CH7 Windows
Introduction
3
Historique
• MS-DOS
• 1985 : Windows 1.0
• 1987 : Windows 2.0
• 1990 : Windows 3.0
Historique
• 1993 : Windows 3.1
• 1993 : Windows NT 3.1
• 1993 : Windows for Workgroups 3.11
• 1994 : Windows NT Workstation 3.5
• 1995 : Windows 95
3
Historique
• MS-DOS
• 1985 : Windows 1.0
• 1987 : Windows 2.0
• 1990 : Windows 3.0
Historique
• 1993 : Windows 3.1
• 1993 : Windows NT 3.1
• 1993 : Windows for Workgroups 3.11
• 1994 : Windows NT Workstation 3.5
• 1995 : Windows 95
4
Historique
• 1996 : Windows NT 4.0
• 1998 : Windows 98
• 1999 : Windows 98 Second Edition
• 2000 : Windows Millenium
• 2000 : Windows 2000
• 2001 : Windows XP
• 2003 : Windows 2003
• 2006 : Windows Vista
• 2008 : Windows Server 2008
4
Historique
• 1996 : Windows NT 4.0
• 1998 : Windows 98
• 1999 : Windows 98 Second Edition
• 2000 : Windows Millenium
• 2000 : Windows 2000
• 2001 : Windows XP
• 2003 : Windows 2003
• 2006 : Windows Vista
• 2008 : Windows Server 2008
5
8
Windows NT
• NT est basé sur le projet MACH – Micro-kernel
• services de base
• restreint mais simple stable
– + serveurs travaillant en mode utilisateur
• memory server, display server, process server, file server, network server
• 32 bits
• Les processus ont des espaces mémoires bien séparés
– permet d’avoir certain process en mode protégé
9
Windows NT 4
• GUI – même interface que Windows 95
• Scalability
• Modèle client/serveur - deux versions – NT 4 workstation
– NT 4 server
• Support
– support de beaucoup de hardware
– supporte OpenGL
9
Windows NT 4
• GUI – même interface que Windows 95
• Scalability
• Modèle client/serveur - deux versions – NT 4 workstation
– NT 4 server
• Support
– support de beaucoup de hardware
– supporte OpenGL
10
Windows NT 4 Server
• Permet la mise en œuvre d’applications ou services client/serveur
– base de données, serveur de messagerie, serveur de fichiers, d’impression…
• File and print services inclus en standard – clients MS-DOS, Windows 3.1, Windows 95,
Unix, OS/2, Macintosh
• Supporte plusieurs protocoles – NetBIOS sur TCP/IP, DLC, IPX…
Windows NT 4 Server
• Autres capacités fournies en standard – serveur DHCP
(NT 4 workstation possède un client DHCP intégré)– Windows Internet Naming Service (WINS)
• Base de données distribuée des mappings nom IP ; enregistrement dynamique, queries.
– Data protection features
• disk striping, RAID 5, disk mirroring – Remote Access Server (RAS)
– Interface avec Novell Netware et Macintosh
10
Windows NT 4 Server
• Permet la mise en œuvre d’applications ou services client/serveur
– base de données, serveur de messagerie, serveur de fichiers, d’impression…
• File and print services inclus en standard – clients MS-DOS, Windows 3.1, Windows 95,
Unix, OS/2, Macintosh
• Supporte plusieurs protocoles – NetBIOS sur TCP/IP, DLC, IPX…
Windows NT 4 Server
• Autres capacités fournies en standard – serveur DHCP
(NT 4 workstation possède un client DHCP intégré)– Windows Internet Naming Service (WINS)
• Base de données distribuée des mappings nom IP ; enregistrement dynamique, queries.
– Data protection features
• disk striping, RAID 5, disk mirroring – Remote Access Server (RAS)
– Interface avec Novell Netware et Macintosh
11
Windows NT 4 Server
• Account lockout security
– Protection contre les attaques sur les mots de passe
• Administrative tools – Server Manager – User Manager
– User Manager for Domains
NT 4 server + BackOffice suite
• Microsoft BackOffice Suite pour Windows NT 4 server :
– Systems Management Server (SMS) – SQL server
– Exchange Server
– Internet Information Server (IIS) – Distributed File System (DFS) Server – Index Server
11
Windows NT 4 Server
• Account lockout security
– Protection contre les attaques sur les mots de passe
• Administrative tools – Server Manager – User Manager
– User Manager for Domains
NT 4 server + BackOffice suite
• Microsoft BackOffice Suite pour Windows NT 4 server :
– Systems Management Server (SMS) – SQL server
– Exchange Server
– Internet Information Server (IIS)
– Distributed File System (DFS) Server
– Index Server
12
Windows NT 4 Workstation
• Version pour stations de travail – Standalone
– Peer-to-peer networking (workgroup) – Membre d’un « Domain »
• Mêmes kernel et GUI que NT 4 Server
• Optimisé en tant que client
• Fourni avec les outils d’administration de la machine locale (user accounts,
permissions…)
13
16
Windows NT 4 en réseau
• Workgroup
– aka « the peer-to-peer model » – Partage de ressources
– Les machines se « voient » dans le
« voisinage réseau »
– Sur chaque machine qui possède des ressources, préciser qui peut y accéder – Utilisateurs locaux
– Administration éclatée entre les différentes machines
Workgroup
16
Windows NT 4 en réseau
• Workgroup
– aka « the peer-to-peer model » – Partage de ressources
– Les machines se « voient » dans le
« voisinage réseau »
– Sur chaque machine qui possède des ressources, préciser qui peut y accéder – Utilisateurs locaux
– Administration éclatée entre les différentes machines
Workgroup
17
Windows NT 4 en réseau
• Domain
– Partage de ressources – Administration centralisée
– Une seule base de données (plate !) des user accounts, groupes, stations NT, etc.
