FONTAINE David 1ère Info / 2002-2003 ESA Namur
Rapport sur les travaux pratiques réalisés
sous Windows 2000 Serveur
Travail de recherche
Point en faveur de Windows 2000 Serveur
Un point fort de Windows 2000 Serveur est la gestion de la sécurité. Celle-ci s'est fortement améliorée depuis Windows NT4 Serveur.
Outre la gestion centralisée des utilisateurs et des ressources via Active Directory, Windows 2000 Serveur supporte:
• Kerberos,
• les services de sécurité distribués,
• le système de fichiers cryptés (EFS, Encrypted File System),
• l'architecture IPSec,
• le support pour cartes à puce,
• l'infrastructure à clé publique (PKI Public Key Infrastructure).
Windows 2000 Server (Service Pack 3) a obtenu la certification EAL4 ( Evaluation Assurance Level 4) , ce qui indique que l'OS est à la hauteur de ses prétentions en matiere de sécurité.
L'évaluation du niveau de sécurité de Windows 2000 Server SP3, commencée il y a trois ans, a permis au systeme d'exploitation d'atteindre le niveau EAL4 , décernée par une organisation indépendante reconnue.
Cela ne veut pas dire que Windows 2000 Server SP3 est ultra sécurisé et / ou meilleur que ces concurrents.
Cela veut juste dire la sécurisation du serveur est à la hauteur des dires de Microsoft. En résumé, l'organisation a verifié que Windows 2000 offre bien les fonctions de sécurité annoncées par son éditeur. Une sorte de certification obligatoire pour travailler avec certains organismes ( notament gouvernementaux ).
(source: http://www.yacapa.com/article.php?sid=935)
Le système de fichiers NTFS V5 et la gestion des volumes dynamiques
Le système de fichiers NTFS V5 est l'évolution de NTFS V4 (Windows NT4).
Il offre de nouvelles caractéristiques telles que:
• la gestion des quotas,
• le cryptage des données,
• une meilleure gestion des permissions d'accès,
• la gestion des volumes dynamiques.
Les volumes dynamiques sont une nouvelle fonctionnalité de Windows 2000 et ils ne
fractionnés, des volumes en miroir, des volumes agrégés par bande et des volumes RAID-5. Seuls les ordinateurs exécutant Windows 2000 peuvent accéder à ce type de volume.
Serveurs RIS et WUS
Remote Installation Services (RIS) est un service optionnel de Windows 2000 qui permet de configurer de nouveaux ordinateurs clients à distance.
Concrètement, cela permet d'installer un système d'exploitation sur un ordinateur distant capable de booter sur la carte réseau. Il suffit de démarrer l'ordinateur et de se connecter avec un compte utilisateur valide.
Tous les fichiers sont transférés sur la machine à travers le réseau et le processus d'installation du système d'exploitation démarre.
Pour les ordinateurs ne pouvant booter sur la carte réseau, une simple disquette boot contenant un émulateur PXE fera l'affaire.
Windows Update Service est un service de Windows 2000 qui permet de tenir le système d'exploitation à jour. Pour cela, le service vérifie à intervalles réguliers si de nouvelles mises à jour sont disponibles sur internet (sur les serveurs de Microsoft).
Si c'est le cas, celles-ci sont téléchargées et installées.
Forêt, domaine parent et domaine enfant
Chaque domaine de l'annuaire est identifié par un nom de domaine DNS et nécessite un ou plusieurs contrôleurs de domaine.
Un ou plusieurs domaines qui partagent un schéma commun et un catalogue global sont appelés forêt. Si plusieurs domaines à l'intérieur d'une forêt ont des noms de domaine DNS contigus, la structure est appelée arborescence de domaine.
Si plusieurs domaines ont des noms de domaine DNS non contigus, ils forment des arborescences de domaine différentes à l'intérieur de la forêt. Une forêt peut contenir une ou plusieurs arborescences de domaine. Le premier domaine d'une forêt est appelé domaine racine de la forêt.
On crée un domaine en installant le premier contrôleur de domaine pour un domaine. Au cours de l'installation du premier contrôleur de domaine, l'Assistant Installation de Active Directory utilise les informations que l'on fournit pour installer le contrôleur de domaine et créer le domaine à l'intérieur du contexte (s'il en existe un) existant de relations avec d'autres domaines et contrôleurs de domaine. Ce contexte peut être le premier domaine dans une nouvelle forêt, le premier domaine dans une nouvelle arborescence de domaine ou un domaine enfant d'une arborescence de domaine existante.
