2013 Windows 7 INSTALLATION ET CONFIGURATION OLIVIER DEHECQ
Table des matières 1.1 Installation et mise à jour de Windows7... 2 1.2 30BDéploiement (à partir d images)... 4 1.3 31BConfiguration du matériel et des applications... 6 1.4 Gestion des groupes et des utilisateurs... 10 1.5 Autres fonctionnalités... 13
1.1 Installation et mise à jour de Windows7 1.1.1 Configuration minimale 1.1.2 Installation Pour un particulier : pas d utilité d avoir la version Pro. Pour les entreprises : versions «Entreprise» et «Professionnel» Mise à jour que de VISTA à Win7 WinPE : Windows Preinstallation Environment : environnement pour l installation de Windows7, quand on met le DVD WinRE : Windows Reparation Environment : pour réparer l installation existante. Outil de migration de Windows 7 : ordinateur portable + Windows XP + données nouveau portable + Win7 + données Page 16 : partitionnement de HDD Options des lecteurs avancées On peut charger un pilote SATA, SCSI typique en installation virtuelle Création auto d une partition de 100Mo réservée pour BitLocker, WinRE ) Page 23 : Dans le cas de «Réseau public», la découverte des réseaux est désactivée 1.1.3 27BPages 24 26 : Installation par mise à niveau : à éviter Vista Sp1 / Vista Sp2 Mise à niveau + Migration + Nouvelle install WinXp / VistaRTM Nouvelle install + Migration < WinXp Nouvelle install La migration se fait dans le cas d un changement de matos, il faut réinstaller les applications 1.1.4 28BPages 26 30 : Update Advisor Vérification de la compatibilité des applications, Liste des drivers à télécharger, etc. 1.1.5 29BPages 30 31 : Migration des profils Transfert par : câble USB ou câble réseau ou HDD Autre solution : (Windows Auto Installation Kit) > (User Migration Tool) pour les entreprises
1.1.6 230BPages 42 49 : Gestionnaire de Boot Jusqu à XP / 2003 inclus : NTLDR (NT Loader : chargeur d OS orienté NT) LILO / GRUB NTDETECT.COM (détection du matériel) BOOT.INI (indique le chemin de l OS) Depuis Vista : BCD (Boot Configuration Database) Page 43 : la BCD est organisée en Magasins(store) puis Objets(objects) puis Eléments(elements) Exemple de chemin ARC : multi(0)disk(0)rdisk(0)partition(1)/vga La BCD peut contenir des OS installés à différents endroits (exemple HDD(0)part(1) et C:\win7.vhd) BCD supporte les.vhd (mais pour des images de Win7 ou ultérieur) Si Win7 installé puis Win XP installé Win7 n est plus bootable, mais WinXP boote Si WinXP installé puis Win7 installé les 2 OS sont bootables Pour lancer BCD : C:\> bcdedit Pour lister les paramètres de BCD : C:\> bcdedit enum all Configurer une partie des paramètres de BCD : Msconfig > démarrer Restaurer le boot de Windows7 : Mettre le DVD d install de Win7, Lancer (réparation), Se positionner dans le répertoire \BOOT > bootsect.exe/nt60 all nota : restaure les secteurs de boot de Win7
Créer une entrée pour Windows XP dans le BCD Store : > bcdedit create {ntldr} d "Windows XP" > bcdedit set {ntldr} path \ntldr > bcdedit /displayorder {ntldr} /addlast 1.2 30BDéploiement (à partir d images) Le déploiement à partir d image permet d installer rapidement une version configurée selon ses propres paramètres à plusieurs ordinateurs, de façon semi automatisée. 1.2.1 231BPages 50-51 : WIM Avantages : VIM : images de partition. Pour Windows seulement Une seule image pour plusieurs configurations matérielles Déploiement non destructif des données existantes (prévoir de l espace non partitionné) Juste besoin de WinPE pour ensuite plaquer l image Besoins : WAIK (Windows Auto Installation Kit) : 2Go contient WSIM, DISM, ImageX ); DISM : outil de gestion et de maintenance des images de déploiement (plus complet que ImageX) ; Sysprep.exe : retire les identifiants uniques RSAT : comme adminpack mais pour Windows7 Disquettes pour installations automatisée : unattend fichier de réponses