• SAM – Security Accounts Manager – Notion de « Domain Controllers »
• 1 Primary Domain Controller – PDC
• de 0 à n Backup Domain Controllers – BDC
Domain
17
Windows NT 4 en réseau
• Domain
– Partage de ressources – Administration centralisée
– Une seule base de données (plate !) des user accounts, groupes, stations NT, etc.
• SAM – Security Accounts Manager – Notion de « Domain Controllers »
• 1 Primary Domain Controller – PDC
• de 0 à n Backup Domain Controllers – BDC
Domain
18
NT 4 domains
• A logical (abstract) group, controlled by a server, to be joined by individual computers needing access to the resources and security it provides.
• A domain is a grouping of computers and users that eases administration of the computers and user accounts.
• NT Server is required to create a domain. The NT Servers on your network will all share a common user account and security database, thus enabling each user to have a single account which is recognized on all servers in the domain.
• Security policies such as how long passwords remain valid are also held in common by all servers in a domain. NT workstations can also be members of a domain; the benefit they derive is the ability to recognize user accounts that are created on the servers in the domain, but security policies on a workstation are always independent of the domain security policies.
NT 4 domains
• Le PDC contient la SAM
• qui est répliquée sur les BDC
• Un utilisateur se loggue dans le domaine et plus sur un serveur particulier
• L’authentification se fait sur un des DC
• En cas de panne du PDC un BDC peut être
« promu »
• Autre serveurs (non DC) : « member servers »
• Grands environnements : plusieurs domaines
possibilité de « trusts » entre domaines
19
Primary Domain Controller
• Le PDC contient la SAM pour tout le domaine
• La SAM ne peut être modifiée que sur un PDC (read-only sur les BDC)
– Les outils d’administrations peuvent cependant être installées ailleurs (BDC…)
• Premier serveur à installer pour créer un domaine
– Possède le SID du domaine
• Réplication de la SAM vers les BDC par push (toutes les 5 minutes / après modif.)
Primary Domain Controller
19
Primary Domain Controller
• Le PDC contient la SAM pour tout le domaine
• La SAM ne peut être modifiée que sur un PDC (read-only sur les BDC)
– Les outils d’administrations peuvent cependant être installées ailleurs (BDC…)
• Premier serveur à installer pour créer un domaine
– Possède le SID du domaine
• Réplication de la SAM vers les BDC par push (toutes les 5 minutes / après modif.)
Primary Domain Controller
Backup Domain Controller
• Le BDC contient une copie de la SAM en read-only
• Optionnel, de 0 à n BDC présents pour – des questions de redondance
– décharger le PDC pour les logon authentication processes
– besoins de localité (ex.: domain étendu sur plusieurs sites physiques un BDC par site)
• Même domain SID sur tous les DC
Member servers
• NT 4 Server (tout comme le PDC et les BDC)
• Ne contiennent pas de copie de la SAM
pas de domain SID, mais un machine SID
pas utilisés pour l’authentification
ni pour la gestion du domaine
• Rôle : file server, print server, application server…
• Peuvent changer de domaine
– impossible pour un PDC ou BDC
20
Backup Domain Controller
• Le BDC contient une copie de la SAM en read-only
• Optionnel, de 0 à n BDC présents pour – des questions de redondance
– décharger le PDC pour les logon authentication processes
– besoins de localité (ex.: domain étendu sur plusieurs sites physiques un BDC par site)
• Même domain SID sur tous les DC
Member servers
• NT 4 Server (tout comme le PDC et les BDC)
• Ne contiennent pas de copie de la SAM
pas de domain SID, mais un machine SID
pas utilisés pour l’authentification
ni pour la gestion du domaine
• Rôle : file server, print server, application server…
• Peuvent changer de domaine – impossible pour un PDC ou BDC
21
Les trusts
21
Les trusts
Les trusts
• Quand il y a plusieurs domaines, typiquement :
– un domaine avec des utilisateurs, groupes – un domaine avec des ressources (file
servers, imprimantes…)
• On va pouvoir établir des trusts
– les accounts du domaine « trusté » seront dès lors utilisables pour l’accès aux ressources du domaine
« trustant »
Les trusts
• Les trusts de NT 4 sont unidirectionnels…
22
Les trusts
• Quand il y a plusieurs domaines, typiquement :
– un domaine avec des utilisateurs, groupes – un domaine avec des ressources (file
servers, imprimantes…)
• On va pouvoir établir des trusts
– les accounts du domaine « trusté » seront dès lors utilisables pour l’accès aux ressources du domaine
« trustant »
Les trusts
• Les trusts de NT 4 sont unidirectionnels…
23
Les trusts
• …mais il suffit d’en faire un dans chaque sens.
Les trusts
• Exemple
25
Les 4 modèles de domaines NT
• Microsoft définit 4 modèles – Single domain model – Master domain model
– Multiple master domain model – Complete trust domain model
Les 4 modèles de domaines NT
• Un domaine =
– Taille max. de la SAM d’un domaine : 40 MB – Environ 40.000 accounts/objects max.
• Users, groups, NT member workstations...
• Points à considérer : – Nombre d’accounts
– Etendue géographique du domaine
– Manière dont seront définis les users et les ressources
25
Les 4 modèles de domaines NT
• Microsoft définit 4 modèles – Single domain model – Master domain model
– Multiple master domain model – Complete trust domain model
Les 4 modèles de domaines NT
• Un domaine =
– Taille max. de la SAM d’un domaine : 40 MB – Environ 40.000 accounts/objects max.
