine qui possède des Administration ressources, préciser éclatée qui entre peut les y accéder différentes machines Utilisateurs locaux Administration éclatée entre les différentes machines Workgroup Workgroup 16 16

11 Windows NT 4 en réseau Windows NT 4 en réseau Domain Partage de ressources Domain Administration centralisée Une Partage seule de base ressources de données (plate!) des user accounts, groupes, stations NT, etc. Administration centralisée SAM Security Accounts Manager Une seule base de données (plate!) des user Notion de «Domain Controllers» accounts, groupes, stations NT, etc. 1 Primary Domain Controller PDC SAM Security Accounts Manager de 0 à n Backup Domain Controllers BDC Notion de «Domain Controllers» 1 Primary Domain Controller PDC de 0 à n Backup Domain Controllers BDC Domain Domain 17 17

12 NT 4 domains Le PDC contient la SAM qui est répliquée sur les BDC Un utilisateur se loggue dans le domaine et plus sur un serveur particulier L authentification se fait sur un des DC En cas de panne du PDC un BDC peut être «promu» Autre serveurs (non DC) : «member servers» Grands environnements : plusieurs domaines possibilité de «trusts» entre domaines 18 Primary Domain Controller Le PDC contient la SAM pour tout le domaine La SAM ne peut être modifiée que sur un PDC (read-only sur les BDC) Les outils d administrations peuvent cependant être installées ailleurs (BDC ) Premier serveur à installer pour créer un domaine Possède le SID du domaine Réplication de la SAM vers les BDC par push (toutes les 5 minutes / après modif.) Primary Domain Controller

13 Primary Domain Controller 19 Backup Domain Controller Le BDC contient une copie de la SAM en read-only Optionnel, de 0 à n BDC présents pour des questions de redondance décharger le PDC pour les logon authentication processes besoins de localité (ex.: domain étendu sur plusieurs sites physiques un BDC par site) Même domain SID sur tous les DC Member servers

14 Member servers NT 4 Server (tout comme le PDC et les BDC) Ne contiennent pas de copie de la SAM pas de domain SID, mais un machine SID pas utilisés pour l authentification ni pour la gestion du domaine Rôle : file server, print server, application server Peuvent changer de domaine impossible pour un PDC ou BDC 20 Les trusts

15 Les trusts 21 Les trusts Quand il y a plusieurs domaines, typiquement : un domaine avec des utilisateurs, groupes un domaine avec des ressources (file servers, imprimantes ) On va pouvoir établir des trusts les accounts du domaine «trusté» seront dès lors utilisables pour l accès aux ressources du domaine «trustant» Les trusts

16 Les trusts Les trusts de NT 4 sont unidirectionnels 22 Les trusts mais il suffit d en faire un dans chaque sens. Les trusts

17 Les 4 modèles de domaines NT Microsoft définit 4 modèles Single domain model Microsoft Master domain définit model 4 modèles Multiple Single domain master model domain model Complete Master domain trust domain model model Multiple master domain model Complete trust domain model Les 4 modèles de domaines NT Les 4 modèles de domaines NT Les Un domaine 4 modèles = de domaines NT Taille max. de la SAM d un domaine : 40 MB Environ accounts/objects max. Un domaine = Users, groups, NT member workstations... Taille max. de la SAM d un domaine : 40 MB Points à considérer : Environ accounts/objects max. Nombre Users, groups, d accounts NT member workstations... Etendue géographique du domaine Points à considérer : Manière dont seront définis les users et les Nombre d accounts ressources Etendue géographique du domaine Manière dont seront définis les users et les ressources 25 25

18 Single domain model Single domain model Les 4 modèles de domaines NT Les 4 modèles de domaines NT Single domain model Petit environnement réseau Single Simple domain à gérer model Petit Pas environnement de trusts à gérerréseau Administration Simple à gérerla plus centralisée possible Point Pas faible de trusts / bottleneck à gérer : l unique PDC si Administration beaucoup d accounts la plus ( centralisée SAM large) possible Point faible / bottleneck : l unique PDC si beaucoup d accounts ( SAM large) 26 26

