• Aucun résultat trouvé

[PDF] Initiations à Windows 2003 cours complet avec exemples

N/A
N/A
Protected

Academic year: 2021

Partager "[PDF] Initiations à Windows 2003 cours complet avec exemples"

Copied!
493
0
0

Texte intégral

(1)

WINDOWS SERVER 2003

I - INTRODUCTION

Système d'exploitation à vocation professionnelle issu de Windows 2000 (et antérieurement de Windows NT 4.0, 3.51, 3.5 et 3.1).

Développé par Microsoft Corporation depuis le début des années 90 initialement par une ancienne équipe de Digital Equipment Corporation (DEC).

Commercialisation de Windows 2003 en 2003!

Noyau différent de ceux de Windows 95, Windows 98 et NT 4.0, dérivé de celui de Windows 2000.

Solution présentée à des attentes telles que:

 robustesse,

 sécurisation,

 fonctionnalités serveur,

 gestion du poste client,

 administration distante,

 technologies d'infrastructure réseau,

 …

Windows NT : Une réponse à la volonté de Microsoft Corporation de prendre pied dans les environnements systèmes professionnels. A sa sortie, attaque directe contre Novell

IntranetWare et les grands systèmes propriétaires. Depuis, attaqué directement par les Unix ouverts de type Linux ou FreeBSD.

Existence de versions dédiées "poste clients" destinées à être utilisées en association aux systèmes "serveur".

Système serveur Système poste client

Windows NT 4.0 Serveur

Windows NT 3.51 ou 4.0 Workstation Windows 2000 ou 2003 Serveur Windows 2000 ou XP Professionnel

Caractéristiques principales

Présenté comme très largement compatible avec les développements antécédents réalisés pour Windows.

-> Préservation des investissements en logiciel et en formation (y compris pour les formations d'administrateurs).

-> Préservation des investissements matériel car Windows 2003 n'est pas plus exigant que Windows 2000 en ressources matérielles (voire même moins pour certains services).

(2)

Système d'exploitation réseau.

-> Intégration poussée des fonctionnalités réseau au sein du noyau. Gestion de la sécurité à deux titres :

 sûreté de fonctionnement (robustesse),

 sécurité vis à vis du contrôle de l'utilisation de la machine (actions, intrusions, ...).

Système d'exploitation d'entreprise (infrastructure informatique globale) et non plus seulement système d'exploitation départemental (gestion de groupes de travail) ou poste de travail.

Fonctionnalités améliorant le rendement de l'administrateur, de l'utilisateur et du matériel. Exemples:

 administration centralisée,

 vrai multitâche,

 partage de ressources,

 …

Quelques caractéristiques de Windows 2003 Serveur Qualités

 Administrabilité

 Sécurité vis à vis des intrusions

 Robustesse

 Maintenance de la part de Microsoft

 Système en version 32 bits et 64 bits

 Système multi-tâche et multi-threadé

 Support des ordinateurs multiprocesseurs

 Support des standards du marché

 Système d'entreprise

Défauts

 Nécessité d'un administrateur désigné

 Incompatibilité de certains logiciels (DOS, Win95, Win98)

 Système non multi-session

 Reboots

 Système entièrement propriété de Microsoft Corporation

Implantation constatée

Windows 2003 est entré principalement en concurrence avec Windows 2000 Serveur (son prédécesseur immédiat), Linux et Novell IntranetWare.

C'est un produit qui a reçu bon accueil:

 Large implantation sur les petits serveurs de groupes de travail (en concurrence

avec Linux).

 Peu implanté sur les moyens et gros systèmes (en concurrence avec Linux, Unix et

les systèmes propriétaires).

(3)

En version 32 bits:

 Windows 2003 Server Web Edition

Pas de gestion d'un parc de machines (Domaine). Serveur Internet

De 1 à 2 processeurs, jusqu'à 2 Go de mémoire. N'existe pas en version x64.

N'existe pas en version Itanium.

 Windows 2003 Server Standard

Gestion d'un parc de machines (Domaine).

Priorité aux activités liées au réseau par rapport aux activités purement locales. Serveurs de fichiers et d'imprimantes

Serveur Internet

De 1 à 4 processeurs, jusqu'à 4 Go de mémoire. Jusqu'à 32 Go de mémoire en version x64. N'existe pas en version Itanium.

 Windows 2003 Enterprise

Édition modifiée pour une meilleure extensibilité (équilibrage de charge) et sûreté de fonctionnement (clustering).

Serveurs Internet et d'applications

De 1 à 16 processeurs, jusqu'à 64 Go de mémoire. Jusqu'à 1 To de mémoire en version x64 et Itanium.

 Windows 2003 Datacenter

Fonctionnalités de l'Advanced Server. Serveurs Internet et d'applications

16 ou 32 processeurs, 64 à 128 Go de mémoire. En version R2 (voir plus loin), jusqu'à 64 processeurs. Jusqu'à 1 To de mémoire en version x64 et Itanium. Version "poste client": Windows XP Professionnel

En 2002, Microsoft a édité le successeur de Windows 2000 Professionnel : Windows XP Professionnel. Il en reprend le noyau et est plus une évolution qu'une révolution.

Microsoft a aussi commercialisé une version "personnelle" de Windows XP : Windows XP Home Edition. Celle-ci est principalement allégée des possibilités d'administration

centralisée et de sécurisation.

Nouvelle release de Windows 2003 en 2006: Windows 2003 R2

 Mise à jour logicielle

 Ajout de fonctionnalités

Prochaine version serveur: Windows ? en ?

(4)

II - ELÉMENTS D'ARCHITECTURE, RÉSEAU INTERNET

Internet : Réseau mondial d'inter-connexion de réseaux.

Toute machine connectée au réseau Internet peut théoriquement communiquer avec tout autre machine elle-même connectée. Dans la pratique, c'est loin d'être systématiquement le cas.

Pour ce faire, un message d'une machine à une autre machine est segmenté en paquets. Chacun des ces paquets est marqué par la machine source avec son nom et le nom de la machine cible et est émis sur le réseau à destination de cette machine.

Rien n'interdit qu'un paquet se perde en cours de route. Suivant la technique de gestion de la communication, ces pertes peuvent être tolérées ou interdites. Dans le second cas, la perte est détectée et le paquet est envoyé de nouveau.

Le transfert de ces paquets requière la présence d'une infrastructure matérielle gérée par une infrastructure logicielle.

Infrastructure matérielle Sous-réseau

Un sous-réseau est un réseau dont chaque machine peut communiquer directement avec toute autre machine.

Dans le cas des réseaux ethernet sur double paires torsadées (technologie la plus courante actuellement), les machines sont interconnectées via des concentrateurs (hubs) ou des commutateurs (switchs).

Un concentrateur relie les machines en étoile. Il duplique et transmet tout paquet à toutes les machines qui lui sont directement connectées. Une machine cible conservera et

exploitera les paquets qui lui sont destinés et oubliera les autres.

Du fait de la duplication des paquets, la somme des bandes passantes instantanées sur l'ensemble des machines connectée est la bande passante du concentrateur (généralement 10 ou 100 Mbits/s).

La capacité de transfert est donc partagée entre les machines connectées et est limitée à celle du concentrateur.

