• Aucun résultat trouvé

[PDF] Sécurité de base recommandée pour Windows Server 2003 | Cours informatique

N/A
N/A
Protected

Academic year: 2021

Partager "[PDF] Sécurité de base recommandée pour Windows Server 2003 | Cours informatique"

Copied!
220
0
0

Texte intégral

(1)

Conseils en matière de

sécurité des TI

Sécurité de base

recommandée pour

Windows Server 2003

mars 2004

ITSG-20

(2)

Windows Server 2003 (ITSG-20)

(3)

Avant-propos

Le document Sécurité de base recommandée pour Windows Server 2003 est non classifié, et il est publié avec l’autorisation du chef, Centre de la sécurité des télécommunications (CST). Le CST s’est basé sur les documents Windows Server 2003 Security Guide et Threats and

Counter Measures: Security Settings in Windows Server 2003 and Windows XP de Microsoft,

comme ouvrages de référence.

Toute proposition ou modification peut être acheminée par la voie ministérielle habituelle au Chef, Centre de contact avec la clièntele au CST.

Pour obtenir des copies supplémentaires ou faire modifier la liste de distribution, veuillez vous adresser au au représentant des Services à la clientèle, CST, affecté à votre ministère.

Centre de contact avec la clièntele cryptosvc@cse-cst.gc.ca

613-991-8495 (tel)

_______________________________________ Diane Keller

Directrice/I, Architecture et ingénierie

2004 Gouvernement du Canada, Centre de la sécurité des télécommunications Il est permis de faire des extraits de cette publication, pourvu que ces extraits servent à l’usage des ministères du gouvernement du Canada. Pour utiliser ces extraits pour tout usage

(4)
(5)
(6)
(7)

Déni de responsabilité

Cet examen de produit a été préparé par le CST à l’intention du gouvernement fédéral. Cet examen est officieux et de portée limitée. Il ne s’agit pas d’une évaluation exhaustive, et ne constitue pas une homologation du produit par le CST. Son contenu reflète le meilleur jugement du CST, compte tenu de l’information au moment de la préparation du rapport. Toute utilisation de ce rapport par une tierce partie ou toute référence ou décision basée sur celui-ci est la seule responsabilité de ladite partie. Le CST se dégage de toute responsabilité à l’égard des dommages encourus par toute tierce partie à la suite de décisions ou d’actions prises sur la base du présent rapport.

© 2004 Gouvernement du Canada, Centre de la sécurité des télécommunications (CST) C.P. 9703, Terminus, Ottawa (Ontario), Canada, K1G 3Z4

Cette publication peut être reproduite telle quelle, dans son intégralité et sans frais, à des fins éducatives et individuelles uniquement. Toutefois, pour utiliser le contenu du document sous forme modifiée ou d’extrait ou pour tout usage commercial, on doit obtenir au préalable la permission écrite du CST.

(8)

Windows Server 2003 (ITSG-20)

(9)

Registre des modificatifs

(10)

Windows Server 2003 (ITSG-20)

(11)

Résumé

Ce guide décrit comment renforcer la sécurité d’un serveur Windows 2003. Le déploiement de serveurs à sécurité renforcée est essentiel pour protéger les technologies de l’information (TI) contre les diverses attaques possibles. Grâce à l’information présentée dans ce guide, les

administrateurs de système peuvent installer des modules permettant le déploiement de serveurs à sécurité renforcée dans leurs environnements.

L’objet de ce guide est de présenter une configuration de base hautement sécurisée. Les administrateurs de système peuvent ajouter des fonctionnalités, le cas échéant.

Pour aider les administrateurs de système à justement ajouter des fonctionnalités, nous présentons deux configurations : un serveur d’impression et un serveur de fichiers.

Ce guide est basé sur l’ouvrage de référence Microsoft Windows Server 2003 Security Guide (référence 1). Le guide de Microsoft a été analysé et testé au CST. Il en est résulté des instructions détaillées sur les sujets suivants :

• Logiciels nécessaires • Clés du Registre • Paramètres de sécurité

(12)

Windows Server 2003 (ITSG-20)

(13)

Table des matières

Avant-propos... i

Déni de responsabilité ... v

Registre des modificatifs... vii

Résumé ... ix

Table des matières ... xi

Liste des tableaux ... xv

Liste des figures... xvii

Liste des abréviations et des acronymes ... xix

1 Introduction... 1

1.1 Contexte ... 1

1.2 Objectif... 1

1.3 Portée ... 2

1.4 Approche ... 2

1.5 Tests fonctionnels et tests de sécurité... 2

1.6 Hypothèses... 2

1.7 Documents connexes ... 2

1.8 Structure du document... 2

1.9 Conventions typographiques ... 3

1.10 Documents de référence... 4

2 Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003 ... 5

2.1 Comment utiliser ce document ... 5

2.1.1 Installation... 5 2.1.2 Configuration... 6 2.1.3 Surveillance et application ... 6 2.2 Hypothèses et restrictions... 6 2.2.1 Installation... 6 2.2.2 Stratégie... 6

2.2.3 Surveillance et application de la stratégie ... 7

3 Installation automatisée... 9

3.1 Lancement de l’installation automatisée ... 9

3.2 Fichier de configuration et d’installation d’un serveur de domaine... 9

3.2.1 Winnt.sif (Domaine)... 10

3.3 Fichier de configuration et d’installation du serveur du groupe de travail 27 3.3.1 Winnt.sif (Groupe de travail) ... 27

4 Fichiers de stratégie pour les serveurs... 47

4.1 Application des fichiers de stratégie ... 47

4.1.1 Application de la stratégie dans un domaine... 47

(14)

Windows Server 2003 (ITSG-20)

4.2 Détails sur les fichiers de stratégie de base pour les serveurs ... 49

4.3 Stratégies des comptes ... 49

4.3.1 Stratégie des mots de passe... 49

4.3.2 Stratégie de verrouillage des comptes ... 51

4.3.3 Stratégie Kerberos ... 51

4.4 Stratégies locales ... 52

4.4.1 Stratégie d’audit ... 52

4.4.2 Attribution des droits utilisateur ... 54

4.4.3 Options de sécurité ... 62

4.5 Journaux des événements... 76

4.5.1 Taille des journaux ... 77

4.5.2 Accès des invités ... 77

4.5.3 Méthode de conservation... 78

4.6 Services du système... 78

4.6.1 Services explicitement couverts par le guide Microsoft... 78

4.6.2 Services non expressément couverts dans le guide Microsoft.... 104

4.7 Paramètres de sécurité additionnels... 105

4.7.1 Paramètres de sécurité pour contrer les attaques réseau... 105

4.7.2 Paramètres AFD.SYS ... 108

4.7.3 Autres paramètres touchant la sécurité... 109

4.7.4 Activités manuelles ... 111

4.7.5 Contrôles d’accès... 113

4.7.6 Écarts par rapport aux directives Microsoft ... 119

5 Stratégies de serveurs basées sur les rôles... 129

5.1 Stratégie IPSec basée sur les rôles... 129

5.1.1 Chargement de la stratégie IPSec ... 129

5.1.2 Activation de la stratégie IPSec... 129

5.2 Stratégie de sécurité pour les serveurs de fichiers de domaine... 130

5.2.1 Écarts par rapport au guide Hardening File Servers de Microsoft ... 130

5.2.2 [Service General Setting] ... 131

5.2.3 Stratégie IPSec pour le serveur de fichiers de domaine ... 131

5.3 Stratégie pour les serveurs d’impression de domaine ... 133

5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft ... 133

5.3.2 [Registry Values] ... 134

5.3.3 [Service General Setting] ... 134

5.3.4 Stratégie IPSec pour le serveur d’impression de domaine... 134

5.4 Stratégie pour les serveurs de fichiers de groupe de travail ... 136

5.4.1 Écarts par rapport aux directives Microsoft ... 136

5.4.2 [Registry Values] ... 136

5.4.3 [Service General Setting] ... 137

5.4.4 Stratégie IPSec pour le serveur de fichiers du groupe de travail 137 5.5 Stratégie pour les serveurs d’impression de groupe de travail ... 139