Après avoir installé le premier contrôleur de domaine pour un domaine, on peut en installer d'autres dans un domaine existant afin de garantir la tolérance de panne et une haute disponibilité de l'annuaire.
Les MMC (Microsoft Management Console) sont de nouveaux outils de configuration du système, ayant tous la même interface.
Windows 2000 est livré avec un certain nombre de MMC, telle que la Gestion de l'ordinateur, qui regroupe à peu près tous les outils d'administration.
Il est possible d'en créer d'autres, plus ou moins spécialisées, et accessibles par certains utilisateurs. Ainsi un administrateur pourra déléguer à d'autres administrateurs la
responsabilité de tâches particulières.
Cela permet donc de paramétrer les outils de Windows 2000 à sa guise.
Gestion de la sécurité: Group Policy Object (GPO)
Les stratégies de groupe (Group Policy Object: GPO) sont des ensembles de paramètres applicables à des utilisateurs, des groupes d’utilisateurs et des ordinateurs.
Elles se définissent au niveau d’un site, d’un domaine, des unités d’organisations et sont applicables à tous les objets réseaux situés dans le conteneur où est appliquée la
stratégie. Grâce aux stratégies de groupe, il est possible de restreindre le bureau des utilisateurs, d’appliquer des stratégies de comptes et de mots de passe, de déployer des applications, de paramétrer la sécurité, d’exécuter des scripts, de mettre en œuvre des audits, de changer les droits des utilisateurs,…
Les stratégies de groupe sont représentées comme des objets d’Active Directory. Elles sont constituées de deux parties stockées dans des emplacements différents:
• Un GPC (Group Policy Conteneur) qui est un objet AD représentant les attributs de la GPO. On retrouve les GPC dans AD en passant par la console “Utilisateurs et
ordinateurs AD”.
• Un GPT (Group Policy Template) qui est un dossier stocké dans le répertoire sysvol représentant un canevas des paramètres applicables dans une GPO.
Lorsque l’on crée une stratégie de groupe, on crée donc un objet AD que l’on va lier à un conteneur (OU, site ou domaine).On peut lier la même GPO à plusieurs conteneurs, et on peut en lier plusieurs sur un même conteneur.
Travail pratique
Etapes d'installation : installation en tant que serveur autonome
On insère le cdrom dans le lecteur et on démarre l'ordinateur.
Capture 1: On appuie sur ENTREE pour continuer.
Capture 2: Ecran de confirmation.
Capture 3: Acceptation du contrat de license.
Capture 4: Liste des partitions.
Capture 5: Création d'une nouvelle partition de 2Gb.
Capture 6: On appuie sur ENTREE pour installer Windows 2000 Server sur la partition nouvellement créée.
Capture 7: Choix du système de fichiers. Ici, NTFS.
Capture 8: Formatage de la partition.
Capture 9: Copie des fichiers dans les dossiers d'installation.
Capture 10: On appuie sur ENTREE pour redémarrer directement.
Capture 11: Redémarrage de l'ordinateur.
Capture 12: Poursuite de l'installation de Windows 2000 Server
Capture 13: Détection et installation des périphériques.
Capture 14: Réglage des paramètres régionaux: langue, disposition du clavier, etc.
Capture 15: Saisie du nom et de la société.
Capture 16: Saisie de la clé du produit.
Capture 17: Choix d'un mode de license.
Capture 18: Saisie du nom de l'ordinateur et du mot de passe Administrateur.
Capture 19: Choix des composants à installer.
Capture 20: Réglage de la date, de l'heure et du fuseau horaire.
Capture 21: Installation des composants réseau.
Capture 22: Réglage des paramètres réseau.
Capture 23: Choix d'un domaine ou d'un groupe de travail.
Capture 24: Installation des composants.
Capture 25: Execution des tâches finales de l'installation.
Capture 26: Fin de l'installation.
Capture 27: Windows 2000 Server est installé!