19 Master domain model Master domain model Les 4 modèles de domaines NT Master domain model Tous les accounts sont centralisés dans un «master» (i.e. accounts) domain Master Gestion domain centralisée model des accounts Ressources Tous les accounts décentralisées sont centralisés avec gestion dans un décentralisées «master» (i.e. accounts) domain Gestion administrateurs centralisée locaux des à accounts chaque domaine de Ressources ressources décentralisées avec gestion Trusts décentralisées unidirectionnels des domaines ressources administrateurs vers locaux le domaine à chaque master domaine de ressources Trusts unidirectionnels des domaines ressources vers le domaine master Les 4 modèles de domaines NT 27 27

20 Multiple master domain model Multiple master domain model Les 4 modèles de domaines NT Les 4 modèles de domaines NT Multiple master domain model Permet d éviter la limite de accounts présente dans le (single) Multiple master domain master model domain model Utile Permet pour d éviter les environnements la limite de dispersés accounts géographiquement présente dans le (single) master domain model Gestion Utile pour plus les complexe environnements dispersés Trusts géographiquement plus complexes et nombreux Gestion plus complexe Trusts plus complexes et nombreux 28 28

21 Complete trust domain model Complete trust domain model Les 4 modèles de domaines NT Complete trust domain model Les Modèle 4 modèles décentraliséde domaines NT Gestion des accounts et ressources différente pour Complete chaque trust domaine domain model Complexe Modèle décentralisé à mettre en place (trusts) et à gérer Permet Gestion des des security accounts policies et ressources différentes (une pour par chaque domaine) domaine Complexe ex.: contraintes à mettre sur les en mots place de (trusts) passe et à gérer Typique Permet des dans security les sociétés policies avec différentes IT (une décentralisée par domaine) (et sans coordination centrale) À éviter ex.: contraintes sur les mots de passe Typique dans les sociétés avec IT décentralisée (et sans coordination centrale) À éviter 29 29

22 User accounts et groupes Les user sont globaux au domaine User résident sur accounts le PDC (dans la et SAM) groupes un account dans un domaine permet de se logguer Les sur user n importe accounts quelle sont station globaux du domaine au domaine pour résident gérer sur les le permissions PDC (dans la et SAM) accès, on peut grouper les accounts dans des groupes un account dans un domaine permet de se logguer groupes globaux sur n importe quelle station du domaine groupes locaux pour gérer les permissions et accès, on peut grouper Ne les pas accounts confondre dans avec des groupes les accounts locaux être groupes dans un globaux domaine n empêche pas la création d accounts groupes locaux et de groupes locaux (SAM locale vs SAM du domaine) (ex.: «administrator» du domaine «administrator» Ne local pas d une confondre station) avec les accounts locaux être dans un domaine n empêche pas la création d accounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: «administrator» du domaine «administrator» local d une station) Deux sortes de groupes Deux sortes de groupes Groupes globaux contiennent des user accounts d un même domaine Groupes globaux peuvent être utilisés dans de multiples contiennent des user accounts d un même domaines (ex. accès à une ressource d un domaine autre domaine) d où le nom global peuvent être utilisés dans de multiples domaines (ex. accès à une ressource d un autre domaine) d où le nom global 30 30

23 Deux sortes de groupes Deux sortes de groupes Groupes locaux contiennent des comptes utilisateur et des groupes globaux Groupes locaux potentiellement extérieurs au domaine dans contiennent lequel le groupe des comptes local est défini utilisateur et des groupes si et seulement globaux si il existe un trust vers les potentiellement domaines de ces extérieurs accounts et au global domaine groupsdans local lequel = le utilisé groupe pour local les est [permissions défini au niveau des] si et accès seulement à des si ressources il existe un trust dans vers le les domaine local domaines de ces accounts et global groups local = utilisé pour les [permissions au niveau des] accès à des ressources dans le domaine local Gestion des utilisateurs Utilisateurs prédéfinis : administrator et guest Gestion des utilisateurs Création Utilisateurs d un prédéfinis user : : administrator et guest Création d un user : 31 31

24 Gestion des utilisateurs Gestion des utilisateurs Chaque utilisateur peut avoir un profil, une home, un logon script Chaque utilisateur peut avoir un profil, une home, un logon script Gestion des utilisateurs Gestion des utilisateurs Un profil (profile) utilisateur contient préférences utilisateur affichage, wallpaper, screensaver mappings préférences utilisateur imprimantes affichage, wallpaper, screensaver variables d environnement mappings bookmarks IE imprimantes mailbox d Outlook Express variables d environnement bookmarks IE mailbox d Outlook Express Un profil (profile) utilisateur contient 32 32