• Users, groups, NT member workstations...
• Points à considérer : – Nombre d’accounts
– Etendue géographique du domaine
– Manière dont seront définis les users et les
ressources
26
Single domain model
Les 4 modèles de domaines NT
• Single domain model – Petit environnement réseau – Simple à gérer
• Pas de trusts à gérer
– Administration la plus centralisée possible – Point faible / bottleneck : l’unique PDC si
beaucoup d’accounts ( SAM large)
26
Single domain model
Les 4 modèles de domaines NT
• Single domain model – Petit environnement réseau – Simple à gérer
• Pas de trusts à gérer
– Administration la plus centralisée possible – Point faible / bottleneck : l’unique PDC si
beaucoup d’accounts ( SAM large)
27
Master domain model
Les 4 modèles de domaines NT
• Master domain model
– Tous les accounts sont centralisés dans un
« master » (i.e. accounts) domain
Gestion centralisée des accounts
– Ressources décentralisées – avec gestion décentralisées
– administrateurs locaux à chaque domaine de ressources
– Trusts unidirectionnels des domaines ressources vers le domaine master
27
Master domain model
Les 4 modèles de domaines NT
• Master domain model
– Tous les accounts sont centralisés dans un
« master » (i.e. accounts) domain
Gestion centralisée des accounts
– Ressources décentralisées – avec gestion décentralisées
– administrateurs locaux à chaque domaine de ressources
– Trusts unidirectionnels des domaines
ressources vers le domaine master
28
Multiple master domain model
Les 4 modèles de domaines NT
• Multiple master domain model
– Permet d’éviter la limite de 40.000 accounts présente dans le (single) master domain model – Utile pour les environnements dispersés
géographiquement – Gestion plus complexe
– Trusts plus complexes et nombreux
28
Multiple master domain model
Les 4 modèles de domaines NT
• Multiple master domain model
– Permet d’éviter la limite de 40.000 accounts présente dans le (single) master domain model – Utile pour les environnements dispersés
géographiquement – Gestion plus complexe
– Trusts plus complexes et nombreux
29
Complete trust domain model
Les 4 modèles de domaines NT
• Complete trust domain model – Modèle décentralisé
• Gestion des accounts et ressources différente pour chaque domaine
– Complexe à mettre en place (trusts) et à gérer – Permet des security policies différentes (une
par domaine)
• ex.: contraintes sur les mots de passe – Typique dans les sociétés avec IT
décentralisée (et sans coordination centrale)
– À éviter…
29
Complete trust domain model
Les 4 modèles de domaines NT
• Complete trust domain model – Modèle décentralisé
• Gestion des accounts et ressources différente pour chaque domaine
– Complexe à mettre en place (trusts) et à gérer – Permet des security policies différentes (une
par domaine)
• ex.: contraintes sur les mots de passe – Typique dans les sociétés avec IT
décentralisée (et sans coordination centrale)
– À éviter…
30
User accounts et groupes
• Les user accounts sont globaux au domaine – résident sur le PDC (dans la SAM)
– un account dans un domaine permet de se logguer sur n’importe quelle station du domaine
– pour gérer les permissions et accès, on peut grouper les accounts dans des groupes
• groupes globaux
• groupes locaux
• Ne pas confondre avec les accounts locaux – être dans un domaine n’empêche pas la création
d’accounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: « administrator » du domaine « administrator » local d’une station)
Deux sortes de groupes
• Groupes globaux
– contiennent des user accounts d’un même domaine
– peuvent être utilisés dans de multiples domaines (ex. accès à une ressource d’un autre domaine) d’où le nom ‘global’
30
User accounts et groupes
• Les user accounts sont globaux au domaine – résident sur le PDC (dans la SAM)
– un account dans un domaine permet de se logguer sur n’importe quelle station du domaine
– pour gérer les permissions et accès, on peut grouper les accounts dans des groupes
• groupes globaux
• groupes locaux
• Ne pas confondre avec les accounts locaux – être dans un domaine n’empêche pas la création
d’accounts et de groupes locaux (SAM locale vs SAM du domaine) (ex.: « administrator » du domaine « administrator » local d’une station)
Deux sortes de groupes
• Groupes globaux
– contiennent des user accounts d’un même domaine
– peuvent être utilisés dans de multiples
domaines (ex. accès à une ressource d’un
autre domaine) d’où le nom ‘global’
31
Deux sortes de groupes
• Groupes locaux
– contiennent des comptes utilisateur et des groupes globaux
– potentiellement extérieurs au domaine dans lequel le groupe local est défini
• si et seulement si il existe un trust vers les domaines de ces accounts et global groups – local = utilisé pour les [permissions au niveau
des] accès à des ressources dans le domaine local
Gestion des utilisateurs
• Utilisateurs prédéfinis : – administrator et guest
• Création d’un user :
31
Deux sortes de groupes
• Groupes locaux
– contiennent des comptes utilisateur et des groupes globaux
– potentiellement extérieurs au domaine dans lequel le groupe local est défini
• si et seulement si il existe un trust vers les domaines de ces accounts et global groups – local = utilisé pour les [permissions au niveau
des] accès à des ressources dans le domaine local
Gestion des utilisateurs
• Utilisateurs prédéfinis : – administrator et guest
• Création d’un user :
32
Gestion des utilisateurs