5.5.1 Écarts par rapport aux directives Microsoft ... 139

(15)

5.5.3 [Service General Setting] ... 139 5.5.4 Stratégie IPSec pour les serveurs d’impression de groupe de travail

... 139

6 Conformité avec la stratégie des serveurs : Inspection et application ... 143

6.1 Configuration de la console MMC... 143 6.2 Chargement d’un fichier de stratégie et configuration de l’ordinateur .... 143 6.3 Comparaison de la stratégie résultante et des paramètres de l’ordinateur

... 144

Bibliographie ... 147 Annexe A... 149

(16)

Windows Server 2003 (ITSG-20)

(17)

Liste des tableaux

Tableau 1 – Contrôles généraux d’accès aux fichiers ... 114 Tableau 2 – Contrôles d’accès généraux au Registre... 117 Tableau 3 – Écarts avec les paramètres de base

pour un serveur membre Microsoft ... 119 Tableau 4 – Écarts par rapport à la stratégie locale

(18)

Windows Server 2003 (ITSG-20)

(19)

Liste des figures

(20)

Windows Server 2003 (ITSG-20)

(21)

Liste des abréviations et des acronymes

.NET Outils Microsoft pour l’environnement de développement AD Annuaire Active Directory

ADSI Interface ADSI (Active Directory Service Interface)

API Interface de programmation d’application (Application Program

Interface)

ASCII American Standard Code for Information Interchange

ASP Fonction ASP (Active Server Pages) COM Module COM (Component Object Module)

DDE Échange dynamique de données (Dynamic Data Exchange) FTP Protocole de transferts de fichiers (File Transfer Protocol) Go Giga-octet

GUI Interface utilisateur graphique (Graphical User Interface)

HTTP Protocole de transfert hypertexte (HyperText Transfer Protocol) HTTPS Protocole de transfert hypertexte sécurisé (Secure HyperText

Transfer Protocol)

IAS Service d’authentification Internet (Internet Authentication Service) ICF Pare-feu de connexion Internet (Internet Connection Firewall) ICMP Protocole ICMP (Internet Control Message Protocol)

ICS Partage de connexion Internet (Internet Connection Sharing) IIS Serveur d’information Internet (Internet Information Server) IMAPI Interface IMAPI (Image Mastering Application Programming

Interface)

IP Protocole Internet (Internet Protocol)

IPSec Sécurité du Protocole Internet (Internet Protocol Security) IPX Protocole IPX (Internetwork Packet Exchange)

ISAPI API pour serveurs Internet (Internet Server API) Ko Kilo-octet

LAN Réseau local (Local Area Network)

LM Gestionnaire de réseau local (LAN Manager) Mo Méga-octet

MMC Console de gestion Microsoft (Microsoft Management Console) MQDSS Soutien du service des annuaires de file d’attente de messages

(Message Queue Directory Service Support)

MSMQ File d’attente des messages Microsoft (Microsoft Message Queue) MSN Réseau Microsoft (Microsoft Network)

NNTP Protocole de distribution des nouvelles Usenet (Network News

Transfer Protocol)

(22)

Windows Server 2003 (ITSG-20)

OSPF Ouverture du chemin d’accès le plus court en priorité (Open

Shortest Path First)

POP3 Protocole POP3 (Post Office Protocol 3)

RAD Développement accéléré d’application (Rapid Application

Development)

RADIUS Service d’authentification des utilisateurs d’accès à distance (Remote Authentication Dial-In Service)

RPC Appel de procédure à distance (Remote Procedure Call)

SAM Gestionnaire des comptes de sécurité (Security Accounts Manager) SID Identificateur de sécurité (Security Identifier)

SMB Bloc de message serveur (Server Message Block) SMTP Protocole SMTP (Simple Mail Transfer Protocol)

SNMP Protocole SNMP (Simple Network Management Protocol) SYN-ACK Accusé de réception de synchronisation (Synchronization

Acknowledgement)

SYN-ATTACK L’attaquant envoie des demandes SYN à un objectif (victime). L’objectif envoie un SYN ACK en réponse et attend le retour d’un accusé de réception (ACK) pour terminer l’établissement de la session.

TCP Protocole TCP (Transmission Control Protocol) UI Interface utilisateur (User Interface)

RPV Réseau privé virtuel

WHQL Laboratoire de qualité du matériel Windows (Windows Hardware

Quality Lab)

WMI Interface de gestion Windows (Windows Management Interface) WMPOCM Lecteur Windows Media (Windows Media Player)

WPAD Autodécouverte des proxy Web (Web Proxy Autodiscovery) WWW World Wide Web

(23)

1 Introduction

1.1 Contexte

Les agents de menace exploitent les vulnérabilités d’un système informatique soit pour en obtenir la maîtrise, soit pour en perturber le fonctionnement. Les experts diffèrent d’avis quant à la cause première des vulnérabilités informatiques. Certains estiment que les deux causes

principales sont l’exploitation des failles dans les logiciels et l’absence de configurations sécurisées.

Pour contrer les failles dans leurs logiciels, les fournisseurs produisent des correctifs sous diverses formes. Ces correctifs visent à régler les erreurs logicielles pour un système d’exploitation ou une application en particulier. S’ils règlent des problèmes ponctuels, ces correctifs peuvent néanmoins en créer d’autres. Outre les correctifs, les listes de contrôle constituent des guides de configuration sécurisée et testée pour les utilisateurs d’ordinateur. Par le passé, les organismes gouvernementaux1 ont produit et diffusé des listes de contrôle pour sécuriser les systèmes informatiques. Toutefois, la façon dont ces listes sont produites a changé. Les fournisseurs constatent maintenant qu’ils ont avantage à produire des listes de contrôle et de configuration pour leurs propres produits. Par conséquent, les organismes publics et privés économisent temps et argent en profitant de ce travail complexe déjà réalisé par les fournisseurs.

1.2 Objectif

L’ITSG-20 offre un ensemble pratique de paramètres de sécurité pour Microsoft Windows Server 2003 (version anglaise). L’objectif est d’établir et de maintenir un environnement haute sécurité pour Windows Server 2003.

Cette plate-forme est offerte en deux variantes : le serveur de domaine et le serveur de groupe de travail. Nous couvrons également deux applications : le serveur d’impression et le serveur de fichiers. En d’autres mots, nous offrons quatre configurations, soit une pour chaque application fonctionnant sur chaque plate-forme, comme suit :

1) Serveur de fichiers de domaine 2) Serveur d’impression de domaine 3) Serveur de fichier de groupe de travail 4) Serveur d’impression de groupe de travail

Les présentes directives constituent une configuration de base qui s’applique à tous les serveurs d’un type donné, qu’il s’agisse d’un serveur de domaine ou d’un serveur de groupe de travail. Comme la configuration de base assure la sécurité avant les fonctionnalités, on devrait l’utiliser comme point de départ. Les stratégies des applications (serveur de fichiers et serveur

d’impression) se superposent à la configuration de base. Ainsi, nous offrons un modèle pour créer des rôles additionnels de serveur basés sur la configuration de base du CST. Les stratégies

1 Notamment le National Institute of Standards and Technology (NIST), la National Security Agency (NSA), le

(24)

Windows Server 2003 (ITSG-20)

des applications, superposées à la configuration de base, permettent au serveur de fonctionner de la manière prévue.