Sysprep est utilisé pour : Supprimer les données propres aux SE (systèmes d exploitation) Windows Configurer Windows pour démarrer en mode d Audit Configurer Windows pour lancer l écran d accueil (OOBE : Out Of Box Experience) Réinitialiser l activation du produit Windows Réinitialiser les identifiants de la machine : sysprep.exe /generalize Démarrer en mode audit oobe : sysprep.exe /audit /oobe Rebooter après sysprep (à ne pas faire comme ça, sinon l ID machine est régénéré au reboot suivant) : sysprep.exe /reboot ImageX est utilisé pour : Capturer une image Modifier une image Déployer des images WIM Stocker plusieurs images dans un fichier unique Compresser les fichiers images Capturer une image WIM à partir de la partition(0) et créer un fichier.wim : imagex /capture Déployer une image WIM, après avoir monté le lecteur réseau contenant le fichier.wim : imagex /apply Monter l image en lecture, la monter en modification, la démonter : imagex /mount /mountrw /unmount 1.2.2 232BPages 50-54 : Processus d installation 1. Générer un fichier de réponses (machine de référence) avec WSIM 2. Générer une install de référence (programmes, etc.) puis sysprep 3. Créer un média WinPE de démarrage (contenant Imagex) avec DISM 4. Capturer l image d installation (fichier.wim) avec imagex 5. Déployer l image d installation avec WinPE + imagex Avantage de WIM : indépendant du matériel (indépendant de HAL), outils fournis 1.2.3 23BPages 54 56 : Installation personnalisée par fichier de réponses WAIK > WSIM (Windows System Image Manager) créer les fichiers de réponses Juste savoir que ça existe 1. Création de l image de référence, puis sysprep /oobe /generalize /shutdown 2. Création de l image WinPE conforme à l architecture du poste cible (x86 x64)
3. Génèrer les fichiers nécessaires à l exécution de WinPE, puis y injecter ImageX + drivers.inf du RSO (dans le cas d une image.wim sur le réseau) 4. Capturer l image : pour ça on boot sur WinPE (avec le DVD) puis on exécute imagex 5. Si on a rebooté en OOBE, finir la procédure puis refaire le sysprep 6. Déploiement Il est possible de déployer des images en utilisant plusieurs méthodes : Avec un média WinPE (p.62) Avec un serveur de déploiement (p.62-63) Avec un HDD Virtuel (p.63-65) 1.2.4 234BPages 66 76 : Edition d une image WIM Avec DISM ou ImageX Maintenance hors connexion (sur un fichier) Maintenance en ligne (poste actuellement démarré) 1.3 31BConfiguration du matériel et des applications 1.3.1 235BPages 78 86 : Le panneau de configuration
1. 3. 6 240B 1.3.2 236BPages 87 98 : Gestion du matériel 1.3.3 237BPages 99 100 : Windows ReadyBoost ReadyBoost est une technique de cache disque incluse dans Windows Vista, Windows 7 et 8. Il a pour objectif de diminuer les temps d attente de l utilisateur en utilisant l absence de latence des mémoires flash (clé USB 2.0 ou 3.0, Carte SD, carte CompactFlash, disque de type Solid-state drive. 1.3.4 238BPages 101 110 : Configuration de la compatibilité applicative UAC : contrôle d accès utilisateur. A désactiver! ACT (Application Compatibility Toolkit) gratuit Standard User Analyser : permet de déterminer si l appli a besoin d une élévation de droits Compatibility administrator : liste d applis avec les SHIM correctifs 1.3.5 239BPage 110 : Mode de virtualisation XP Pour assurer une compatibilité optimale avec WinXP
