Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur

FONTAINE David 1ère Info / 2002-2003 ESA Namur Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur Cours : Systèmes d'exploitation Professeur : M. de Thysebaer

Travail de recherche Point en faveur de Windows 2000 Serveur Un point fort de Windows 2000 Serveur est la gestion de la sécurité. Celle-ci s'est fortement améliorée depuis Windows NT4 Serveur. Outre la gestion centralisée des utilisateurs et des ressources via Active Directory, Windows 2000 Serveur supporte: Kerberos, les services de sécurité distribués, le système de fichiers cryptés (EFS, Encrypted File System), l'architecture IPSec, le support pour cartes à puce, l'infrastructure à clé publique (PKI Public Key Infrastructure). Windows 2000 Server (Service Pack 3) a obtenu la certification EAL4 ( Evaluation Assurance Level 4), ce qui indique que l'os est à la hauteur de ses prétentions en matiere de sécurité. L'évaluation du niveau de sécurité de Windows 2000 Server SP3, commencée il y a trois ans, a permis au systeme d'exploitation d'atteindre le niveau EAL4, décernée par une organisation indépendante reconnue. Cela ne veut pas dire que Windows 2000 Server SP3 est ultra sécurisé et / ou meilleur que ces concurrents. Cela veut juste dire la sécurisation du serveur est à la hauteur des dires de Microsoft. En résumé, l'organisation a verifié que Windows 2000 offre bien les fonctions de sécurité annoncées par son éditeur. Une sorte de certification obligatoire pour travailler avec certains organismes ( notament gouvernementaux ). (source: http://www.yacapa.com/article.php?sid=935) Le système de fichiers NTFS V5 et la gestion des volumes dynamiques Le système de fichiers NTFS V5 est l'évolution de NTFS V4 (Windows NT4). Il offre de nouvelles caractéristiques telles que: la gestion des quotas, le cryptage des données, une meilleure gestion des permissions d'accès, la gestion des volumes dynamiques. Les volumes dynamiques sont une nouvelle fonctionnalité de Windows 2000 et ils ne peuvent être créés que sur des disques dynamiques. Grâce aux disques dynamiques, nous ne sommes plus limités à quatre volumes par disque. Il existe cinq types de volumes dynamiques : des volumes simples, des volumes Page 2 / 41

fractionnés, des volumes en miroir, des volumes agrégés par bande et des volumes RAID-5. Seuls les ordinateurs exécutant Windows 2000 peuvent accéder à ce type de volume. Serveurs RIS et WUS Remote Installation Services (RIS) est un service optionnel de Windows 2000 qui permet de configurer de nouveaux ordinateurs clients à distance. Concrètement, cela permet d'installer un système d'exploitation sur un ordinateur distant capable de booter sur la carte réseau. Il suffit de démarrer l'ordinateur et de se connecter avec un compte utilisateur valide. Tous les fichiers sont transférés sur la machine à travers le réseau et le processus d'installation du système d'exploitation démarre. Pour les ordinateurs ne pouvant booter sur la carte réseau, une simple disquette boot contenant un émulateur PXE fera l'affaire. Windows Update Service est un service de Windows 2000 qui permet de tenir le système d'exploitation à jour. Pour cela, le service vérifie à intervalles réguliers si de nouvelles mises à jour sont disponibles sur internet (sur les serveurs de Microsoft). Si c'est le cas, celles-ci sont téléchargées et installées. Forêt, domaine parent et domaine enfant Chaque domaine de l'annuaire est identifié par un nom de domaine DNS et nécessite un ou plusieurs contrôleurs de domaine. Un ou plusieurs domaines qui partagent un schéma commun et un catalogue global sont appelés forêt. Si plusieurs domaines à l'intérieur d'une forêt ont des noms de domaine DNS contigus, la structure est appelée arborescence de domaine. Si plusieurs domaines ont des noms de domaine DNS non contigus, ils forment des arborescences de domaine différentes à l'intérieur de la forêt. Une forêt peut contenir une ou plusieurs arborescences de domaine. Le premier domaine d'une forêt est appelé domaine racine de la forêt. On crée un domaine en installant le premier contrôleur de domaine pour un domaine. Au cours de l'installation du premier contrôleur de domaine, l'assistant Installation de Active Directory utilise les informations que l'on fournit pour installer le contrôleur de domaine et créer le domaine à l'intérieur du contexte (s'il en existe un) existant de relations avec d'autres domaines et contrôleurs de domaine. Ce contexte peut être le premier domaine dans une nouvelle forêt, le premier domaine dans une nouvelle arborescence de domaine ou un domaine enfant d'une arborescence de domaine existante. Après avoir installé le premier contrôleur de domaine pour un domaine, on peut en installer d'autres dans un domaine existant afin de garantir la tolérance de panne et une haute disponibilité de l'annuaire. Administration: Microsoft Management Console Page 3 / 41