Un commutateur relie les machines en étoile et transmet un paquet à la seule machine à laquelle il est destiné.

-> Une machine ne reçoit que les seuls paquets qui lui sont destinés.

(5)

sont connectées égale à celle de son interface réseau (10, 100 ou 1000 Mbits/s). La bande passante globale du sous-réseau est toutefois limitée par la vitesse de commutation du fond de panier du commutateur (matrice de commutation).

Un sous-réseau peut être constitué par une étoile de commutateurs ou concentrateurs sur lesquels viennent se connecter en étoile les machines.

Inter-connexion des sous-réseaux

Toujours pour les réseaux ethernet, deux ou plusieurs sous-réseaux séparés peuvent être connectés entre eux via un routeur. Un tel matériel est capable de "router" les paquets entre les sous-réseaux qui contiennent les machines source et cible.

Dans les cas simples, les sous-réseaux sont directement connectés sur un routeur unique qui après configuration semble agir comme un commutateur.

(6)

Pour des raisons de pérennité de fonctionnement, le réseau de routeurs, au lieu d'être construit en étoile, pourra être construit en graphe. Plusieurs chemins pourront exister pour aller d'un sous-réseau à un autre sous-réseau. Pour un même message, les paquets pourront transiter par des chemins différents et même arriver dans un ordre différent de celui de départ. Le matériel actif se contente d'assurer le transfert de l'information. Ce seront les machines qui reconstitueront la cohérence des messages à l'arrivée.

Les routeurs ont une "connaissance" (statique ou dynamique) de la topographie globale du réseau fédérateur permettant ainsi de résoudre le problème du choix et de l'optimisation des liens de transit.

(7)

Infrastructure logicielle

L'infrastructure logicielle d'un réseau informatique est basée sur l'utilisation de un ou plusieurs protocoles de communication (i.e. langage de communication d'informations entre ordinateurs).

Les protocoles les plus courants sont TCP/IP, NetBEUI et IPX/SPX. TCP/IP est le protocole de l'Internet et tend à se généraliser.

La différence essentielle entre ces trois protocoles est que TCP/IP est assez facilement "routable" (i.e. est géré par les routeurs) et permet donc d'interconnecter des sous-réseaux. NetBEUI ne l'est pas. IPX/SPX l'est moins facilement que TCP/IP. Cette caractéristique ainsi que sa relative simplicité explique son adoption pour le réseau Internet.

L'infrastructure logicielle comprend pour chaque protocole:

 Les logiciels de configuration, de gestion et d'audit du fonctionnement des matériels

du réseau (concentrateurs, commutateurs, routeurs, ...) (non abordés ici).

 Les logiciels de configuration, de gestion et d'audit du fonctionnement local des

machines permettant en particulier de donner un nom à chaque machine pour autoriser les communications machine source <-> machine cible.

 Les services réseau implantés pour utiliser ou faciliter l'utilisation du protocole.

NetBEUI

NetBEUI possède le gros avantage d'être simple à installer et configurer. Cette simplicité est principalement due au fait qu'il n'a pas été conçu dans le but d'être routé et qu'il n'intègre donc pas les paramètres qui pourraient être nécessaires à la gestion du routage. Les machines sont désignées par des noms alphanumériques sur 15 caractères.

Toutes les machines placées sur le même concentrateur, sur le même commutateur ou liées par une suite de concentrateurs commutateur peuvent communiquer directement entre elles.

Un certain nombre de services réseau ont été développés pour NetBEUI. En particulier SMB (Server Message Block) et Lan Manager proposent les services:

 de gestion d'utilisateurs,

 de gestion de répertoires partagés,

 de gestion d'imprimantes partagées,

 ...

NetBEUI et les services qui lui sont associés est disponible sous les différentes versions de Windows et sous Linux (Samba).

Outre sa non routabilité, NetBEUI utilisé sous Windows possède l'inconvénient de mettre en œuvre un processus d'exploration du réseau à la recherche des machines qui y sont

présentes de manière à en rendre accessible la liste. Dans le cas le plus défavorable, chaque machine émet régulièrement un "broadcast" (i.e. un message destiné à toutes les

(8)

obtient de l'ordre de n2 messages échangés régulièrement.

-> à partir d'un certain nombre de machines, une part importante du trafic du réseau (voire près de 100%) peut être consacrée à ce processus d'exploration.

Pour éviter ce problème, dans une version plus élaborée (en particulier depuis Windows NT), un "maître explorateur" est élu automatiquement sur chaque sous-réseau. Cette machine sera la seule à assurer l'exploration. Elle sera contactée par toute machine souhaitant connaître la liste des machines du réseau.

TCP/IP

Plus complexe que NetBEUI, TCP/IP intègre, outre des paramètres permettant de nommer les machines et de les placer dans des sous-réseaux, un ensemble de paramètres destinés au routage.

Paramètres généraux:

Adresse IP : Une machine est nommée de manière unique sur son réseau par son

"adresse IP" formée de 4 nombres compris entre 0 et 255. Exemple: 172.20.128.23  Masque de sous-réseau (Subnet Mask) : Formé de 4 nombres compris entre 0 et

255, le masque de sous-réseau permet d'indiquer à une machine quelles sont les adresses IP des machines qui font partie de son sous-réseau (i.e. les machines avec lesquelles elle peut communiquer sans routage).

Comme son nom l'indique, le masque de sous-réseau est un masque numérique. Il est géré en arithmétique binaire. Si les "et binaire" entre les adresses IP de deux machines et le masque sont égaux alors les deux machines font partie du même sous-réseau TCP/IP.

Exemple: Soient le masque M = 255.255.255.128 et les machines d'adresses IP I1 = 172.20.128.164 et I2 = 172.20.128.213.

En binaire, le masque devient

M = 11111111.11111111.11111111.10000000

et les adresses

I1 = 10101100.00010100.10000000.10100100

et

I2 = 10101100.00010100.10000000.11010101

Si (M & I1) = (M & I2) alors les machines font partie du même sous réseau. Le signe & désigne le "et binaire".

M & I1 = 10101100.00010100.10000000.10000000 M & I2 = 10101100.00010100.10000000.10000000

(M & I1) est égal à (M & I2) -> Ces deux machines sont sur le même sous-réseau. Elles pourront communiquer directement si elles sont interconnectées par un concentrateur ou un commutateur.

Les masques de sous-réseau ne peuvent pas être considérés arbitrairement. Ils sont construits de gauche à droite au moyen d'une suite de bits à 1 suivie d'une suite de bits à 0. Les masques de sous-réseau classiques sont :

255.255.255.0 -> 256 adresses dans le même sous-réseau (si les trois premiers nombres de deux adresses IP sont les mêmes, les deux adresses sont dans le même sous-réseau) (ce masque correspond à ce que l'on appelle usuellement une classe C),

255.255.255.128 -> 128 adresses (2 sous-réseaux sur une classe C : de 0 à 127 et de 128 à 255),

255.255.255.192 -> 64 adresses (4 sous-réseaux sur une classe C : de 0 à 63, de 64 à 127, de 128 à 191 et de 192 à 255),

255.255.255.224 -> 32 adresses (8 sous-réseaux sur une classe C), 255.255.255.240 -> 16 adresses (16 sous-réseaux sur une classe C),

(9)

255.255.255.248 -> 8 adresses (32 sous-réseaux sur une classe C), 255.255.255.252 -> 4 adresses (64 sous-réseaux sur une classe C).