1.3 Portée

L’ITSG-20 présente des directives pour bâtir des serveurs de domaine haute sécurité et des serveurs de groupe de travail haute sécurité. Des stratégies additionnelles peuvent être appliquées afin de prendre en charge divers rôles au sein de votre organismes. Nous offrons deux stratégies additionnelles de ce type : des directives pour le rôle « serveur de fichiers » et des directives pour le rôle « serveur d’impression ».

1.4 Approche

Nous nous sommes abondamment basés sur deux documents de référence : Windows Server

2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP. Nous avons testé ces documents et y avons ajouté nos propres critères

dans un laboratoire du CST pour produire l’ITSG-20, que vous avez actuellement entre les mains.

Dans la mesure du possible, une approche automatisée est utilisée dans tout ce document.

1.5 Tests fonctionnels et tests de sécurité

Nous avons vérifié la connectivité en accédant aux services offerts par les systèmes à sécurité renforcée (partages d’impression de fichiers). Une fois la convivialité des systèmes établie, nous avons soumis ces derniers à des tests de vulnérabilité et de pénétration. Les résultats de ces tests ont influé sur la préparation du présent document.

1.6 Hypothèses

Nous supposons que le lecteur a une connaissance approfondie des fonctions de sécurité de Windows Server 2003. L’ITSG-20 est un guide détaillé s’adressant aux administrateurs de système.

Nous recommandons aux lecteurs de consulter les documents de référence indiqués à la section 1.10. Ils seront ainsi en mesure de mieux comprendre l’ITSG-20.

1.7 Documents

connexes

Veuillez consulter la section 1.10, en plus de la bibliographie en fin de document.

1.8 Structure du document

Le document est structuré comme suit :

1. Introduction

(25)

2. Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003

Cette section résume l’approche utilisée dans ce document. Nous expliquons la méthode employée pour « démarrer en toute sécurité et préserver la sécurité », comme suit : a) installation;

b) configuration et contrôle; c) application.

Cette section décrit également en détail les hypothèses et les restrictions utilisées pour les étapes ci-dessus. Elle comporte une liste de documents de référence, ainsi qu’une description des tests réalisés à l’égard de l’environnement informatique.

3. Installation automatisée

Cette section contient les paramètres permettant d’effectuer une installation sans surveillance d’un serveur de domaine ou d’un serveur de groupe de travail. Une telle installation

automatisée assure l’uniformité des systèmes, avec un minimum de prologiciels.

4. Fichiers de stratégie pour les serveurs

Cette section indique les valeurs des paramètres pour les fichiers de stratégie, permettant de créer un serveur sécurisé dans un environnement de domaine ou un environnement de groupe de travail.

5. Stratégies pour les serveurs basées sur les rôles

Cette section contient les entrées des fichiers de stratégie utilisées pour modifier la

configuration de base. Ces entrées permettent à un serveur d’exécuter des activités désignées de type gestion fichier ou impression, y compris la sécurité du protocole Internet (IPSec).

6. Conformité aux stratégies des serveurs : Inspection et application

Cette section décrit en détail une méthode permettant de surveiller et appliquer les stratégies décrites dans le présent guide. Cette approche utilise les capacités inhérentes du système d’exploitation Windows Server 20003.

7. Annexe A : Détails sur les fichiers de stratégie pour les serveurs

Cette section contient les fichiers de stratégie, avec commentaires et explications. Dans cette section, nous expliquons les paramètres plus en détail. Nous indiquons également les

différences avec les recommandations de Microsoft.

1.9 Conventions

typographiques

Les conventions typographiques suivantes sont utilisées dans le présent document :

1. Les caractères gras et italiques sont utilisés pour indiquer les paramètres et leurs valeurs.

EXEMPLE : JoinDomain=”cse.local”

2. [Les crochets droits indiquent les en-têtes des sections de fichier]. EXEMPLE : [Identification]

(26)

Windows Server 2003 (ITSG-20) 3. ”Les valeurs entre guillemets anglais doivent être entrées dans le fichier avec les

guillemets”. EXEMPLE :

JoinDomain=”cse.local”

1.10 Documents de référence

[référence 1] Windows Server 2003 Security Guide

[référence 2] Threats and Counter Measures: Security Settings in Windows Server 2003 and

(27)

2

Aperçu : Conseils en matière de sécurité des TI pour

Windows Server 2003

Le présent guide contient des instructions détaillées pour établir une configuration de base sécurisée pour Windows Server 2003. Des directives sont fournies pour les serveurs de groupe de travail et les serveurs de domaine. Vous devriez utiliser la présente configuration de base comme point de départ pour configurer d’autres services. Afin de vous faciliter la tâche, nous présentons également les stratégies pour les services d’impression et de fichiers.

2.1 Comment utiliser ce document

Le déploiement d’un serveur sécurisé peut se faire en trois étapes : installation du système d’exploitation (SE), application de la stratégie de sécurité, puis modifications additionnelles le cas échéant.

Le guide débute d’abord par la configuration de base pour les serveurs de groupe de travail et de domaine. L’information est présentée de manière similaire à ce qu’on retrouve dans le document

Windows Security Guide for 2003 Server, ce qui facilitera la consultation de ce guide. Les points

additionnels, qui sont en sus des recommandations de Microsoft, figurent dans une section séparée.

Les stratégies pour les serveurs d’impression et de fichiers sont également présentées dans une section distincte. Ces stratégies s’appliquent à la configuration de base du SE installé. Toutes les modifications additionnelles sont contenues dans les sections traitant de la stratégie pour les serveurs d’impression et de fichiers.

Les administrateurs de système peuvent remplacer les variables par leurs propres valeurs. Ces paramètres permettent de personnaliser le module d’installation pour créer un serveur

d’impression ou de fichiers.

Pour appliquer la configuration de base et les stratégies propres à un rôle dans un domaine, on doit créer les unités d’organisation de l’Active Directory.

Dans un environnement de groupe de travail, les stratégies doivent être appliquées

immédiatement au démarrage du système. Selon la stratégie, le compte d’administrateur intégré est désactivé par défaut. Assurez-vous de créer un compte d’administrateur propre à votre

installation avant d’appliquer la stratégie.

Outre ces directives sur le déploiement des serveurs sécurisés, le guide contient une section de maintenance à l’aide de la console MMC de Microsoft.

2.1.1 Installation

L’installation est automatisée grâce à l’utilisation d’un fichier réponse (voir l’annexe A). Ce fichier réponse dirige le processus d’installation. On peut employer plusieurs approches pour l’installation. Nous utilisons le fichier Winnt.sif.

Le processus d’installation de Windows lit les fichiers réponses à partir d’une disquette. L’information locale (nom du système, paramètres TCP/IP, domaine/groupe de travail) est fournie en fonction des exigences. Il est donc possible d’installer le serveur sans surveillance et sans interaction avec l’opérateur.

(28)

Windows Server 2003 (ITSG-20) 2.1.2 Configuration

L’ITSG-20 s’appuie sur une approche en couches pour appliquer la stratégie de sécurité. La première couche est la configuration de base du système d’exploitation. Cette couche vise à assurer un profil de sécurité offrant une exposition minimale. Les exigences additionnelles en matière de stratégie de sécurité sont déterminées d’après les rôles. Chaque fichier de stratégie active des éléments spécifiques qui permettent au serveur d’exécuter une fonction unique (p. ex., partage de fichiers, partage d’imprimantes, etc.). Pour construire des serveurs multifonctions, il faut procéder à une analyse et à des tests additionnels.