25 Gestion des utilisateurs Trois Gestion types de profiles des utilisateurs Local : local à la machine (NT 4 Workstation) Roaming : stocké sur serveur, ce profil suit Trois types de profiles l utilisateur peu importe la station où il se loggue Local :(copy local à inla au machine logon et (NT copy 4 Workstation) out au logoff) Roaming : stocké sur serveur, ce profil suit Mandatory l utilisateur peu : profil importe local la ou station roaming où mis il se en read-only loggue (copy par in l administrateur au logon et copy out au logoff) modifications possibles par l utilisateur mais non Mandatory sauvées : profil local ou roaming mis en read-only par l administrateur modifications possibles par l utilisateur mais non sauvées Policies Policies Policies : règles appliquées à des user accounts, des machines Policies règles sur : règles mots appliquées de passe à des user accounts, protection des registry machines settings préférences règles sur les utilisateur mots de passe limitation protection des registry accès au settings réseau préférences utilisateur Il existe limitation des des templates accès au réseau Il existe des templates 33 33

26 Policies Policies Policies Policies 34 34

27 Fichiers et shares File system : NTFS système de permissions évolué File sur system les fichiers : NTFS et répertoires chaque système objet de permissions a un ownerévolué sur les fichiers et répertoires chaque objet a un owner Fichiers et shares Permissions NTFS Permissions NTFS 35 35

28 Fichiers et shares Share = partage d un répertoire (et de ses sous-répertoires et fichier) UNC : \\SERVER\SHARE Permissions NTFS + permissions du share NT 4 et RAID Déploiement RAID = Redundant Array of Inexpensive Disks RAID software implémenté sous NT 4 (version Installation Server) automatisée : RAID 0, de 1l OS et 5 NT 4 unattended installation installation automatisée par des scripts sysprep + outils commerciaux : Ghost Déploiement d applications sysdiff outils commerciaux : SMS 36 Backup

29 41

30 43 Introduction Nom initialement prévu : Windows NT 5 Cf. NT 4 nous ne présenterons que les nouveautés introduites par Windows 2000 dans ce chapitre Changement majeur : introduction de l Active Directory service d annuaire compatible LDAP 4 versions différentes 44

31 Introduction Introduction Windows 2000 Professional pour les workstations max. 2 CPU, max. 4 GB RAM, pas de clustering, pas Windows de Terminal 2000 Server Professional Windows pour les workstations 2000 Server max. 42 CPU, max. 4 GB RAM, clustering pas de clustering, à max. 2 pas nodes, Terminal Terminal Server Services Windows 2000 Advanced Server Server (8 CPU, 8 GB) Windows max. 4 CPU, 2000 max. Data 4 GB Center RAM, (32 clustering CPU, à 64 max. GB, 2 4 nodes, Terminal Services nodes) Windows 2000 Advanced Server (8 CPU, 8 GB) Windows 2000 Data Center (32 CPU, 64 GB, 4 nodes) Positionnement Positionnement Windows 2000 Server pour : File/Print/Web services Windows Application 2000 services Server pour : Infrastructure File/Print/Web services Communications Application services services Windows Infrastructure 2000 services Professional : Corporate Communications desktops services Windows Mobile/laptop 2000 systems Professional : Corporate desktops Mobile/laptop systems 45 45

32 Nouveautés Nouveautés En résumé, plus rapide En moins résumé, de redémarrages! plus rapide fonctionnalités plus moins robuste de redémarrages! plus «de scalable fonctionnalités» plus robuste plus «scalable» Principales nouveautés Côté serveur Principales nouveautés Active Directory Côté Dynamic serveur DNS Distributed Active Directory File System (DFS) QoS Dynamic DNS IPSec Distributed File System (DFS) Group QoS Policy Objects (GPO) IIS, Certificate Services, WMI IPSec Group Policy Objects (GPO) IIS, Certificate Services, WMI 46 46