Définition des différentes classes IP

Passerelle par défaut (Gateway) : Il s'agit de l'adresse IP vers laquelle seront

envoyés tous les paquets non destinés à une machine du même sous-réseau que la machine source. Un routeur ou un ordinateur assurant le routage sera installé à cette adresse pour les réceptionner et les transmettre.

Paramètres de configuration DNS

La technique de dénomination par adresse IP est pratique pour les ordinateurs car

facilement manipulée par eux. En revanche, la mémorisation est difficile pour les individus. Convention de dénomination supplémentaire:

Désignation de chaque machine par un ou plusieurs noms IP alphanumériques.

Une machine porte un nom et appartient à un domaine TCP/IP qui peut lui-même être le sous-domaine d'un autre domaine TCP/IP,... Un domaine peut ainsi posséder plusieurs sous-domaines, qui eux-mêmes peuvent posséder des sous-domaines,... créant ainsi une organisation arborescente.

Les parties du nom IP sont délimitées par des points avec, de gauche à droite, le nom de la machine, puis les différentes parties du nom de domaine du plus particulier au plus

général.

Exemple: 172.20.128.99 <=> bunny.edu-info.univ-fcomte.fr (machine bunny du sous-domaine edu-info.univ-fcomte.fr du sous-sous-domaine univ-fcomte.fr du sous-domaine fr).

Les listes de couples (adresse TCP/IP, nom TCP/IP) peuvent être gérées de deux manières:

 localement sur chaque machine au moyen de "fichiers hosts",

 Globalement sur un ensemble de machines reliées en réseau au moyen d'un serveur

DNS (Domain Name Server) qui gère la liste associée à un domaine et peut être interrogé via une connexion réseau normalisée. La configuration TCP/IP de la machine cliente inclut alors une référence à ce serveur.

Les serveurs DNS sont généralement organisés sous une forme arborescente calquée sur l'arborescence des domaines TCP/IP qu'ils représentent. Chaque serveur gérera tout ou partie des noms de machine associés au nom de domaine dont il est le nœud. Il peut y avoir plusieurs serveurs DNS pour un même nom de domaine soit pour distribuer les machines entre eux, soit au contraire pour répliquer les bases de données de machines et avoir une redondance permettant une meilleure pérennité ou encore un équilibrage de charge pour les domaine très consultés.

Un serveur DNS aura les tâches suivantes:

 Gérer sa base de données de noms

 Résoudre un nom pour les machines qui le lui demandent quand il connaît le nom (il

appartient au domaine qu'il gère).

Répondre que le nom n'existe pas, s'il est certain qu'il n'existe pas (il n'est pas défini dans le domaine qu'il gère).

(10)

Propager la demande de résolution vers le serveur ou les serveurs DNS de son domaine maître si le nom n'appartient pas à un de ses sous-domaines.

Nom d'hôte : Nom donné à la machine. Généralement identique au nom qui lui est

donné sur le DNS dont elle dépend.

Suffixes DNS : Nom du ou des domaines auxquels appartient la machine. Lorsque

cette machine spécifie des noms IP sans indiquer explicitement de nom de domaine, les suffixes sont testés les uns après les autres comme domaines implicites.

DNS : Un ou plusieurs serveurs DNS peuvent être désignés pour être joints

lorsqu'une résolution de nom DNS doit être réalisée pour obtenir l'adresse IP correspondant au nom IP ou réciproque.

Paramètres de configuration WINS

Un problème spécifique aux machines Windows est qu'elles peuvent devoir répondre à la convention de nommage NetBEUI. Or, la non routabilité de ce protocole fait qu'il est impossible de l'utiliser pour des réseaux comportant un nombre important de machines. Via une "Interface NetBIOS", il est possible de faire transiter des informations au moyen du protocole TCP/IP en utilisant les conventions de nom NetBEUI et donc d'autoriser le

routage.

Le problème est d'arriver à rendre compatibles les noms TCP/IP et les noms NetBEUI. Windows Internet Name Service (WINS) est l'une des solutions possibles.

WINS est un service réseau pouvant être implanté sur un serveur permettant à celui-ci de gérer une base de données d'associations nom TCP/IP <=> nom NetBEUI, et d'être à même d'effectuer des résolutions de nom via requêtes réseau normalisées. Il s'agit de l'équivalent résolution nom TCP/IP <-> nom NetBEUI de ce qu'est DNS pour les résolutions nom TCP/IP <-> adresse IP.

Par rapport à DNS, WINS apporte quelques possibilités supplémentaires:

 L'apprentissage est dynamique (i.e. tous les clients d'un serveur WINS s'enregistrent

automatiquement sur ce serveur).

 Les serveurs WINS peuvent enregistrer d'autres informations telles que des noms

d'utilisateurs, des noms de machines, ...

 Des serveurs WINS peuvent être configurés pour échanger entre eux leurs bases de

données et offrir ainsi des redondances et des possibilités d'administration plus élaborées.

 ...

WINS primaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une

résolution WINS doit être réalisée. Le client WINS s'enregistre par la même occasion.  WINS secondaire : Adresse IP du serveur WINS qui doit être joint lorsqu'une

résolution WINS doit être réalisée et que le serveur primaire ne donne pas de réponse soit car il ne fonctionne pas, soit car il ne connaît pas l'association souhaitée.

Filtrage IP

Le protocole TCP/IP permet généralement l'implantation de fonctions de filtrage tant du point de vue des paquets sortants que du point de vue des paquets entrants.

Ces fonctions de filtrage pourront généralement être configurées soit en fonction de l'adresse IP du client, soit en fonction du port TCP/IP utilisé par l'ordinateur client.

(11)

Tous ces paramètres nécessaires à l'infrastructure TCP/IP pourront être renseignés soit directement sur l'ordinateur hôte, soit sur un serveur DHCP (Dynamic Host Configuration Protocol) qui sera contacté par l'intermédiaire du réseau par l'hôte au moment de son démarrage.

L'intérêt de l'utilisation de DHCP réside dans les points suivants:

 La configuration des postes clients est centralisée.

 L'affectation des paramètres pourra être réalisée dynamiquement ou statiquement.

Dans le cas de l'affectation dynamique, on pourra par exemple ne disposer que d'un pool restreint d'adresses IP permettant d'accéder à Internet et affecter ces adresses aux seules machines en fonctionnement.

 ...

De plus en plus, on constate une convergence entre DNS, DHCP et WINS permettant, via une base de données unique, d'assurer la cohérence des informations transmises. C'est le cas sous Windows 2000.

Commandes TCP/IP texte ipconfig

La commande ipconfig permet de visualiser la configuration TCP/IP des différentes cartes réseau présentes dans la machine. la syntaxe est

ipconfig pour obtenir un résumé et

ipconfig -all pour obtenir une description complète.

(12)

ipconfig -all

ping

La commande ping permet de tester la présence d'une machine sur le réseau. la syntaxe est ping nom_IP ou ping adresse_IP ping nslookup

La commande nslookup permet d'interroger sont serveur DNS pour obtenir les adresses IP correspondant à un nom IP, ou les noms IP correspondant à une adresse IP. La syntaxe est

nslookup nom_IP

ou

(13)

nslookup

Tracert

La commande tracert permet d'obtenir la liste des matériels réseau (routeurs) traversés pour joindre une autre machine.