L’environnement de domaine permet une approche en couches. À cette fin, les stratégies sont appliquées au niveau du domaine et également au niveau de l’unité d’organisation (UO). Une granularité plus fine peut être obtenue au sein d’un niveau, permettant ainsi de créer une matrice des stratégies pour les serveurs et les environnements.

Dans l’environnement de groupe de travail, la stratégie est appliquée dans un ordre prescrit par l’intermédiaire des fichiers de stratégie. Cette méthode assure un profil de sécurité uniforme et cohérent pour les serveurs dans un tel environnement.

Comme les « fichiers de stratégie » ne sont en fait que des fichiers texte, vous pouvez les éditer avec votre éditeur de texte favori. Vous pouvez également copier-coller les exemples de fichiers de stratégie qui se trouvent à la fin du document.

2.1.3 Surveillance et application

Nous décrivons une méthode manuelle qui permet de vérifier la conformité de base. Cette approche manuelle limite l’extensibilité de la solution. Dans un environnement de grande taille, nous vous recommandons d’utiliser une méthode automatisée.

2.2 Hypothèses et restrictions

2.2.1 Installation

Pour installer le SE, veuillez vous assurer que :

a. le lecteur de CD-ROM est lu avant l’unité de disquette, au démarrage de l’ordinateur; b. il n’y a pas de version précédente de Windows (sinon, l’installation fera une pause); c. la première partition de disque disponible est réservée au système d’exploitation. Nous faisons les hypothèses suivantes :

a. le serveur à installer n’est pas membre d’un cluster;

b. le domaine dispose d’une unité d’organisation pour les serveurs;

c. le domaine dispose d’une unité d’organisation pour les serveurs d’impression, sous Servers; d. le domaine dispose d’une unité d’organisation pour les serveurs de fichiers, sous Servers; e. l’installation est limitée au contenu de la distribution Microsoft Server 2003.

2.2.2 Stratégie

L’application de la stratégie a les effets suivants :

a. le compte d’invité local (Local Guest) est renommé et désactivé;

(29)

c. tous les systèmes sont de génération Windows 2000 ou ultérieure;

d. le système s’arrêtera s’il est incapable de journaliser les événements de sécurité; e. on ne peut accéder de façon anonyme à aucun partage ni à aucun canal nommé; f. on ne peut accéder à distance à aucune donnée du Registre;

g. aucun compte n’a le droit de soumettre des travaux par lots;

h. les comptes d’administrateur ne peuvent pas lancer des services (on doit utiliser un compte SERVICE approprié);

i. la fonctionnalité Plug and Play est désactivée par défaut et activée au besoin; j. le protocole SNMP est désactivé.

2.2.3 Surveillance et application de la stratégie

Aucune autre hypothèse additionnelle n’est requise pour la surveillance et l’application de la stratégie.

(30)

Windows Server 2003 (ITSG-20)

(31)

3 Installation

automatisée

Cette section décrit en détail le contenu des fichiers Winnt.sif. Ces fichiers servent à installer Windows Server 2003 dans un environnement de domaine ou de groupe de travail. Dans les deux cas, utilisez les valeurs opérationnelles locales. Les fichiers bruts (c’est-à-dire sans les

commentaires) figurent à l’annexe A.

REMARQUE : Vous devez installer dans votre système les plus récents service packs et les

correctifs logiciels (hot fix). De la sorte, la sécurité de votre système sera actualisée.

3.1 Lancement de l’installation automatisée

L’installation automatisée se fait avec CD-ROM et disquette, et un fichier Winnt.sif. Pendant le processus de démarrage, le système détermine si la disquette contient un fichier Winnt.sif. Si ce fichier est présent, le processus utilisera les paramètres du fichier pour configurer le système.

3.2 Fichier de configuration et d’installation d’un serveur de

domaine

Dans l’arbre Active Directory, la version domaine requiert qu’une unité d’organisation (UO) « serveurs d’impression » et « serveurs de fichiers » fasse partie de l’UO « serveurs publics » (voir ci-dessous). Ces trois unités d’organisation sont des espaces réservés pour les stratégies qui s’appliquent au niveau UO, dans l’arbre d’information de l’annuaire.

domaine.local Nom de domaine Serveurs publics Systèmes utilisateur Serveurs de fichiers Serveurs d’impression Unité d’organisation Serveur de fichiers 1 Serveur de fichiers 2 Serveurs Unité d’organisation

(32)

3.2.1 Winnt.sif (Domaine) 3.2.1.1 [Data]

AutoPartition=1

Le paramètre AutoPartition indique l’emplacement où le système d’exploitation Windows est installé. Avec la valeur « 1 », le système d’exploitation est installé dans la première partition disponible qui a suffisamment d’espace. Si un système d’exploitation est déjà installé, la procédure d’installation cessera et attendra d’autres instructions.

MsDosInitiated=0

Le paramètre MsDosInitiated doit être présent et être fixé à « zéro », sinon l’installation automatisée échouera.

UnattendedInstall=Yes

Avec la valeur « YES », la valeur UnattendedInstall permet la préinstallation de Windows à l’aide de la méthode de démarrage par CD-ROM.

3.2.1.2 [GuiUnattended]

AdminPassword="A_Str0ng_p@SSw0rd"

Le paramètre AdminPassword définit le mot de passe de l’administrateur local pour le système en cours d’installation.

REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des

administrateurs.

EncryptedAdminPassword=No

Le paramètre EncryptedAdminPassword détermine si la procédure d’installation chiffre le mot de passe de l’administrateur. Avec la valeur « Non », le mot de passe n’est pas chiffré. Vous pouvez activer cette fonction à l’aide de l’outil setupmgr.exe fourni sur le support de distribution Windows.

OEMSkipWelcome=1

Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage. Avec la valeur « 1 », cette page n’est pas affichée.

(33)

OEMSkipRegional=1

Le paramètre OEMSkipRegional détermine si la procédure d’installation affichera la page des paramètres régionaux. Avec la valeur « 1 », cette page n’est pas affichée.

TimeZone=035

Le paramètre TimeZone règle l’horloge du système selon le fuseau horaire local. 004 – Heure normale du Pacifique

010 – Heure normale des Rocheuses 020 – Heure normale des Prairies

025 – Heure normale du Centre (Saskatchewan) 035 – Heure normale de l’Est

050 – Heure normal de l’Atlantique

060 – Heure normale de Terre-Neuve et du Labrador

AutoLogon=No

Le paramètre Autologon détermine si le compte de l’administrateur ouvrira automatiquement une session, jusqu’à ce que le système soit redémarré. Le paramètre « No » désactive la fonction AutoLogon (ouverture de session automatique). La valeur AutoLogonCount peut accroître le nombre de redémarrages requis pour désactiver la fonction AutoLogon.

3.2.1.3 [Identification] DomainAdmin=administrator

Le paramètre DomainAdmin lance l’installation avec un compte de domaine privilégié. L’administrateur de domaine (DomainAdmin) peut ajouter le système au domaine.

DomainAdminPassword=" A_Str0ng_p@SSW0RD "

Le paramètre DomainAdminPassword est le mot de passe requis pour le compte DomainAdmin.

REMARQUE : Entrez une valeur locale. JoinDomain="Department_Name.local"

Le paramètre JoinDomain est le nom du domaine auquel le système se joindra.