33 Principales nouveautés Côté client Principales nouveautés Support d Active Directory Côté MMC client Microsoft Management Console Internet Support Explorer d Active Directory 5 DirectX MMC Microsoft Management Console WSH Internet Windows Explorer 5Scripting Host FAT32, DirectX NTFS5, UDF Windows Installer, Plug and Play, USB, WDM, AGP WSH Windows Scripting Host FAT32, NTFS5, UDF Windows Installer, Plug and Play, USB, WDM, AGP Nouveautés : file service Nouveautés : file service NTFS version 5 Support de quotas NTFS assez version limité : par 5 user par volume Distributed Support de quotas File System (DFS) arborescence assez limité : par virtuelle user par des volume fichiers et répertoires partagés, masquant leur Distributed File System (DFS) localisation physique réelle sur différents arborescence serveurs/shares virtuelle des fichiers et répertoires partagés, masquant leur EFS localisation physique réelle sur différents serveurs/shares EFS 47 47

34 Nouveautés : file service Nouveautés : file service Distributed Link Tracking permet de retrouver la trace d un fichier Distributed déplacé Link Tracking Indexing permet de service retrouver la trace d un fichier système déplacé d indexation pour accélérer les Indexing recherches service (locales ou à travers le réseau) Gestion système des d indexation disques et pour partitions accélérer les basic recherches disks vs (locales dynamic ou à disks travers le réseau) «Gestion Montages des» disques à la Unix et partitions basic disks vs dynamic disks «Montages» à la Unix Architecture Architecture Notion de domaines NT4 PDC, BDC notion unique de Domain Controllers (tous équivalents) Notion de domaines Mode natif NT4 serveurs PDC, et BDC wokstations notion en unique version 2000 de Domain Controllers (tous équivalents) Mode mixte Mode natif certaines stations sont encore NT 4, voire 9x, certains serveurs et éventuellement wokstations en NT version Mode certains mixte serveurs 2000 agissent en tant que serveurs certaines NTLM stations sont encore NT 4, voire 9x, certains fonctionnalités serveurs éventuellement limités (pas NT de 4GPO, RIS, Kerberos ) certains serveurs 2000 agissent en tant que serveurs NTLM fonctionnalités limités (pas de GPO, RIS, Kerberos ) 48 48

35 Active Directory Active Directory Directory Service arborescent ( SAM de NT4) compatible LDAP v3 Organisé Directory Service en arborescent ( SAM de NT4) Forêts, compatible arbres, domaines, LDAP v3ous Organisé en Forêts, arbres, domaines, OUs 49 49

36 Active Directory Active Directory Active Directory : service d'annuaire central Sécurité, distribution, partionnement, réplication Point Active de Directory consolidation : service (accounts, d'annuaire groupes, central machines, Sécurité, distribution,...) partionnement, réplication Annuaire Point de consolidation (recherche d'objets) (accounts, groupes, machines, Conçu pour...) des environnements de toutes tailles Annuaire (recherche d'objets) du simple serveur avec quelques centaines d'objets Conçu pour des environnements de toutes à quelques milliers de serveurs et millions d'objets tailles du simple serveur avec quelques centaines d'objets à quelques milliers de serveurs et millions d'objets Active Directory Active Directory Concepts habituels objets, attributs Concepts containers habituels (OU) structure objets, attributs arborescente namespace containers (OU) structure arborescente namespace 50 50

37 Active Directory Active Directory Domaines : entité de base de l AD Domaines entité autonome : pour la sécurité politique de sécurité commune entité de base de l AD entité autonome pour la sécurité politique organisé en Organizational Units (OU) de sécurité commune contient des objets (users, workstations, printers, ressources ) organisé en Organizational Units (OU) partitionnement logique un domaine peut contient être réparti des sur objets plusieurs (users, sites workstations, physiques printers, ressources ) partitionnement logique un domaine peut être réparti sur plusieurs sites physiques user accounts, administrateurs, contrôle d accès user accounts, administrateurs, contrôle d accès Active Directory Active Directory Domaines (suite) : plusieurs Domain Controllers (DC) Domaines réplication (suite) multi-master : plusieurs Domain Controllers (DC) réplication multi-master AD supporte plusieurs domaines modifications auprès de n importe quel DC plus de notion de PDC (read/write) et BDC (read) modifications auprès de n importe quel DC organisés plus de notion en arbres de PDC (trees), (read/write) eux-mêmes et BDC organisés (read) en forêts (forests) AD supporte plusieurs domaines organisés en arbres (trees), eux-mêmes organisés en forêts (forests) 51 51