Etapes d'installation qui diffèrent de Windows NT4:
• sous Windows NT4, le programme d'installation (en mode texte) détermine quels composants matériels sont branchés (clavier, souris) et leur configuration. (Voir rapport NT4 Capture 6)
• le choix du répertoire d'installation est impossible lors de l'installation de Windows 2000 Server. Pour Windows NT4 le choix est possible. (Voir rapport NT4 Capture 11)
• pour Windows 2000 Server, il faut choisir un mode de license. (Voir capture 17)
• lors de l'installation de Windows NT4, on a la possibilité de créer une disquette de réparation d'urgence. Pas pour l'installation de Windows 2000 Server.
Installation de la console de récupération d'urgence:
Capture 28: Commande à éxécuter pour installer la console de récupération d'urgence: “d:\I386\winnt32 /cmdcons”
Capture 30: Installation de la console de récupération d'urgence.
Capture 31: La console de récupération d'urgence est installée!
La base de registre
Toutes les modifications sont effectuées à l'aide de regedit.exe. Pour lancer cet utilitaire de modification de la base de registre, cliquer sur “Démarrer” puis “Exécuter” et taper
“regedit”.
On travaille sur la clé :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Il suffit donc de parcourir l'arborescence jusqu'à trouver la bonne clé. On peut ensuite ajouter, supprimer ou modifier des valeurs, des clés, etc.
1ère modification: on ajoute une valeur “NoRecentDocsMenu” de type DWORD qu'on définit à 1.
Résultat : on n'a plus accès au menu “Documents” du menu “Démarrer”.
Capture 32: NoRecentDocsMenu
2ème modification: on ajoute une valeur “NoSetFolders” de type DWORD qu'on définit à 1.
Résultat : le menu “Paramètres” du menu “Démarrer” ne contient plus le panneau de configuration, les connexions réseau, etc.
Capture 33: NoSetFolders
3ème modification: on ajoute une valeur “NoAddPrinter” de type DWORD qu'on définit à 1.
Résultat : le bouton “Ajouter une imprimante” n'apparaît plus.
4ème modification: on ajoute une valeur “NoWindowsUpdate” de type DWORD qu'on définit à 1.
Résultat : l'icône “Windows Update” n'apparaît plus dans le menu “Démarrer”.
Capture 35: NoWindowsUpdate
5ème modification: on ajoute une valeur “NoRun” de type DWORD qu'on définit à 1.
Résultat : la commande “Exécuter” n'apparaît plus dans le menu “Démarrer”.
Outils de gestion et d'administration
Ces outils sont accessibles depuis le menu “Démarrer”, “Programmes”, “Outils d’administration”.
Capture 37: Outils d'administration.
Gestion des comptes utilisateurs:
Sous Windows 2000 Server: on clique sur “Gestion de l'ordinateur” dans les outils d'administration. On sélectionne ensuite “Outils systèmes” puis “Utilisateurs et groupes locaux”.
Capture 38: Gestion des comptes utilisateurs.
Sous Windows NT4: menu “Démarrer”, puis “Outils d'administration” et ensuite
“Gestionnaire des utilisateurs”.
Observateur d'événements:
Sous Windows 2000 Server: on clique sur “Gestion de l'ordinateur” dans les outils d'administration. On sélectionne ensuite “Observateur d'événements”.
Capture 39: Observateur d'événements.
Sous Windows NT4: menu “Démarrer”, puis “Outils d'administration” et ensuite
“Observateur d'événements”.
Gestionnaire de disques:
Sous Windows 2000 Server: on clique sur “Gestion de l'ordinateur” dans les outils d'administration. On sélectionne ensuite “Gestion des disques”.
Capture 40: Gestion des disques.
Sous Windows NT4: menu “Démarrer”, puis “Outils d'administration” et ensuite
“Administrateur de disques”.
Gestion des partages:
Sous Windows 2000 Server: on clique sur “Gestion de l'ordinateur” dans les outils
d'administration. On sélectionne ensuite “Outils système” puis “Dossiers partagés” et enfin
“Partages”. On obtient ainsi la liste des partages existant sur l'ordinateur.
Capture 41: Gestion des partages.
Sous Windows NT4: pour obtenir la liste des dossiers patagés, il faut utiliser le voisinage réseau et sélectionner l'ordinateur voulu. De cette manière on obtient la liste des partages pour cette machine, mais on ne voit pas les partages masqués ($). Pour partager un dossier, il faut utiliser l'explorateur. On affiche les propriétés du dossier et on clique sur l'onglet “Partage”.
La principale différence entre Windows 2000 Server et Windows NT4 au niveau des outils d'administration se situe au niveau de la MMC (voir plus loin dans ce rapport).