Les MMC (Microsoft Management Console) sont de nouveaux outils de configuration du système, ayant tous la même interface. Windows 2000 est livré avec un certain nombre de MMC, telle que la Gestion de l'ordinateur, qui regroupe à peu près tous les outils d'administration. Il est possible d'en créer d'autres, plus ou moins spécialisées, et accessibles par certains utilisateurs. Ainsi un administrateur pourra déléguer à d'autres administrateurs la responsabilité de tâches particulières. Cela permet donc de paramétrer les outils de Windows 2000 à sa guise. Gestion de la sécurité: Group Policy Object (GPO) Les stratégies de groupe (Group Policy Object: GPO) sont des ensembles de paramètres applicables à des utilisateurs, des groupes d utilisateurs et des ordinateurs. Elles se définissent au niveau d un site, d un domaine, des unités d organisations et sont applicables à tous les objets réseaux situés dans le conteneur où est appliquée la stratégie. Grâce aux stratégies de groupe, il est possible de restreindre le bureau des utilisateurs, d appliquer des stratégies de comptes et de mots de passe, de déployer des applications, de paramétrer la sécurité, d exécuter des scripts, de mettre en œuvre des audits, de changer les droits des utilisateurs, Les stratégies de groupe sont représentées comme des objets d Active Directory. Elles sont constituées de deux parties stockées dans des emplacements différents: Un GPC (Group Policy Conteneur) qui est un objet AD représentant les attributs de la GPO. On retrouve les GPC dans AD en passant par la console Utilisateurs et ordinateurs AD. Un GPT (Group Policy Template) qui est un dossier stocké dans le répertoire sysvol représentant un canevas des paramètres applicables dans une GPO. Lorsque l on crée une stratégie de groupe, on crée donc un objet AD que l on va lier à un conteneur (OU, site ou domaine).on peut lier la même GPO à plusieurs conteneurs, et on peut en lier plusieurs sur un même conteneur. Page 4 / 41

Travail pratique Etapes d'installation : installation en tant que serveur autonome On insère le cdrom dans le lecteur et on démarre l'ordinateur. Capture 1: On appuie sur ENTREE pour continuer. Capture 2: Ecran de confirmation. Page 5 / 41

Capture 3: Acceptation du contrat de license. Capture 4: Liste des partitions. Page 6 / 41

Capture 5: Création d'une nouvelle partition de 2Gb. Capture 6: On appuie sur ENTREE pour installer Windows 2000 Server sur la partition nouvellement créée. Page 7 / 41

Capture 7: Choix du système de fichiers. Ici, NTFS. Capture 8: Formatage de la partition. Page 8 / 41

Capture 9: Copie des fichiers dans les dossiers d'installation. Capture 10: On appuie sur ENTREE pour redémarrer directement. Page 9 / 41

Capture 11: Redémarrage de l'ordinateur. Capture 12: Poursuite de l'installation de Windows 2000 Server Page 10 / 41

Capture 13: Détection et installation des périphériques. Capture 14: Réglage des paramètres régionaux: langue, disposition du clavier, etc. Page 11 / 41

Capture 15: Saisie du nom et de la société. Capture 16: Saisie de la clé du produit. Page 12 / 41

Capture 17: Choix d'un mode de license. Capture 18: Saisie du nom de l'ordinateur et du mot de passe Administrateur. Page 13 / 41

Capture 19: Choix des composants à installer. Capture 20: Réglage de la date, de l'heure et du fuseau horaire. Page 14 / 41

Capture 21: Installation des composants réseau. Capture 22: Réglage des paramètres réseau. Page 15 / 41

Capture 23: Choix d'un domaine ou d'un groupe de travail. Capture 24: Installation des composants. Page 16 / 41

Capture 25: Execution des tâches finales de l'installation. Capture 26: Fin de l'installation. Page 17 / 41