38 Active Directory Domaines (suite) : Organisational Units Active Directory seul container LDAP supporté dans l AD partitionnement logique d un domaine Organisational contiennent les Units feuilles (users, computers ) entité seul container de délégation LDAP des supporté droits dans d administration l AD Sites partitionnement logique d un domaine découpe contiennent géographique les feuilles (users, computers ) sur entité base de délégation des subnets des IP droits d administration Sites utile pour découpe utiliser géographique le DC le plus proche sur optimiser base des les subnets réplications IP utile pour utiliser le DC le plus proche optimiser les réplications Domaines (suite) : Organisation logique (domaines, OUs) vs géographique (sites) Organisation logique (domaines, OUs) vs géographique (sites) 52 52

39 Réplication entre sites Réplication entre sites Active Directory Active Directory Tree domaines organisés de manière hiérarchique Tree partageant un même schéma formant domaines un organisés namespace de continu manière hiérarchique trusts partageant bidirectionnels un même et schéma transitifs entre domaines du même arbre formant un namespace continu Global Catalog commun trusts bidirectionnels et transitifs entre domaines du même arbre Global Catalog commun 53 53

40 Active Directory Tree Active Directory Tree Active Directory Active Directory Forest ensemble d arbres n ayant pas un namespace commun (pas de racine commune) Forest ensemble d arbres n ayant pas un namespace commun (pas de racine commune) 54 54

41 Active Directory Active Directory Forest schéma commun à tous les arbres et domaines Forest Global Catalog commun schéma commun à tous les arbres et trusts domaines bidirectionnels entre arbres Bref, Global Forest Catalog ~= Tree commun à l exception du nommage trusts bidirectionnels disjoint entre arbres Bref, Forest ~= Tree à l exception du nommage disjoint Active Directory Le Global Catalog Active Directory Contient tous les objets de tous les domaines de l annuaire, et un sous-ensemble des Le attributs Global de Catalog ces objets Utilisé Contient pour tous les les recherches objets de tous dans les l annuaire domaines de pour l annuaire, éviter d avoir et un à sous-ensemble suivre des referrals des vers attributs de ces objets Utilisé forêt pour les recherches dans l annuaire Une pour copie éviter du d avoir GC dans à suivre chaque des referrals domaine vers (sur un des DC du domaine) forêt Une copie du GC dans chaque domaine (sur un des DC du domaine) différents domaines lors de recherches à travers la différents domaines lors de recherches à travers la 55 55

42 Active Directory Active Directory Autres «key features» de l AD Intégration complète avec le D-DNS pour le nommage et la localisation les noms de Domaines correspondent à des noms Intégration DNS complète avec le D-DNS pour sampledom.company.com nommage et la localisation Authentification les noms de Domaines via Kerberos correspondent 5 à des noms DNS Accessible en LDAP sampledom.company.com Réplication Authentification via Kerberos 5 Accessible en LDAP Réplication Autres «key features» de l AD Intégration AD DNS Intégration AD DNS 56 56

43 Nommage LDAP et DNS Nommage LDAP et DNS Recherche dans un Active Directory d une entrée sur base de son [delavaa@tw delavaa]$ ldapsearch -d 0 -v -x -W -H Recherche ldap://dc.windomain.company.be dans un Active Directory -b "dc=windomain,dc=company,dc=be" d une entrée sur base -D de "cn=queryuser,ou=key son managers,dc=windomain,dc=company,dc=be" mail=alain.delava@trasys.be ldap_initialize( ldap://dc.windomain.company.be ) Enter [delavaa@tw LDAP Password: delavaa]$ ldapsearch -d 0 -v -x -W filter: -H ldap://dc.windomain.company.be mail=alain.delava@trasys.be -b "dc=windomain,dc=company,dc=be" requesting: -D "cn=queryuser,ou=key ALL managers,dc=windomain,dc=company,dc=be" version: mail=alain.delava@trasys.be 2 # ldap_initialize( ldap://dc.windomain.company.be ) # Enter filter: LDAP mail=alain.delava@trasys.be Password: # filter: requesting: mail=alain.delava@trasys.be ALL # requesting: ALL # version: Delava 2Alain, Users, Trasys, windomain, company, be dn: # CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be objectclass: # filter: mail=alain.delava@trasys.be top objectclass: # requesting: person ALL objectclass: # organizationalperson objectclass: # Delava Alain, user Users, Trasys, windomain, company, be cn: dn: CN=Delava Alain Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be objectclass: top objectclass: person objectclass: organizationalperson objectclass: user cn: Delava Alain 57 57

