Windows Server 2003 Fonctions avancées Windows Server 2003 Fonctions avancées Windows Server 2003 Fonctions avancéesNOTICE RELATIVE AUX DROITS D'AUTEURS Copyright” 2004, par AVENIR CONSULT. Tous droits réservés. Ce document contient des informations protégées par copyright. Toute reproduction, représentation ou transcription du présent support, intégrale ou partielle, faite sans le consentement préalable et écrit d’AVENIR CONSULT, est illicite (loi du 11 mars 57, Art 40, Al. ter). Cette reproduction, sous quelque forme et par quelque moyen que ce soit, constituerait donc un délit de contrefagon, et exposerait son auteur aux peines d’emprisonnement et d’amende prévues par les articles 425 et suivants du code pénal, sans préjudice de toute action en dommages et intéréts. Par ailleurs, la société AVENIR CONSULT ne saurait étre tenue, en aucun cas, pour responsable des conséquences qui pourraient résulter de la mise en oeuvre des informations contenues dans ce support. Enfin, AVENIR CONSULT se réserve le droit de modifier périodiquement la forme ou le contenu de ce document, sans aucune obligation d’en aviser qui que ce soit. Windows sont des marques déposées par Microsoft”. AUTEUR Valérie MARTINEZ Directeur d’édition Hervé Daudé ISBN 2-87638-388-8 ISSN 1147-2669AVANT-PROPOS Quelques secondes pour lire cet avant-propos. Il vous éclairera sur la démarche de ce livre... Issu de I’expérience de formateurs sur Windows Server 2003 conscients des problémes que vous pourrez rencontrer, ce livre vous apporte une bonne connaissance des fonctions avancées de ce systéme d’exploitation. Les chapitres sont relativement indépendants et constituent des exercices pratiques structurés autour de modéles conerets que vous construisez progressivement. Cependant, n’oubliez pas que toute notion apprise dans un chapitre précédent est supposée acquise pour les chapitres suivants. Pour réaliser vous-méme les exercices, sachez que : Les actions que vous faites sont précédées du symbole mou # Les commandes que vous utilisez sont en gras, dans la police Futura. Les données & taper sont dans la police Letter-Gothic GLGG Quand nous écrivons « cliquez », il s’agit "utiliser le bouton gauche de la souris. Quand vous devez utiliser le bouton droit, nous éerivons « cliquez avec le bouton droit ». Apres une action : & ov REMARQUE Ces remarques étendent le chomp d’application de action que vous venez de réaliser. ov IMPORTANT Le Ce sont des remarques plus importantes que les précédentes et gui touchent généralement un principe fondamental de l'action réalisé. ou ATTENTION LB) Cade tort facet sr ls dangers sss une mewvie manipulation de l'action décrite yt ou ASTUCE NS Ces annotations vous informent sur l'astuce uiiisée dans la derniére action.AVANT-PROPOS Une table des matiéres au début du document et un index par mots-clés & la fin du document vous permettent de trouver rapidement la fonction ou élément recherehé. Surtout, gardez toujours en mémoire que vous étes le curseur !...TABLE DES MATIERES INTRODUCTION... ecccee cess esses eeseesessessessesneeneesessesies 1 CHAPITRE 1 - STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Installation du domaine Active Directory 13 Verification des paramétres TCP/IP . 13 Installation du domaine Active Directory 14 Configuration du service DNS 16 Présentation d’Active Directory . 19 Annuaire « 19 Domaine . 20 Arbre... : 20 Relations d'approbation 21 Forét Unité d'orgarisation Modéles d'organisation d'Active Directory Domaine unique ... Arbre de domaines Forét de domaines .... Modale a fords multiples... Conclusion «..eesssee- Création des objets de l’annuaire Présentation des objets de l'annuaire Création de l'arborescence .. Contréle de l'accés aux objets Active Directory Aviorisations Active Directory... Héritage des autorisations.. Délégation de |’ administration ..TABLE DES MATIERES CHAPITRE 2 - ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Mode d’un domaine....... ooo Installation d'un second contréleur de domaine. Installation du service DNS... Promotion comme second contrdleur de domaine .... Réles des contrdleurs de domaines . Les contrdleurs de domaines .. Notion de site Les réles spéciaux des contréleurs de domaine. Le catalogue global Maires d'opér Réplication d'Active Directory Renommer un site .... Vérificateur de cohérence . Les réplications inter-sites et intrasites Gestion des conflts de réplication. Gestion des sites Active Directory Création d'un site Création d'un sous-réseau « Création d'un lien inter-site... Maintenance de I’Active Directory .......::ss:cesseseeee Sovvegarde de l'état du systéme Outil de maintenance de la base d’annucire ...+---- Défragmentation Restauration Restauration forcde....sssssesessssessssesssssessessneessenTABLE DES MATIERES CHAPITRE 3 - GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Les stratégies de groupe . + Console de erétion des sratégies de group Poramétres des siratégies de groupe Modéles d’ administration Stratégies ordinateur... Strotégies dv Menu Démorrer et dela borre des teche Stratégies du bureau ...... Stratégies du panneav de configuration Stratégies du systéme. Redirection de dossiers .. Scripts... Mise en ceuvre des straté de group Type de stratégie de groupe Autorisations sur les stratégies de groupe . Ordre de tritement.. Liaisons........ Modification de Phéitoge - Ordre d'opplication... Stratégies de sécur Modéles de sécurité. Analyser un modéle de sécurité Supprimer un modéle de sécurité Appliquer un modéle de sécurité Restriction logicelle. Audits Gestion des strategies de groupe Conseils pratiques.... Dépannage des stratégies Outils de diagnostic des stratégies de groupe.......-.TABLE DES MATIERES CHAPITRE 4 - DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Présentation..... 101 Windows Installer . Fichier de lot. Stratégie de groupe Windows Installer Déploiement de logiciels. Création d'un utisctowr de déploioment Partage du répertoire de déploiement Création de la stratégie de déploiement Attribution d'application Test du déploiement . Publication ... Créer des catégories de logiciel Propriéiés d'un package ... Test de la publication Installations personnal 0. Suppression/désinstllation 115 CHAPITRE 5 - GESTION DES DISQUES Gestion des disques ....... 117 Création d'une partition étendue 117 Création d'un lecteur logique Disques dynamiques....... Création de disques dynamiques Volume simple... . frendre un volime simple Supprimer un volume Monter un volume... 119TABLE DES MATIERES Ajout de disques Revenir & un disque de base Volumes répartis... Volume fractionné Volumes agrégés por bande Tolérance de panne disque Volume en miroir (RAID- 1) Volumes RAID-5... Réparation d'un volume RAID-5 Gestion des quotas disques ... Clichés instantanés CHAPITRE 6 - SERVICES TERMINAL SERVER INDEX DES MOTS-CLES.... Présentation des services Terminal Server... Configuration requise pour le serveur d’ application. Installation des services Terminal Server Composants des services Terminal Server. Paramétrage du serveur de licences Terminal server.. Installation des applications... Configuration des services Terminal Server Configuration des utilisateurs Stratégies de groupe pour TSE . Le protocole RDP ...... Désactiver le mappage des lecteurs Administration de Terminal Server... Etablissement d'une session Terminal Server. Installation du poste client. Connexion & Terminal Server Fin d'une session Terminal Server .10 Notes personnellesLag INTRODUCTION Dans le précédent ouvrage, nous avons abordé les aspects de installation, de la configuration et de I’administration de base de Windows Server 2003. Le propos de cet ouvrage est de vous aider & exploiter Windows Server 2003 dans des environnements plus complexes. ‘Nous aborderons les thémes suivants : L’administration d’Active Directory et la mise en ceuvre de domaines multiples. La gestion centralisée de environnement a I’aide des stratégies de groupes. La distribution d’applications & aide des stratégies de groupes. La gestion des disques (quotas, clichés instantanés, disques dynamiques, tolérances de panes). La mise en place d’un serveur d’applications avec Terminal Server. WV12 Notes personnellesCHAPITRE 1 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Pour utiliser pleinement les ressources de Windows Server 2003, il faut eréer un domaine exploitable travers Ie service d'annuaire de Microsoft: Active Directory. Le domaine Active Directory de Windows 200x utilise les conventions de dénomination de I’Internet (ex : france.sidm) et nécessite un serveur de noms DNS dynamique prenant en charge les enregistrements de type ressource (SRV). C’est le cas des serveurs DNS de Windows 2003, 2000 et Windows NT4 avec le Service Pack 4. Nous rappelons rapidement dans le paragraphe ci-aprés l’installation d’un controleur de domaine l'aide de la commande DCPROMO (comme décrit dans Vouvrage Windows Server 2003 - Notions de base) ; si vous avez. déja réalisé cette étape, passez au paragraphe suivant: Présentation d’Active Directory. Nous basons les exemples suivants sur une configuration 4 base d'un contréleur de domaine SRV-PARIS du domaine unique euromedia.local Installation du domaine Active Directory VERIFICATION DES PARAMETRES TCP/IP = Ouvrez une session en tant qu’Administrateur. = Cliquez, Démarrer Panneau de configuration Connexions réseau. = Cliquez avec le bouton droit Connexion au réseau local puis Propriétés. = Cochez )¥ "Afebii(eicira dante sora ds rauncaion in wa aon iaKRe’ dans I’onglet Général pour accéder plus vite a votre connexion réseau, = Sélectionnez Protocole Internet (TCP/IP) puis cliquez Propriétés. = Le cas échéant, tapez une adresse IP fixe pour votre serveur (0.1.0.1 dans nos exemples) et donnez le masque de sous-réseau associé (255 .0.0.0). = Tapez l'adresse IP de votre serveur dans la zone Serveur DNS préféré afin de faciliter Vinstallation du service DNS dynamique nécessaire a installation de l’Active Directory. = Cliquez. Bi] pour fermer la fenétre Propriétés de Connexion au réseau local 1314 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Installation du domaine Active Directory INSTALLATION DU DOMAINE ACTIVE DIRECTORY Nous allons considérer que le serveur que vous avez. préalablement installé sera votre premier (ou seul) contrdleur de domaine Windows 2003. Nous allons maintenant y installer le service d'annuaire Active Directory. @ ae a ae swith Vous ne pourrez installer Active Directory que si vous avez une partition au format NTFS et que vous éles connecté en tant qu'Administratour. Cliquez Démarrer Exécuter puis tapez DCPROMOT=1 Llassistant nouveau $1 stallation d'Active Directory s ant. ffiche, cliquez Si int puis & Vérifiez que Contréleur de domaine pour un nouveau domaine est sélectionné et cliquez. Suivant Vérifiez que (Créer un nouveau) Domaine dans une nouvelle forét est sélectionné et cliquez Suivant. Entrez un nom de domaine DNS valide: euromedia.local dans notre exemple et cliquez Suivant. jh) Yous devez uiliser un nom de domaine racine comport! un nom et une extension de la forme : entreprise.r; ‘enireprise.local ; entreprise.lan , sous peine de voir vole service DNS ne pas fonctionner correctement si vous avez plusieurs sous-domaines. Je nom de votre domaine n’est pas un nom DNS, un message apparait, Le cas échéant, cliquez. Non et donnez.un nom DNS valide. @® Renommer un domaine racine n’est ni recommandé ni facile & réaliser, choisissez done ce nom avec soin. Validez EUROMEDIA dans la zone Nom de domaine NetBIOS ou tapez tout autre nom de domaine NetBIOS valide (15 caractéres maximum), utilisable par les clients Windows 9x et Windows NT et cliquez. Suivant.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Installation du domaine Active Directory Donnez lemplacement de la base de données et du journal de l'Active Directory, il est conseillé de les stocker a des emplacements différents (qu'il faut eréer avant) done modifiez éventuellement les emplacements par défaut et cliquez. Suivant. Donnez emplacement du volume systéme, conservez le dossier SYSVOL par défaut si votre disque est en NTFS et cliquez. Suivant. Lorsque l'on installe un controleur de domaine Windows 2003, il doit y avoir un serveur DNS Dynamique (Microsoft de préférence) actif sur le réseau. Ceci n’est a priori pas encore le cas car ce serveur est le premier contrdleur de domaine du réseau, nous allons done exécuter ’installation automatique du service DNS sur ce serveur. ests 8 Sagnoste rs Ise saroses sree es ot NS sett ed eae ce io gn anton. nee we os Co pon fone ate a © Ja on rts Eade roti ONS ras ghana comare aN cw cana ew ma © Tego pie ont ero OS ecto oe Vérifiez que Installer et configurer le serveur DNS sur cet ordinateur... est sélectionné et cliquez. Suivant. Si vous n'utilisez pas de serveurs d’accés distant (RAS) Windows NT 4 ou que vos serveurs sont tous en Windows 200x, sélectionnez Autorisations compatibles uniquement avec les systémes d’exploitation serveurs Windows 2000 ou Windows Server 2003 puis cliquez Suivant. L’assistant vous demande maintenant de saisir le mot de passe de Vadministrateur de restauration des services d'annuaire : vous pouvez indiquer le méme mot de passe que celui de l'administrateur du domaine. 1516 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Installation du domaine Active Ce mot de passe vous sera utile en cas de restauration d’une sauvegarde de Pannuaire, notez-le en lieu sir ! Dans la zone Mot de passe, tapez. Pass2003, confirmez puis cliquez. Suivant. Le résumé des options dinstallation que vous avez. sélectionnées siaffiche. Contrdlez. les différents paramétres puis cliquez Suivant pour lancer installation proprement dite. : ‘et tens cian ve Dac Ceptcnn ot ‘gee mors es enc en Cet écran vous avertit que la phase de configuration et diinstallation peut durer un certain temps, en moyenne cing minutes lors d'une installation & partir d'une machine « vierge » 31 GF Sia ce stade Hinstallation échoue, vériiez que votre serveur est C7 bien relié & un hub ov un switch, Insérez le CD-Rom de Windows Server 2003 dans le lecteur, Liinstallation se termine sur un éeran qui vous indique le nom du domaine que vous avez. créé sur Pordinateur. Re Cliquez Terminer pui marrer maintenant pour redémarrer ordinateur. Vous venez. d’installer votre serveur en tant que contréleur d'un nouveau domaine Active Directory que vous allez structurer par la suite, CONFIGURATION DU SERVICE DNS Pour que votre systéme fonctionne de maniére optimale, il faut modifier la configuration du serveur DNS qui vient d’étre installé parallélement aux services d’annuaires.