Capture 27: Windows 2000 Server est installé! Etapes d'installation qui diffèrent de Windows NT4: sous Windows NT4, le programme d'installation (en mode texte) détermine quels composants matériels sont branchés (clavier, souris) et leur configuration. (Voir rapport NT4 Capture 6) le choix du répertoire d'installation est impossible lors de l'installation de Windows 2000 Server. Pour Windows NT4 le choix est possible. (Voir rapport NT4 Capture 11) pour Windows 2000 Server, il faut choisir un mode de license. (Voir capture 17) lors de l'installation de Windows NT4, on a la possibilité de créer une disquette de réparation d'urgence. Pas pour l'installation de Windows 2000 Server. Page 18 / 41

Installation de la console de récupération d'urgence: Capture 28: Commande à éxécuter pour installer la console de récupération d'urgence: d:\i386\winnt32 /cmdcons Capture 29: Boîte de dialogue de confirmation. Page 19 / 41

Capture 30: Installation de la console de récupération d'urgence. Capture 31: La console de récupération d'urgence est installée! Page 20 / 41

La base de registre Toutes les modifications sont effectuées à l'aide de regedit.exe. Pour lancer cet utilitaire de modification de la base de registre, cliquer sur Démarrer puis Exécuter et taper regedit. On travaille sur la clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Il suffit donc de parcourir l'arborescence jusqu'à trouver la bonne clé. On peut ensuite ajouter, supprimer ou modifier des valeurs, des clés, etc. 1ère modification: on ajoute une valeur NoRecentDocsMenu de type DWORD qu'on définit à 1. Résultat : on n'a plus accès au menu Documents du menu Démarrer. Capture 32: NoRecentDocsMenu Page 21 / 41

2ème modification: on ajoute une valeur NoSetFolders de type DWORD qu'on définit à 1. Résultat : le menu Paramètres du menu Démarrer ne contient plus le panneau de configuration, les connexions réseau, etc. Capture 33: NoSetFolders 3ème modification: on ajoute une valeur NoAddPrinter de type DWORD qu'on définit à 1. Résultat : le bouton Ajouter une imprimante n'apparaît plus. Capture 34: NoAddPrinter Page 22 / 41

4ème modification: on ajoute une valeur NoWindowsUpdate de type DWORD qu'on définit à 1. Résultat : l'icône Windows Update n'apparaît plus dans le menu Démarrer. Capture 35: NoWindowsUpdate 5ème modification: on ajoute une valeur NoRun de type DWORD qu'on définit à 1. Résultat : la commande Exécuter n'apparaît plus dans le menu Démarrer. Capture 36: NoRun Page 23 / 41

Outils de gestion et d'administration Ces outils sont accessibles depuis le menu Démarrer, Programmes, Outils d administration. Capture 37: Outils d'administration. Page 24 / 41

Gestion des comptes utilisateurs: Sous Windows 2000 Server: on clique sur Gestion de l'ordinateur dans les outils d'administration. On sélectionne ensuite Outils systèmes puis Utilisateurs et groupes locaux. Capture 38: Gestion des comptes utilisateurs. Sous Windows NT4: menu Démarrer, puis Outils d'administration et ensuite Gestionnaire des utilisateurs. Page 25 / 41

Observateur d'événements: Sous Windows 2000 Server: on clique sur Gestion de l'ordinateur dans les outils d'administration. On sélectionne ensuite Observateur d'événements. Capture 39: Observateur d'événements. Sous Windows NT4: menu Démarrer, puis Outils d'administration et ensuite Observateur d'événements. Page 26 / 41

Gestionnaire de disques: Sous Windows 2000 Server: on clique sur Gestion de l'ordinateur dans les outils d'administration. On sélectionne ensuite Gestion des disques. Capture 40: Gestion des disques. Sous Windows NT4: menu Démarrer, puis Outils d'administration et ensuite Administrateur de disques. Page 27 / 41

Gestion des partages: Sous Windows 2000 Server: on clique sur Gestion de l'ordinateur dans les outils d'administration. On sélectionne ensuite Outils système puis Dossiers partagés et enfin Partages. On obtient ainsi la liste des partages existant sur l'ordinateur. Capture 41: Gestion des partages. Sous Windows NT4: pour obtenir la liste des dossiers patagés, il faut utiliser le voisinage réseau et sélectionner l'ordinateur voulu. De cette manière on obtient la liste des partages pour cette machine, mais on ne voit pas les partages masqués ($). Pour partager un dossier, il faut utiliser l'explorateur. On affiche les propriétés du dossier et on clique sur l'onglet Partage. La principale différence entre Windows 2000 Server et Windows NT4 au niveau des outils d'administration se situe au niveau de la MMC (voir plus loin dans ce rapport). Page 28 / 41