• Chaque utilisateur peut avoir – un profil, une home, un logon script
Gestion des utilisateurs
• Un profil (profile) utilisateur contient – préférences utilisateur
• affichage, wallpaper, screensaver
• mappings
• imprimantes
• variables d’environnement
• bookmarks IE
• mailbox d’Outlook Express
• …
32
Gestion des utilisateurs
• Chaque utilisateur peut avoir – un profil, une home, un logon script
Gestion des utilisateurs
• Un profil (profile) utilisateur contient – préférences utilisateur
• affichage, wallpaper, screensaver
• mappings
• imprimantes
• variables d’environnement
• bookmarks IE
• mailbox d’Outlook Express
• …
33
Gestion des utilisateurs
• Trois types de profiles
– Local : local à la machine (NT 4 Workstation) – Roaming : stocké sur serveur, ce profil suit
l’utilisateur peu importe la station où il se loggue (copy in au logon et copy out au logoff)
– Mandatory : profil local ou roaming mis en read-only par l’administrateur
• modifications possibles par l’utilisateur mais non sauvées
Policies
• Policies : règles appliquées à des user accounts, des machines
– règles sur les mots de passe – protection de registry settings – préférences utilisateur
– limitation des accès au réseau – …
• Il existe des templates
33
Gestion des utilisateurs
• Trois types de profiles
– Local : local à la machine (NT 4 Workstation) – Roaming : stocké sur serveur, ce profil suit
l’utilisateur peu importe la station où il se loggue (copy in au logon et copy out au logoff)
– Mandatory : profil local ou roaming mis en read-only par l’administrateur
• modifications possibles par l’utilisateur mais non sauvées
Policies
• Policies : règles appliquées à des user accounts, des machines
– règles sur les mots de passe – protection de registry settings – préférences utilisateur
– limitation des accès au réseau – …
• Il existe des templates
34
Policies
Policies
34
Policies
Policies
35
Fichiers et shares
• File system : NTFS
– système de permissions évolué – sur les fichiers et répertoires – chaque objet a un owner
Permissions NTFS
35
Fichiers et shares
• File system : NTFS
– système de permissions évolué – sur les fichiers et répertoires – chaque objet a un owner
Permissions NTFS
36
Fichiers et shares
• Share = partage d’un répertoire – (et de ses sous-répertoires et fichier) – UNC : \\SERVER\SHARE
– Permissions NTFS + permissions du share
NT 4 et RAID
• RAID = Redundant Array of Inexpensive Disks
• RAID software implémenté sous NT 4 (version Server) : RAID 0, 1 et 5
39
Déploiement
• Installation automatisée de l’OS – NT 4 unattended installation
• installation automatisée par des scripts – sysprep + outils commerciaux : Ghost…
• Déploiement d’applications – sysdiff
– outils commerciaux : SMS…
Backup
• Utilitaire ntbackup
• Modes de sauvegarde : – normal
– copy – incremental – differential – daily
copycopies all selected files and does not clear the archive attributes. Does not affect other backup operations, useful between normal and incremental backups.
dailycopies all selected files that have been modified that day. The archive attribute is not cleared.
differentialcopies files created or changed since the last normal or incremental. Does not clear the archive attribute. Restoration requires the last normal AND differential.
incrementalcopies files created or changed since the last normal or incremental. The archive attribute is cleared. Restoration requires the last normal AND ALL incrementals made since the last normal.
normalcopies all selected files and clears the archive attribute on each file. You only need the most recent copy to restore all the files. Usually the first backup set created.
41
43
44
Introduction
• Nom initialement prévu : Windows NT 5
• Cf. NT 4 – nous ne présenterons que les nouveautés introduites par Windows 2000 dans ce chapitre
• Changement majeur : introduction de l’Active Directory
– service d’annuaire compatible LDAP
• 4 versions différentes
45
Introduction
• Windows 2000 Professional – pour les workstations
– max. 2 CPU, max. 4 GB RAM, pas de clustering, pas de Terminal Server
• Windows 2000 Server
– max. 4 CPU, max. 4 GB RAM, clustering à max. 2 nodes, Terminal Services
• Windows 2000 Advanced Server (8 CPU, 8 GB)
• Windows 2000 Data Center (32 CPU, 64 GB, 4 nodes)
Positionnement
• Windows 2000 Server pour : – File/Print/Web services – Application services – Infrastructure services – Communications services
• Windows 2000 Professional : – Corporate desktops
– Mobile/laptop systems
45
Introduction
• Windows 2000 Professional – pour les workstations
– max. 2 CPU, max. 4 GB RAM, pas de clustering, pas de Terminal Server
• Windows 2000 Server
– max. 4 CPU, max. 4 GB RAM, clustering à max. 2 nodes, Terminal Services
• Windows 2000 Advanced Server (8 CPU, 8 GB)
• Windows 2000 Data Center (32 CPU, 64 GB, 4 nodes)
Positionnement
• Windows 2000 Server pour : – File/Print/Web services – Application services – Infrastructure services – Communications services
• Windows 2000 Professional : – Corporate desktops
– Mobile/laptop systems
46
Nouveautés
• En résumé, – plus rapide
– moins de redémarrages ! – plus de fonctionnalités – plus robuste
– plus « scalable »
Principales nouveautés
• Côté serveur – Active Directory – Dynamic DNS
– Distributed File System (DFS) – QoS
– IPSec
– Group Policy Objects (GPO) – IIS, Certificate Services, WMI…
46
Nouveautés
• En résumé, – plus rapide
– moins de redémarrages ! – plus de fonctionnalités – plus robuste
– plus « scalable »