La syntaxe est

tracert nom_IP

ou

tracert adresse_IP

Tracert

III - CONCEPTS ET PLANIFICATION

La gestion de la sécurité

(14)

Action ou ressource refusée ou accordée en fonction de l'utilisateur. Possibilités multiples de sécurisation:

 autorisation d'utilisation d'une machine (obtention obligatoire d'un compte

d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir),

 interdiction d'utiliser d'autres applications que celles dûment autorisées,

 interdiction d'installer des applications,

 interdiction de modifier l'environnement de travail,

 restrictions d'accès aux ressources (fichiers, imprimantes, …),

 audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur,

accès à des ressources,...),  …

Droit ou privilège: Autorisation d'exécuter une action système.

Exemples: Créer des comptes, installer un pilote d'imprimante, partager un répertoire, arrêter le système, ...

Autorisation: Autorisation d'accès à une ressource.

Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application, ...

Tous les objets du système sont soumis à autorisations via des ACLs.

Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,... Un utilisateur possède tous les droits : l'"Administrateur".

Il est nommé "root" sous UNIX.

La gestion du réseau

NOS (Network Operating System): Système d'exploitation utilisable pour la connexion d'ordinateurs en réseau.

-> connexion et communication facile entre ces machines.

Nombre important de normes de câblage connectées aux machines via des cartes d'interface réseau (NIC, Network Interface Card):

 Ethernet épais, fin et double paires torsadées,

 Phonenet,  Fibre optique,  Infrarouge,  Bluetooth,  Wifi,  Modem,  ...

Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des éditeurs tiers):

 NetBEUI,

(15)

 IPX/SPX,  DLC,  Appletalk,  ATM,  TokenRing,  FDDI,  …

Nombre important de services réseau tant du point de vue serveur que du point de vue client:  SMB,  Lan Manager,  DNS,  WWW,  FTP,  Telnet,  SMTP,  NNTP,  NTP,  Proxy,  DHCP,  WINS,  ADS,  ...

-> grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau. Protocole natif de Windows NT: NetBEUI.

Protocole natif de Windows 2003: TCP/IP. NetBEUI

Avantages Inconvénients

 Rapide

 Peu gourmand en ressource système

 Pas de routage

 Pas compatible avec Internet

 Protocole assez bavard sur le réseau

TCP/IP Avantages Inconvénients

 Rapide

(16)

 Possiblement complexe à paramétrer  Protocole des "pirates"

Windows 2003 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI sans même que NetBEUI soit installé.

Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre encore un nombre important de caractéristiques:

 dénomination des machines,

 explorateur réseau,

 ...

Elle permet de plus de rester compatible avec des machines qui n'utiliseraient que ces conventions de nom.

Depuis Windows 2000 Microsoft encourage l'utilisation de TCP/IP même si la base de Windows NT et 9x reste NetBEUI.

Sécurité gérée au niveau du réseau.

Le partage de ressources

Utilisation d'une ressource partagée: Utilisation d'objets offerts par une machine distante. Ressources partageables:

 les répertoires et les fichiers qu'ils contiennent,

 les imprimantes,

 dans une certaine mesure, les applications (Exécution d'une application sur une

machine distante avec transmission du résultat d'exécution sur la machine locale) (possibilité d'utiliser le service Terminal Server pour configurer un serveur de terminaux Windows, équivalent fonctionnel à un serveur X).

Sécurité au niveau des ressources partagées.

Active Directory

Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs, ordinateurs, applications, données partagées, ... et à être interrogé par d'autres machines. AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS. Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à un fonctionnement pérenne.

Intérêt d'AD:

 Windows 2003 avec AD supporte des domaines de plusieurs millions de comptes

d'utilisateurs alors que, dans la pratique, Windows NT 4.0 était limité à quelques dizaines de milliers.

 Windows 2003 avec AD supporte des domaines de plusieurs dizaines de milliers de

(17)

Unité Organisationnelle

La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation

arborescente.

L'extensibilité d'Active Directory

Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de

nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes.

Kerberos

Kerberos V5.0 est le protocole d'authentification réseau de Windows 2003 pour les

communications avec d'autres machines 2003, 2000 ou XP. Associé à Active Directory, il rend Windows 2003 très différent de Windows NT 4.0 du point de vue de la gestion de la sécurité.

Deux points importants sont à signaler:

 L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs, lors

d'une communication d'informations, de vérifier l'authenticité de leurs identités respectives pour éviter les usurpations d'identité.

 L'approbation transitive: Si A fait confiance à B, et B fait confiance à C, alors A fait

confiance à C.

-> En particulier, cette loi est vérifiée pour les approbations entre "Domaines Windows 2003".

Kerberos succède à NTLM. Windows 2003 devra utiliser NTLM (dont il est pourvu) pour l'authentification avec des machine sous système d'exploitation de version antérieure ou des machines indépendantes (hors domaine, voir plus loin).

La notion de domaine Windows 2003

Domaine: Unité d'administration sous Windows 2003.

Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une

machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité associée.

Active Directory permet une organisation différente de la classique et très rigide

organisation à base de domaines et d'approbation entre domaines de Windows NT 4.0. Ce sont la souplesse de la gestion par base de données et les possibilités d'extension héritée de l'annuaire X.500 (à l'origine d'Active Directory) qui permettent ces nouvelles possibilités.

Les UO définies au sein des domaines permettent le contrôle de délégation sous Windows 2003 alors que sous NT, ce sont les domaines.

(18)

Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du

domaine (obligatoirement une machine sous Windows 2003 Server ou 2000 Server). La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active Directory et est répliquée automatiquement entre eux.

Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base

d'utilisateurs et de groupes d'utilisateurs.

Contrairement au modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal" auquel il peut être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un domaine Windows 2003 contient 1 ou plusieurs contrôleurs de domaine placés au même niveau hiérarchique.

Le problème de la "solution" NT 4.0 est que l'indisponibilité du contrôleur primaire entraîne l'arrêt de toute possibilité d'administration du domaine: comptes d'utilisateur et machines. Dans le modèle Windows 2003, ce n'est plus le cas car les tâches d'administration peuvent être continuées.

Définition possible de plusieurs domaines sur le même réseau.

ATTENTION: Ne pas confondre les notions de domaine Windows 2003 et domaine TCP/IP.

Les domaines 2003 portent fréquemment des noms mappés sur leurs équivalents TCP/IP et permettent l'administration centralisée de leurs machines. En revanche, les domaines

TCP/IP n'incluent pas cette notion d'administration système centralisée.

Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines Windows 2003 pour l'administration des comptes d'utilisateurs et des groupes

d'utilisateurs.

Approbation

Il est possible d'établir des relations d'approbation entre domaines permettant aux

utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine. Elles pourront être créées:

 implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées

automatiquement,

 explicitement auquel cas elles sont unidirectionnelles et créées explicitement par

l'administrateur.