1.3.7 Page 110 114 : Configuration des restrictions d application AppLocker est un «pare feu» pour les applications. «c est une GPO (Objet de Stratégie de Groupe) Locale» Installer les outils RSAT ou mmc.exe : fichier > ajouter ou supprimer un composant ou gpedit.msc Avant Vista : paramètres windows > paramètres de sécurité > stratégie de restrict logicielle Vista et + : paramètres windows > paramètres de sécurité > stratégie de contrôle de l application > AppLocker Clic droit sur «règles de sécurité» Une fois AppLocker configuré, démarrer le service Identité de l application et gpupdate /force 1.3.8 241BPages 269 - : Gestion des disques diskmgmt.msc Disques de base (Partitions) MAX soit 4 partitions principales MAX soit 3 partitions principales étendues (lecteurs logiques) Disques dynamiques (Volumes) Volumes simples (partitions principales sur disques simples)
Volumes fractionnés (ou répartis en plusieurs disques 2 n 32) Augmente l espace disque du lecteur Aucune tolérance de pannes Indissociables Volumes agrégés par bandes (RAID0) Optimiser la lecture/écriture Aucune tolérance de pannes Tous les volumes font la même taille Volumes en miroir (RAID1) Copie miroir de disque Tolérance de pannes RAID5 (agrégat par bandes avec parité) Tolérance de pannes Optimiser la lecture/écriture 1.3.9 242BPage 276 : Gestion des disques virtuels Créer un disque dur virtuel (présent sur un disque physique) Commandes pour la gestion de disques : interface graphique Logiciel en ligne de commandes : diskpart.exe Liste des commandes : DISKPART> commands Aide sur la fonction : DISKPART> help fonction 1. Sélectionner un disque (le rendre focus) DISKPART>select disk 1 2. Vérifier quel disk est focus (*) DISKPART>list disk 3. Créer une partition de 200Mo DISKPART>create partition primary size=200 4. Assigner une lettre (G:) DISKPART>assign letter=g 5. Formater en NTFS DISKPART>format fs=ntfs label="données"
1.4 Gestion des groupes et des utilisateurs 1.4.1 243BPage 323 : Les utilisateurs Deux types de comptes : Utilisateurs locaux Les comptes locaux ont : accès local à la machine + accès à des ressources locales Gestion non-centralisée Utilisateurs du domaine On stocke les ressources sur le serveur Sur un domaine : Groupes locaux de domaine Universel Globaux Authentification locale base SAM Authentification sur le domaine ADDS
1.4.2 24BLes SID 1.4.3 245BAu niveau sécurité, Windows parle de : Droits = Privilège (installer un pilote, modifier l heure ) Autorisation = Permissions (sur les ressources, les dossiers partagés, imp. Partagés, objets AD ) Le SID sert à donner des autorisations d accès aux ressources. SSO (Single Sign-On) : 1. Le SID de l utilisateur et le SID de l ACE sont compares 2. Si c est ok accès en lecture Un SID n est pas dynamique : si on ajoute l utilisateur dans un groupe alors il faut redémarrer la session pour mettre à jour les SID 1.4.4 246BInteractions entre Partage et Sécurité Avec un FS de type FAT, le seul moyen de sécuriser le partage est de modifier l onglet [Partage] car [Sécurité] n existe pas en FAT16/FAT32 [Partage] le plus restrictif des deux a le dernier mot [Sécurité] odehecq modifier (RWD) odehecq lecture Bilan : odehecq ne pourra donc qu écrire!