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Installation du domaine Active Directory Ouvrez une session en tant qu'Administrateur du domaine en sélectionnant, au besoin, le domaine EUROMEDIA a l'aide du bouton Options >> de la zone Se connecter &. Cliquez Démarrer Outils d'administration 3/085. Développez votre serveur DNS et cliquez Zones de recherche direct BB oreo aes 3. aw coed one Les zones DNS intégrées 4 I'Active Directory pour le domaine euromedia.local ont bien été créées, vous allez. devoir les compléter. Développez. Zones de recherche directes. (Blase decree P| Cliquez la zone racine de votre domaine I euromedia loca Double-cliquez dans le volet droit Venregistrement de type Serveur de noms (Ns). Dans longlet Serveurs de noms, vérifiez que le nom du serveur correspond bien 4 votre serveur DNS et que l'adresse IP apparait. 718 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Installation du domaine Active Directory Slot Sec rane) Sea ans | | Trt | Shot Fos asta cercmveurden tte dines Parfois, l'adresse IP n'est pas renseignée (Inconnu), alors cliquez le bouton Modifier... puis Ajouter. Tapez 10.1.0.1 (V'adresse de votre serveur DNS) dans la zone adresse IP puis cliquez OK, puis OK. Cliquez maintenant Zones de recherche inversée. Vous remarquerez, qu'aucune zone inverse n'a été eréée, or Ia résolution de nom DNS peut mal fonctionner sans cela, Nous allons done la rajouter manuellement. Dans le menu Aetion, sélectionnez, Nouvelle Zone puis cliquez. Suivant. cal Bae tees te nko Sar sted aration 1 Tiina tna EXAM nsStes swe we svomabista ses par ete 8 tegen tore Een beer ome Sermo mien petit | sie | _ mie | nm_| Cliquez Zone principale et laissez cochée Enregistrer la zone dans Active Directory puis Suivant. Conservez Vers tous les contréleurs de domaines Active Directory puis Suivant. Sous la zone ID Réseau, tapez 10 (ou votre adresse de réseau) puis Suivant. Conservez N’autori puis Termis F que les mises & jour sécurisées puis cliquez Suivant La configuration de votre serveur DNS pour votre domaine Active Directory est terminée.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Présentation d’Active Présentation d’Active Directory ANNUAIRE Un annuaire est une structure higrarchique permettant de stocker les informations sur les objets du réseau, Ces objets comprennent les ressources partagées comme les serveurs, les dossiers partagés et les imprimantes ; les comptes d'utilisateur et d'ordinateur réseau, ainsi que les domaines, les applications, les services, les stratégies de sécurité.. Un service d'annuaire tel qu’Active Directory permet d’aceéder & annuaire, et fourit un accés global 4 l'ensemble des ressources du réseau, et ce quel que soit 'emplacement physique de celles-ci. Ainsi, un utilisateur peut aceéder & toute ressource sans savoir oi et comment elle est connectée physiquement. Le service d’annuaire Active Directory est basé sur des protocoles d'accés aux annuaires standard, tels que LDAP (Lightweight Directory Access Protocol) et X500. Active Directory peut fonctionner avec d'autres services d'annuaire utilisant ces protocoles. Les clients Active Directory peuvent notamment effectuer des recherches rapides et aisées sur l'ensemble des domaines de lannuaire, sans avoir a parcourir chaque domaine individuellement, et ce, grace au serveur de catalogue global. J) Active Directory permet dorganiser des réseaux allant dun seul GR, serveur & un milion diutliscteurs ou plus. Active Directory comporte une structure logique (les objets du réseau) et une structure physique (la communication entre les objets du réseau). II existe également une troisigme composante appelée schéma qui fournit et gare les définitions des objets de annuaire (sorte de classe d’objet).. > La structure logique : les composants de base d’Active Directory sont les objets et leurs attributs. IIs sont organisés par Active Directory autour d'un modéle de domaine hiérarchique. Les composantes sont définies par les relations connues comme les domaines, les arbres, les foréts et les unités dorganisation. © La structure physique : elle organise les sites et les liens physiques permettant la réplication de lannuaire. La communication doit étre rapide et efficace a l’intérieur d’un site Active Directory. 1920 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Présentation d’Active DOMAINE Le domaine constitue T'unité de base en matiére de sécurité et dadministration centralisée dans Windows 200x. Il regroupe les ordinateurs qui partagent le méme annuaire. Tous les serveurs d'un domaine emploient les mémes comptes dlutilisateur. Un domaine peut ne comporter qu’un seul serveur (le contréleur de domaine ou DC). Un domaine représente : Une unité administrative : l’administrateur d’un domaine peut gérer tous les objets de son domaine (et seulement ceux-li), administration peut également dtre déléguée au niveau des unités 4’ organisation. Une unité de sécurité : les paramétres de sécurité (stratégie de comptes...) sont définis au niveau d’un domaine ou d’un site. Une unité de réplication : tous les contrdleurs de domaine participent a la réplication de la base de données d’annuaire du domaine. Le domaine Windows 200x est un domaine au sens de I’Internet dans la mesure oit il utilise les protocoles (TCP/IP) et les conventions de nom (DNS) de I’Internet (ex : microsoft.com). ARBRE Un ensemble de domaines organisé hiérarchiquement (domaine parent/enfant) partageant un méme espace de noms constitue un arbre ou une arborescence de domaine. Cette organisation permet entre autres de décentraliser ladministration (un administrateur par domaine), voire d’administrer en plusieurs langues ou sur des sites eéographiquement éloignés (liaisons WAN). Exemple : la Société Informatique de Diffusion Multimédia (SIDM) posséde des filiales dans plusieurs pays d’Europe, son organisation en domaines pourrait étre la suivante Sidm —, france.sidm hollande.sidm L’espace de nom commun est le nom du domaine racine, ici sidm.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Présentation d’Active Directory RELATIONS D'APPROBATION Lorsque des domaines Windows 200r font partie d’une arborescence ou d’une forét, des relations d'approbation hiérarchiques bidirectionnelles transitives sont établies automatiquement entre ces domaines. Elles permettent de rendre Jes comptes d'utilisateur et les groupes globaux utilisables dans des domaines autres que celui dans lequel ces comptes sont situés. L'administration sten trouve simplifige, car il vous suffit alors de eréer le compte d'utilisateur dans un domaine pour que l'utilisateur puisse accéder & tous les ordinateurs du réseau que vous lui autorisez et non uniquement & ceux de son domaine et ce en une seule ouverture de session, FORET La Forét est un ensemble d’arbres ne partageant pas un méme espace de noms. Le domaine racine donne son nom a la forét. Une forét de domaine est créée lorsque des relations d'approbation existent entre des arbres comportant des espaces de nom différents. Exemple : si la SIDM s’associe au groupe MID, il y aura deux espaces de noms : « sidm » et « mid », le fait d’appartenir a la méme forét permetira a ces sociétés de mettre en commun plus facilement leurs ressources informatiques. sidm mid france.sidm hollande.sidm sur tous les domaines de la forét. Son rdle et sa désignation sont done ies importants pour lentreprise re L’odministrateur du domaine racine de la forét a tous les droits UNITE D'ORGANISATION L’Unité d'organisation est un objet conteneur qui permet de regrouper des objets (utilisateur, groupes, imprimantes, ordinateurs...) d’un domaine répondant 4 des critéres communs : localisation gographique, service de Ventreprise, roles administratifs. 2122 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Modeles d’organisation d'Active Directory Exemple: Jean Valentin de SIDM France en tant que responsable commercial, fait partie de lunité d'organisation Service Commercial du domaine france.sidm, Modéles d’organisation d'Active Directory Nous allons vous présenter plusieurs structures logiques possibles pour votre annuaire Active Directory. Pour savoir quel modéle utiliser, il n'y a malheureusement pas de réponse unique. A vous d’analyser soigneusement vos besoins et de construire votre infrastructure Windows 2003. en conséquence. La structure d’Active Directory reste néanmoins adaptable et il sera toujours possible d'étendre un arbre & une forét ou de réduire une forét a un seul domaine le cas échéant. DOMAINE UNIQUE Si le nombre dlutilisateurs de votre réseau n'est pas trop important ou que vous n’avez qu’un seul site d'entreprise, vous pouvez. utiliser le modéle & domaine unique (le plus simple). Dans ce modéle, le réseau ne comprend qu'un seul domaine avec des Ui organisation (Organisational Unit, OU). Le nombre exact des utilisateurs et groupes dépend du nombre de contrdleurs de domaines, de leur répartition et de la rapidité des liens physiques qui les relient. Les Unités d’organisation refléteront alors la structure organisationnelle de Ventreprise. Ainsi, les utilisateurs du Service Comptable seront rassemblés dans une seule OU. Les ressources qu’ils utilisent telles que les imprimantes, les dossiers peuvent y étre regroupées ; la gestion des imprimantes de 'OU peut alors étre déléguée 4 l'un de ses membres. Dans ce contexte, vous vous interrogerez, sur les raisons de posséder des contrdleurs de domaine multiples au sein de votre domaine Active Directory : © Le désir d'avoir une plus grande fiabilité et une redondance de Vinformation, * Des raisons de sites physiques distinets permettant d'avoir une meilleure connectivité utilisateur.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Modeles d’organisation d'Active Directory * Le volume de activité des utilisateurs qui peut nécessiter I’existence de nombreux contrdleurs de domaines. Vous devrez alors prendre en compte la charge de réseau supplémentaire lige au trafic de réplication de annuaire. Il est néanmoins recommandé d’avoir au moins deux contréleurs de domaine par domaine et par site afin de fournir une redondance logique et physique et la tolérance aux panes. ARBRE DE DOMAINES Un arbre de domaine est eréé lorsque des domaines-enfant sont ajoutés au domaine racine. Cette structure est adaptée lorsqu’au moins une des conditions suivantes est remplie : © Besoin d'une administration décentralisée et/ou localisée pour prendre en compte une langue ou un fuseau horaire différent. * Des organisations différentes ont besoin davoir des gestions différentes ou des stratégies de compte spécifiques au niveau de chaque domaine. * Les réplications de domaine sont contrélées en eréant des sites dans le but de réduire le trafic réseau (ainsi, chaque «site» géographique de Ventreprise pourrait constituer un domaine-enfant). FORET DE DOMAINES Une forét est formée en joignant a la racine au moins deux arbres de domaine Chaque arbre Vintérieur d'une forét partage un schéma, une configuration et un catalogue global communs. La différence principale est que chacun a son propre espace de nom. La forét elle-méme est identifiée par le DNS du pret arbre créé dans la forét. Pour créer une forét, il est d'abord nécessaire dobtenir un DNS pour les arbres de domaines. Lorsque les nouveaux arbres sont créés, ils sont ligs 4 larbre original par des relations d’approbations transitive Les foréts sont formées lorsqu'au moins une des conditions suivantes existe : * La création darbres séparés avec des espaces de nom distinets est requise lorsque les organisations nécessitent des modes de gestion trés différents, ou ont besoin «utiliser des noms de marque et de fabrique distinets tout en souhaitant partager les informations de l'entreprise. 2324 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Modeles d’organisation d'Active Directory Ceci est particuligrement vrai lorsque les organisations fusionnent ou sont acquises. Il peut étre également nécessaire de maintenir des noms de domaines pré-<établis, Deux organisations peuvent former des partenariats ou joint-ventures. Un espace de nom DNS unique avec un arbre défini séparément peut étre utilisé pour mettre en application des restrictions administratives et de sécurité plus directes. MODELE A FORETS MULTIPLES Il existe des cas oi deux entreprises complétement indépendantes peuvent avoir besoin d'un aceés limité & leurs ressources. Il est possible 4’établir des relations approbation unidirectionnelles explicites entre deux foréts. Par exemple, si le domaine-enfant ventes.sidm a besoin daceéder aux objets situés dans le domaine-enfant ventes.mid, des liens limités n’ayant d'impact que sur les domaines-enfant concernés peuvent étre établis entre les arbres de domaine de Sidm et S'il faut créer des relations de multiforéts, prévoyez. bien a 'avance la gestion de 'approbation et des ressources. CONCLUSION Avec l'Active Directory, vous pouvez réaliser un domaine seul, l'étendre & un arbre avec des domaines-enfant et méme créer un arbre avec des domaines identifiés exceptionnellement. Nous avons vu qu’il existe des situations organisationnelles et administratives dans lesquelles de multiples domaines, arbres et foréts doivent étre crées, incluant le besoin de s‘adapter aux problémes de sécurité, d'administration et de connectivité Sachez néanmoins que plus il y a de domaines, plus leur administration est complexe. Aussi, s'il est possible d’utiliser une structure & un seul domaine comme dans le cas d’un seul site géographique par exemple, il faut privilégier cette infrastructure. Notons pour finir qu'il existe des outils de restructuration des domaines pour permettre la migration de domaines NT ou 2000 et également la fusion arbres, de domaines ou de foréts.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Création des objets de l’annuaire Création des objets de l’annuaire PRESENTATION DES OBJETS DE L’ANNUAIRE = Ouvrez une session en tant qu’administrateur du domaine, = Cliquez, Démarrer Outils d’administration < Uilsatewsetordnateus Active Drectory iquez 9 euronedalocal pour le développer. eso egtG@ weave: | tisateurs et ordnateurs Active Owe |euromedalocd Sabet [Now Type Tipesetpnen = ae cee conan ces sac a Ea reronmrmns [Bret oe ee Ledzessacsessauel a Les objets et conteneurs créés par défaut s’affichent si vous ouvrez les « dossiers ». ©} Builtin : contient les groupes de domaines locaux prédéfinis du domaine utilisés pour attribuer des autorisations par défaut aux utilisateurs chargés dexécuter un role administratif dans le domait ©} Computers : contient tous ordinateurs Windows NT et Windows 200x qui font partie du domaine (ayant un compte d’ordinateur). Vous pouvez par la suite déplacer ces objets. =} Domain Controllers : contient les contréleurs de domaines qui font partie du domaine. > Users: contient tous les utilisateurs et les groupes globaux prédéfinis du domaine appartenant souvent aux groupes locaux prédéfinis. Ainsi, par exemple, le groupe Admins du domaine est membre du groupe de domaine local Administrateurs du méme domaine. Tout comme les ordinateurs, les objets utilisateur peuvent étre déplacés. 25STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Création des objets de l’annu: Un certain nombre d'objets ont été eréés par défaut, vous allez devoir maintenant organiser votre domaine. A vous de choisir le type d’ organisation de vos objets, les unités dorganisation pouvant correspondre aux services de Ventreprise (Comptabilité, Vente...), aux lieux (ville, batiment, étage), aux projet Pour nos exemples, nous allons considérer le domaine unique euremedi et eréer les unités organisation suivantes : Bree B Sige Euomsdarrance GF Conners B comptsbiné Secrtanat @ dvecten La structure simplifige retenue ici est pour chaque pays une unité organisation «Pays» contenant un «Sige» comportant un « Service Commercial », un « Service Comptabilité », un « Service Seerétariat » et une «Direction ». Ainsi les agences nationales éventuelles pourront avoir une structure équivalente avec une unité d’organisation par agence. CREATION DE L’ARBORESCENCE = Sélectionnez @ewonedalocs! puis WB] ou cliquez avec le bouton droit sur le domaine @ ewomediaocal pour créer une nouvelle unité d'organisation puis Nouveau Unité d'organisation. = Tapez France puis cliquez OK pour donner un nom A votre unité organisation, ot Le «dossier » @ France apparait dans larborescence de) euromedia local = Placez-vous dans @J France puis cliquez { pour créer l’unité d'organisa- tion « Sigge EUROMEDIA France ».STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Contréle de l'accés aux objets Active Directory = Tapez Siege EUROMEDIA France puis cliquez OK pour donner un nom a votre unité organisation, = Placez-vous dans @ siege EUROMEDIA France puis cliquez {pour créer l’unité dorganisation «Commercial » Vintérieur de «Sige EUROMEDIA France ». = Tapez Commercial puis cliquez OK Procédez de la méme fagon pour créer les autres unités dorganisation de votre domaine. D’une maniére générale, les régles a respecter sont les suivantes * un objet ne peut étre présent qu’une seule fois dans I’arborescenee, il ne peut done appartenir qu’ une seule unité dorganisation (un groupe n’est donc pas une unité d'organisation) ; * pour chaque unité d'organisation on peut définir un administrateur auquel on délégue une partie ou la totalité des privileges administratifs, notamment la gestion des utilisateurs ; ‘© les stratégies de groupe peuvent étre appliquées au niveau des unités organisation. Liossature de votre annuaire est eréée, il vous faudra créer les comptes Glutilisateurs et les groupes a Vintérieur des unités dorganisation (voir le chapitre 4 de Windows Server 2003 - Notions de base). Contréle de l'accés aux objets Active Directory Lors de l’ouverture de session, un jeton d’accés contenant les informations de sécurité relatives au compte de luilisateur est créé. Lorsque l'utilisateur tente @accéder i une ressource, son jeton d’accés est comparé la liste de contrdles d°accés discrétionnaire (ou DACL) de Vobjet. L’utilisateur est alors autorisé ou non a accéder a la resource. Nous allons voir comment utiliser ces autorisations des objets de I’Active Directory. AUTORISATIONS ACTIVE DIRECTORY = Aubesoin, cliquez Démarrer Outils d’admi GF lltisatew's et ordinateurs Active Directory. 2728 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Contréle de l'accés aux objets Active Directory = Dans le menu Affichage, cliquez Fonetionnalités avaneées afin d’afficher les propriétés de sécurité des objets. = Développez @Pewranedalocd puis cliquez avec le bouton droit (@ siege EuRoMEDIA France puis. Propriét = Cliquez onglet Séeuri LT eral erp te Sn || sere [Geverovertouncouraare Conon a we a Eo a ici tee a Siemeneraectes a einstein a. Les autorisations différent suivant le type objet, mais les autorisa communes disponibles (Autoriser ou Refuser) sont celles listées ci-dessus. isualiser objet, ses propriétés, son propriétaire et les autorisations, > beri nodifier les proprigtés de objet. = Créer tous les objets enfants: créer des objets enfants dans une unité organisation, ©} Supprimer tous les objets enfants : supprimer les objets enfants dans une unité organisation. > Générer Jeu de strotégie résultant : permet de tester les stratégies qui s"appliquent réellement un objet. ©} Contrdle total: modifier les autorisations, supprimer objet, prendre possession et toutes les autorisations ci-dessus.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Contréle de l'accés aux objets Active Directory Comme pour les autorisations NTFS, il s'agit d’une combinaison @autorisations plus fines sur les objets. Cliquez le bouton Paramétres avancés. Cliquez le groupe Utilisateurs authentifiés dans la liste, puis Modi Eni entree Vous pouvez ici définir des autorisations trés spécifiques en cochant la case désirée. Nous allons voir comment y redéfinir le champ d’ application de Pautorisation. HERITAGE DES AUTORISATIONS La zone Appliquer @ permet de définir I’héritage des autorisations d’un objet conteneur vers ses objets enfants ou certains objets en particulier. Cliquez la zone de liste Appliquer &. Replat’ fescope swionen ex ob semen Ase ftir sts ra Corte cfs acSRescuceLiic Line leeds conteatmtarony Le toes Des Comte ots Comecion Estero scopes 4 2930 STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Délégation de adi tion... = Cliquez le bouton Annuler pour sortir de la fenétre Entrée d’auteri Il est également possible de bloquer héritage et ainsi d’empécher un conteneur enfant d’hériter des autorisations du conteneur parent. Dans la fenétre Parametres de sécurité avaneés, la case ci-dessous est cochée par défaut : = Décochez option Permettre aux autorisations héritées du parent... On peut choisir de copier ou de supprimer les autorisations héritées du dossier parent, choisissez. ensuite la méthode avec laquelle vous souhaitez définir les nouvelles autorisations : ‘Seecerat ce ern eam ene attr de py een ateiaereaeelee ee eee eerie Fas nape opis Ett i ttre ‘TiS be ee So Parone coe ton sere (at EE at = Cliquez le bouton Annuler. Si vous avez supprimé Vhértage, il est possible de le réaciver it ‘en cochant lo case Permettre aux autorisations pouvant atre hérit du parent... Délégation de l’administration Un administrateur peut déléguer I'administration des objets de l'annuaire en accordant des autorisations dans une unité dorganisation spécifique ou en accordant des autorisations pour modifier un objet et ses autorisations. LiAssistant Délégation de contréle permet de déléguer de maniére simple administration d'une unité dorganisation par exemple un utilisateur ou un groupe d’utilisateurs.STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Délégation de adi Cliquez, Démarrer Outils d’administration uisatews et ordinateur Active Drectory. Développez @Pewromedalocal pi (Gi siege EuRoMEDIA France puis Délég cliquez, avec le bouton droit de contréle. Cliquez. Suivant lorsque l'assistant Délégation de contréle s'affiche. Cliquez. Ajouter puis Avaneé... pour sélectionner les utilisateurs. Cliquez le bouton Rechercher puis sélectionnez.un utilisateur dans la | Cliquez, OK puis & nouveau OK puis Suivant. Toes aide Sassi ge see 1 Sirona epee arson era Jue nig ates Ev © emus com lest possible a ce stade, soit de déléguer une téche courante prédéfinie, soit de eréer une tache personnalisée. Déléguer les taches courantes suivantes : ceci permet facilement de donner des autorisations d’accés aux objets de l’annuaire comme celles vues précédemment. Les tdches sont regroupées par type. Créer une tache personnalisée & déléguer : ceci permet de définit une tiche plus réduite qu’une tache courante, cela permet d’attribuer des autorisations individuelles sur chaque objet. Cette option est a réserver A de rares cas particuliers. Cliquez Déléguer les taches courantes suivantes puis cochez les options qui vous intéressent dans la liste comme par exemple Crée, supprime et gre les comptes d’utilisateurs puis cliquez Suivant puis Terminer. 31STRUCTURE DE L'ANNUAIRE ACTIVE DIRECTORY Délégation de I’ad Une fois étape de délégation effectuée, il est possible de eréer une console MMC contenant des tiches administratives spécifiques afin que utilisateur n’ait pas besoin de connaitre les menus et commandes des consoles administration. Ceci est décrit en detail dans le chapitre 3 de notre ouvrage Windows Server 2003 - Notions de base. Nous allons vérifier maintenant les autorisations attribuées lors de la délégation de contréle que nous venons d’effectuer. = Cliquez avec le bouton droit (@ Sige EuROMEDIA France puis. Propriété. = Cliquez onglet Sécurité puis cliquez le bouton Paramétres avancés. ike ds uso Tien Taisen Tete ae] compl caretaGeu.. Cotdtoia ran atin ‘ult caneteleoneiaGeu Cicesupeme... cronheiiée> cel abl ous es Vous remarquez que Contréle total pour les Objets Utilisateurs est affecté a Putilisateur que vous avez désigné par la délégation de contréle, ici compte. = Cliquez l'utilisateur concerné par la délégation de controle dans la liste, puis, Modifier... pour afficher ses autorisations en détail, Saal ue | Pets | ‘on PONENT tose. | ta a Erect Geuwemem = BO Pr EeeiSctcreesrsee teat | SOSsS999999 seonoooo0R0cG)? Vous remarquez que toutes les autorisations sont cochées pour les Objets jlisateurs, ce qui correspond bien a la tiche Crée, supprime et gére les comptes d’utilisateurs. 32CHAPITRE 2 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Mode d’un domaine Par défaut, un domaine est installé en mode Windows 2000 mixte pour assurer la compatibilité avec les domaines Windows NT/2000. Lorsque tous les contréleurs du domaine sont sous Windows 2003 (il n'est pas nécessaire que les serveurs membres et les stations le soient), il est possible de passer le domaine en mode Windows Server 2003 afin de pouvoir bénéficier de toutes les améliorations de I’Active Directory propres 4 Windows Server 2003. En revanche, si vous devez conserver des contréleurs de domaines Windows 2000 choisissez le mode Windows 2000 natif. Ces deux modes sont plus rapides et plus efficaces puisqu’ils n°utilisent pas de mécanismes de conversion vers les domaines NT4. II est alors possible utiliser des groupes universels et d’autres options de sécurité de l’Active Directory. = Ouvrez une session en tant qu’administrateur du domaine, = Cliquez, Démarrer Outils d'administration < Domanes et approbation Active Drectry = Cliquez avec le bouton droit votre domaine -@ ewomedia.local puis Augmenter le niveau fonctionnel du domaine. 3334 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Installation d’un second contréleur de domaine = Le cas échéant, sélectionnez dans la liste Windows Server 2003 puis cliquez. Je bouton Augmenter. = Cliquez OK puis & nouveau OK pour appliquer les changements a tout le domaine. II ne sera alors plus possible de revenir au mode mixte. = Cliquez avec le bouton droit votre domaine & euromedia.local_puis Propriétés. Vérifiez que le changement a bien été effectué dans la zone Niveau fonctionnel du domaine. = Cliquez. pour fermer la console @g bomsines et approbations Active Directory Cette opération est 8 effecuer dés la mise en service du it domaine car sinon tous les ordinateurs disposant de comples dans votre domaine risquent de devoir are & nouveau transtérés dans le domaine Installation d’un second contréleur de domaine = Installez un nouveau serveur Windows Server 2003 comme membre de votre domaine Active Directory. = Cliquez Démarrer Panneau de configuration Connexions réseau. = Cliquez avee le bouton droit Connexion au réseau local puis Propri = Tapez adresse IP du premier contréleur de domaine (10.1.0,1 dans notre exemple) dans la zone Serveur DNS préféré afin de faciliter ’installation de Active Directory. Avant de promouvoir le nouveau serveur en contréleur de domaine, nous allons y installer le service DNS pour y créer une réplication de la zone intégrée Active Directory afin de fournir un dispositif complet de tolérance aux panes d’un des conirdleurs de domaine.ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Installation d’un second contréleur de domaine INSTALLATION DU SERVICE DNS Ouvrez une session en tant qu’Admi devenir contréleur de domaine. strateur sur le nouveau serveur qui va Cliquez DémarrerPanneau de configuration Ajout/Suppression de Programmes. Cliquez. Ajouter ov supprimer des composants Windows. Sélectionnez SpSewices de mise enréseau_puis cliquez le bouton Cochez 3) Systéme DNS (Domain Name System) puis cliquez OK et Svivant pour lancer I'installation. Insérez le CD-Rom de Windows Server 2003 dans le lecteur, Cliquez. Terminer puis [3% pour fermer. PROMOTION COMME SECOND CONTROLEUR DE DOMAINE Votre serveur doit impérotivement aire relié av contréleur de domaine par un hub ou un switch. Vous ne pourrez installer Adive Directory que si votre partition estou format NTFS et que vous ales connecié en font qu’Administratour. Cliquez Démarrer Exécuter, tapez OCPRONO sur le nouveau serveur pour le promouvoir comme contréleur de domaine L’assistant d'installation d'Active Directory s'affiche, cliquez. $i nouveau Suivant. nt puis & Cliquez Contréleur de domaine supplémentaire pour un domaine existant puis Suivant. Entrez Ie nom de Madministrateur du domaine et son mot de passe, puis vérifiez le nom du domaine dans la zone Domaine (euromedia.local dans notre exemple) ; au besoin, tapez le nom DNS de votre domaine et cliquez Suivant. Vérifiez 4 nouveau le nom du domaine (ewromedia.local) et cliquez Suivant. Au besoin, sélectionnez un autre emplacement pour la base de données et le journal de l'Active Directory et cliquez. Suivant. 3536 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Installation d’un second contréleur de domaine Au besoin, sélectionnez. emplacement du. volume systéme, conservez le dossier SYSVOL par défaut si votre disque est en NTFS et cliquez Suivant. Liassistant vous demande maintenant de saisir le mot de passe de Vadministrateur de restauration des services d'annuaire : vous pouvez. indiquer Je méme mot de passe que celui de 'administrateur du domaine, Tapez un mot de passe dans la zone Mot de passe, confirmer-le puis cliquez Suivant. Le résumé des options d'installation que vous avez sélectionnées saffiche. Cliquez. Suivant pour lancer installation proprement dite, Cet éeran vous avertit que la phase de configuration et diinstallation peut durer un certain temps, quelques minutes suivant la taille du domaine. Cliquez Terminer puis Redémarrer maintenant pour redémarrer lordinateur. Ouvrez une session en tant qu’Administrateur du domaine sur le nouveau contréleur de domaine. Cliquez. Démarrer Outils d'administration %, ONS). jciaixebig@egag LD contguration on serve (Di 2oreedorechrcte reste | Ue sytine OHS (Donan ane Sten) etn tle roche dour eens es arr errant er overADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdéleurs de domaines = Développez Zones de recherche directes et vérifiez que la zone racine de votre domaine @ euromeda.ocal est présente. En effet, dés que la présence du service DNS est détectée sur un controleur de domaine, le processus de réplication des zones DNS est déclenché, il faut parfois attendre quelques minutes pour voir apparaitre les zones intégrées Active Directory dans les zones de recherche directes et inversées. Si ce n’est pas le cas, arrétez. puis redémarrez le service DNS pour relancer la réplication automatique des zones DNS intégrées Active Directory vers les controleurs de domaine. Si cela ne suffit pas, consultez observateur d’événements DNS pour identifier origine du probléme (connectivité TCP/IP, serveur introuvable... Réles des contréleurs de domaines LES CONTROLEURS DE DOMAINES Tous les domaines possédent au moins un contréleur de domaine, La réplication de l'annuaire Active Directory fonetionne selon un modéle multi maitres oti chaque controleur de domaine Windows 200x contient une copie de la base de données de ’annuaire, Toute modification sur un contrdleur de domaine est répliquée vers tous les contrdleurs de domaine par un mécanisme de propagation de proche en proche. Au sein d'un site, cette réplication a lieu par défaut toutes les cing minutes. La réplication inter-sites peut étre établie avec une planification spécifique en fonction des liaisons utilisées. Le contréleur de domaine permet d’authentifier les utilisateurs, de fournir des réponses aux questions concernant les objets du réseau et d’exécuter la réplication des services d'annuaire, NOTION DE SITE Un site est constitué d'un ou plusieurs sous-réseau IP qui sont ligs ensemble par des connections rapides et fiables (LAN). Lors de linstallation d’Acti Directory, le contrdleur de domaine est affecté a un site (Premier-Site-par- défaut), L'emplacement du site d'un contrdleur de domaine fait partie de la topologie de réplication de I'Active Directory ; il pourra au besoin étre déplacé manuellement vers un autre site. La définition des sites et des liens inter-sites permet de gérer efficacement le trafic réseau associé a la réplication d'Active Directory. 