Arborescence de domaines: Structure de domaines hiérarchisée sur le mode

arborescent par des relations d'approbation implicites. La base est constituée du domaine racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que les noms TCP/IP -> espace de noms contigu pour tous les domaines fils d'un domaine racine.

(19)

Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt

est la première arborescence à avoir joint la forêt. Tous les domaines racines des arborescences de la forêt possèdent implicitement une relation d'approbation bidirectionnelle avec la racine de la forêt.

Eléments interconnectables au sein un domaine (1) Avec ouverture de session de travail

 Un ou plusieurs contrôleurs de domaine (sous Windows 2003 ou 2000 Server et

Active Directory) sans hiérarchie particulière.

 Des machines clientes simples sous Windows 2003 ou 2000 Server (mais sans Active

Directory), XP ou 2000 Professionnel. Pour un poste Windows 2003 ou 2000 Server, on parle alors de "Serveur membre".

 Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.

Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au sein d'AD sur chacun des DC.

Les ouvertures de session sont authentifiées par le premier contrôleur disponible trouvé sur le réseau.

(2) Sans ouverture de session sur l'un des DCs

Etablissement possible de connexions simples avec d'autres machines sous Windows 2003, 2000, NT 4.0 ou 3.51, Windows 3.11, 95 et 98 ou tout autre système d'exploitation

reconnaissant les protocoles installés sur la machine serveur et assurant les services de connexion des serveurs du domaine.

(20)

Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des ressources:

domaine\utilisateur pour un nom d'utilisateur,

\\serveur\ressource pour l'accès à une ressource partagée. (3) Autres possibilités

Toute machine en accès via un service sans authentification explicite (WWW, FTP

anonymous, ...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...).

Les contrôleurs de domaine

Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs ainsi que de la politique de sécurité associée.

Authentification des ouvertures de session et des accès aux ressources partagées qu'ils proposent.

Administration des utilisateurs.

Redondance des bases de données d'utilisateurs et de groupes d'utilisateurs.

Les machines Windows XP ou 2000 Professionnel

Machines clientes simple du domaine.

Pas de stockage d'une copie de la base de données des utilisateurs. Soumission des ouvertures de session à un DC.

Pas de rôle d'administration.

Les machines Windows 2003 ou 2000 Server en serveurs simples

Machines gérées comme des machines Windows XP ou 2000 Professionnel du point de vue de la base de données des utilisateurs mais possédant les capacités de Windows Server du point de vue des services réseau autres que ceux de gestion des domaines.

Exemples:

 Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de

domaine.

 Fonctionnement d'un logiciel qui nécessite Windows Server sur une machine qu'on

ne souhaite pas être contrôleur de domaine.

Les autres systèmes

Toute machine quel que soit son système d'exploitation. Condition nécessaire pour l'établissement d'une connexion:

 Reconnaître d'un des protocoles du serveur de domaine.

 Être capable d'émettre un nom de login ainsi que le mot de passe associé (Protocole

(21)

 Être capable de gérer la partie cliente du service auquel l'accès est réalisé. -> Privilèges pour l'accès aux ressources partagées accédées accordés au compte de connexion sans avoir pour autant ouvert de session.

DDNS, WINS et DHCP

Une implantation Windows 2003 nécessitera fréquemment le déploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol).

Actuellement seul DDNS est réellement nécessaire car les domaines Windows 2003 l'utilisent obligatoirement.

L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows 2003 construit (généralement équivalent à un domaine TCP/IP).

Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et dynamique des clients. S'il est installé sur une machine contrôleur de domaine, cet

enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des

serveur DNS synchronisés et donc de péréniser le fonctionnement du système de résolution de noms..

L'utilisation de WINS n'est réellement intéressante que lorsque plusieurs sous-réseaux TCP/IP différents doivent communiquer entre eux via routage et donc constituer un seul et même domaine de nom et que, de plus, la convention de nom simplifiée de NetBEUI doit pouvoir être utilisée (volonté de simplification pour les utilisateurs, présence de machines anciennes, utilisation souhaitée du voisinage réseau, ...) qui n'autorise pas le routage. La connexion entre ces sous-réseaux est établie physiquement et logiquement au moyen de routeurs dédiés au protocole TCP/IP.

Le problème se pose alors de faire "se trouver" respectivement les machines lorsque qu'un ordinateur situé sur un sous-réseau doit "parler" avec une machine d'un autre sous-réseau. Au sein et sans sortir des différents sous-réseaux, le problème ne se pose pas car il est géré nativement par l'interface NetBEUI. Pour les communications entre sous-réseaux, l'information transitera et sera routée au sein de "paquets" TCP/IP. WINS apporte un service de nom permettant d'associer automatiquement bijectivement les noms TCP/IP et les nom NetBIEU.

Les machines seront configurées pour interroger un serveur WINS si elles ont besoin d'une résolution de nom. Au démarrage, toute machine configurée pour utiliser éventuellement un serveur WINS s'enregistre dans sa base de manière à la renseigner.

Sous Windows 2003, tout comme avec DDNS, une base de données WINS est stockée au sein d'Active Directory si le serveur WINS est contrôleur de domaine et est donc distribuée sur les contrôleurs.

Il est possible de configurer un ensemble de serveurs WINS indépendants pour qu'ils échangent leurs bases de données.

L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion des paramètres TCP/IP des machines d'un domaine.

Les utilisateurs et les groupes d'utilisateurs Les utilisateurs

(22)

Stockage dans la base de donnée des utilisateurs et des groupes d'utilisateurs au sein d'Active Directory d'un certain nombre d’informations concernant chaque utilisateur:

 nom d'utilisateur complet

 nom d'utilisateur principal (UPN, User Principal Name)

 nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)

 mot de passe

 les restrictions apportées aux actions qui lui sont autorisées

 …

Exemple de nom: John Smith comme nom complet, john.smith@w2k3.univ-fcomte.fr comme nom principal (ATTENTION, le nom principal est formaté comme une adresse électronique) et w2k3\smith comme nom équivalent NT en convention UNC.

Les groupes

Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de privilèges et de autorisations.

Un utilisateur peut appartenir à plusieurs groupes.

-> Possibilité de gestion hiérarchisée des comptes des utilisateurs. -> Facilité de gestion.

Deux types de groupe:

 Groupes de sécurité: Leurs membres sont susceptibles de se voir attribuer des

autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution.

 Groupes de distribution: Ils peuvent servir de listes de distribution mais pas à

l'attribution d'autorisations ou de droits.

Trois étendues de groupe sur une machine Windows 2003 Server contrôleur de domaine:

 Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des

comptes de n'importe quel domaine Windows 2003 dans l'arborescence de domaine ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine de l'arborescence de domaine ou de la forêt.

 Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des

comptes du domaine dans lequel le groupe est défini et peuvent recevoir des autorisations dans n'importe quel domaine de la forêt.

 Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes

et des comptes du domaine Windows 2003 et peuvent être utilisés pour octroyer des autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines Serveur contrôleur ou membre.

Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du domaine de définition et des domaines approuvant le domaine de définition.

Un seul type de groupe peut être défini sur une machine Windows XP ou 2000 Professionnal ou 2000 ou 2003 Serveur en serveur simple:

(23)

Sur ces machines, quand elles appartiennent à un domaine, réception des groupes globaux et universels du domaine d'un des contrôleurs de domaine.