Principales nouveautés
• Côté serveur – Active Directory – Dynamic DNS
– Distributed File System (DFS) – QoS
– IPSec
– Group Policy Objects (GPO)
– IIS, Certificate Services, WMI…
47
Principales nouveautés
• Côté client
– Support d’Active Directory
– MMC – Microsoft Management Console – Internet Explorer 5
– DirectX
– WSH – Windows Scripting Host – FAT32, NTFS5, UDF
– Windows Installer, Plug and Play, USB, WDM, AGP…
Nouveautés : file service
• NTFS version 5
• Support de quotas
– assez limité : par user par volume
• Distributed File System (DFS) – arborescence virtuelle des fichiers et
répertoires partagés, masquant leur localisation physique réelle sur différents serveurs/shares
• EFS
47
Principales nouveautés
• Côté client
– Support d’Active Directory
– MMC – Microsoft Management Console – Internet Explorer 5
– DirectX
– WSH – Windows Scripting Host – FAT32, NTFS5, UDF
– Windows Installer, Plug and Play, USB, WDM, AGP…
Nouveautés : file service
• NTFS version 5
• Support de quotas
– assez limité : par user par volume
• Distributed File System (DFS) – arborescence virtuelle des fichiers et
répertoires partagés, masquant leur localisation physique réelle sur différents serveurs/shares
• EFS
48
Nouveautés : file service
• Distributed Link Tracking
– permet de retrouver la trace d’un fichier déplacé
• Indexing service
– système d’indexation pour accélérer les recherches (locales ou à travers le réseau)
• Gestion des disques et partitions – basic disks vs dynamic disks
• « Montages » à la Unix
Architecture
• Notion de domaines
• NT4 PDC, BDC notion unique de Domain Controllers (tous équivalents)
• Mode natif
– serveurs et wokstations en version 2000
• Mode mixte
– certaines stations sont encore NT 4, voire 9x, certains serveurs éventuellement NT 4
– certains serveurs 2000 agissent en tant que serveurs NTLM
– fonctionnalités limités (pas de GPO, RIS, Kerberos…)
48
Nouveautés : file service
• Distributed Link Tracking
– permet de retrouver la trace d’un fichier déplacé
• Indexing service
– système d’indexation pour accélérer les recherches (locales ou à travers le réseau)
• Gestion des disques et partitions – basic disks vs dynamic disks
• « Montages » à la Unix
Architecture
• Notion de domaines
• NT4 PDC, BDC notion unique de Domain Controllers (tous équivalents)
• Mode natif
– serveurs et wokstations en version 2000
• Mode mixte
– certaines stations sont encore NT 4, voire 9x, certains serveurs éventuellement NT 4
– certains serveurs 2000 agissent en tant que serveurs NTLM
– fonctionnalités limités (pas de GPO, RIS, Kerberos…)
49
Active Directory
• Directory Service arborescent ( SAM de NT4) compatible LDAP v3
• Organisé en
– Forêts, arbres, domaines, OUs
49
Active Directory
• Directory Service arborescent ( SAM de NT4) compatible LDAP v3
• Organisé en
– Forêts, arbres, domaines, OUs
50
Active Directory
• Active Directory : service d'annuaire central
• Sécurité, distribution, partionnement, réplication
• Point de consolidation (accounts, groupes, machines, ...)
• Annuaire (recherche d'objets)
• Conçu pour des environnements de toutes tailles
– du simple serveur avec quelques centaines d'objets – à quelques milliers de serveurs et millions d'objets
Active Directory
• Concepts habituels – objets, attributs – containers (OU) – structure arborescente – namespace
50
Active Directory
• Active Directory : service d'annuaire central
• Sécurité, distribution, partionnement, réplication
• Point de consolidation (accounts, groupes, machines, ...)
• Annuaire (recherche d'objets)
• Conçu pour des environnements de toutes tailles
– du simple serveur avec quelques centaines d'objets – à quelques milliers de serveurs et millions d'objets
Active Directory
• Concepts habituels
– objets, attributs
– containers (OU)
– structure arborescente
– namespace
51
Active Directory
• Domaines :
– entité de base de l’AD
– entité autonome pour la sécurité – politique de sécurité commune
• user accounts, administrateurs, contrôle d’accès…
– organisé en Organizational Units (OU) – contient des objets (users, workstations,
printers, ressources…)
– partitionnement logique – un domaine peut être réparti sur plusieurs sites physiques
Active Directory
• Domaines (suite) :
– plusieurs Domain Controllers (DC) – réplication multi-master
• modifications auprès de n’importe quel DC
• plus de notion de PDC (read/write) et BDC (read) – AD supporte plusieurs domaines
• organisés en arbres (trees), eux-mêmes organisés en forêts (forests)
51
Active Directory
• Domaines :
– entité de base de l’AD
– entité autonome pour la sécurité – politique de sécurité commune
• user accounts, administrateurs, contrôle d’accès…
– organisé en Organizational Units (OU) – contient des objets (users, workstations,
printers, ressources…)
– partitionnement logique – un domaine peut être réparti sur plusieurs sites physiques
Active Directory
• Domaines (suite) :
– plusieurs Domain Controllers (DC) – réplication multi-master
• modifications auprès de n’importe quel DC
• plus de notion de PDC (read/write) et BDC (read) – AD supporte plusieurs domaines
• organisés en arbres (trees), eux-mêmes organisés
en forêts (forests)
52
Active Directory
• Domaines (suite) : – Organisational Units
• seul container LDAP supporté dans l’AD
• partitionnement logique d’un domaine
• contiennent les feuilles (users, computers…)
• entité de délégation des droits d’administration – Sites
• découpe géographique