3738 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdleurs de dom« es Ainsi a 'intérieur d'un site, la réplication d’Active Directory se fait sur des liens rapides (LAN) & une fréquence différente de la réplication inter-sites qui peut concemner des liaisons lentes de type MAN ou WAN. L'authentification de la connexion sera accélérée a Vintérieur d’un méme site. II est également possible de définir des cotits et des forfaits de communication pour les liens inter-sites. La structure physique est indépendante de Ia structure logique : un site peut concerner plusieurs domaines et un domaine peut comporter plusieurs sites. En revanche, un sous-réseau ne peut appartenir & des sites multiples alors que de nombreux sous-réseaux peuvent appartenir 4 un méme site. Cliquez Démarrer Outils d’administration si Stes et services Active Drectory . Double-cliquez, Premier-Site-par-défaut est le site prédéfini contenant votre domaine et tous vos controleurs de domaine, A partir de la console if Sites et services Active Directory , vous pourrez définir de nouveaux sites et les liaisons associges. LES ROLES SPECIAUX DES CONTROLEURS DE DOMAINE Le principe de réplication multi-maitre d'Active Directory ne concemne pas certaines fonctions spécialisées qui nécessitent un maitre unique. Des rales spécifiques ont été affectés certains contrdleurs de domaines afin de réduire les conflits et d’offrir une meilleure performance. Windows 2003 prend en charge deux formes de fonctions spécialisées le serveur de catalogue global et les maitres dopérations du domaine. Les foréts partagent un catalogue global et des maitres d'opérations communs. LE CATALOGUE GLOBAL Le catalogue global (Global Catalog) contient une version partielle de tous les objets de lannuaire (sorte d’index dobjets qui permet leur localisation rapide) pour permettre la recherche d'objets dans l'annuaire. Il contient une liste abrégée de tous les objets au sein d'un arbre de domaine ou d'une forét. Le catalogue global prend en charge un ensemble dattributs dobjets implicites les plus communs et les plus fréquemment demandés ; par exemple,ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdéleurs de domaines les noms et prénoms des utilisateurs. L'administrateur peut modifier les attributs qui sont inclus dans la réplication du catalogue global Le serveur de catalogue global est un contréleur de domaine spécial qui contient une copie du catalogue global et permet d’y effecteur des recherches. II stocke une copie compléte de tous les objets de lannuaire de son domaine hote, ainsi qu'une copie partielle de tous les objets des autres domaines de la forét. Il est sollicité lors de ouverture de session sur un domaine approuvé pour eréer le jeton d’accés contenant le nom du domaine, le compte ainsi que Pappartenance aux groupes avec ACL et notamment les groupes universels ; s'il est indisponible, on ne peut se loger que sur la machine en local, pas sur le domaine. Le catalogue global est eréé automatiquement sur le premier contréleur de domaine de la forét. Lorsque des contraleurs de domaines multiples existent, il est souvent recommandé de déplacer le catalogue global vers un autre contrdleur de domaine. Dans un environnement & un seul contréleur de domaine, Active Directory et le catalogue global résident sur le méme serveur et les requétes au catalogue global ne sont pas nécessaires. Dans un environnement réseau plus important, avoir un serveur de catalogue global spécialisé par site permettra de séparer le processus diinterrogation du processus de gestion et de mise a jour au sein du service d'annuaire. Dans Windows 2003, le processus de réplication du catalogue global est amélioré et sécurisé, Pour modifier le rdle de serveur de catalogue global : Cliquez, Démarrer Outils d’administration {BY Sites et services Active Directory Double-cliquez, Sites puis Premier-Site-par-défaut puis Servers. Double-cliquez votre serveur. servers © @ sRv-PaRIs BP tos Setinge Cliquez avec le bouton droit NTDS Settings puis Propriétés. La case & cocher Catalogue global permet de définir ou non le controleur de domaine sélectionné comme serveur de catalogue global. 3940 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdéleurs de domaines ie |e Ot | S| > weesere Sages | ‘eo Anois RRR RTS ake td etre pn coun oat Cliquez Annuler puis [J pour fermer la console i steset services Active rectory. Lorsque Ton défint le serveur de catalogue global, il est cer important qu’a la fols la copacké ef la connedivié du eésoou soient prises en comple. Le sysiéme doit avoir une capacité de slockage sufsante pour prendre en charge la gestion d'un millon ov plus d'objets MAITRES D'OPERATION Deux rdles doivent étre uniques au sein d°une forét : Maitre de schéma : il est responsable de la maintenance et de la réplication du schéma pour la forét de domaines (par défaut, il s’agit du premier contrdleur de domaine de la forét, il est unique). Le schéma contient l'ensemble des classes et des attributs d’objet de lannuaire afin de définir le contenu des objets et les régles qui les régissent. Le schéma est commun a ensemble de la Foret. Le composant enfichable Schéma Active Directory permettant de définir le maitre de schéma, n’est pas disponible par défaut. Il faut Pinstaller, soit avec les outils d'administration du domaine Active Directory (ADMINPAK.MSI sur le CD-Rom de Windows Server 2003 ou dans Windows/system32), soit avec la ligne de commande.ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdleurs de dom« es Ouvrez une invite de commande puis tapez la commande — regsve32 schmmgmt.dll_ puis OK. Cette commande permet d’enregistrer sur votre ordinateur la DLL qui permet daccéder & la console de gestion du schéma. Dans Ia fenétre DOS, tapez la commande mmc. Dans le menu Console, cliquez Ajouter/supprimer un composant logiciel enfichable puis cliquez Ajouter. Sélectionnez Schéma Active Directory dans la liste et cliquez, Ajouter. Cliquez Fermer puis OK. Sélectionnez le menu Fichier Enregistrer, tapez un nom de fichier : gestion du. schéma, choisissez un emplacement puis cliquez. Enregistrer Cliquez avec le bouton droit Sd d'opérc 1a Active Directory puis Maitre icias ene crsiertndnaen comsnn| (AE [rptmasa ed Pour déplacer ce réle sur un autre contréleur de la forét, connectez-vous au nouveau contréleur de domaine (menu Action Se connecter au contréleur de domaine) puis cliquez le bouton Modifier. Cliquez Annuler puis cliquez. BX] pour fermer la console, ys Dans une invite de commande: dsquery server -hasfsmo jj<7 schema permet également d’idenifier le maiie de schéma, Pour modifier le maitre de schéma en ligne de commande ouvrir ntdsutils sur le nouveau contéleur de schéma puis tapez roles puis transfert schema master. Al42 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdleurs de dom« es =} Maitre d/attribution de noms de domaine : il controle l'ajout et la suppression de domaines dans la forét en interrogeant le serveur de catalogue global. Il est done intéressant d’avoir ces deux roles sur la méme machine pour accélérer la verification de l’unicité des noms de domaine. = Cliquez, Démarrer Outils d'administration Domains et aporobstons Active Drectory = Cliquez avec le bouton droit 3 pamaines et aporobations Active Drectory pulls cliquez Maitre d'opére Povsicrmewretomrntrs crag eae aoe ne eo Se cenit ene enemas ican feelers ree ees an eer eieeretmtriom ines Uae a Eel Pour déplacer ce role sur un autre contrdleur de la forét, connectez vous au nouveau controleur de domaine (menu Action Se connecter au contréleur de domaine) puis cliquez le bouton Modifier. = Cliquez Fermer puis. cliquez, SJ pour _fermer la console % bonanes tporbations Active rectory Les réles suivants doivent étre uniques au sein d’un domaine : > Emulateur CPD : il joue le réle de contréleur principal de domaine pour les clients Windows. En mode mixte, il joue le réle de CPD y compris pour les modifications de mots de passe et la synchronisation des contrdleurs secondaires de domaine NT4. En mode natif, il est préférentiellement mis au courant des modifications de mots de passe (Password Manager), il fait autorité pour l’authentification : si une authentification échoue auprés d'un autre controleur de domaine, une requéte lui est transmise pour permettre Vauthentification éventuelle. Il est également responsable de la synchroni- sation horaire des contréleurs de domaine et les stratégies de groupe sont répliquées 4 partir de ’émulateur CPD ce qui réduit les risques de conflits. > Maitre didentificateurs relatifs (Relative Identifier Master): il distribue les identificateurs de sécurité aux contrdleurs de domaine.ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réles des contrdleurs de dom« es Ainsi, chaque utilisateur, groupe ou machine d'un domaine posséde un identificateur de sécurité unique (SID : Secure Identifier). Ce SID est formé du SID du domaine et d’un RID : SID Objet = SID Domaine + RID. Le déplacement d’un objet vers un autre domaine doit toujours étre effectué a partir du maitre RID. Maitre d’infrastrueture: il est responsable de la cohérence dela correspondance entre le nom d’un objet et son SID. Par exemple : si on renomme un compte, il y aura un délai avant que son appartenance au groupe soit répliquée partout. C'est le Maitre d’infrastructure qui est responsable de distribuer ce changement & I'Active Directory en comparant ses informations & celles du catalogue global. II est donc important que ces deux réles soient sur des serveurs différents, Pour visualiser et éventuellement déplacer les maitres d'opérations d’un domaine : Cliquez Démarrer Outils dtadministration < vetsateus ot ordnateus Active Deeety. Cliquez avec le bouton droit le domaine 9 euromedalcel puis Maitre d'opérations... a nataruamad Geatieuii lana ach cee ee ie fee Goce eres! =————— Pour déplacer un de ces réles sur un autre contrdleur du domaine, connectez~ Vous au nouveau controleur de domaine (menu Action Se connecter au contréleur de domaine) puis cliquez longlet désiré puis le bouton Medifier. 43ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réplication d'Active Directory = Cliquez Fermer puis cliquez GJ pour fermer a console Gi Uileateus et ordnateurs Active Drectory }1 (| lorsqu'un moire d’opération est inaccessible, vous pouvez LT déplacer son réle vers un autre contréleur de domaine & l'aide de la commande NTDSUTIL Roles. plication d'Active Directory La réplication d'Active Directory entre les controleurs de domaine est gérée par "'administrateur du domaine site par site, Par défaut, un seul site (Premier- Site-par-défaut) est défini et contient tous les contrdleurs de domaine, RENOMMER UN SITE = Cliquez Démarrer Outils d’administration ij Stes et services Active Drectory . = Double-cliquez. Sites. Premier-Site-par-défaut est le site prédéfini contenant votre domaine et tous vos contréleurs de domaine, nous allons lui donner un nom plus exp! = Cliquez Premier-Site-par-défaut puis tapez [FZ] pour le renommer. m= Tapez EUROMEDIAT=) = Développez EUROMEDIA : BB sites 0 services Active Drectory[zr-parts.euromedia cal] © stes GD Ireer-ste Transports ag & g savAvON 8) srv-raris <8 subnets A partir de la console {i Sites et services Active Directory , nous verrons comment définir de nouveaux sites et les li isons associées...ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réplication d'A /e Directory VERIFICATEUR DE COHERENCE ‘Au fur et & mesure que les contrdleurs de domaine sont ajoutés, un chemin de réplication doit étre établi. C'est le role du vérificateur de cohérence (Knowledge Consistency Checker, KCC). 11 s'agit dun processus dynamique qui s’exécute sur tous ies contrdleurs de domaines pour créer et modifier la topologie de réplication. Si un contréleur de domaine tombe en panne, le KCC crée automatiquement des nouveaux chemins pour les contréleurs de domaine restants. L'intervention manuelle de l'administrateur systéme avec le KCC est également possible pour forcer un nouveau chemin. Trois objets sont nécessaires pour établir un chemin : un objet serveur, un conteneur enfant NIDS Settings, un objet connexion. Nous allons examiner la réplication par défaut définie entre nos deux contréleurs de domaine. Dans Ia console i Stes et services Active Directory, double-cliquez un de vos serveurs puis NTDS Settings. B arcu 5 Gisevers Bai Cliquez avec le bouton droit la connexion 99 puis Propriétés. aie see BROT < fe Cena ron tka a elt drome gate ats [oO 45ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Réplication d'A /e Directory Tous les paramétres définissant la réplication entre les deux partenaires sont configurables ici. La réplication d'Active Directory utilise 'appel de procédure distante (RPC) sur IP pour conduire la réplication au sein d’un site. La réplication entre sites peut utiliser aussi bien le protocole RPC que SMTP pour la transmission des données entre les sites. LES REPLICATIONS INTER-SITES ET INTRASITES Un processus de notification de changement est déclenché lorsque des modifications se produisent sur un controleur de domaine. Ce demier attend une période qui est par défaut de cing minutes avant d’envoyer un message & ses partenaires de réplication, Pendant cet intervalle, le contrOleur de domaine continuera a accepter les changements. A la réception d'un message, les controleurs de domaine partenaires copient la modification 4 partir du contrdleur de domaine original. Dans le cas ot il n'y aurait pas assez. de changements notés pendant une période configurable (qui est par défaut de six heures), une séquence de réplication est laneée pour garantir la cohérence de la base d’annuaire. La création de sites est déterminge par des problémes de connectivité potentiels, notamment une bande passante insuffisante. Par conséquent, Active Directory permet au systéme de prendre des décisions sur la fréquence et la durée de la réplication inter-sites. Tous les objets de réplication transm enire les sites sont compressés, ce qui permet de réduire le trafic réseau de 10 425%, GESTION DES CONFLITS DE REPLICATION Cachet unique global : Active Directory gére les conflits de mises 4 jour simultanées d’un objet en utilisant un cachet unique global de mise a jour. Celui-ci est constitué du numéro de version, de la date et de l’heure de début de la mise a jour et du GUID du controleur de domaine. La mise 4 jour correspondant au cachet le plus élevé sera seule prise en compte en cas de conilit. Identificateur Update Sequence Number (USN) : Active Directory présente un identificateur unique connu sous le nom de Update Sequence Number (USN). Tous les changements effectués sur un objet sont donnés a 'USN. Ce numéro est ensuite changé de maniére incrémentaie.ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Gestion des s Active Directory Chaque propriété d'un objet présente également un USN. Un domaine source communique réguliérement les changements de séquence USN au contrleur de domaine pair. Le demier USN est ensuite enregistré dans chaque contréleur de domaine afin d'assurer la fraicheur de l'état d'un objet. Active Directory utilise Mhorodatage seulement lorsque les changements sont effectués presque en méme temps sur un méme objet. A ce moment, dans le but d'éviter les collisions de données, le changement avec le denier horodatage sera reproduit par défaut. Dans tous les autres cas, Active Directory ne tient pas compte du processus dhorodatage. Avee ce mécanisme, les réplications répétées sont évitées, Gestion des sites Active Directory CREATION D’UN SITE Le second contréleur de domaine que nous venons «installer est déplacé dans un autre emplacement géographique (4 Lyon) utilisant une liaison « lente » (MAN : modem, RNIS, ADSL...). Nous allons créer un deuxiéme site dans Vannuaire et y placer le second contrdleur de domaine. = Cliquez Démarrer Outils d’administration ij Stes et services Active Directory . = Cliquez avec le bouton droit Sites puis Nouveau sit = Tapez. Lyon, cee. emmtcdtemmtorin Hom: fom Secrest nde ea te Lac en eter he buteconems Tepes Nana ocraucnrsteune 47ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Gestion des s Active Directory = Cliquez le lien par défaut DEFAULTIPSITELINK ou crée: retournant dans la console puis cliquez OK iedalenahtaicharwier harden se Md eecetacier the eee a rcapcieee ts nepal nev ee Youre ra routes eon mpc Sars ess Dey Cas» J Les manipulations que vous aurez. effectuer pour configurer votre site vous sont détaillées dans ’écran ci-dessus. Déplagons le contrdleur de domaine dans le nouveau site, = Développez EUROMEDIA et cliquez Servers. = Cliquez avee le bouton droit le contrdleur de domaine & déplacer. Secret a contac er E eee eee eee: F evnowena ue = Cliquez le site Lyon puis OK. = Développez Lyon et cliquez. Servers. Le serveur a bien été déplacé : 1B Stes et services Active Drecory[srv-paris.euremedia cal] = Gistes Go erste tarsprts i eurcrevia EEA Serves Bg swans a subrte 6H bon oEEa iD rr00 48ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Gestion des s Active Directory Les paramétres que nous venons de définir suffisent 4 gérer de petites infrastructures réseau. Si vous devez interconnecter plusieurs réseaux et domaines utilisant des liaisons «lentes », il vous faudra définir d’autres parameétres que nous allons détailler. CREATION D’UN SOUS-RESEAU Aprés avoir eréé vos sites, vous pouvez leur associer des sous-réseaux. Dans la console §@ Stes et services Active Orectory , ouvrez. Sit Cliquez avec le bouton droit Subnets puis Nouveau sous-réseau. Tapez 10.0.0.0 (I'adresse de votre réseau) dans la zone Adresse et 255.0.0.0 comme masque dans la zone Masque. Cliquez le site EUROMEDIA puis OK. Laligne [2.0008 exorepn sosrésow apparait dans le volet droit de Subnets. Cliquez, avec le bouton droit le sous-réseau [63 10.0.0.018 sous Subnets, puis choisissez Prop 4950 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Gestion des sites Active Directory ‘hel | nen | Ot | Sein] [Deo a La liste Site vous permet de lier le sous-réseau A un site, de changer de site lig le cas échéant, ct Un sous-réseau ne peut concerner qu'un seul site Cliquez le bouton Annuler ou [Bq] pour fermer cette fenétre. CREATION D’UN LIEN INTER- SITE Dans la console {Gj Stes et services Active Dectory , ouvreZ Sites puis Inter-sites Transports. Deux types de liens sont configurables utilisant soit le protocole RPC sur IP, soit le protocole SMTP. Cliquez avec le bouton droit IP puis Lien vers un nouveau site Tapez Tien Paris-Lyon dans la zone Nom,ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Gestion des sites Active Directory = Au besoin, sélectionnez les sites concernés par ce nouveau lien puis OK. = Double-cliquez IP pour visualiser les liens IP existants : [BB oeraLTiPsiTELINK Len du ste (alien Paris-Lyon Lien du ste = Double-cliquez. lien Paris-Lyon pour visualiser les propriétés du lien. 5152 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I'Act e Directory La réplication a lieu par défaut toutes les trois heures (180 mn), vous pouvez changer cette valeur en cliquant dans la liste et planifier des jours en cliquant le bouton Mos r la plani ion. Le coat de la liaison est défini par défaut & 100. Active Directory utilise le lien dont le coat est le plus faible lorsqu’il en existe plusieurs, & vous de configurer cette valeur en fonction du débit réel de vos liaisons. ® Cliquez le bouton Annuler ou [XJ pour fermer cette fenétre. Maintenance de I’Active Directory SAUVEGARDE DE L’ETAT DU SYSTEME La sauvegarde des données sur l'état du systéme permet de sauvegarder en une seule fois les fichiers de configuration suivants : © Registre. * Fichiers d'amorgage, dont les fichiers systme. * Service d'annuaire Active Directory * Répertoire SYSVOL. * Base de données des services de certificats... Nous vous recommandons d’effectuer cette sauvegarde une fois que I’Active Directory est bien complété et & chaque modification importante = Cliquez, Démarrer Tous les programmes Accessoires Outils systdme BE aes a saegacde = Décochez Ia case Toujours démarrer en mode Assistant et cliquez Annuler pour fermer assistant automatique. m= Lancez 4 nouveau BS Ukitake de aap = Dans longlet Bienvenue !, choisissez Assistant de Sauvegarde. = La fenétre Assistant Sauvegarde s'ouvre, cliquez Suivant. = Choisissez Ne sauvegarder que les données sur l'état du systéme dans la fenétre Que voulez-vous sauvegarder ?, puis cliquez Suivant.ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I’Active Directory = Cliquez Parcourir puis sélectionnez votre disque local _lorsqu'on vous demande de choisir un média. = Créezun dossier sauvAD a'aide du bouton GF. = Tapez un nom de fichier : Etat du systéme 25-02-2004 puis cliquez Ouvrir. CE vat dverpomte tt forse oie. Chae roe ne ed ie romp cat tae: been [Sao] _ hel = Cliquez. Suivant puis Terminer lorsque I’écran récapitulatif de vos options de sauvegarde s'affiche. La sauvegarde est alors laneée, elle dure au moins 5 minutes mais peut étre beaucoup plus longue en fonction de la taille de votre annuaire, le temps estimé vous est indiqué. = Cliquez Fermer. OUTIL DE MAINTENANCE DE LA BASE D’ANNUAIRE NedsUtil permet deffectuer la maintenance de la base de données Active Directory. Il s’agit d’un outil de ligne de commande interactif dont les commandes sont les suivantes : > Authoritative restore : restauration faisant autorité (n° de version incrémenté) de la base de données DIT (stockée dans NTDS.DIT). > Configurable Settings : gérer les paramétres configurables. 5354 EGE EH4SE g ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I’Active Domain management : préparer la eration d'un nouveau domaine. les : gérer les fichiers de base de données NTDS LDAP policies : gérer les stratégies de protocole LDAP. Metadata cleanup : nettoyer les objets des serveurs « désaffectés ». Popups %s : activer ou désactiver les messages avec « on » ou « off ». Quit : « quitter Putilitaire » ou revenir au niveau préeédent. Roles : « gérer les jetons du propriétaire du réle NTDS » c’ es d’ opérations. A-dire gérer les account management : gérer la base de données de comptes de sécurité ; nettoyage des SID en double. Semantic database analysis : vérificateur sémantique (de la base de données d’annuaire) Set DSRM Password : réinitialise le mot de passe du compte Administrateur du mode Restauration du service d’annuaire. La documentation ci-dessus est intégralement extraite de l’aide de lutilitaire NidsUtil de Microsoft France. Chaque commande gére un utilitaire spécifique dont la liste de commandes est visible en tapant help a l’invite. DEFRAGMENTATION Lorsque vous supprimez des objets de lannuaire, la base de données se fragmente. Il est recommandé de la défragmenter pour améliorer les performances. Active Directory effectue —automatiquement —_ une défragmentation toutes les 12 heures. Si vous souhaitez en plus réduire la taille de votre fichier NTDS.DIT en le réorganisant et le compressant, il faut effectuer une défragmentation manuelle hors ligne. Nous vous conseillons par précaution d’effectuer avant une sauvegarde de l'état du systéme. Il faut ensuite redémarrer votre contrdleur de domaine en mode restauration des services d’annuaire. Appuyez sur [E3) au démarrage et choisissez Mode Restauration Active Directory. Ouvrez une session en utilisant le compte de restauration des services d’annuaire, créé lors de l’installation d’ Active Directory.ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I'Act e Directory Cliquez OK dans la boite de dialogue du Mode sans échec. Depuis une fenétre DOS ou le menu ntdsuti 1. émarrer Exécuter, tape7.la commande : AVinvite, tapez files). AVinvite file maintenance :, tapez info[=] pour visualiser emplacement des fichiers de la base de données actuelle et leur taille. Vous allez d’abord compacter la base d’annuaire vers un nouvel emplacement. Choisissez. un emplacement de taille suffisante, que vous aurez eréé sur une partition NTFS dédiée & Pannuaire et aux journaux de transaction @ Active Directory afin d’améliorer les performances. AViinvite file maintenance :, tapez compact to lecteur: \dossier—) Vous devez maintenant rediriger le chemin d’accés & la base d’annuaire et aux journaux vers 'emplacement de la nouvelle base. Tapez set path DB lecteur: \dossier[=) Tapez set path logs Jecteur:\dossier(=. Tapez quit] pour sortir des commandes file maintenance. Tapez 4 nouveau quit(=4_ pour sortir de utilitaire NedsUti. fp \es commandes move db to lecteur:\dossier et move GB, \ogs to lecteur:\dossier permetient de déplacer la base dannuaire et les journaux de tronsacion vers un nouvel emplacement RESTAURATION En cas de probléme avec votre annuaire ou votre base de registre sur un contréleur de domaine, il vous faudra restaurer la sauvegarde des données sur état du systéme. Pour ce faire, il faut redémarrer votre contrdleur de domaine en mode restauration des services d’annuaire. En effet, la restauration va remplacer votre base d’annuaire ce qui nécessite que les services d’annuaire soient arrétés. Appuyez. sur au redémarrage et choisissez Mode Restauration Active Directory. 55ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I’Active Directory = Ouvrez une session en utilisant le compte de restauration des services @annuaire, eréé lors de linstallation d” Active Directory. = Cliquez. OK dans la boit de dialogue du Mode sans échec. = Cliquez Démarrer Tous les programmes Accessoires Outils systéme EE viitare de sauveosde = Dans longlet Bienvenue, choisissez. Assistant Restauration. = La fenétre Assistant Restauration siouvre, cliquez Suivant. | Crates Sexi tants sna otto ar ose ‘eats we sco. pel cr = Développez la sauvegarde Etat du systeme. (QE) Etat du sytime 2 AG System Ste = Cochez System State puis cliquez Suivant. = Cliquez Terminer. Ci Lats a a tio elena si wd ‘rn ees enpa, i ee 56ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I’Active = Cliquez. OK pour lancer la restauration. a ae (sare care A la fin de la restauration, la fenétre Etat de la restauration apparait et affiche les informations concernant Ia restauration effectuée. Vous pouvez cliquer le bouton Reppert pour ouvrir le fichier contenant les informations concernant la restauration, immédiatement. = Cliquez. Fermer puis Non pour ne pas redémarrer L’Active Directory a été restauré avec un numéro de séquence de mise & jour plus ancien que les autres contréleurs du domaine. Ainsi le contréleur restauré verra ensuite sa base mise A jour par celles des autres contrdleurs du domaine. Si vous souhaitez au contraire utiliser cette base d’annuaire restaurée comme base de référence, il faudra ensuite procéder a la restauration foreée (voir plus loin) afin de mettre a jour ce numéro avec une valeur supérieure a celle des autres contréleurs du domaine. Pour la restauration foreée, il ne faut pos redémarrer la machine prs la restauration RESTAURATION FORCEE Aprés la restauration de I’état du systéme, I’Active Directory a été restauré avec un numéro de séquence de mise a jour plus ancien que les autres contréleurs du domaine. La restauration forcée va permettre de modifier ce 5758 ADMINISTRATION DE L'ANNUAIRE ACTIVE DIRECTORY Maintenance de I’Active numéro afin qu'il soit au contraire plus élevé que les autres pour pouvoir servir de base d’annuaire de référence pour la réplication, Prenez.soin de ne pas redémarrer la machine aprés la restauration, sinon il vous faudra recommencer I’étape de restauration de I’état du systéme. Depuis une fenétre DOS ou le menu Démarrer Exéeuter, tapez la commande : ntdsuti 1. AVinvite, tapez Authoritative restoref=J. Tapez restore database[=¥) puis cliquez Ovi pour confirmer, ceci restaurera Pensemble de l’annuaire. Redémarrez l’ordinateur pour que les modifications soient effectuées. Pour restaurer seulement un objet ou un sous-arbre, utilisez la commande restore subtree nom complet de objet. Rappel: le nom complet (unique pour Ia forét) identifie un objet et sa position dans arborescence. Exemple de T'utilisateur Jean Valentin appartenant a V'unité d'organisation. «Service Commercial » du domaine « france.sidm » : CN Jean Valentin, OU = Service Commercial, DC euromedia, DC = local; avec DC pour Domain Component, OU pour Organizational Unit et CN pour Common Name. Pour restaurer, par exemple, l’arbre du domaine euromedia.local, utilisez la commande : restore subtree DC=local, DiCHAPITRE 3 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Les stratégies de groupe Les stratégies de groupe permettent une configuration centralisée des ordinateurs en définissant des paramétres (options du bureau, restrictions de Yaccés au panneau de configuration, controle des ouvertures de session et de Yaccés au réseau...) applicables aux ordinateurs, aux groupes et aux utilisateurs d'un domaine. Ce sont des objets (Group Policy Object) stockés dans Vannuaire Active Directory qui devront étre ligs & un conteneur : un site, un domaine ou une unité organisation. II est possible de lier une stratégie de groupe & plusieurs conteneurs ou d’appliquer plusieurs GPO & un méme conteneur. Le contenu de la stratégie de groupe est stocké a deux endroits : * le Modéle de stratégie de groupe (Group Policy Template, GPT) : dossier du répertoire SYSVOL contenant les fichiers Registry.pol od sont stockées les stratégies ; © le Conteneur de stratégie de groupe (Group Policy Container, GPC): conteneur d’Active Directory qui contient pour chaque objet stratégie de groupe : le numéro de version (pour étre sir que les informations du GPC sont synchronisées avec le GPT) ; le statut : active ou inactive ; la liste des extensions qu’elle utilise. CONSOLE DE CREATION DES STRATEGIES DE GROUPE La console @ utisateurs et erdinatours Active Dkectory permet de gérer directement les stratégies de groupe au niveau d’un domaine Active Directory. Vous pourrez procéder de la méme maniére au niveau d’un site en utilisant le Composant Stes et services Active Drectory . = Lecas échéant, ouvrez une session en tant qu’administrateur du domaine. = Cliquez Démarrer Outils d’administration Utilisateurs ot ordinateurs Active Directory. 