Après l'installation initiale d'un Windows

Deux comptes d’utilisateur locaux:

 un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows 2000 ou XP

Professionnal, désactivé sous Windows 2000 ou 2003 Serveur

 un compte "administrateur" d'administration local

Différents groupes intégrés locaux:

 Administrateurs

 Invités

 Utilisateurs

 Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration

non relatifs aux domaines)

 Opérateurs de sauvegarde

 Réplicateurs

Différents groupes spéciaux (ne possédant pas de membre):

 Créateur/propriétaire (propriétaires des objets)

 Système (activités liées au système d'exploitation)

 Réseau (activités d'utilisateurs provenant du réseau)

 Anonymous logon (utilisateur non authentifié)

 Utilisateur authentifié (utilisateur authentifié)

 Batch (processus batch)

 Dialup (utilisateur via un accès dial-up)

 Tout le monde (tout utilisateur authentifié référant au domaine natif ou à un

domaine approuvé)

 Interactif (utilisateur qui accède à une ressource en se connectant localement à

l'ordinateur proposant cette ressource)

 Service (un service)

Après l'installation de Windows 2000 ou 2003 Serveur en contrôleur de domaine

Deux comptes d’utilisateur:

 un compte "invité" du domaine

 un compte "administrateur" d'administration du domaine

Groupes intégrés créés au sein d'Active Directory:

 Administrateurs (domaine local)

 Invités (domaine local)

 Utilisateurs (domaine local)

 Opérateurs de compte (domaine local) (gestion des comptes et des groupes

d'utilisateurs sauf pour ceux qui possèdent des privilèges d'administration)

 Opérateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs

du réseau)

(24)

 Admins du domaine (global)

 Invités du domaine (global)

 Utilisa. du domaine (global)

 Ordinateurs du domaine (global)

 Contrôleurs du domaine (global)

 Éditeurs de certificats (global)

 Administrateurs de l'entreprise (universel ou global)

 Administrateurs de stratégie de groupe (universel ou global)

 Administrateurs du schéma (universel ou global)

Sur les Windows membres simples d'un domaine

Groupes et utilisateurs issus du domaine:

 les comptes

o "invité" du domaine

o "administrateur" d'administration du domaine

 les groupes

o Admins du domaine (global)

o Invités du domaine (global)

o Utilisa. du domaine (global)

o ...

Sur ces machines, existence préservée et utilisation possible des comptes et groupes

locaux. Sur les contrôleurs de domaine, existence préservée mais utilisation impossible des comptes et groupes locaux.

Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par l’administrateur système ou toute personne possédant les privilèges administrateur, admins du domaine ou opérateur de comptes.

Contenu précis d’un compte d’utilisateur d'un domaine

Informations pouvant être renseignées lors de la création ou bien à tout autre moment après la création:

 Nom d'utilisateur complet

 Nom d'utilisateur principal (UPN, User Principal Name)

 Nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)

 Mot de passe

 Adresse électronique

 Numéros de téléphone

 Horaires d’accès

 Stations de travail autorisées pour l'accès

 Adresse postale

 Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers

personnels ne sont pas détruits)

 Répertoire de base (généralement, le répertoire personnel) (répertoire local ou

réseau)

 Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session,

mais pas lors du simple accès à une ressource partagée)

 Profil (localisation des fichiers de configuration de l'utilisateur)

 Place de l'utilisateur dans son organisation

 Groupes auxquels appartient l'utilisateur

(25)

 Informations de configuration de l'utilisateur pour les services Terminal Server

SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un

groupe d'utilisateurs au sein d'un domaine Windows 2003. Exemple:

S-1-5-21-3292650235-2243138800-104724495-1005 Tout SID ayant été utilisé ne le sera jamais plus.

Les stratégies de groupes

Via l'utilisation des stratégies de groupes (stratégies de sécurité), il est possible de gérer de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux ordinateurs d'un domaine.

Les possibilités offertes par les stratégies de groupes sont très larges:

 gestion de l'interface graphique,

 gestion des applications utilisables par les utilisateurs,

 installation d'applications,

 gestion des mises à jour,

 droits des utilisateurs,

 configuration automatique des applications,

 ...

Les profils

Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du

registre pour le paramètrage des applications) définissant l'environnement de travail d'un utilisateur.

Par exemple, pour chaque utilisateur:

 son menu démarrer,

 son bureau,

 son dossier "Mes documents",

 son registre (fichier NTUser.dat):

o ses connexions réseaux, ses montages d'imprimante réseau,

o ses variables d'environnement (path, set, ...),

o ses définitions de couleurs, de police de caractères,...

o ses paramétrages logiciels,

o ...

 ...

Stockage des profils dans des ensembles de fichiers et de répertoires stockés dans le répertoire "Documents and Settings", généralement dans un répertoire portant le nom de l'utilisateur.

"Default User": Profil par défaut géré par le système et attribué par copie à chaque utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une machine. Le profil par défaut doit être configuré sur chaque poste client.

(26)

les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par l'administrateur.

Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui. Dans le cadre d'un domaine, centralisation possible de la gestion de manière que tout utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte.

-> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine (accessible à toutes les machines du domaine).

 Lors de la connexion, téléchargement automatique du profil sur le poste client dans

le répertoire "Documents and settings".

 Utilisation du profil (avec ou sans modification) sur le poste client.

 Lors de la déconnexion, déchargement automatique du profil du poste client vers le

serveur.

 Conservation éventuelle du profil local en cache sur le poste client. Sinon,

effacement.

La sécurité: Les privilèges (droits)

Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur

permettant d'exécuter une action système. Privilège attribué à un groupe

-> Automatiquement attribué à l’ensemble de ses membres.

A l'installation du système d'exploitation, attribution par le programme d'installation de privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés.

Via les stratégies de groupes, les administrateurs pourront changer les privilèges des groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent.

Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé.

La sécurité: les autorisations

Autorisation: Autorisation d'accès à une ressource accordée par un administrateur à un

utilisateur ou un groupe d'utilisateurs.

 Accès sécurisé pour les fichiers et répertoires créés dans une partition NTFS.

 Accès sécurisé pour les imprimantes.

 Accès sécurisé aux ressources réseau (fichiers, imprimantes, ...).

 Accés sécurisé à tous les objets du système d'exploitation soumis à l'attribution

d'ACLs..

Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il

possède généralement tous les droits sur cet objet).

Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs).

(27)

Pour les répertoires (on fixe les permissions pour le répertoire lui-même et pour les fichiers qu'il contient ou qu'il contiendra lors de leur création):

 Aucun accès  Lister  Lire  Ajouter  Ajouter et lire  Modifier  Contrôle total

 Accès spécial à un répertoire…

 Accès spécial à un fichier…

Pour les fichiers

 Aucun accès  Lire  Modifier  Contrôle total  Accès spécial Accès spéciaux:  Lire  Écrire  Exécuter  Effacer

 Changer les permissions

 Prendre possession

Contrôle total: toutes les permissions précédentes sont attribuées.

NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire parent. Il permet aussi à un répertoire de laisser ses sous-répertoires hériter de ses propres autorisations.

A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés -> sécurité minimale.

Droit de l'administrateur: Prendre possession et changer les permissions de l'intégralité

des objets.

Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions du répertoire dans lequel il est placé (le créateur en est le propriétaire).

Lors du déplacement d'un fichier ou d'un répertoire, conservation des informations de sécurité.

La sécurité: L'audit

Audit: Conservation d'une trace des événements détectés sur une machine.

(28)

Evénements pouvant être audités:

 Système (audit des activités du système d'exploitation)

 Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources)

 Application (audit des applications et des services)

 Active Directory (spécifique aux DC)

 DNS (spécifique aux serveurs DNS)

 Réplication de fichiers (spécifique aux machines réplicatrices)

-> Autant de journaux différents.

Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les dysfonctionnements éventuels soit hardware, soit software.

Journal sécurité: Audit des activités des utilisateurs.

Événements pouvant être audités dans le journal sécurité:

 Les ouvertures et fermeture de session

 Les accès aux fichiers et objets

 L'utilisation de ses droits par un utilisateur

 La gestion des utilisateurs et des groupes

 Les modifications de la stratégie de sécurité

 Les démarrages et arrêts du système

 Le suivi de processus

Par défaut, audit activé seulement pour les événements liés aux journaux Système, Application, Active Directory, DNS et Réplication de fichiers.

La gestion des partitions et des systèmes de fichiers

Introduction du système de fichiers NTFS avec Windows NT 4.0.

Nécessaire à la gestion de la sécurité d'accès aux fichiers, à l'implantation de la compression à la volée et à l'encryptage des données.

Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques en RAID (agrégats par bandes, disques en miroir, agrégats par bandes avec parité -> disques RAID).

Gestion du système de fichiers FAT32 (Windows 98). Gestion du système de fichiers FAT16.

Gestion des noms longs.

IV - INSTALLATION (TYPE SALLE TP)

L'installation de Windows 2003 Serveur débute par l'installation du système d'exploitation lui-même (avec service pack et updates nécessaires).

Une fois le système installé, les services supplémentaires qu'il assurera pourront être soit déjà implantés au sein du système et donc directement utilisables après configuration, soit non installés et donc nécessiteront l'installation de composants systèmes supplémentaires

(29)

qui eux aussi devront être configurés.

La configuration d'une machine en contrôleur de domaine est un exemple typique de ce genre de service. Elle requière l'installation de Active Directory et de DNS si celui-ci n'est pas disponible par ailleurs.

Choix du système de fichier de la partition d'installation

Support de trois systèmes de fichiers reconnus:

 FAT16 -> compatible avec DOS et toutes les versions de Windows, pas de sécurité

sur les fichiers, plus gourmand en espace, plus rapide

 FAT32 -> non compatible avec DOS et Windows 95 mais compatible avec Windows

98, pas de sécurité sur les fichiers

 NTFS -> non compatible avec DOS, Windows 95 et 98, sécurité sur les fichiers,

moins gourmand en espace, moins rapide

(1) Installation de Windows 2003 Server

Exemple d'installation d'un système d'exploitation en plus d'un système déjà existant (DOS, Windows 3.11, Windows 95, Windows NT ou Windows 2000).

Problème : accès aux fichiers d'installation. Deux solutions :

 Fichiers d'installation de Windows 2003 disponibles sur une unité (disque dur, lecteur

CD, lecteur réseau) de la machine d'installation fonctionnant sur un système d'exploitation préexistant.

 Fichiers d'installation de Windows 2003 disponibles sur un CD bootable, machine

disposant d'un lecteur CD bootable.

Première phase: Lancement du programme d'installation

 WINNT.EXE (16 bits) sous DOS, Windows 3.11, 95 ou 98

 WINNT32.EXE (32 bits) sous Windows NT ou 2000.

 Lancement direct avec l'utilisation d'un CD bootable

But :

 création (s'elle n'existe pas encore) de la partition d'installation,

 préparation de l'installation par recopie des fichiers d'installation sur le disque dur de

votre machine dans un répertoire temporaire,

 création d'un mini-NT bootable sur la partition d'installation.

Deuxième phase

Redémarrage de l'ordinateur Travail en mode texte.

(30)

 Installation de Windows 2003 Server -> ENTRÉE -> Installer Windows maintenant.

 Installation de Windows 2003 Server -> ENTRÉE -> Détection automatique des

périphériques de mémoire de masse.

 Installation de Windows 2003 Server -> ENTRÉE -> Pas d'autre périphérique. En cas

de matériel spécifique, on peut charger des pilotes logiciels spéciaux.

 Examen du contrat de licence puis F8.

 Installation de Windows 2003 Server -> N (s'il existe déjà un système) ou ENTRÉE

(sinon) -> Installation d'une nouvelle copie dans notre cas. Possibilité d'effectuer une mise à jour si un système préexistait.

 Installation dans la partition désirée. Utilisation d'une partition existante. Possibilité

de créer une partition s'il n'en existe pas.

 Choix du type de système de fichier (NTFS, FAT) pour cette partition à formater ou

non si elle existait déjà..

 Installer dans le répertoire \WINDOWS.

 ENTRÉE pour redémarrer la machine.

Troisième phase

Redémarrage en mode graphique.

Collecte des informations concernant la machine

 Donner vos coordonnées (nom et organisation).

 Indiquer le mode de licence client. Toute connexion avec un utilisateur requière

l'achat pour le serveur 2003 d'une licence client. Windows 2003 Server propose deux modes de licence client (Microsoft considère que les utilisateurs sont honnêtes et ont acheté un nombre suffisant de licences client) :

o par serveur : On indique le nombre de licences disponibles sur le serveur et

donc le nombre maximum de connexions simultanées sur ce serveur. C'est le mode de gestion des licences le plus simple, il s'accommode bien d'un site pourvu d'un seul domaine et d'un seul serveur.

o par siège : Les licences sont associées aux utilisateurs. A chacun d'eux

correspond une licence. Ce mode de gestion de licence est utilisé dans les environnements poly-serveurs ou poly-domaines.

 Donner le nom de votre machine. 15 caractères alphanumériques au maximum, pas

d'espace, pas d'accent, pas de ponctuation.

 Donner le mot de passe de l'administrateur.

Configuration du réseau

 Détecter la carte réseau installé. Dans une certaine mesure, Windows 2003 est

capable de détecter les cartes d'interface réseau installée. Si elle n'est pas détectée, installer le pilote trouvé sur la disquette ou le CD fourni avec la carte.

 Demander l'installation du seul protocole TCP/IP.

Configuration du protocole réseau TCP/IP

 On n'utilise pas de serveur DHCP car on dispose pour cette salle d'adresses IP

allouées de manière définitive.

 Configuration des paramètres du protocole TCP/IP.

o Adresse IP : xxx.xxx.xxx.xxx

o Masque de sous-réseau : yyy.yyy.yyy.yyy

o Gateway : zzz.zzz.zzz.zzz.zzz

o Nom de domaine : abcd.xyz

(31)

Terminer l'installation.

 Fuseau horaire : Paris

 Installer la carte graphique détectée.

Dernière phase de l'installation Redémarrer la machine

Après démarrage et ouverture de session administrateur, le gestionnaire de serveur est lancé automatiquement proposant la réalisation des tâches suivant habituellement l'installation initiale.