• sur base des subnets IP
• utile pour
– utiliser le DC le plus proche – optimiser les réplications
Organisation logique (domaines, OUs) vs géographique (sites)
52
Active Directory
• Domaines (suite) : – Organisational Units
• seul container LDAP supporté dans l’AD
• partitionnement logique d’un domaine
• contiennent les feuilles (users, computers…)
• entité de délégation des droits d’administration – Sites
• découpe géographique
• sur base des subnets IP
• utile pour
– utiliser le DC le plus proche – optimiser les réplications
Organisation logique (domaines,
OUs) vs géographique (sites)
53
Réplication entre sites
Active Directory
• Tree
– domaines organisés de manière hiérarchique – partageant un même schéma
– formant un namespace continu – trusts bidirectionnels et transitifs entre
domaines du même arbre – Global Catalog commun
53
Réplication entre sites
Active Directory
• Tree
– domaines organisés de manière hiérarchique – partageant un même schéma
– formant un namespace continu – trusts bidirectionnels et transitifs entre
domaines du même arbre
– Global Catalog commun
54
Active Directory
• Tree
Active Directory
• Forest
– ensemble d’arbres n’ayant pas un namespace commun (pas de racine commune)
54
Active Directory
• Tree
Active Directory
• Forest
– ensemble d’arbres n’ayant pas un namespace
commun (pas de racine commune)
55
Active Directory
• Forest
– schéma commun à tous les arbres et domaines
– Global Catalog commun
– trusts bidirectionnels entre arbres
• Bref, Forest ~= Tree à l’exception du nommage disjoint
Active Directory
• Le Global Catalog
– Contient tous les objets de tous les domaines de l’annuaire, et un sous-ensemble des attributs de ces objets
– Utilisé pour les recherches dans l’annuaire
• pour éviter d’avoir à suivre des referrals vers différents domaines lors de recherches à travers la forêt
– Une copie du GC dans chaque domaine (sur un des DC du domaine)
55
Active Directory
• Forest
– schéma commun à tous les arbres et domaines
– Global Catalog commun
– trusts bidirectionnels entre arbres
• Bref, Forest ~= Tree à l’exception du nommage disjoint
Active Directory
• Le Global Catalog
– Contient tous les objets de tous les domaines de l’annuaire, et un sous-ensemble des attributs de ces objets
– Utilisé pour les recherches dans l’annuaire
• pour éviter d’avoir à suivre des referrals vers différents domaines lors de recherches à travers la forêt
– Une copie du GC dans chaque domaine (sur
un des DC du domaine)
56
Active Directory
• Autres « key features » de l’AD – Intégration complète avec le D-DNS
• pour le nommage et la localisation
• les noms de Domaines correspondent à des noms DNS
– sampledom.company.com
– Authentification via Kerberos 5 – Accessible en LDAP
– Réplication
Intégration AD – DNS
56
Active Directory
• Autres « key features » de l’AD – Intégration complète avec le D-DNS
• pour le nommage et la localisation
• les noms de Domaines correspondent à des noms DNS
– sampledom.company.com
– Authentification via Kerberos 5 – Accessible en LDAP
– Réplication
Intégration AD – DNS
57
Nommage LDAP et DNS
• Recherche dans un Active Directory d’une entrée sur base de son email :
[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W
-H ldap://dc.windomain.company.be -b "dc=windomain,dc=company,dc=be"
-D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be"
mail=alain.delava@trasys.be
ldap_initialize( ldap://dc.windomain.company.be ) Enter LDAP Password:
filter: mail=alain.delava@trasys.be requesting: ALL
version: 2
#
# filter: mail=alain.delava@trasys.be
# requesting: ALL
#
# Delava Alain, Users, Trasys, windomain, company, be
dn: CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be objectClass: top
objectClass: person
objectClass: organizationalPerson objectClass: user
cn: Delava Alain
…
57
Nommage LDAP et DNS
• Recherche dans un Active Directory d’une entrée sur base de son email :
[delavaa@TW020998 delavaa]$ ldapsearch -d 0 -v -x -W
-H ldap://dc.windomain.company.be -b "dc=windomain,dc=company,dc=be"
-D "cn=queryuser,ou=Key managers,dc=windomain,dc=company,dc=be"
mail=alain.delava@trasys.be
ldap_initialize( ldap://dc.windomain.company.be ) Enter LDAP Password:
filter: mail=alain.delava@trasys.be requesting: ALL
version: 2
#
# filter: mail=alain.delava@trasys.be
# requesting: ALL
#
# Delava Alain, Users, Trasys, windomain, company, be
dn: CN=Delava Alain,OU=Users,OU=Trasys,DC=windomain,DC=company,DC=be objectClass: top
objectClass: person
objectClass: organizationalPerson objectClass: user
cn: Delava Alain
…
59
Agenda
• Outils d’administration
• Gestion des utilisateurs et groupes
• Group Policies Objects
• Dynamic DNS
• DHCP
• Terminal Services
• Gestion des disques
• Windows 2003
Outils d’administration
• MMC : Microsoft Management Console – Permet d’ouvrir, créer, sauver les outils
d’administration (appelés « MMC consoles » ou « MMC snap-ins »)
– La MMC ne permet pas d’effectuer des actions d’administration : elle accueille des outils prévus pour cela
– Peut être exécutée sur un DC comme sur une station du domaine
60
MMC
MMC
60
MMC
MMC
MMC snap-ins
• Active Directory Users and Computers – Gestion de l’AD : OUs, users, computers
• Active Directory Domains and Trusts – Gestion des trusts
• Active Directory Sites and Services – Gestion des sites (géographiques / subnets IP)
• DHCP
• DNS
MMC snap-ins
• WINS
• Group Policy Management
• Distributed File System
• Computer Management
• …
61
MMC snap-ins