5960 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Les stratégies de groupe = Cliquez avec le bouton droit le domaine @ euromedia.ocs!_ puis Propriétés. = Cliquez l'onglet Stratégie de groupe. CLL ‘al Sten Ste dace | Lan da Soe 6 oie apo sto Pn de aie gi bn ee a Pansea ce ae Se Fa es La stratégie par défaut du domaine Default Domain Policy, est une stratégie vierge qu’il peut étre utile de conserver telle quelle le temps de mettre en quvre et de tester les stratégies de groupe que vous souhaitez implémenter. Nous allons done eréer une nouvelle stratégie pour nos tests. J) |l existe également une console spéctique pour définir des I, srotégies sur un ordinateur local, on y accede en ouvrant une NC console MMC puis la console gpedit.mse sive dans Windows/system32 Nous allons done eréer une nouvelle stratégie de groupe. = Cliquez le bouton Nouveau puis tapez Stratégie Euromédial=). PARAMETRES DES STRATEGIES DE GROUPE Les fichiers de stratégie de groupe contiennent un ensemble de paramétres du registre qui remplacent les régles définies dans le registre pour l'utilisateur en cours et la machine locale. On distingue deux arborescences : Configuration ordinateur et Configuration utilisateur correspondant respectivement aux ruches du registre local HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER.GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi = Double-cliquez Pobjet Stratégie Evromédia ou cliquez le bouton Modifier. [5 ato int | B accmnernccer 3 sarees gl 3 remanence 3 Sire renin B catoracnstsas o Srecnmrs are 3 Bromeestnce 3 rote eaten On peut définir les groupes de stratégies suivants pour chaque arborescenc =} Paramatres du logiciel : utilisés pour le déploiement d’applications sur un domaine, nous le détaillerons dans le chapitre suivant. > Paramétres Windows : regroupe les Paramétres de sécurité (options pour la sécurité du réseau, des mots de passe...) et les Seripts (scripts de démarrage et d’arét de ordinateur et d’ouverture et de fermeture de session de Putilisateur). © Modéles d’administration : basés sur le registre et utilisés pour Paccés au panneau de configuration, apparence du bureau, la configuration des applications. Modéles d’adm istration Crest ici que vous allez définir environnement de ordinateur ou de Futilisateur afin de limiter acces a certains éléments. Configuration ordinateur Configuration utilisateur 2a Mees dadrinktration a Moses dadrinitrtion Gl Composers windows &-G Composarts windows ® Biren Démarrer et Bare des thes & Gases Bitrermartes ( Ga Parneau de contigration Dossiers patanés te Da Réseau Gl Satine 61GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi Les trois rubriques que nous retrouvons dans les deux configurations sont : => Composants Windows : il s’agit ici de mettre en place des restrictions pour Netmeeting, Internet Explorer, le planificateur de taches. ©} Systame : les restrictions vont concerner ici ouverture de session, les stratégies de groupe, les quotas eau : il s’agit principalement du paramétrage de deux composants importants que sont les Fichiers hors-connexion et les Cone» accés & distance. Les stratégies 4 mettre en place pour protéger un ordinateur ou pour restreindre environnement d'un utilisateur peuvent étre: supprimer la commande Arréter dans le menu Démarrer, interdire l’accés aux Fave réseau... et ce pour une machine, un groupe d'utilisateurs ou pour tout le monde STRATEGIES ORDINATEUR = Au besoin, ouvrez, Stratégie Eurom: de stratégie de groupe. ja dans votre console Editeur d’objets = Dans Configuration utilisateur, double-cliquez: Modéles d’administration, = Développez Systeme dans le volet gauche pour visualiser son contenu. syne rote teteur Bisse: Growers de sesson ruts ce de ly) Bh Owerene de ses sos Bi snatece ce reuse Diresstance aasnce Ge Resauraien du syste Ie: Gi Racpot eeu i Protectn do fier Weds Bi tppalee octave dante 1a service temps vindons Les restrictions que nous mettrons en ceuvre, vont concerner principalement les profils des utilisateurs et l’actualisation des stratégies de groupe = Cliquez. Profils utilisateurs. 62GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi Si vous avez défini un profil errant obligatoire (Ntuser.man), vous pouvez souhaiter désactiver la mise en cache sur l’ordinateur local, afin d’étre sir que seuls les paramétres du profil obligatoire que vous avez défini s’appliqueront. En effet, lors de la premigre ouverture de session, le profil est copié vers Vordinateur, et Vutilisateur peut le modifier localement. Ensuite, lors des ouvertures de session suivantes, la fusion des paramétres du profil errant obligatoire avec ceux du profil local est effectuée ; ce qui peut donner un résultat différent de celui recherché, = Double-cliquez Supprimer les copies mises en cache des profils rants dans le volet droit. L’onglet Expliquer donne des informations supplémen- taires, Chaque paramétre de stratégie lig au registre, peut prendre trois valeurs = © Hered oe C Désactivé: ©} Active : le paramétre sera appliqué et active en remplagant celui qui est actuellement actif ©} Désactivé : le paramatre sera désactivé en remplagant celui qui est actif. ©} Non configuré : le paramétre actuellement en place ne sera pas modifié, é puis OK. Fomeia mam tetas sn: eh kr [renee toes sn cchgeort oc nb [snare gae ce cacats mneirenr ou pcb = Dans Systéme, ouvrez maintenant Stratégie de groupe. 63GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi $a Peentter dw $l crer ene TS Sa rte ray oreesece see Sema earae 1 iS cesesnrtons SiSreege seme Sieere racers ternrenSrtine heron dere heinten arte Wrens Dive epecatre aero Plats aetna 9oe [5 veo geen ou maton ce poses nce Anncctcacisamensotaeseanees owe [Societe iit one [Sie crn wom Hginaom a tara srorce vent ote [Bf tiwence es mape gan en hn cstare Nee fears fencers Nciree eer nite eneres trcenase teers 64 tise 12 Seven eters ive Hare tare Au démarrage de ordinateur, les paramétres dordinateur de la stratégie de groupe sont appliqués, puis les scripts de démarrage s’exécutent. Ensuite, lorsque l'utilisateur se connecte, les paramétres d'utilisateur de la stratégie de groupe sont appliqués, puis les scripts d'ouverture de session, Par défaut, tous ces traitements s'exécutent en mode synchrone. On peut les faire exécuter en mode asynchrone V’aide des stratégies : Appliquer la stratégie de groupe pour les ordinateurs de maniére asynchrone et Appliquer la stratégie de groupe pour les utilisateurs de maniére asynchrone. Les paramétres des stratégies de groupe sont actualisés seulement s‘ils ont : au démarrage de Vordinateur et louverture de session de Putilisateur. Ainsi, si aucune modification n’a eu lieu sur Pobjet GPO, la stratégie de groupe n’est pas réappliquée, méme si utilisateur I’a modifige localement entre-temps. Nous allons donc forcer l'application des stratégies. Double-cliquez. Traitement de la stratégie du Registre dans le volet droit. Prowse oto sotrnege tem Pate | tem | ax "tet da os eineGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi = Cliquez Aqtivé et cochez option Traiter méme si les objets Stratégie de groupe n’ont pas été modifiés puis cliquez OK. 11 faut procéder ainsi pour chaque traitement de stratégie disponible (scripts, sécurité...). 3A, GF "12s possible de forcer Vapplcction des sratégies on ulin! la <7 commande: gpupdate /force pour un ordinateur 2003 ov XP, Sous Windows 2000 la commande __—est secedit/refreshpolicy machine_policy pour la strotégie cordinteur ov secedit/refreshpolicy user_policy pour lo stratégie utilisateur. Les objets stratégies de groupe sont répliqués par défaut toutes les $ minutes entre les contrdleurs de domaine. En revanche, elles ne sont mises & jour sur ordinateur client en cours dutilisation qu’au bout de 90 mn (+ ou ~ 30 mn) par défaut 11 peut étre intéressant, lorsqu’on met en place des stratégies, de pouvoir les essayer rapidement, Nous allons done modifier cet intervalle pour les paramétres de la Configuration ordinateur : = Double-cliquez Intervalle d’cctualisation de la stratégie de groupe pour les ordinateurs dans le volet droit. Pane | ial a 2 Inealedactsabnde cade gouge put les xdses congue hain isons Ce peste vous prerelease Poco le Berd cenpne ete et 6 0 mines (5) sine ‘ano aoe aot tact renal dasuaaicn cu iter us be lett dos octet de gcibe on née tongs onde compe ee Det 1 40 ruts 2 haste) | Le Pisanchage ur: urinnum ioe Web: 2000, Remi ster | Pane vert66 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi istration Cliquez, Activé et modifiez les valeurs par défaut en fonction de la fréquence de modification de vos stratégies puis cliquez. OK. G> Une fois que vos stratégies sont opérationnelles, augmentez ‘XN Vinlervalle d'actualisation ofin de ne pas engorger le réseau inutlement. Si vous souhaitez au contraire que la stratégie de groupe ne soit jamais mise a jour pendant que ordinateur est en cours dlutilisation, activez la stratégie Désactivez 'actualisation en téche de fond des stratégies de groupe. STRATEGIES DU MENU DEMARRER ET DE LA BARRE DES TACHES 1 s’agit des stratégies les plus utilisées car elles permettent de définir et de restreindre environnement de travail de vos utilisateurs. Dans Configuration utilisateur, double-cliquez Medéles d’administration. Cliquez Menu Démarrer et Barre des taches dans le volet droit. epee sera focteden be Terestont apne onto sre oe terest a Sa: = a screamer tee Sepa rnin bem. retest [Rewsccenracrssycemestieesnsies: eres Scecntaarsccoirmeaerutorr” rset Sectimcmicncctomeramweenet meter [foc wnmncrrne ane [aocenewsmacscr Same [Srcsrctucsssnainroe’- seer foseutorunascrtctstontSgere nore cies nore aaa peace ec aeGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’administration Double-cliquez. Supprimer le menu Exécuter du menu Démarrer. Cliquez Activé puis OK; ainsi la commande Exécuter sera supprimée du menu Démarrer. Double-cliquez Supprimer et empacher l'acc’s & la commande Arréter. Cliquez Activé puis OK ; ainsi la commande Arréter sera supprimée du menu. Démarrer. STRATEGIES DU BUREAU Dans Configuration utilisateur Modéles d’administration, cliquez Bureau. [Sica oretey Soneuerater sane separ cotscatseavores [epee rors et [seems tcserasssuencrtenstrece cathe om oe or bart Sh ecoacasuseunresovttmonn fcr ier cs re edesncrnet anes boca firme eet cr se Iest possible ici de masquer certains Internet Explorer voire toutes les icdnes. ‘éments du bureau : les Faveris réseau, STRATEGIES DU PANNEAU DE CONFIGURATION Dans Configuration utilisateur Modeles d’administration, cliquez Panneau de configuration. 67GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi istration —————— s Bien enema ein Semen en PB gic unm create ercerme retort Rea sacaroeraeas lest possible ici de désactiver certains éléments du Panneau de configuration ou l'ensemble. Double-cliquez Empécher Ia droit. au Panneau de configuration dans le volet Cliquez Activé puis OK; ainsi le Panneau de configuration ne sera plus accessible pour les utilisateurs pour lesquels sappliquent la stratégie. Les viilsaours doivent dire prévenus de lo mise en place de ae siralégies car is pourraient les interpréter comme des erreurs ov des dysfonctionnements STRATEGIES DU SYSTEME Dans Configuration utilisateur Modéles d’administration, cliquez Systeme. De méme que dans la partie Configuration ordinateur, les restrictions vont concerner principalement ici ouverture de session, ’exécution des scripts, les stratégies de groupe et la boite de dialogue de sécurité (Ctrl+Alt+Suppr).GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi istration [free dota coe stat dose ps bs en {fy Dstection dune iason lente de stratagie ds groupe ‘ Steer acaednr serearc eres pte 3 Greats tre a oman br Seat e page hes Drvaie nara fonb' fergie eons Sreer ar sae Eo mene bomarer et bare destches 2M A06baver Alcher utente stragis simon [toscana 5 ae ans des AM Deve cmnrunn fiber sera teat ogee dr oro pt Satonevomest geet Epo Sarat See Bi opirsaiestssep Biever ator Aiamuenon Bret ten Les paramétres de la Configuration utilisateur sont mis a jour en tiche de fond sur ordinateur client & chaque ouverture de session de lutilisateur ou au bout de 90 mn par défaut. Nous allons modifier cet intervalle : Double-cliquez _Intervalle d’actualisation de la stratégie de groupe pour les utilisateurs dans le volet droit. Cliquez Aetivé et modifiez les valeurs par défaut (60 mn par exemple) puis cliquez OK. REDIRECTION DE DOSSIERS La redirection de dossiers consiste A stocker des dossiers du profil utilisateur (Mes documents...) dans un dossier partagé du réseau et non localement. Dans Configuration u eur, développez Paramétres Windows. Cliquez Redirection de dossi 6970 2 848 8 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi Bicoigatin stator Greener one “Beeceaees Sabi (anerurefomete de en) unites da starts 1 fe Pareroce de eet ser Les dossiers propres a l'utilisateur qu’on peut rediriger sont : Application data : contient les données personnalisées concernant les applications (identités Microsoft, dictionnaire...) ; Bureau : contient tous les raccourcis et fichiers du bureau de l'utilisateur ; Mes documents : contient les fichiers sauvegardés par l'utilisateur, e’est le répertoire par défaut des applications Microsoft ; Menu Démarrer : contient les raccourcis et dossiers du menu Démarre Les avantages sont les suivants : © centraliser les données utilisateurs sur un serveur sans modifier les habitudes de utilisateur ; * détacher le dossier Mes documents du profil de l'utilisateur ; © déployer un bureau non modifiable 4 l'aide dun profil errant obligatoire. On peut ainsi détacher ces dossiers du profil de l'utilisateur afin d’accélérer le processus d’ouverture de session car on ne recopie plus les données, mais uniquement leur chemin d’accas. Cliquez. avec le bouton droit le dossier Mes documents puis Propri L’onglet Cible spécifie le chemin réseau pour les redirections (soit le méme pour tous les utilisateurs ou différent pour chaque groupe). ax Chie |Paer| [E] Yor rane: citron donee das Se a Ot tg goes dome tt, en reer gob detain aataeemce eee eesGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi = Déroulez la liste Paramétre dans l'onglet Ci [loncome SSS [De bee: ede ns dosed aT nde vos env ensacement lacarce. Speco nglaconet= cog de ges cars ana Deux options peuvent étre choisies : © De base ~ Rediriger les dossiers de tout le monde vers le méme emplacement : convient a de petites structures avee peu d’utilisateurs. > Avaneé - Spécifier les emplacements pour des groupes utilisateurs vari choisir si vous avez des serveurs dédiés & certains groupes d’utilisateurs. = Sélectionnez Avaneé - Spécifier... dans la liste Parametre. Chie |Past] 5] ser notte ee met sane SS rer R=] = Cliquez le bouton Ajouter... pour définir pour chaque groupe l’emplacement, de redirection. 