Gestion des disques
Mise à jour d'un disque de base en disque dynamique:
Pour cela, il suffit de cliquer avec le bouton droit sur le disque voulu (dans “Gestion de l'ordinateur”, “Gestion des disques”) et de sélectionner “Mettre à niveau en tant que disque dynamique” (voir capture 42).
Capture 42: Mise à niveau en tant que disque dynamique.
Il s'agit d'un mode de gestion des disques permettant de créer d'autres types de partition (RAID 1, RAID 5, ...).
On peut par exemple dédier un disque entier pour faire du mirroring logiciel.
Montage d'une partition dans un répertoire:
Toujours dans “Gestion de l'ordinateur”, “Gestion des disques”:
Click droit sur un espace non alloué d'un disque, puis “Créer une partition”.
L'assistant Création de partition s'ouvre, on clique sur “Suivant”. On sélectionne le type de partition (principale, étendue), et on clique sur “Suivant”. On définit la taille de la partition puis on clique sur “Suivant”.
Arrivé ici, on choisit l'option “Monter ce volume dans un dossier vide prenant en charge les chemins de lecteur” et on sélectionne le répertoire dans lequel on veut monter la partition.
On clique ensuite sur “Suivant”.
Capture 43: Montage d'une partition dans un répertoire.
On définit ensuite le système de fichiers et autres paramètres divers et on clique sur
“Suivant”.
Un récapitulatif s'affiche et on clique sur “Terminer” pour valider.
La nouvelle partition est maintenant affichée dans le gestionnaire de disques (voir capture 44).
Lorqu'on ouvre l'explorateur et qu'on affiche le répertoire dans lequel la partition est montée, on remarque que son icône a changé: il s'agit maintenant d'une icône représentant un volume de disque (voir capture 45).
Capture 44: La nouvelle partition apparaît.
Capture 45: La partition est montée.
La “Microsoft Management Console”
Capture 46: Création d'une MMC personalisée.
Capture 47: La MMC en action.
Outils d'administration de la plateforme Windows 2000 (adminpack.msi)
Capture 48: Avant l'installation de adminpak.msi
Capture 50: Apres l'installation de adminpack.msi
La fichier adminpack.msi se trouve dans le répertoire I386 du cdrom Windows 2000 Server.
Apres l'installation, les outils suivants sont à notre disposition:
• Client terminal serveur: Permet de se connecter sur un serveur TS.
• Autorité de certification: Gère les services de certificats, qui émettent des certificats pour des programmes de sécurité à clé publique.
• Contrôle d’admission Qos: Gère le service de contrôle d’admission de la qualité de service (Qos), qui fournit la gestion des ressources et la bande passante de bout en bout pour le trafic réseau IP.
• Domaine et approbation Active Directory: Gère les relations d’approbation entre les domaines.
• Gestionnaire des licences des services Terminal Server: Gestionnaire de licences des services Terminal Server.
• Gestionnaire des clusters: Gère le service de cluster, qui améliore la disponibilité des applications serveur.
• Kit d’administration du Gestionnaire de connexion: Gère les profils de connexion à distance et les fichiers de répertoire téléphonique qui sont automatiquement téléchargés lorsque les utilisateurs se connectent au serveur distant.
• Service authentification Internet: Utilise le protocole service d’authentification distante des utilisateurs d’accès à distance (RADIUS) pour effectuer l’authentification distante.
• Stockage étendu: Gère le service de stockage étendu, qui transfère automatiquement les données de fichiers rarement utilisés du disque dur vers une librairie sur bande.
• Système de fichier distribués (non DFS): Crée et gère les systèmes de fichiers distribués connectés aux dossiers partagés de différents ordinateurs.
• Téléphonie: Le composant logiciel enfichable téléphonie est utilisé pour configurer et gérer le service de téléphonie.
• Utilisateurs et ordinateurs AD: Gère les utilisateurs, les ordinateurs, les groupes de sécurité et d’autres objets dans le service AD.
• WINS: Gère le service de nom Internet Windows (WINS), qui traduit les noms d’ordinateurs NetBios en adresse IP.
Cryptage de dossier et de fichiers
Capture 51: Cryptage du fichier.
Capture 52: Tentative d'accès avec un autre compte
Pour accroître la sécurité des ressources, W2K intègre à son système de fichiers NTFS la possibilité de crypter les données, pour qu’elles soit accessibles que par les utilisateurs disposant de la clé permettant de déchiffrer le contenu du document.