Gestion des disques Mise à jour d'un disque de base en disque dynamique: Pour cela, il suffit de cliquer avec le bouton droit sur le disque voulu (dans Gestion de l'ordinateur, Gestion des disques ) et de sélectionner Mettre à niveau en tant que disque dynamique (voir capture 42). Capture 42: Mise à niveau en tant que disque dynamique. Il s'agit d'un mode de gestion des disques permettant de créer d'autres types de partition (RAID 1, RAID 5,...). On peut par exemple dédier un disque entier pour faire du mirroring logiciel. Page 29 / 41

Montage d'une partition dans un répertoire: Toujours dans Gestion de l'ordinateur, Gestion des disques : Click droit sur un espace non alloué d'un disque, puis Créer une partition. L'assistant Création de partition s'ouvre, on clique sur Suivant. On sélectionne le type de partition (principale, étendue), et on clique sur Suivant. On définit la taille de la partition puis on clique sur Suivant. Arrivé ici, on choisit l'option Monter ce volume dans un dossier vide prenant en charge les chemins de lecteur et on sélectionne le répertoire dans lequel on veut monter la partition. On clique ensuite sur Suivant. Capture 43: Montage d'une partition dans un répertoire. On définit ensuite le système de fichiers et autres paramètres divers et on clique sur Suivant. Un récapitulatif s'affiche et on clique sur Terminer pour valider. La nouvelle partition est maintenant affichée dans le gestionnaire de disques (voir capture 44). Lorqu'on ouvre l'explorateur et qu'on affiche le répertoire dans lequel la partition est montée, on remarque que son icône a changé: il s'agit maintenant d'une icône représentant un volume de disque (voir capture 45). Page 30 / 41

Capture 44: La nouvelle partition apparaît. Capture 45: La partition est montée. Page 31 / 41

La Microsoft Management Console Capture 46: Création d'une MMC personalisée. Capture 47: La MMC en action. Page 32 / 41

Outils d'administration de la plateforme Windows 2000 (adminpack.msi) Capture 48: Avant l'installation de adminpak.msi Capture 49: Installation de adminpak.msi Page 33 / 41

Capture 50: Apres l'installation de adminpack.msi La fichier adminpack.msi se trouve dans le répertoire I386 du cdrom Windows 2000 Server. Apres l'installation, les outils suivants sont à notre disposition: Client terminal serveur: Permet de se connecter sur un serveur TS. Autorité de certification: Gère les services de certificats, qui émettent des certificats pour des programmes de sécurité à clé publique. Contrôle d admission Qos: Gère le service de contrôle d admission de la qualité de service (Qos), qui fournit la gestion des ressources et la bande passante de bout en bout pour le trafic réseau IP. Domaine et approbation Active Directory: Gère les relations d approbation entre les domaines. Gestionnaire des licences des services Terminal Server: Gestionnaire de licences des services Terminal Server. Gestionnaire des clusters: Gère le service de cluster, qui améliore la disponibilité des applications serveur. Kit d administration du Gestionnaire de connexion: Gère les profils de connexion à distance et les fichiers de répertoire téléphonique qui sont automatiquement téléchargés lorsque les utilisateurs se connectent au serveur distant. Service authentification Internet: Utilise le protocole service d authentification distante des utilisateurs d accès à distance (RADIUS) pour effectuer l authentification distante. Sites et services Active directory: Crée des sites pour gérer la réplication des informations AD. Page 34 / 41

Stockage étendu: Gère le service de stockage étendu, qui transfère automatiquement les données de fichiers rarement utilisés du disque dur vers une librairie sur bande. Système de fichier distribués (non DFS): Crée et gère les systèmes de fichiers distribués connectés aux dossiers partagés de différents ordinateurs. Téléphonie: Le composant logiciel enfichable téléphonie est utilisé pour configurer et gérer le service de téléphonie. Utilisateurs et ordinateurs AD: Gère les utilisateurs, les ordinateurs, les groupes de sécurité et d autres objets dans le service AD. WINS: Gère le service de nom Internet Windows (WINS), qui traduit les noms d ordinateurs NetBios en adresse IP. Page 35 / 41

Cryptage de dossier et de fichiers Capture 51: Cryptage du fichier. Capture 52: Tentative d'accès avec un autre compte utilisateur. Page 36 / 41