Configuration idéale : Partage 2) Le plus restrictif des deux Sécurité Utilisateurs authentifiés (tous les utilisateurs de la foret) Utilisateurs du domaine (juste CE domaine) Contrôle Total 1) Le plus permissif des deux sauf si REFUS (les refus s appliquent en 1 er ) Etre précis : ne jamais mettre Tout le Monde! odehecq lecture stagiaires lecture Il en résulte : Accès via le réseau :odehecq lecture / stagiaires modifier Accès local : odehecq lecture / stagiaires modifier (on n applique pas le filtre [Partage]) Un $ à la fin d un nom de partage cache le partage. Data$ partage caché Imprimantes : Imprimer : permet d installer le pilote et d imprimer sur l imp. Partagée Gérer les documents : permet de gérer le document quand il est spoolé Gérer les imprimantes : permet de gérer les onglets de l imprimante 1.4.5 247BPartage de dossiers en ligne de commande partager un dossier lister les partages : C:\> net share? connecter un lecteur réseau : C:\> net use? 1.4.6 248BCopies et Déplacements en NTFS Fichier C:\DATA\fichier.txt (lionel CT 1 ) Copie Déplacement Sur une même partition C:\SAVE\ (TLM 2 lecture) Héritage des autorisations de la destination. lionelct + TLM lect. Conservation des autorisations NTFS de la source : lionelct Entre partitions NTFS D:\DOCS\ (TLM lecture) Héritage des autorisations de la destination. lionelct + TLM lect. Héritage des autorisations de la destination. lionelct + TLM lect. 1 CT : Contrôle total 2 TLM : tout le monde
1. 5. 2 250B 1.5 Autres fonctionnalités 1.5.1 EFS (Encrypting File System) Ecrit en vert : fichiers / dossiers non cryptés (doit avoir quand même l autorisation pour les lire) Nominatif (propre à un compte d utilisateur) Oubli de mot de passe = perte de la clé de décryptage Cryptage asymétrique : 1 seule clé : Clair CléFEK Crypté CléFEK Clair Cryptage asymétrique : 1 clé privée + 1 clé publique (liées mathématiquement) La clé privée décrypte le fichier La clé publie crypte le message Cryptage : Décryptage :
1.5.3 Procédure de cryptage EFS L agent de récupération doit être configuré avant d utiliser EFS 1. Créer les clés de récupération (.cer) et les clés de cryptage (.pfk) : C:\> cipher r :nom_de_fichier C:\> gpupdate /force 2. : assistant de récupération des clés 3. Installer le.cer le mettre dans le magasin public : param. Windows > sécurité > stratégies de clés publiques > EFS 4. : gestionnaire de magasins de clés 1.5.4 251BPage 230 BitLocker Clé FVEK : clé symétrique qui sert à chiffrer une partition. 1.5.5 252BPage 226 : BranchCache Clé FVEK + Clé VMK Clé FVEK chiffrée Clé VMK + Clé SRK Clé VMK chiffrée Clé SRK stockée dans la puce TPM (sur la carte mère et accessible selon condition : mdp, bonne machine, etc.) ou dans une clé USB si pas de module TPM «Mise en cache de contenu des serveurs (web et fichiers)» Economiser les liaisons entre le serveur et le LAN Mode hébergé : Sur le serveur 2008R2 il faut installer le service «BranchCache» puis partage avancé avec mise en cache BranchCache. Mode distribué :
1. 5. 9 256B 1.5.6 253BFichiers Hors connexion Mise en cache des fichiers Rendre dispo hors connexion manuelle Se fait tout seul automatique But : mettre en cache le(s) document(s) d un seul utilisateur. Le récent écrase l ancien. Dans W7 «Fichiers hors connexion» Dans W2K8 Partage > Avancé > Mise en cache Désactiver Activer à la demande (+ BranchCache) Activer toujours 1.5.7 254BPage 150 : Pare Feu Panneau de config > Pare Feu Windows (simple) Wf.msc Pare Feu Windows avancé C:\> netsh advfirewall firewall /? 1.5.8 25BGPO : Group Policy Objects Stratégies de groupes GPO de domaine : gpmc.msc GPO locale : gpedit.msc Et toujours C:\> gpupdate /force GPO de domaine (gmpc) GPO locale (gpedit) Ordinateur : suit l ordinateur Ordinateur : tout le monde Utilisateur : suit l utilisateur Utilisateur : utilisateur loggé Multiples stratégies de groupe locales > ajouter un composant «Editeur d objets de stratégies de groupes» parcourir>utilisateur : administrateur non administrateur utilisateur particulier La partie ordinateur prime sur la partir utilisateur locale
1.5.10 Page 284 Surveillance du système Observateur d évènements Panneau de config>système et sécurité>outils d administration>observateur d évènements Source + ID évènement http://www.eventid.net (informations sur le souci rencontré) Gestion à distance : C:\> winrm quickconfig + service WinRM Joindre une tache à un évènement : net send mail programme script Analyseur de performances [ctrl]+[shift]+[echap] gestionnaire des taches>performances>moniteur de ressources analyseur de performances Ajouter des compteurs Ensemble de collecteurs de données> définis par l utilisateur : créé des rapports