44 Outils d administration MMC : Microsoft Management Console Permet d ouvrir, créer, sauver les outils d administration (appelés «MMC consoles» ou «MMC snap-ins») La MMC ne permet pas d effectuer des actions d administration : elle accueille des outils prévus pour cela Peut être exécutée sur un DC comme sur une station du domaine 59 MMC MMC

45 MMC 60 MMC snap-ins Active Directory Users and Computers Gestion de l AD : OUs, users, computers Active Directory Domains and Trusts Gestion des trusts Active Directory Sites and Services Gestion des sites (géographiques / subnets IP) DHCP DNS MMC snap-ins

46 WINS MMC snap-ins Agenda Group Policy Management Distributed Outils d administration File System Gestion Computer des Management utilisateurs et groupes Group Policies Objects Dynamic DNS DHCP Terminal Services Gestion des disques Windows Users and groups Les OUs ne sont pas des groupes Permettent de grouper des users et des computers pour L administration déléguée L application de GPO (Policies) Mais pas pour gérer les permissions et les droits notion de groupes (groups), (similaire à NT 4) 65

47 Users and groups : théorie (1/9) Users and groups : théorie (9/9) Rights vs Permissions Rights (droits) : donne la possibilité à des utilisateurs d effectuer des tâches système Comment ça marche? par exemple : changer l heure sur un PC, gérer Lorsque une zone le DNS user veut accéder un objet, Permissions Windows va voir : règles si un régulant des SID la de manière l «access dont les token utilisateurs» du user peuvent est dans utiliser l ACL / de accéder l objet une ressource si il est dans un ACE de type AccessAllowed (et dans aucun AccessDenied), l utilisateur a accès à par exemple : un folder, un fichier, une l objet (de la manière décrite dans l ACE) imprimante Users and groups : théorie (2/9) Les groupes SID Security IDentifier Nombre unique généré à la création de l account, du groupe, de la machine Première partie du SID : identifie le domaine Second partie : Relative SID = RID : identifie l objet (account) 66 70

48 Rappel : NT4 - Deux sortes de groupes Rappel Groupes : NT4 globaux - Deux sortes de groupes contiennent des user accounts d un même Groupes domaineglobaux peuvent contiennent être des utilisés user dans accounts de multiples d un même domaines domaine (ex. accès à une ressource d un autre domaine) d où le nom global peuvent être utilisés dans de multiples domaines (ex. accès à une ressource d un autre domaine) d où le nom global Rappel : NT4 - Deux sortes de groupes Rappel Groupes : NT4 locaux - Deux sortes de groupes contiennent des comptes utilisateur et des groupes globaux Groupes locaux potentiellement extérieurs au domaine dans contiennent lequel le groupe des comptes local est défini utilisateur et des groupes globaux si et seulement si il existe un trust vers les potentiellement domaines de ces extérieurs accounts et au global domaine groupsdans local lequel = le utilisé groupe pour local les est [permissions défini au niveau des] si et accès seulement à des si ressources il existe un trust dans vers le les domaine local domaines de ces accounts et global groups local = utilisé pour les [permissions au niveau des] accès à des ressources dans le domaine local 71 71

49 Les groupes Nouveautés de Windows 2000 Le concept Les de Universal groupes Group Nouveautés L imbrication de de Windows groupes2000 L utilisation Le concept de Universal groupes comme Group «distribution lists» (en combinaison avec MS Exchange ou autre L imbrication de groupes application de messagerie «AD-enabled») Les L utilisation groupes de peuvent groupes contenir comme des «distribution membres non lists liés» (en à combinaison la sécurité avec (important MS Exchange quand ou un autre groupe est utilisé application à la fois de messagerie pour la sécurité «AD-enabled et une distribution») list) Possibilité Les groupes d avoir peuvent des contenir groupes des distribution membres list only, non liés pas à utilisables la sécurité pour (important la sécurité quand un groupe est (permissions/droits) utilisé à la fois pour la sécurité et une distribution list) Possibilité d avoir des groupes distribution list only, pas utilisables pour la sécurité (permissions/droits) 3 types de groupes 3 types de groupes Les groupes : 3 types Les groupes : 3 types 72 72