Pour accroître la sécurité des ressources, W2K intègre à son système de fichiers NTFS la possibilité de crypter les données, pour qu elles soit accessibles que par les utilisateurs disposant de la clé permettant de déchiffrer le contenu du document. Une fois un document crypté, les utilisateurs autorisés à le décrypter y accède de façon transparente. Bien que ce cryptage s applique sur des permissions NTFS, il reste indépendant des permissions NTFS appliquées au même document. Le cryptage employé dans W2K se nomme EFS (Encrypting File System). Le besoin de sécurité se faisant de plus en plus sentir, EFS permet de mieux protéger les données importantes. Bien que les permissions NTFS soient difficilement détournables, le risque zéro n existe pas. En effet, il existe sur Internet des utilitaires permettant d accéder à des partitions NTFS en démarrant l ordinateur à partir d une simple disquette DOS. Les permissions NTFS ne sont alors plus d aucun secours. EFS utilise des clés de cryptage symétrique (c'est-à-dire que les clef pour crypter et décrypter sont identiques). La liste de ces clés de cryptage est elle-même cryptée avec la clé publique du certificat X.509 v3 de l utilisateur. Elle fait partie intégrante du document. Pour pouvoir décrypter le document, il faut utiliser la clé privée de l utilisateur ayant crypté le document, dans le but d extraire la liste des clés utilisées. Cette clé privée n est connue que de l utilisateur. On parle alors de cryptage asymétrique (La clé publique qui sert à crypter est différente de la clé privée qui sert à décrypter). Un fichier est crypté par blocs, et chaque bloc est crypté avec une clé de cryptage différente. EFS permet de crypter les fichiers ou dossiers sur un ordinateur, mais ne permet pas de crypter les données qui transite sur le réseau. Pour cela, W2K propose des solutions comme IPSec ou SSL. On ne peut pas crypter et compresser un fichier ou dossier. Si le fichier que l on veut crypter est compressé, il perd alors son attribut de compression. Un utilisateur accédant à un document crypté par un autre utilisateur ne peut pas le copier, ni le déplacer dans le but de le placer sur un système de fichiers autre que le NTFS. Un utilisateur possédant le droit de supprimer un fichier peut supprimer un fichier crypté. (Source: Windows 2000 Serveur, installation, configuration et administration, éditions ENI) Page 37 / 41

Planificateur de tâches Aide de la commande ntbackup: Vous pouvez exécuter des opérations de sauvegarde à partir de l'invite de commandes, ou d'un fichier de commandes, grâce à la commande ntbackup suivie de divers paramètres. Syntaxe : ntbackup backup [systemstate] "nom de fichier bks" /J {"nom tâche"} [/P {"nom pool"}] [/G {"nom GUID"}] [/T { "nom bande"}] [/N {"nom média"}] [/F {"nom fichier"}] [/D {"description jeu"}] [/DS {"nom serveur"}] [/IS {"nom serveur"}] [/A] [/V:{yes no}] [/R:{yes no}] [/L:{f s n}] [/M {type sauvegarde}] [/RS:{yes no}] [/HC:{on off}] Paramètres : systemstate Indique que vous voulez sauvegarder les données sur l'état du système. Lorsque vous sauvegardez les données sur l'état du système, ces données sont sauvegardées dans leur totalité, par conséquent, le commutateur /s n'a pas lieu d'être. De plus, le type de sauvegarde est obligatoirement normal ou copie. La commande à lancer pour sauvegarder le système est donc: ntbackup backup systemstate /m normal /f c:\backup.bkf Pour automatiser le backup, il suffit de créer un fichier bat qui contient cette commande. Ensuite, en utilisant le planificateur de tâches, il faut créer une tâche qui va lancer ce fichier à intervalles réguliers. Capture 53: Tâche planifiée. Page 38 / 41

Client Terminal Server Capture 54: Création d'une connexion. Capture 55: Connexion effectuée. Page 39 / 41

Rcmd Capture 56: Installation du Windows 2000 Server Resource Kit Après avoir installé le resource kit, on démarre une invite de commande et on se déplace dans le répertoire c:\program files\resource kit\rconsole. On tape ensuite : rsetup \\pc1 où pc1 est le nom de la machine sur laquelle on veut se connecter. Cette commande va installer et démarrer le service rconsvc sur la machine cible. Il suffit ensuite de taper: rclient \\pc1 pour se connecter à cette machine. Page 40 / 41

Capture 57: Installation du service sur la machine distante. Capture 58: Connexion à la machine distante. Page 41 / 41