• Active Directory Users and Computers – Gestion de l’AD : OUs, users, computers
• Active Directory Domains and Trusts – Gestion des trusts
• Active Directory Sites and Services – Gestion des sites (géographiques / subnets IP)
• DHCP
• DNS
MMC snap-ins
• WINS
• Group Policy Management
• Distributed File System
• Computer Management
• …
65
Agenda
• Outils d’administration
• Gestion des utilisateurs et groupes
• Group Policies Objects
• Dynamic DNS
• DHCP
• Terminal Services
• Gestion des disques
• Windows 2003
Users and groups
• Les OUs ne sont pas des groupes – Permettent de grouper des users et des
computers pour
• L’administration déléguée
• L’application de GPO (Policies)
– Mais pas pour gérer les permissions et les droits
notion de groupes (groups), (similaire à
NT 4)
66
Users and groups : théorie (1/9)
• Rights vs Permissions
– Rights (droits) : donne la possibilité à des utilisateurs d’effectuer des tâches système
• par exemple : changer l’heure sur un PC, gérer une zone DNS…
– Permissions : règles régulant la manière dont les utilisateurs peuvent utiliser / accéder une ressource
• par exemple : un folder, un fichier, une imprimante…
Users and groups : théorie (2/9)
• SID – Security IDentifier
– Nombre unique généré à la création de l’account, du groupe, de la machine…
– Première partie du SID : identifie le domaine – Second partie : Relative SID = RID : identifie l’objet
(account)
70
Users and groups : théorie (9/9)
• Comment ça marche ?
– Lorsque le user veut accéder un objet, Windows va voir si un des SID de l’« access token » du user est dans l’ACL de l’objet
• si il est dans un ACE de type AccessAllowed (et dans aucun AccessDenied), l’utilisateur a accès à l’objet (de la manière décrite dans l’ACE)
Les groupes
71
Rappel : NT4 - Deux sortes de groupes
• Groupes globaux
– contiennent des user accounts d’un même domaine
– peuvent être utilisés dans de multiples domaines (ex. accès à une ressource d’un autre domaine) d’où le nom ‘global’
Rappel : NT4 - Deux sortes de groupes
• Groupes locaux
– contiennent des comptes utilisateur et des groupes globaux
– potentiellement extérieurs au domaine dans lequel le groupe local est défini
• si et seulement si il existe un trust vers les domaines de ces accounts et global groups – local = utilisé pour les [permissions au niveau
des] accès à des ressources dans le domaine local
71
Rappel : NT4 - Deux sortes de groupes
• Groupes globaux
– contiennent des user accounts d’un même domaine
– peuvent être utilisés dans de multiples domaines (ex. accès à une ressource d’un autre domaine) d’où le nom ‘global’
Rappel : NT4 - Deux sortes de groupes
• Groupes locaux
– contiennent des comptes utilisateur et des groupes globaux
– potentiellement extérieurs au domaine dans lequel le groupe local est défini
• si et seulement si il existe un trust vers les domaines de ces accounts et global groups – local = utilisé pour les [permissions au niveau
des] accès à des ressources dans le domaine
local
72
Les groupes
• Nouveautés de Windows 2000 – Le concept de Universal Group – L’imbrication de groupes
– L’utilisation de groupes comme « distribution lists » (en combinaison avec MS Exchange ou autre application de messagerie « AD-enabled »)
– Les groupes peuvent contenir des membres non liés à la sécurité (important quand un groupe est utilisé à la fois pour la sécurité et une distribution list)
– Possibilité d’avoir des groupes distribution list only, pas utilisables pour la sécurité
(permissions/droits)
Les groupes : 3 types
• 3 types de groupes
72
Les groupes
• Nouveautés de Windows 2000 – Le concept de Universal Group – L’imbrication de groupes
– L’utilisation de groupes comme « distribution lists » (en combinaison avec MS Exchange ou autre application de messagerie « AD-enabled »)
– Les groupes peuvent contenir des membres non liés à la sécurité (important quand un groupe est utilisé à la fois pour la sécurité et une distribution list)
– Possibilité d’avoir des groupes distribution list only, pas utilisables pour la sécurité
(permissions/droits)
Les groupes : 3 types
• 3 types de
groupes
73
Les groupes : 3 types
•
Universal Group — The simplest form of group; can appear in ACLsanywhere in the forest and can contain other Universal Groups, Global Groups, and users from anywhere in the forest. Small installations can use Universal Groups exclusively and avoid dealing with Global and Local Groups. A Universal Group and its members appear in the Global Catalog (GC). Universal Groups are applicable only to native mode domains.
•
Global Group — Can appear on ACLs anywhere in the forest. It cancontain users and other Global Groups (this nesting of Global Groups is only available when the domain is running in native mode) only from the domain in which the Global Group exists. So, except for the option of nesting groups, it is exactly the same as an NT 4 Global Group. Global Group names appear in the GC, but their members still are assigned to the domain.
•
Domain Local Group — Can be used on ACLs only at servers in its owndomain; can contain Domain Local Groups from the domain in question as well as users, Global Groups, and Universal Groups from any domain in the forest. Thus, except for the introduction of Universal Groups and the option of nesting groups, it is exactly the same as an NT 4 Local Domain Group.
Domain Local Groups are valid only in the domain in which they are defined, and thus don’t appear in the GC at all.