(34)

MachineObjectOU="OU=File Servers, OU=Public Servers, DC=Department_Name, DC=local"

Le paramètre MachineObjectOU définit l’unité d’organisation du système dans le domaine.

REMARQUE : Entrez des valeurs de domaine locales.

3.2.1.4 [LicenseFilePrintData] AutoMode=PerServer

Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer.

REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour

AutoUsers.

AutoUsers=5

Le paramètre AutoUsers détermine le nombre d’utilisateurs concurrents pris en charge par la licence du type PerServer.

REMARQUE : Vous devez entrer une valeur locale qui reflète la licence achetée pour le

système.

3.2.1.5 [Unattended] OemPreinstall=No

Le paramètre OEMPreinstall détermine s’il y a des fichiers OEM à installer. La valeur « No » indique que tous les fichiers se trouvent dans la distribution Windows.

UattendedSwitch=Yes

Le paramètre UnattendedSwitch indique si le module d’installation omet la page de bienvenue Windows. Avec la valeur « Yes », la page de bienvenue Windows est omise.

Repartition=No

Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier lecteur. Avec la valeur « No », toutes les partitions sont conservées sur le premier lecteur.

(35)

Le paramètre TargetPath définit l’emplacement du système d’exploitation. Avec la valeur « Windows », les fichiers du système d’exploitation sont placés dans un dossier Windows.

UnattendedMode=FullUnattended

Le paramètre UnattendedMode détermine le niveau d’interaction humaine avec la procédure d’installation. Avec la valeur « FullUnattended », il n’y a pas d’interaction humaine.

WaitForReboot=No

Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une possibilité d’interaction humaine. Avec la valeur « No », le système redémarre immédiatement.

OemSkipEula=Yes

Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est présenté pendant l’installation. Avec la valeur « Yes », le CLUF n’est pas affiché.

FileSystem=ConvertNTFS

Le paramètre FileSystem détermine le type du système de fichiers pour l’installation. Avec la valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS.

3.2.1.6 [UserData]

ComputerName=FileServer01

Le paramètre ComputerName fixe la valeur ComputerName dans le Registre.

REMARQUE : Entrez une valeur locale. FullName="System_Admin"

Le paramètre FullName fixe la valeur RegisteredOwner dans le Registre.

REMARQUE : Entrez une valeur locale. OrgName="Department_Name"

Le paramètre OrgName fixe la valeur RegisteredOrganisation dans le Registre.

(36)

ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx"

Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows Server 2003 qui sera installée.

REMARQUE : Entrez une valeur locale.

3.2.1.7 [params.MS_TCPIP.Adapter01] SpecificTo=Adapter01

Le paramètre SpecificTo indique l’adaptateur réseau qui sera configuré. Le paramètre « Adapter01 » s’applique au premier adaptateur réseau identifié.

DisableDynamicUpdate=No

Le paramètre DisableDynamicUpdate détermine si le système enregistrera dynamiquement les enregistrements « A » et « PTR ». Avec la valeur « No », les enregistrements « A » et « PTR » sont dynamiquement enregistrés avec le DNS.

EnableAdapterDomainNameregistration=No

Le paramètre EnableAdapterDomainNameregistration détermine si les enregistrements DNS propres à une connexion seront enregistrés. Avec la valeur « No », les enregistrements DNS propres à une connexion ne sont pas enregistrés.

DefaultGateway=xxx.xxx.xxx.xxx

Le paramètre DefaultGateway fixe la valeur de la passerelle par défaut TCP/IP pour l’adaptateur.

REMARQUE : Entrez une valeur locale. DHCP=Yes

Le paramètre DHCP détermine si l’adaptateur demandera une adresse TCP/IP, à l’aide du protocole DHCP. Avec la valeur « Yes », une adresse TCP/IP sera demandée.

DNSDomain=Department_Name.local

Le paramètre DNSDomain indique le nom du domaine sous lequel le système est entré.

(37)

NetBIOSOptions=1

Le paramètre NetBIOSOptions détermine le paramètre NetBIOS sur TCP/IP. Le paramètre « 1 » active le NetBIOS sur TCP/IP.

Subnetmask=xxx.xxx.xxx.xxx

Le paramètre Subnetmask indique l’adresse du masque du sous-réseau.

REMARQUE : Entrez une valeur locale.

3.2.1.8 [NetOptionalComponents] DHCPServer=0

Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur « 0 », le serveur DHCP n’est pas installé.

DNS=0

Le paramètre DNS détermine si le système installera le serveur DNS. Avec la valeur « 0 », le serveur DNS n’est pas installé.

IAS=0

Le paramètre IAS détermine si le système installera le service d’authentification d’Internet (IAS pour Internet Authentication Service). Avec la valeur « 0 », le service d’authentification Internet n’est pas installé.

ILS=0

Le paramètre ILS détermine si le programme d’installation installera les services qui prennent en charge les fonctions de téléphonie (identification de l’appelant, conférences téléphoniques, vidéoconférences, télécopie, etc.). Avec la valeur « 0 », le service ILS (Internet Locator Service) n’est pas installé.

LDPSVC=0

Le paramètre LPDSVC détermine si le système installera les services d’impression UNIX. Avec la valeur « 0 », les services d’impression UNIX ne sont pas installés.

(38)

MacPrint=0

Le paramètre MacPrint détermine si le système installera les services d’impression Macintosh. Avec la valeur « 0 », les services d’impression Macintosh ne sont pas installés.

MacSrv=0

Le paramètre MacSrv détermine si le système installera les services de fichiers Macintosh. Avec la valeur « 0 », les services de fichiers Macintosh ne sont pas installés.

Netcm=0

Le paramètre Netcm détermine si le système installera le Kit d’administration du Microsoft Connection Manager et le service Phone Book (Annuaire téléphonique). Avec la valeur « 0 », ce service n’est pas installé.

NetMonTools=0

Le paramètre NetMon Tools détermine si le système installera les outils de surveillance réseau. Avec la valeur « 0 », les outils de surveillance réseau ne sont pas installés.

SimpTcp=0

Le paramètre SimpTcp détermine si le système installera les suites de protocoles TCP/IP simples. Avec la valeur « 0 », ces suites de protocoles ne sont pas installées.

SNMP=0

Le paramètre SNMP détermine si le système installera le protocole SNMP. Avec la valeur « 0 », ce protocole n’est pas installé.

WINS=0

Le paramètre WINS détermine si le système installera le service de nom Internet Windows (WINS). Avec la valeur « 0 », le service WINS n’est pas installé.

3.2.1.9 [Components] AccessOpt=On

Le paramètre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur « On », l’assistant d’accessibilité sera installé.

(39)

appsrv_console=Off

Le paramètre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur « Off », la console de serveur d’applications (Application Server Console) n’est pas installée.

aspnet=Off

Le paramètre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur « Off », la plate-forme de développement ASP .NET n’est pas installée.

AutoUpdate=Off

Le paramètre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur « Off », le service AutoUpdate (mise à jour automatique) n’est pas installé.

BitsServerExtensionsISAPI=Off

Le paramètre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le Registre. Avec la valeur « Off », l’interface ISAPI pour les extensions de serveur BITS n’est pas installée.

BitsServerExtensionManager=Off

Le paramètre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le Registre. Avec la valeur « Off », le module MMC, les API administratives et les extensions ADSI pour BITS ne sont pas installés.