Les aspects concernés sont:

 l'installation et la gestion d'Active Directory Service

 la gestion de services de partage de fichiers

 la gestion de services de partage d'imprimantes

 la gestion de services Internet (ou Intranet)

 ...

INSTALLATION ACTIVE DIRECTORY

Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour la gestion d'annuaires.

Il est utilisé pour toutes les tâches d'administration demandant une forte implantation réseau et en particulier pour la création de domaines.

(32)

 premier contrôleur d'un nouveau domaine dans une nouvelle forêt,

 premier contrôleur d'un domaine enfant d'un domaine existant,

 premier contrôleur d'un nouveau domaine dans une forêt existante,

 contrôleur supplémentaire au sein d'un domaine existant.

Deux méthodes sont possibles pour installer Active Directory:

 Utiliser l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les

questions les plus pointues. Il installe et configure a minima AD, DNS et DHCP pour un nouveau domaine dans une nouvelle forêt..

 Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler

tous les aspects de l'installation.

L'assistant "Gérer votre serveur"

Ajouter ou supprimer un rôle

Configuration par défaut pour un premier serveur.

Si "Configuration personnalisée" est choisi, bascule sur dcpromo. ATTENTION, reboot réalisé automatiquement en cours d'installation.

(33)
(34)

Choix du nom du nouveau domaine (au format nom TCP/IP)

(35)
(36)

Confirmation

(37)

Reboot automatique Réouverture de session

(le mot de passe de l'administrateur du domaine est le mot de passe de l'ancien administrateur local)

(38)
(39)

Fin de l'installation

(40)

Utilisation de l'utilitaire dcpromo Quelques définitions importantes Contrôleur de domaine

Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de données Active Directory, participant à la réplication Active Directory et contrôlant l'accès aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs,

l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire à partir de n'importe quel contrôleur de domaine de la forêt.

Contrôleur de domaine supplémentaire

Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de domaine participent de manière égale à la réplication Active Directory mais, par défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des opérations à maître unique.

Domaine enfant

Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé immédiatement sous un autre nom de domaine (le domaine parent). Par exemple,

exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine.

Arborescence de domaine

Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms. Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des

relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt.

Forêt

Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et d'attribut (schéma), les mêmes informations relatives au site et à la réplication

(configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global). Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives.

(41)

Début de l'installation d'Active Directory Service

Choix du type de contrôleur de domaine :

un nouveau contrôleur ou un contrôleur supplémentaire. Ici, un contrôleur de domaine pour un nouveau domaine

(42)

Choix du type de domaine créé: Nouveau domaine dans une nouvelle forêt. nouveau domaine enfant dans une arborescence de domaines existante dans une forêt existante,

nouveau domaine dans une nouvelle arborescence de domaine au sein d'une forêt existante

Ici, un nouveau domaine dans une nouvelle forêt

(43)

Choix du nom du domaine NetBIOS pour compatibilité avec les versions antérieures de Windows

(44)

Alerte relative à l'absence d'un serveur DNS compatible pour ce domaine

(45)

Toujours pour compatibilité

avec les anciennes versions de Windows

Définition du mot de passe administrateur pour le redémarrage en mode restauration ADS

(46)

Résumé de l'installation demandée

Début de l'installation

Installation en cours

(47)
(48)

Fin d'installation d'ADS

Redémarrage de la machine

Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k3.univ-fcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré.

Suite : Configuration minimale du service DNS

Installation d'un contrôleur supplémentaire pour un domaine existant

(49)

Authentification avec un compte administrateur du domaine d'insertion

(50)

Choix de la localisation des fichiers et répertoires Active Directory

(51)

Choix du mot de passe de restauration des services d'annuaire

(52)

Les maîtres d'opérations

Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même niveau du point de vue des charges d'administration et donc à l'indifférenciation des contrôleurs

-> 5 opérations à maître unique:

 Contrôleur du schéma

 Maître d'attribution de noms de domaine

 Maître RID (ID relatives)

 Maître de l'émulateur PDC

 Maître d'infrastructure

Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine fonctionne correctement.

Ces rôles peuvent être transférés entre contrôleurs.

 Contrôleur du schéma:

Outils d'administration "Schéma Active Directory"

 Maître d'attribution de noms de domaine:

Outils d'administration "Domaines et approbations Active Directory"

 Maître RID:

Outils d'administration "Utilisateurs et ordinateurs Active Directory"

 Maître de l'émulateur PDC:

Outils d'administration "Utilisateurs et ordinateurs Active Directory"

 Maître d'infrastructure:

(53)

V - DNS et DDNS

Dynamic Domain Name Server (DDNS) est implanté par Windows 2003 Server pour l'implantation de serveurs DNS.

Après installation d'ADS et de DDNS, un certain nombre de nouveaux outils d'administration sont disponibles dont l'administrateur DNS.

(54)

Le gestionnaire DNS

Les tâches à réaliser via cet outil sont:

 la configuration de la résolution directe nom IP -> adresse IP,

 la configuration de la résolution inverse adresse IP -> nom IP,

 l'intégration au sein du domaine univ-fcomte.fr par référenciation du où des serveurs

DNS de ce domaine qui seront contactés lorsqu'une résolution ne peut être conclue localement.

En outre, le serveur de domaine telemaque, défini pour le domaine w2k3.univ-fcomte.fr, devra être déclaré auprès de l'administrateur du domaine univ-fcomte.fr pour délégation vers lui des requêtes qui concernent ses machines.

Un seul serveur DNS dont le nom est TELEMAQUE Définition de zones de recherche directes

pour les résolution nom IP -> adresse IP et de zones de recherche inverses pour les résolutions adresse IP -> nom IP

(55)

Menu contextuel associé au serveur TELEMAQUE

Une zone de recherche directe définie pour le domaine w2k3.univ-fcomte.fr, mais pas de zone inverse Zone directe _msdsc.w2k3.univ-fcomte.fr créée automatiquement et nécessaire pour que ce serveur DNS

soit utilisable pour un domaine Windows 2003 Evénements DNS enregistrés

Références

Documents relatifs

4) Dans la boîte de dialogue Configurations communes, cliquez sur Réseau privé virtuel (serveur VPN), puis sur Suivant... 5) Dans la boîte de dialogue Protocoles du client

Dans l'exemple suivant, nous allons vous montrer comment obtenir ces informations à partir d'un serveur Windows AD, puis comment les utiliser pour connecter un NAS à un domaine

Description d’un lien d’objet de stratégie de groupe.... Héritage de l’autorisation de stratégie de groupe dans Active

L’importance des situations de coordination dans l’émergence de pratiques d’enseignement interdisciplinaires a déterminé le choix du cadre théorique que nous avons retenu

Dans le SDA1, un contrat didactique géométrique est un repère pour les élèves tandis que l’ambiguïté du contrat didactique dans le SDA2 pose des difficultés

Les relations entre le potentiel d’un dispositif de formation et les changements de pratiques doivent tenir compte d’autres variables, comme par exemple

être pour un groupe qu’il a repéré comme étant un groupe / on va dire / entre guillemets de bons élèves une proposition de / pistes de démonstration du théorème et

6 Fondements de l’Arithmétique , trad.. contenu dans les prémisses ; le tableau ne formule pas une nouvelle proposition, mais manifeste comment une loi générale peut