Une fois un document crypté, les utilisateurs autorisés à le décrypter y accède de façon transparente. Bien que ce cryptage s’applique sur des permissions NTFS, il reste
indépendant des permissions NTFS appliquées au même document.
Le cryptage employé dans W2K se nomme EFS (Encrypting File System). Le besoin de sécurité se faisant de plus en plus sentir, EFS permet de mieux protéger les données importantes. Bien que les permissions NTFS soient difficilement détournables, le risque zéro n’existe pas. En effet, il existe sur Internet des utilitaires permettant d’accéder à des partitions NTFS en démarrant l’ordinateur à partir d’une simple disquette DOS. Les permissions NTFS ne sont alors plus d’aucun secours.
EFS utilise des clés de cryptage symétrique (c'est-à-dire que les clef pour crypter et décrypter sont identiques). La liste de ces clés de cryptage est elle-même cryptée avec la clé publique du certificat X.509 v3 de l’utilisateur. Elle fait partie intégrante du document.
Pour pouvoir décrypter le document, il faut utiliser la clé privée de l’utilisateur ayant crypté le document, dans le but d’extraire la liste des clés utilisées. Cette clé privée n’est connue que de l’utilisateur. On parle alors de cryptage asymétrique (La clé publique qui sert à crypter est différente de la clé privée qui sert à décrypter).
• Un fichier est crypté par blocs, et chaque bloc est crypté avec une clé de cryptage différente.
• EFS permet de crypter les fichiers ou dossiers sur un ordinateur, mais ne permet pas de crypter les données qui transite sur le réseau. Pour cela, W2K propose des
solutions comme IPSec ou SSL.
• On ne peut pas crypter et compresser un fichier ou dossier. Si le fichier que l’on veut crypter est compressé, il perd alors son attribut de compression.
• Un utilisateur accédant à un document crypté par un autre utilisateur ne peut pas le copier, ni le déplacer dans le but de le placer sur un système de fichiers autre que le NTFS.
• Un utilisateur possédant le droit de supprimer un fichier peut supprimer un fichier crypté.
(Source: Windows 2000 Serveur, installation, configuration et administration, éditions ENI)
Planificateur de tâches
Aide de la commande ntbackup:
Vous pouvez exécuter des opérations de sauvegarde à partir de l'invite de commandes, ou d'un fichier de commandes, grâce à la commande ntbackup suivie de divers paramètres.
Syntaxe :
ntbackup backup [systemstate] "nom de fichier bks" /J {"nom tâche"} [/P {"nom pool"}] [/G {"nom GUID"}] [/T { "nom bande"}] [/N {"nom média"}] [/F {"nom fichier"}] [/D {"description jeu"}] [/DS {"nom serveur"}] [/IS {"nom
serveur"}] [/A] [/V:{yes|no}] [/R:{yes|no}] [/L:{f|s|n}] [/M {type sauvegarde}] [/RS:{yes|no}] [/HC:{on|off}]
Paramètres : systemstate
Indique que vous voulez sauvegarder les données sur l'état du système. Lorsque vous sauvegardez les données sur l'état du système, ces données sont
sauvegardées dans leur totalité, par conséquent, le commutateur /s n'a pas lieu d'être. De plus, le type de sauvegarde est obligatoirement normal ou copie.
La commande à lancer pour sauvegarder le système est donc:
ntbackup backup systemstate /m normal /f c:\backup.bkf
Pour automatiser le backup, il suffit de créer un fichier bat qui contient cette commande.
Ensuite, en utilisant le planificateur de tâches, il faut créer une tâche qui va lancer ce fichier à intervalles réguliers.
Client Terminal Server
Capture 54: Création d'une connexion.
Rcmd
Capture 56: Installation du “Windows 2000 Server Resource Kit”
Après avoir installé le “resource kit”, on démarre une invite de commande et on se déplace dans le répertoire “c:\program files\resource kit\rconsole”.
On tape ensuite :
rsetup \\pc1
où pc1 est le nom de la machine sur laquelle on veut se connecter.
Cette commande va installer et démarrer le service rconsvc sur la machine cible.
Il suffit ensuite de taper:
rclient \\pc1
pour se connecter à cette machine.
Capture 57: Installation du service sur la machine distante.
Capture 58: Connexion à la machine distante.