Calc=On

Le paramètre Calc fixe la valeur calc dans le Registre. Avec la valeur « Off », la fonction de calculatrice n’est pas installée.

certsrv=On

Le paramètre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur « On », les composantes Certificate Services (Services de certificats) sont installées.

certsrv_client=Off

Le paramètre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur « Off », les composantes clients Web des services de certificats ne sont pas installées. Pour cela, il faut qu’une autorité de certification soit définie avec le paramètre CAName. Il faut de plus que le

(40)

système informatique qui héberge l’autorité de certification soit défini avec le paramètre CAMachine. Avec ces entrées, un certificat peut être utilisé dans un navigateur Web.

certsrv_server=Off

Le paramètre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur « Off », les services de serveur de certificat ne sont pas installés. Cette valeur doit être activée seulement pour les systèmes que l’on entend utiliser pour offrir un service d’autorité de certification.

charmap=On

Le paramètre charmap fixe la valeur charmap dans le Registre. Avec la valeur « On », la fonction Character Map (mappage de caractères) est installée.

chat=Off

Le paramètre chat fixe la valeur chat dans le Registre. Avec la valeur « Off », le programme de clavardage (Chat) n’est pas installé.

Clipbook=Off

Le paramètre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur « Off », l’album Clipbook n’est pas installé.

cluster=Off

Le paramètre cluster fixe la valeur cluster dans le Registre. Avec la valeur « Off », le logiciel de cluster n’est pas installé.

complusnetwork=On

Le paramètre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur « On », l’accès Com+ réseau est activé.

deskpaper=Off

Le paramètre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur « Off », une image de fond n’est pas installée sur le poste de travail.

(41)

dialer=Off

Le paramètre dialer fixe la valeur dialer dans le Registre. Avec la valeur « Off », le composeur téléphonique n’est pas installé.

dtcnetwork=Off

Le paramètre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur « Off », l’accès réseau DTC n’est pas activé. DTC signifie Distributed Transaction Coordinator (coordonnateur de transactions distribuées).

fax=Off

Le paramètre fax fixe la valeur fax dans le Registre. Avec la valeur « Off », la fonctionnalité de télécopie n’est pas installée.

fp_extensions=Off

Le paramètre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur « Off », les extensions du serveur FrontPage ne sont pas installées.

fp_vdir_deploy=Off

Le paramètre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur « Off », le soutien de déploiement à distance RAD Visual InterDev n’est pas installé.

freecell=Off

Le paramètre freecell fixe la valeur freecell dans le Registre. Avec la valeur « Off », le jeu Freecell n’est pas installé.

hearts=Off

Le paramètre hearts fixe la valeur hearts dans le Registre. Avec la valeur « Off », le jeu Hearts n’est pas installé.

hypertrm=Off

Le paramètre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur « Off », la fonction Hyperterminal n’est pas installée.

(42)

IEAccess=Off

Le paramètre IEAccess détermine si les points d’accès d’Internet Explorer sont visibles. Avec la valeur « Off », ces points ne sont pas visibles.

iis_asp=Off

Le paramètre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur « Off », la fonctionnalité Active Server Pages (pages de serveur actif) n’est pas installée.

iis_common=Off

Le paramètre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur « Off », l’ensemble commun de fichiers requis par l’IIS n’est pas installé.

iis_ftp=Off

Le paramètre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur « Off », le service FTP n’est pas installé.

iis_inetmgr=Off

Le paramètre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur « Off », les outils d’administration basés sur la console MMC pour IIS ne sont pas installés.

iis_internetdataconnector=Off

Le paramètre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre. Avec la valeur « Off », la fonction Internet Data Connector (connecteur de données Internet) n’est pas installée.

iis_nntp=Off

Le paramètre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur « Off », le service NNTP n’est pas installé.

iis_serversidesincludes=Off

Le paramètre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec la valeur « Off », la fonction Server Side Includes (fichiers inclus côté serveur) n’est pas

(43)

iis_smpt=Off

Le paramètre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur « Off », le service SMTP n’est pas installé.

iis_webadmin=Off

Le paramètre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur « Off », l’interface utilisateur Web pour l’administration des serveurs Web (Remote Administration Tools) n’est pas installée.

iis_webdav=Off

Le paramètre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur « Off », la fonction de publication WebDAV n’est pas installée.

iis_www=Off

Le paramètre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur « Off », le service WWW n’est pas installé.

iis_www_vdir_scripts=Off

Le paramètre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec la valeur « Off », le répertoire de scripts facultatif n’est pas créé sur le site Web par défaut.

indexsrv_system=Off

Le paramètre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur « Off », le service d’indexation (Indexing Service) n’est pas installé.

inetprint=Off

Le paramètre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur « Off », la fonction d’impression Internet n’est pas installée.

licenseserver=Off

Le paramètre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur « Off », la licence Terminal Service n’est pas activée.

(44)

media_clips=Off

Le paramètre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur « Off », les échantillons de son ne sont pas installés.

media_utopia=Off

Le paramètre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur « Off », le schéma de son Utopia n’est pas installé.

minesweeper=Off

Le paramètre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur « Off », le jeu Minesweeper n’est pas installé.

mousepoint=On

Le paramètre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur « On », tous les pointeurs de souris disponibles sont installés.

msmq_ADIntegrated=Off

Le paramètre msmq_ADIntegrated fixe la valeur msmq_ADIntegrated dans le Registre. Avec la valeur « Off », le MSMQ n’est pas intégré avec l’Active Directory.

msmq_Core=Off

Le paramètre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur « Off », les composantes Message Queuing ne sont pas installées.

msmq_HTTPSupport=Off

Le paramètre msmq_HTTPSupport fixe la valeur msmq_HTTPSupport dans le Registre. Avec la valeur « Off », l’émission et la réception des messages utilisant le protocole HTTP sont

désactivées.

msmq_LocalStorage=Off

Le paramètre msmq_LocalStorage fixe la valeur msmq_LocalStorage dans le Registre. Avec la valeur « Off », les messages ne sont pas enregistrés localement.

(45)

Le paramètre msmq_MQDSSService fixe la valeur msmq_MQDSSService dans le Registre. Avec la valeur « Off », l’accès à l’Active Directory et la reconnaissance du site sont restreints pour les clients en aval.

msmq_RoutingSupport=Off

Le paramètre msmq_RoutingSupport fixe la valeur msmq_RoutingSupport dans le Registre. Avec la valeur « Off », le système n’assure pas de routage efficient.

msmq_TriggerService=Off

Le paramètre msmq_TriggerService fixe la valeur msmq_TriggerService dans le Registre. Avec la valeur « Off », l’arrivée des messages entrants dans une file d’attente est dissociée de la fonctionnalité dans une composante COM (Component Object Module). Il en va de même pour un programme exécutable autonome.

msnexplr=Off

Le paramètre msnexplr fixe la valeur msnexpire dans le Registre. Avec la valeur « Off », l’Explorateur MSN n’est pas installé.

mswordpad=On

Le paramètre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur « On », la fonction mswordpad est installée.

netcis=Off

Le paramètre netcis fixe la valeur netcis dans le Registre. Avec la valeur « Off », les services Internet COM Microsoft ne sont pas installés.

netoc=Off

Le paramètre netoc fixe la valeur netoc dans le Registre. Avec la valeur « Off », les composantes réseau facultatives ne sont pas installées.

objectpkg=Off

Le paramètre objectpkg détermine si le programme Object Packager est installé. Avec la valeur « Off », le programme Object Packager n’est pas installé.