7172 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi as 5.) eons cree vee | Abtsen agra eset Encore ore cle Chan tcc delat Cliquez le bouton Parcourir... de la zone Adhésion au groupe de sécurité pour choisir le groupe. Cliquez le bouton Avaneé... puis Rechercher. Double-cliquez le groupe désiré dans la liste Nom, par exemple Utilisateurs du domaine puis OK puis 4 nouveau OK. La zone Emplacement du dossier cible permet de définir le lieu de stockage du dossier Mes documents redirigé. Erplacemert du dossier ble Cider un dossier pour chaque uiisateu sous lect =] pate Taccuel de Taos ETM [Redtiger vers ferolscement suvvant ledger vers Fenlacement po iste lad Nous vous conseillons, soit de rediriger le dossier Mes documents dans le répertoire de base de l'utilisateur, soit dans un emplacement que vous définirez sur le serveur. L’avantage du répertoire d'accueil c’est qu’il s’agit a priori du lieu de stockage idéal pour rediriger le dossier Mes documents <’un utilisateur. Dans la zone Emplacement du dossier répertoire d'accueil de l'utilisateur puis OK. le, cliquez Rediriger vers leGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR, Modéles d’administration = Au besoin, renouvelez opération pour chaque groupe de sécurité, Les options ci-dessus sont cochées par défaut dés que I’on renseigne l’onglet Cible. 7374 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi © Accorder & l'utilisateur des droits exclusif sur Mes documents : permet de donner les autorisations de eréateur propriétaire & l'utilisateur sur ses éléments de profil redirigés. © Déplacer le contenu de Mes documents vers le nouvel emplacement : permet de lacer le contenu actuel du dossier Mes documents vers I’emplacement soit on laisse le contenu ot il est (Conserver...), Soit one redirige vers le profil local Rediiger...). > Préférences pour Mes images : permet de conserver le dossier Mes images dans Mes documents, on préférera souvent laisser les images en local ear elles nécessitent un espace disque important, on choisira alors Ne s stratégie pour Mes images. = Cliquez. OK pour appliquer la stratégie ou Annuler pour ne pas la prendre en compte. J1 Une fois que vous aver fini de paramétrer volre stratégie de C7 groupe, vous pouvez ne laisser vsibles que les composanis que yous avez configurés en cochant Ne montrer que les stratégies configurées dans le menu Affichage. SCRIPTS Les scripts peuvent étre écrits en DOS, VBScript, JavaScript, Perl ou Windows Scripting Host... Nous allons définir un script de démarrage permettant de synchroniser les horloges des ordinateurs du domaine afin de faciliter les ouvertures de session. ™ Ouvrez Ie Blocnotes et tapez la ligne de commande suivante : net time /domain : EUROMEDIA /set. = Enregistrez le fichier sous le nom heure.bat dans le répertoire partagé NETLOGON du contrdleur de domaine sur lequel vous définissez les stratégies (Favoris réseau Tout le réseau...). Ceci n’est pas obligatoire mais facilitera la recherche de vos fichiers de scripts. = Dans la console Editeur d’objets de strat ordinateur. ie de groupe, cliquez. ConfigurationGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Modéles d’admi = Cliquez Poramatres Windows puis serts (démarragelarrét) dans le volet gauche. Vous pouvez définir les scripts d’arét et de démarrage de Vordinateur : (S)osmarrage EQaéter i systime = Double-cliquez Démarrage dans le volet droit. = Cliquez Ajouter... pour utiliser le fichier de script que nous venons de créer. = Dans la zone Nom du script, indiquez le nom complet de votre script ou Cliquez. Pareourir pour le rechercher dans l’arborescence. ax os dre [iswoaeweTLocoNveveds —_—_——_—Bacoui eerie pe es = Dans la zone Paramétres de scripts, indiquez les éventuels paramétres de ligne de commande pour l’exécution du script. Cliquez OK pour valider. sau | aia BZ] cere on Pais On peut assigner plusieurs scripts, ils sont alors exécutés du haut vers le bas, d’oti la présence des boutons Monter et Descendre pour en modifier l’ordre. = Cliquez. OK pour appliquer ce script au démarrage. = Dans votre console Editeur d’objets de stratégie de groupe, cliquez. Configuration ordinateur. 7576 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR e en ceuvre des stratégies de groupe = Double-cliquez Configuration ordinateur puis Medéles d’administration Systome puis Scripts. (Becton les scrote douvertue de session sematanément ‘By Execute les scrots de dmarrage de mane asyrchrene Exeter es scrbts de diarraze made vito raters cts dat en med vibe (08 detente main pourles srs de sate de geure vous souhaitez également modifier le délai d’attente par défaut d'exécution des scripts qui est de 10 minutes, modifiez la valeur de Délai d’attente maximal pour les scripts de stratégie de groupe. Par défaut, les scripts de démarrage s'exécutent en mode synchrone, c'est-a- dire l'un aprés l'autre. On peut les exécuter en mode asynchrone & l'aide de la stratégie Exécuter les scripts de démarrage de maniére asynchrone. Mise en ceuvre des stratégies de groupe Plusieurs étapes sont nécessaires pour mettre en oeuvre les stratégies de groupe dans un domaine Active Directory : # Paramétrage de la stratégie de groupe * Definition des utilisateurs ou groupes auxquels la stratégie s'applique. * Liaison de la stratégie de groupe au conteneur désiré. TYPE DE STRATEGIE DE GROUPE = Lecas échéant, ouvrez une session en tant qu’administrateur du domaine. = Cliquez: Démarrer Outils d’administration <% Utssteus et ocnsteus Atv Overy = Cliquez.avee le bouton droit le domaine 9 euromeda.ocal puis Propriétés. = Cliquez longlet Stratégie de groupe. = Cliquez le bouton Nouveau puis tapez Stratégie utilisateurl=. = Cliquez objet Stratégie utilisateur puis le bouton Propriétés.GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Mise en ceuvre des stratégies de groupe LLL ‘inkl | ser Seal Fev) Noise Semen i34031 Fle: Oats Oe Nincrae EBMEU AFD IMEAPOEEEOOAN) La stratégie que nous allons eréer ne modifiera que les paramétres utilisateur ; pour améliorer les performances, nous allons done désactiver les paramétres ordinateur puisqu’ils ne seront pas configurés. Cochez option Désaetiver les paramatres de configuration de l’ordinateur. a) Sete eet etn rseteecemennmaime a Cliquez, Oui pour confirmer. AUTORISATIONS SUR LES STRATEGIES DE GROUPE Cliquez Ponglet Sécurité puis le groupe Utilisateurs authentifiés 7778 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR e en ceuvre des stratégies de groupe (ai ownmornewne ad iernerns vom comeouns Berton eign niga poe Ei Perce miner enon pages nls Groce dgarreaonee nee fs Les autorisations Appliquer la stratégie de groupe et Lire sont nécessaires pour que la stratégie ‘applique au groupe ou a l'utilisateur sélectionné. Cliquez le groupe Admins du domaine. Vous remarquerez qu’ils ont tous les droits sur la stratégie mais qu’en revanche la case Appliquer la stratégie de groupe n’est pas cochée. Cochez Refuser pour ’autorisation Appliquer la stratégie de groupe afin que les restrictions ne s’appliquent jamais aux administrateurs, car en tant que membre du domaine, ils appartiennent aux groupes. Utiliseteurs du demaine et Utilsateurs authentifiés, et heéritent de ce fait de lautorisation Appliquer la stratégie de groupe. Cliquez Ovi pour confirmer. ORDRE DE TRAITEMENT Iya maintenant trois stratégies au niveau du domaine.GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR e en ceuvre des stratégies de groupe Stel Grr] Ot | Stab Staye esos | ail ‘eyseerneneerew ae Z eee oe Hest possible qu’une stratégie définisse des paramétres qui contredisent ceux de autre, La régle qui prévaut est la suivante : il y a cumul des paramétres et en cas de conflit ce sont ceux définis dans la stratégie le plus haut dans la liste (ici Default Domain Policy) qui prévalent. Les boutons Monter et Descendre permettent de modifier l’ordre des stratégies, Sélectionnez Default Domain Policy et cliquez deux fois Descendre pour qu’elle soit traitée en premier. Ainsi, la stratégie Stratégie Euromédia se retrouve en téte de liste, ce sont done ces paramétres qui 'emporteront en cas de confit. LIAISONS: Chaque objet stratégie de groupe est lig par défaut au conteneur dans lequel on I’a eréé mais il est possible de le lier & plusieurs conteneurs ou de ne pas le lier afin de Pappliquer plus tard. Cliquez. Stra utilisateur dans la liste puis le bouton Propt Cliquez longlet Liaisons. Cliquez le bouton Rechercher maintenant pour afficher les conteneurs auxquels la stratégie est lige. 79GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR e en ceuvre des stratégies de groupe el a ‘tt tor | Seat re | @ sce Comme prévu, seul le domaine euremedia.local est listé. Nous allons suppri- mer cette liaison et lier cette stratégie a une unité d organisation. = Cliquez. OK pour quitter les propriétés de la stratégie. ‘tel Ghar Obst | Shane Stage ee poe | eee ‘aio rT vate de aoome Nenana] Deo B svatge Euonece shape wide Botan Donan Paey = Cliquez objet Stratégie jlisateur dans la liste puis le bouton. Supprimer. Oo ee (© Guppinerlainion dead Sgr ent et tal ee ents est possible ici, soit de supprimer la liaison entre la stratégie de groupe et le conteneur, soit de supprimer la liaison et la stratégie elle-méme. = Cliquez. Supprimer la liaison de la liste puis OK puis Fermer. La stratégie Stratégie ut domaine. sateur n’apparait plus dans la liste des stratégies du Nous allons maintenant lier la stratégie Stratégie utiisateur a une unité organisation, @ sége EUROMEDIA France par exemple. 80GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR, Mise en ceuvre des stratégies de groupe = Dans la console Utilsateurs et ordinateurs Active Directory, cliquez. avec le bouton droit @ sage EUROMEDIA France puis Propriétés dans le menu contex- tuel. = Cliquez longlet Stratégie de groupe. = Cliquez le bouton Ajouter... = Cliquez ronglet Tous. 81GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Mise en ceuvre des stratégies de groupe Owed Conon Cer Foy ‘Soama enan oy Ssvsepe tacts Boiatgeutions La stratégie Stratégie utiisateur apparait & nouveau, elle n’est pas lige a ce conteneur mais disponible dans la liste. 11 est également possible, dans cette fenétre, de eréer une nouvelle stratégie non lige, en cliquant $f. = Cliquez objet Stratégie utiisateur dans la liste puis le bouton OK puis a nouveau OK. La stratégie est maintenant lige 4 Punité organisation @ sage stom France. EaneERaPto eee etree see Pinu de gets a hd i Pandeaoe oe Owen | Sic | Boe ace 82GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR e en ceuvre des stratégies de groupe MODIFICATION DE L'HERITAGE La case A cocher Bloquer Ihéritage de stratégies empéche I'héritage venant des niveaux supérieurs; les paramétres modifiés par cette stratégie Vemporteront. Cliquez le bouton Options... Le eae Aucun replacement: 4 inverse de Bloquer I'héritage de stratégies, les paramétres du niveau oit cette case est cochée sappliqueront toujours, ils ne seront pas remplacés par ceux d’une stratégie d’un niveau inférieur. Si Aueun remplacement est défini a plusieurs niveaux, c'est le niveau le plus haut qui prend le pas (intéressant si on veut une stratégie 4 I’échelle du site ou du domaine). Désactiver : la stratégie de groupe bien que stockée dans ce conteneur n’y est pas activée. Ceci est intéressant si vous décidez de créer un conteneur spécifique pour stocker vos objets stratégies de groupe. Cochez la case Aucun remplacement puis cliquez le bouton OK. La case Ne pas passer outre est cochée sur la ligne de la stratégie, elle correspond & l’option Aucun emplacement. existe un confit entre Ne pas passer outre et Bloquer itage de stratégies, ces! toujours le niveau supérieur (Ne pas passer outre] qui lemporte ORDRE D'APPLICATION Comme nous l’avons vu précédemment, dans chaque conteneur, les stratégies sont appliquées de bas en haut. Au niveau de larborescence de l’annuaire, Yordre d'application des stratégies se fait de la stratégie la plus éloignée de Vobjet ordinateur ou utilisateur conceré pour finir a la plus proche. C’est-a- 8384 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité dire d’abord les stratégies du Site, puis du Domaine, puis des OU ; ce qui est appliqué en dernier prend le pas en cas de conflit. De plus, pour limiter les conflits possibles ligs a la réplication des stratégies et au risque que deux administrateurs modifient simultanément la méme stratégie, la stratégie de groupe est stockée sur le contréleur de domaine Emulateur CPD. Ainsi, si l’Emulateur CPD est injoignable (panne ou probléme de résolution de nom DNS), il faudra transférer ce réle un autre contrdleur de domaine. Par défaut, la stratégie de site est créée dans le domaine racine de la forét. (pour modifier cela, voir les propriétés de la GPO de site). II faut étre Administrateur de V'Entreprise pour créer ou modifier une stratégie de site. Pour qu’une stratégie de site s‘applique, les ordinateurs doivent pouvoir contacter un contrdleur de domaine du domaine racine. Attention au trafic réseau engendré et aux répercussions sur le délai d’ouverture de session. Stratégies de sécurité Les outils Str de sécurité du domaine ct Straté contréleur de domaine regroupent les restrictions sur les comptes (longueur des mots de passe, verrouillage du compte...), les droits des utilisateurs (ouverture de session locale ou a distance, exécution detaches sur Vordinateur...), les stratégies d'audit, les options de