Les groupes : 2 variantes
74
Démonstration 3
• Création d’un groupe
• Illustration des permissions
75
Agenda
• Outils d’administration
• Gestion des utilisateurs et groupes
• Group Policies Objects
• Dynamic DNS
• DHCP
• Terminal Services
• Gestion des disques
• Windows 2003
Group Policies Objects
• Avec la délégation de droits d’administration, les GPO sont un des plus grands avantages de l’AD
(pour l’administrateur système)
• Comme en NT 4, il s’agit d’appliquer
automatiquement un ensemble de règles ou propriétés à des machines et des utilisateurs
• Une GPO peut être appliquée à différents niveaux : Site, Domaine, OU (SDOU)
• Héritage (sous-OUs…) et possibilité de blocage (via les security groups)
GPO vs Profile - définitions
• Profile — A collection of user environment settings that the user is at liberty to change.
Profiles may or may not follow the user if he chooses to log in to another computer, and their settings are stored in many locations, including the Registry, Desktop, Profiles directory, My Documents, and so forth.
• Group Policy — A collection of user environment settings, specified by the administrator. A Group Policy is stored in a central location and always affects the users or computers covered by the policy.
GPO categories
• Software Installation : les administrateurs ont la possibilité d’assigner sélectivement et de publier des applications sur des workstations
– Application Assignment : permet d’upgrader ou supprimer des applications automatiquement sur des workstations
– Application Publishing : l’application apparaît dans la liste des composants qu’un utilisateur peut installer sur sa station via Add/Remove Programs dans le Control Panel. Ces applications peuvent aussi être installées à la première utilisation
• Security Settings : permet de restreindre l’accès à certains fichiers, folders, clés de registry,
service…Permet aussi de gérer certain settings des
stations
76
GPO vs Profile - définitions
• Profile — A collection of user environment settings that the user is at liberty to change.
Profiles may or may not follow the user if he chooses to log in to another computer, and their settings are stored in many locations, including the Registry, Desktop, Profiles directory, My Documents, and so forth.
• Group Policy — A collection of user environment settings, specified by the administrator. A Group Policy is stored in a central location and always affects the users or computers covered by the policy.
GPO categories
• Software Installation : les administrateurs ont la possibilité d’assigner sélectivement et de publier des applications sur des workstations
– Application Assignment : permet d’upgrader ou supprimer des applications automatiquement sur des workstations
– Application Publishing : l’application apparaît dans la liste des composants qu’un utilisateur peut installer sur sa station via Add/Remove Programs dans le Control Panel. Ces applications peuvent aussi être installées à la première utilisation
• Security Settings : permet de restreindre l’accès à certains fichiers, folders, clés de registry,
service…Permet aussi de gérer certain settings des stations
77
GPO categories
• Administrative Templates : Réminiscence des
templates pour les « System Policies » de NT 4. Permet aux administrateurs de customiser certain Registry settings (desktop settings, application settings…).
En d’autres mots, les settings inscrits dans les sous-arbres
HKEY_LOCAL_MACHINE (HKLM) et HKEY_CURRENT_USER (HKCU) de la registry.
• Folder Redirection : utilisée pour le roaming, cette fonction permet de rediriger des folders locaux vers un espace sur serveur, par exemple My Documents, de manière transparente pour l’utilisateur.
• Logon/Logoff, Startup/Shutdown Scripts : scripts pouvant être exécutés au logon, au logoff de l’utilisateur, et au startup ou shutdown de la machine.
Une GPO est un objet stocké dans l’AD. Quand elle est d’application sur un objet, par exemple une OU, l’objet en question possède un pointeur vers la GPO (link).
84
Agenda
• Outils d’administration
• Gestion des utilisateurs et groupes
• Group Policies Objects
• Dynamic DNS
• DHCP
• Terminal Services
• Gestion des disques
• Windows 2003
Windows Server 2003
• Successeur de Windows 2000
• Même concept au niveau de l’architecture – Active Directory (forêt, arbre, domaine, OU…)
• Quatre versions
– Windows Server 2003, Standard Edition – Windows Server 2003, Enterprise Edition – Windows Server 2003, Data Center Edition – Windows Server 2003, Web Edition
Windows Server 2003
• Windows Server 2003, Standard Edition, is a reliable network operating system that delivers business solutions quickly and easily. It’s a great choice for small-business and departmental use.
The Standard Edition supports file and printer sharing, offers secure Internet connectivity, and enables centralized desktop application deployment.
• Windows Server 2003, Enterprise Edition, is built for the general-purpose needs of businesses of all sizes. It’s an ideal platform for applications, Web services, and infrastructure, delivering high reliability, performance, and excellent business value. The Enterprise Edition is a full-function server operating system that supports up to eight processors, provides enterprise-class features such as eight-node clustering, and provides support for up to 32 GB of memory. It’s available for Intel Itanium–based computers and will soon be available for 64-bit computing platforms capable of supporting eight processors and 64 GB of memory.
• Windows Server 2003, Datacenter Edition, is built for mission-critical applications that require the highest levels of scalability and availability. Microsoft believes that the Datacenter Edition is the most powerful and functional server operating system that the company has ever produced. It supports up to 32-way symmetric multiprocessing (SMP) and 64 GB of memory. It provides both eight-node clustering and load-balancing services as standard features. It will soon be available for 64-bit computing platforms capable of supporting 32 processors and 128 GB of memory.
• Windows Server 2003, Web Edition, is a new addition to the Windows family of server operating systems. Microsoft provides the Web Edition for building and hosting Web applications, Web pages, and XML Web services. Microsoft designed it for use primarily as an Internet Information Services (IIS) 6.0 Web server. It provides a platform for rapidly developing and deploying XML