(46)

OEAccess=Off

Le paramètre OEAccess détermine si les points d’entrée visibles pour Outlook Express sont installés. Avec la valeur « Off », les points d’entrée visibles pour Outlook Express ne sont pas installés.

paint=Off

Le paramètre paint fixe la valeur paint dans le Registre. Avec la valeur « Off », Microsoft Paint n’est pas installé.

pinball=Off

Le paramètre pinball fixe la valeur pinball dans le Registre. Avec la valeur « Off », le jeu Pinball n’est pas installé.

Pop3Admin=Off

Le paramètre Pop3Admin indique si l’interface utilisateur Web facultative pour les outils d’administration à distance est installée. Avec la valeur « Off », cette interface facultative n’est pas installée.

Pop3Service=Off

Le paramètre Pop3Service indique si le service POP3 principal est installé. Avec la valeur « Off », le service POP3 principal n’est pas installé.

Pop3Srv=Off

Le paramètre Pop3Srv détermine si la composante POP3 racine est installée. Avec la valeur « Off », cette composante n’est pas installée.

rec=Off

Le paramètre rec détermine si l’enregistreur de son est installé. Avec la valeur « Off », l’enregistreur de son n’est pas installé.

reminst=Off

Le paramètre reminst fixe la valeur reminst dans le Registre. Avec la valeur « Off », le service d’installation à distance n’est pas installé.

(47)

rootautoupdate=Off

Le paramètre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur « Off », les certificats racines de mise à jour OMC sont désactivés. Si l’utilisateur se voit présenter un certificat émis par une autorité racine non fiable, les actions qui requièrent l’authentification sont interdites.

rstorage=Off

Le paramètre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur « Off », la fonction de stockage à distance n’est pas installée.

solitaire=Off

Le paramètre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur « Off », le jeu Solitaire n’est pas installé.

spider=Off

Le paramètre spider fixe la valeur spider dans le Registre. Avec la valeur « Off », le jeu Spider n’est pas installé.

templates=Off

Le paramètre templates fixe la valeur templates dans le Registre. Avec la valeur « Off », les modèles de documents ne sont pas installés.

TerminalServer=On

Le paramètre TerminalServer détermine si le serveur de terminal est installé. Avec la valeur « On », ce service est installé.

TSWebClient=Off

Le paramètre TSWebClient détermine si le contrôle ActiveX pour héberger les connexions du client Terminal Services sur le Web est installé. Avec la valeur « Off », le contrôle ActiveX n’est pas installé.

vol=Off

Le paramètre vol fixe la valeur vol dans le Registre. Avec la valeur « Off », le contrôle de volume n’est pas installé.

(48)

WBEMSNMP=Off

Le paramètre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur « Off », le fournisseur SNMP WMI n’est pas installé.

WMAccess=Off

Le paramètre WMAccess détermine si les points d’entrée visibles pour Windows Manager sont installés. Avec la valeur « Off », les points d’entrée visibles pour Windows Manager ne sont pas installés.

WMPOCM=Off

Le paramètre WMPOCM détermine si les points d’entrée visibles pour le lecteur Windows Media sont installés. Avec la valeur « Off », les points d’entrée visibles pour le lecteur Windows Media ne sont pas installés.

wms=Off

Le paramètre wms fixe la valeur wms dans le Registre. Avec la valeur « Off », les principales composantes du serveur Windows Media (Windows Media Server) ne sont pas installées.

wms_admin_asp=Off

Le paramètre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur « Off », les composantes administratives basées sur le Web pour les services Windows Media (Windows Media Services) ne sont pas installées.

wms_admin_mmc=Off

Le paramètre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la valeur « Off », les composantes administratives basées sur la console MMC pour les services Windows Media (Windows Media Services MMC) ne sont pas installées.

wms_isapi=Off

Le paramètre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur « Off », les composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas installées.

(49)

wms_server=Off

Le paramètre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur « Off », les composantes serveur des services Windows Media (Windows Media Services) ne sont pas installées.

zonegames=Off

Le paramètre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur « Off », les jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas installés.

3.3 Fichier de configuration et d’installation du serveur du groupe

de travail

L’installation du serveur de groupe de travail peut créer un nouveau groupe de travail ou se joindre à un groupe existant. L’installation présuppose qu’on n’utilise pas le protocole DHSP, ni le service DNS. Par conséquent, l’administrateur doit entrer les valeurs TCP/IP dans le fichier Winnt.sif pour activer le réseautage.

3.3.1 Winnt.sif (Groupe de travail) 3.3.1.1 [Data]

AutoPartition=1

Le paramètre AutoPartition indique l’emplacement où le système d’exploitation Windows est installé. Le paramètre « 1 » installe le système d’exploitation dans la première partition disponible qui a suffisamment d’espace. Si un système d’exploitation est déjà installé, la procédure d’installation cessera et attendra d’autres instructions.

MsDosInitiated=0

Le paramètre MsDosInitiated doit être présent et être fixé à « 0 », sinon l’installation automatisée échouera.

UnattendedInstall=Yes

Avec la valeur « YES », la valeur UnattendedInstall permet la préinstallation de Windows à l’aide de la méthode de démarrage par CD-ROM.

(50)

3.3.1.2 [GuiUnattended]

AdminPassword="A_Str0ng_p@SSw0rd"

Le paramètre AdminPassword définit le mot de passe de l’administrateur local pour le système en cours d’installation.

REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des

administrateurs.

EncryptedAdminPassword=No

Le paramètre EncryptedAdminPassword détermine si la procédure d’installation chiffre le mot de passe de l’administrateur. Avec la valeur « No », le mot de passe n’est pas chiffré. Vous pouvez activer cette fonction à l’aide de l’outil setupmgr.exe fourni sur le support de distribution Windows.

OEMSkipWelcome=1

Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage. Avec la valeur « 1 », la page de bienvenue n’est pas affichée.

OEMSkipRegional=1

Le paramètre OEMSkipRegional détermine si la procédure d’installation affichera la page des paramètres régionaux. Avec la valeur « 1 », la page des paramètres régionaux n’est pas affichée.

TimeZone=035

Le paramètre TimeZone règle l’horloge du système selon le fuseau horaire local. 004 – Heure normale du Pacifique

010 – Heure normale des Rocheuses 020 – Heure normale des Prairies

025 – Heure normale du Canada central (Saskatchewan) 035 – Heure normale de l’Est

050 – Heure normal de l’Atlantique

060 – Heure normale de Terre-Neuve et du Labrador

AutoLogon=No

Le paramètre Autologon détermine si le compte de l’administrateur ouvrira automatiquement une session, jusqu’à ce que le système soit redémarré. La valeur « No » désactive la fonction

(51)

AutoLogon (ouverture de session automatique). Le paramètre AutoLogonCount peut accroître le nombre de redémarrages requis pour désactiver la fonction AutoLogon.

3.3.1.3 [Identification]

JoinWorkgroup=Department_Name

Le paramètre JoinWorkgroup détermine à quel groupe de travail le serveur se joindra.

REMARQUE : Cette valeur doit être remplacée par une valeur locale.

3.3.1.4 [LicenseFilePrintData] AutoMode=PerServer

Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer.

REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour le

paramètre AutoUsers.

AutoUsers=5

Le paramètre AutoUsers détermine le nombre d’utilisateurs concurrents pris en charge par la licence du type PerServer.

REMARQUE : Entrez une valeur locale.

3.3.1.5 [Unattended] OemPreinstall=No

Le paramètre OEMPreinstall détermine s’il y a des fichiers OEM à installer. La valeur « No » indique que tous les fichiers snécessaires e trouvent dans la distribution Windows.

UattendedSwitch=Yes

Le paramètre UnattendedSwitch indique si le module d’installation omet la page de bienvenue Windows. Avec la valeur « Yes », la page de bienvenue Windows est omise.

Repartition=No

Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier lecteur. Avec la valeur « No », toutes les partitions sont conservées sur le premier lecteur.

(52)

TargetPath=Windows

Le paramètre TargetPath définit l’emplacement du système d’exploitation. Avec la valeur « Windows », les fichiers du système d’exploitation sont placés dans un dossier Windows.

UnattendedMode=FullUnattended

Le paramètre UnattendedMode détermine le niveau d’interaction humaine avec la procédure d’installation. Avec la valeur « FullUnattended », il n’y a pas d’interaction humaine.

WaitForReboot=No

Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une possibilité d’interaction humaine. Avec la valeur « No », le système redémarre immédiatement.

OemSkipEula=Yes

Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est présenté pendant l’installation. Avec la valeur « Yes », le CLUF n’est pas affiché.

FileSystem=ConvertNTFS

Le paramètre FileSystem détermine le type du système de fichiers pour l’installation. Avec la valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS.

3.3.1.6 [UserData]

ComputerName=File_Server_1

Le paramètre ComputerName fixe la valeur ComputerName (nom de l’ordinateur) dans le Registre.

REMARQUE : Entrez une valeur locale. FullName="System_Admin"

Le paramètre FullName fixe la valeur RegisteredOwner (propriétaire inscrit) dans le Registre.

(53)

OrgName="Department_Name"

Le paramètre OrgName fixe la valeur RegisteredOrganisation (Organisme inscrit) dans le Registre.

REMARQUE : Entrez une valeur locale. ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx"

Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows Server 2003 qui sera installée.

REMARQUE : Entrez une valeur locale.

3.3.1.7 [Networking]

Cette section définit le réseau pour le système. Dans un environnement de groupe de travail, des moyens statiques sont utilisés pour l’établissement du réseau. Cela comprend les adresses IP statiques, ainsi qu’un fichier Hosts pour la résolution des noms. Par conséquent, la définition de réseau automatisé est désactivée. Toutes les valeurs sont fournies par l’intermédiaire de

paramètres dans ce fichier d’installation.

InstallDefaultComponents=No

Le paramètre InstallDefaultComponents indique si la configuration du réseau utilisera le

protocole DHCP et le service DNS. Avec la valeur « No », le réseau utilisera les valeurs fournies au lieu de DHCP et DNS.

3.3.1.8 [NetAdapters] Adapter1=params.Adapter1

Le paramètre Adapter1 définit les interfaces réseau à installer avec les noms logiques associés. Cela assure que les commandes destinées aux adaptateurs sont acheminées correctement.

3.3.1.9 [params.Adapter1] InfID=*

Le paramètre InfID identifie un adaptateur réseau avec une valeur qui est identique à celle de l’identificateur Plug and Play. S’il y a plus d’un adaptateur, le paramètre indiquerait

(54)

3.3.1.10 [NetClients]

MS_MSClient=params.MS_MSClient

Le paramètre MS_MSClient indique la section où le client pour le réseau Microsoft est défini. La valeur « params.MS_MSClient » est le titre de la section qui contient la définition du client réseau.

3.3.1.11 [NetServices]

MS_SERVER=params.MS_SERVER

Le paramètre MS_SERVER indique la section où des entrées sont fournies pour définir un service réseau. Aucun service réseau n’est défini dans ce fichier d’installation. Par conséquent, la section « params.MS_SERVER » n’est pas requise.

3.3.1.12 [NetProtocols]

MS_TCPIP=params.MS_TCPIP

Le paramètre MS_TCPIP définit la section qui contient les entrées pour ce protocole.

3.3.1.13 [params.MS_TCPIP] DNS=No

Le paramètre DNS indique si le serveur utilisera un serveur DNS. Le paramètre « No » indique que le serveur n’utilisera pas le DNS pour la résolution des noms.

UseDomainNameDevolution=No

Le paramètre UseDomainNameDevolution détermine si le système tentera de se connecter quand le nom DNS fourni n’est pas entièrement qualifié. Le paramètre « No » empêche le système de faire cette tentative.

EnableLMHosts=Yes

Le paramètre EnableLMHosts détermine si le serveur utilisera le fichier Hosts pour résoudre le nom de réseau afin de traiter les traductions. Le paramètre « Yes » indique que le fichier Hosts sera utilisé pour la résolution des noms.

(55)

Le paramètre AdapterSections définit l’emplacement dans ce fichier qui contient la définition de l’adaptateur.

3.3.1.14 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1

Le paramètre SpecificTo indique l’adaptateur réseau qui sera configuré. Le paramètre « Adapter01 » s’applique au premier adaptateur réseau identifié.

DHCP=No

Le paramètre DHCP indique si le système utilise le protocole DHCP. Le paramètre « No » indique que le système n’obtiendra pas une adresse TCP/IP d’un serveur DHCP.

IPAddress=xxx.xxx.xxx.xxx

Le paramètre IPAddress définit l’adresse IP de l’adaptateur.

SubnetMask=xxx.xxx.xxx.xxx

Le paramètre Subnetmask fournit les adresses des masques de sous-réseau.

DefaultGateway=xxx.xxx.xxx.xxx

Le paramètre DefaultGateway définit l’adresse pour les paquets destinés à l’extérieur du masque. La passerelle sert de premier arrêt, sur l’itinéraire menant au système cible.

WINS=No

Le paramètre WINS détermine si le système utilisera le service de noms Windows (Windows Internet Name Service). Le paramètre « No » désactive le service WINS sur l’adaptateur indiqué.

NetBIOSOptions=0

Le paramètre NetBIOSOptions détermine si le système active le NetBIOS sur le TCP/IP. Le paramètre « 0 » désactive le NetBIOS sur le TCP/IP.

3.3.1.15 [NetOptionalComponents] DHCPServer=0

Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur « 0 », le serveur DHCP n’est pas installé.

Figure

Figure 1 – Exemple de structure d’Active Directory
Tableau 1 – Contrôles généraux d’accès aux fichiers
Tableau 2 – Contrôles d’accès généraux au Registre
Tableau 3 – Écarts avec les paramètres de base pour un serveur membre  Microsoft
+2

Références

Documents relatifs

Dans la console DHCP, faites un clic droit sur le nom du serveur dont vous voulez restaurer la base de données DHCP, puis cliquez sur Restaurer. Spécifiez ensuite l’emplacement

Passport / Mike Meyers' MCSE Passport / Brown & McCain / 222569-6 / Chapter 1 Color profile: Generic CMYK printer profile.. Composite

Par exemple, pour le type de tâches T l , on pourrait également donner la technique suivante :  ’ l : mettre en évidence la longueur cherchée comme côté d’un triangle

L’importance des situations de coordination dans l’émergence de pratiques d’enseignement interdisciplinaires a déterminé le choix du cadre théorique que nous avons retenu

être pour un groupe qu’il a repéré comme étant un groupe / on va dire / entre guillemets de bons élèves une proposition de / pistes de démonstration du théorème et

caractérisent fortement ce type d'espace et les différentes modalités sensibles renforcent ce sentiment : "c’est pas un bruit c’est une espèce d’agitation une agitation

6 Fondements de l’Arithmétique , trad.. contenu dans les prémisses ; le tableau ne formule pas une nouvelle proposition, mais manifeste comment une loi générale peut

(…) Les auteurs soutiennent par ailleurs une réflexion sur les modalités de soin psychique dans les situations extrêmes, et, par là, posent un certain nombre de questions sur