sécurité de ordinateur. Les stratégies de sécurité peuvent également étre définies dans la console Editeur d’objets de stratégie de groupe, dans Configuration ordinateur Paramétres Windows Paramétres de sécu! = Cliquez, Démarrer Outils diadministration Stratégie de sécurité du dom: = Double-cliquez, Paramatres de sécurité pour développer ’arborescence. DP Paeotes ce seats 1 @p seaspes co cones rages bees Daal es renee 1) Gowpesretrorts GB Senees tine 3 GB Regsre GB syne de fiers Y Seatage do réeau san (IEEE 802.12) By Setiges oc putts i sratéces de esretinlonele 1 Seateges co secu Ps Active DeectoryGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité © Stratégies de comptes : restrictions sur les mots de passe, verrouillage des compie le cas échéant et configuration Kerberos v5.0 (RFC 1510). Ces stratégies ne seront prises en compte qu’au niveau d’un domaine. > Stratégies locales : Attribution des droits utilisateur (accéder au serveur localement, arréter le serveur...), Audit. > Journal des accas....) yements : configuration des jouraux d'événements (taille, © Groupes Restreints : permet de gérer certains groupes —spéciaux: Administrateurs locaux, Utilisateurs avec pouvoirs... On peut y ajouter d'autres groupes. > Servi 1s Systéme : configuration de la sécurité et du démarrage des services. ©} Registre : configuration de sécurité sur les clés de registre. ©} Systame de fichiers : configuration de la sécurité sur certains répertoires ou fichiers. ©} Stratégies de réseau sans fil: configuration des paramétres de connexion a des, réseaux sans fi. ©} Stratégies de clé publique : configuration de l’Agent de récupération de données cryptées (EFS), des racines des domaines et des autorités de Configuration approuvés autorisés a s’exécuter. IP sur Active Directory : configuration de la sécurité TCP- IP avec IPSec. les Paramatres de modiient le registre de W) ordinateur cible. Ces parambtres seront conservés méme oprés suppression de la straiégie. Il faudra donc restaurer le regisire le cas échéant sur les ordinateur cibles. MODELES DE SECURITE Avec Windows 200x, il est possible d"utiliser des fichiers de modéles de sécurité prédéfinis regroupant les paramétres que nous avons listés86 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité par niveau de sécurité. Un modéle de sécurité peut étre appliqué 4 un ordinateur local, importé depuis une Stratégie de groupe. Depuis une fenétre DOS ou le menu me. jarrer Exécuter, tapez la commande : Dans le menu Fichier, sélectionnez Ajouter/supprimer un composant logiciel enfichable, Cliquez le bouton Ajouter. Sélectionnez, Medéles de sécurité dans la liste et cliquez Ajouter. Sélectionnez Configuration et analyse de la sécuri Ajouter. dans la liste et cliquez Cliquez Fermer puis OK pour revenir a la console MMC. Cliquez ior Enregistrer sous puis tapez Sécurité puis Enregistrer. Développez Modéles de sécurité puis le dossier Windows\ Security\ Templates. erento arses ope Basescu resus ontongr otro por tron Ieiecesscssh Plusieurs niveaux de sécurité sont définis pour chaque type de machine : serveur, contrdleur de domaine (de) et poste de travail (Ws). Les trois modeles principaux prédéfinis sont Le niveau de sécurité de base pour chaque type de m: security et DC security). ine (compatws, Setup Secure* : niveau sécurisé, applicable généralement avec tous vos clients. Hisee* : niveau hautement sécurisé, vous ne pourrez Puti clients sont sous Windows 200x. ser que si tous vosGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécur Test également possible de définir un modéle qui vous est propre. Cliquez avec le bouton droit Windows\Security\Templates puis Nouveau modéle... Tapez un nom dans la zone Nem du modéle, par exemple Sécurité du systéme puis cliquez OK. Double-cliquez, Sécurité du systame pour le développer. ee 18 BP argos oo conetes sages 1 Baomerretens (5 LB sevesstine 1S Deesere 1 DB Sreane cette A vous de définir les paramétres pour chaque rubrique comme précédemment. ANALYSER UN MODELE DE SECURITE Avant de déployer un modéle de sécurité sur un grand nombre dordinateurs, il est intéressant d'analyser les résultats de lapplication du modéle afin de slassurer qu‘elle n’a pas dleffet négatif sur les applications, la connectivité ou Ja sécurité, uez avec le bouton droit le composant Configuration et analyse de la sécurité, puis Ouvrir une base de données... Tapez le nom de votre ordinateur comme nom du fichier puis cliquez. Ouveir. forme le Oe Gevarescre comes | Gararemt Bent do chit Bests sr rsine et [Bremen ef Bony searty et Seomree Negi: Ce owecnee: — [Mccieesccamsis) dA 1 Ect abe doer at Spat | 87GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité Choisissez le modéle désiré, par exemple Securede.inf puis cliquez. Ouvrir Cliquez avec le bouton droit le composant Configuration et analyse de la sécurité, puis Configurer Vordinateur maintenant puis OK pour valider le journal par défaut. Cliquez avec le bouton droit le composant Configuration et analyse de la é puis Analyser 'ordinateur maintenant. Le modéle est appliqué a votre ordinateur, vous pouvez le tester & loisir. Vous pouvez également appliquer un nouveau modéle de sécurité & ordinateur local en utilisant l'option Importer un modéle... Nous verrons plus loin comment appliquer un modéle de sécurité 4 un ensemble d’ordinateurs & aide dune stratégie de groupe. SUPPRIMER UN MODELE DE SECURITE 11 w’est pas vraiment possible de supprimer un modéle de sécurité, seulement den appliquer un existant. Vous pouvez donc, au besoin, eréer un modéle vide et l'appliquer, ou revenir 4 un modéle de sécurité prédéfini qui vous convient (recommandé). Au besoin, cliquez avec le bouton droit le composant Configuration et analyse puis Configurer lordinateur maintenant puis OK pour valider le journal par défaut. Cliquez avec le bouton droit le composant Configuration et analyse de la écurité, puis Analyser ordinateur maintenant. Cliquez avec le bouton droit le composant Configuration et analyse de la sécurité, puis Importer un modéle. Fhocemcatyet —— aerever [Bronce Bocce ertnet Shiver Socosneet et Nema ge] emo ose semaneten tc cte be crs a nt JGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécur = Cliquez le modéle désiré, par exemple le modéle de sécurité par défaut setup security.inf, puis Ouvrir. APPLIQUER UN MODELE DE SECURITE Nous allons voir maintenant comment appliquer un modéle de sécurité & un ensemble d’ordinateurs & l'aide d’une stratégie de groupe, = Le cas échéant, ouvrez une session en tant qu’administrateur du domaine. Iuez Démarrer Outils d’administration G Usicateurs et ordinateuss Active Directory, = Cliquez avee le bouton droit le domaine @ euonedalos puis Propriétés. = Cliquez onglet Strat Cc de groupe. quez le bouton Nouveau puis tapez Stratégie sécuriters. = Double-cliquez objet Stratégie sécurité. pour louvrit = Dans Configuration ordinateur, développez. Paramétres Windows. = Cliquez avec le bouton droit Parametres de sécurité puis Importer une stratégie. Sone saat Nie gf ae] Febenceyee [ose deoecnsiot SY 1 Elercte te te me et ot J = Cliquez le modéle désiré, par exemple securews.inf, puis Ouvrir. 8990 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité La stratégie de sécurité des ordinateurs concernés par cette stratégie sera alors redéfinie en fonction des paramétres du modéle choisi. En procédant de cette maniére, vous pouvez utiliser des modéles personnalisés ou prédéfinis et les appliquer par des stratégies de groupe. RESTRICTION LOGICIELLE Les _stratégies de restriction logicielle vous permettent de contréler les logiciels qui peuvent étre installés ou non sur un ordinateur. Ceci vous permet notamment de lutter contre les installations sauvages ainsi que contre certains virus. Nous allons empécher Il’accés a la calculatrice de Windows. Ouvrez la console & unisateurs et ordnateurs Active Decry Cliquez avec le bouton droit @ exomesa.cal puis. Propriétés. Cliquez Vonglet Stratégie de groupe. Cliquez le bouton Nouveau pour eréer un nouvel objet stratégie de groupe, Tapez Restriction[==] comme nom de la stratégie. Dans la console Editeur d’objets de stratégie de groupe, cliquez Configuration ordinateur puis Paramétres Windows puis Paramétres de sécurité. Cliquez. avec le bouton droit Stratégies de restr stratégies de restriction logicielle. ion logicielle puis Nouvelles age Beran mcr ee "Y sreties ema seo NE] irene de otwtt Ca rsiges so ospaio ai ese ‘Siti ents 2 er doar de [Beers Double-cliquez, Editeurs approuvés. a cre © iat hea ran TtGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité Double-cliquez. Ragles supplémentaires. Qe JOC RCHANSCFINARe Picea Weave M\Carertieseispentea hone acis Nene HEY 10cA_MACHOsceTWAREPHocest Wore McurerteseSeenBost”8 enn acts enreror SHY LOCA PUCHOESCF WAREVientWdore Micarerearientecletn2\ ere Chen ace Nee YAH Loca MaChDEsor WARE loon nde Cureteren regener Chenn acir entero Les régles définies par défaut autorisent tous les fichiers .exe situés dans les répertoires systémes et dans Programfiles. Cliquez. avec le bouton droit Ragles supplémentaires puis Nouvel chemin d’accés. régle de axl vo arent ee el a erm dct CT’ aco iyo de | Dans la zone Chemin d’accés, tapez Cc: \windows\system32\cale.exe ou cliquez le bouton Parcourir.... pour localiser le logiciel. Vérifiez que Rejeté figure dans la liste Niveau de séeurité et cliquez OK. La nouvelle régle apparait dans le volet droit Biwmoowsietenaz\eakeve chemin daccke Rojee. AUDIT L’audit consiste inscrire dans le journal de sécurité de ’Observateur d’événements, les événements que l'on a décidé de surveiller. Pour activer audit, il faut d’abord définir une stratégie d’audit applicable aux serveurs du réseau puis définir pour chaque ressource les événements auditer. Cliquez, Démarrer Outils d'administration Stratégie de sécurité du domaine. Double-cliquez Paramétres de sécurité puis Stratégies locales puis Stratégie audit 9192 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité Bea once pas noone Bact ena ceepeceae [bacterin erm ste oon nn [teats mattasre ase [Bact tenn cere Par défaut, aucun audit n'est activé. II va falloir définir quels éléments auditer en fonction des soupgons que vous avez. ou des statistiques que vous souhaitez efffectuer. Les éléments d’audit principaux sont les suivants : Auditer la gestion des comptes : permet d’activer l'audit pour la gestion de comptes d'utilisateurs et de groupe Auditer l'aecés au service d’annuaire : permet d’activer |’audit pour les actions effectuées sur la base d’annuaire. Auditer accés aux objets : l’audit enregistre les actions effectuées sur les ressources de votre réseau (fichiers, imprimantes...). C’est cette stratégie qui est la plus utilisée, nous allons la mettre en place. Auditer les événements de connexion : permet d’activer Maudit pour les ouvertures de session réussies ou non. Double-cliquez Auditer acces aux objets Cochez Définir ces paramatres de stratégi afin d’enregistrer toutes les tentatives dace puis cochez Réussite et Ech ayant réussi ou échoué. ‘aac gn et) ixGESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécurité Maintenant, ill faut définir quelle resource on veut surveiller et plus précisément quel événement. Nous allons voir comment auditer les ressources fichier d’une partition NTFS. Lancez. l’Explorateur Windows {@j et cliquez avec le bouton droit le volume ou le dossier 4 auditer, par exemple <3 useRs (Ht) puis Propriétés. Cliquez Ponglet Séeurité puis le bouton Paramatres avancés. volume n'est pas formaié en NTFS. Uoudit de l'accés aux fichiers ou aux dossiers ne peut éire mis en place que sur une partion NTFS, re Si 'onglet Sécurité. n‘opporait pos c'es! que votre partiion ov Cliquez Ponglet Audit puis le bouton Ajouter... Cliquez le bouton Avaneé... puis Recherche Double-cliquez le groupe Usilisateurs authentifiés dans la liste Nom puis OK. act de Tentrée pour USERS (U 1x bie | Nom: (RENEE Mose, pale 3: [Ce deers sour dossier es fevers =] ects i Ete Conte tt Paced dosent ie Liste ddoesieeche de donner ‘tits delete Laces de abt tnd Chien de otic de donee Crain de desist de doses ott rae Coes dats ends Supesion desu oie chit Surpesin qooogsooooono|f 1O00000000000 93GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécu Une liste des actions possibles, correspondant aux autorisations NTFS, est proposée ; vous pouvez auditer chacune d’elle en Réussite ou en Echee = Cochez Réussite et Echec pour Parcourir le do: Liste du dossier/lecture de données. ‘/exécuter le fic et La zone Appliquer & permet de définir le champ d’application de audit. “ociue 3: [Co dovoo, es exer eles tchrs (Ce dees et es sour doses [Ce dees fers Kes sours oe fie seule. Les someones stlonnt Fehrs scene! = Cliquez le bouton OK pour valider vos choix. ‘atansre 0h |Partners Pe se cna Elmer ae ees hee che ee Soh ards ee ee |_| Stems | Repent st me gt a Ensoce ate = Cliquez le bouton OK puis 4 nouveau OK pour mettre en place l'audit. fo Pour audit Vaccés aux objets de lannuaire, il existe également & dans l'onglet des Propriétés d’un objet, un bouton <7 Avaned permettant d’accéder & Vonglet Audit 94GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Stratégies de sécu A partir d’un ordinateur client, aecédez la ressource surveillée (le partage Users) & Maide des Favoris Réseau, en utilisant différents comptes @utilisateurs. Ensuite allez inspecter le résultat dans le journal d’audit : = Cliquez. Démarrer Outils d’administration Observateur d’événements. = Cliquez Séeurité : apparaissent dans ce journal. anja area nejaoe sna Fy See sevikna ote ey fat nets hot Une clé @ indique une réussite, un cadenas @ indique un les événements dont vous avez demandé l'audit Secsty Scsty ean dpe Smy Uitcederpnaoy oe sce eel Tet chee. = Double-cliquez. par exemple un événement de catégorie Acces aux objets fichiers (N° 560) afin de visualiser les détails = (2h 9596 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Gestion des stratégies de groupe Jb Nvouditez que ce qui est nécessaire et pendant un laps de 2, romps délini. Pensez & l'emplacement de vos fichiers journaux X car ils peuvent are vite saturés | Gestion des stratégies de groupe CONSEILS PRATIQUES * Limiter usage du blocage de ’héritage et de Ne pas passer outre. © Limiter la liaison des stratégies de groupe entre domaines. * Utiliser les groupes de sécurité pour filtrer les stratégies plutot que @attribuer trop de stratégies pour un utilisateur ou un ordinateur ; sinon les performances au démarrage et ouverture de session s'en ressentent. © Désactiver les arborescences non utilisées (Utilisateur ou Ordinateur). © Grouper dans une stratégie tous les éléments ayant trait & un méme theme (environnement, scripts...). © Trouver le bon équilibre entre définir des stratégies par niveaux afin de permettre la délégation d'administration et rassembler les stratégies pour améliorer les performances. DEPANNAGE DES STRATEGIES Si la stratégie de groupe ne s’applique pas comme vous avez configurée, assurez-vous que * laréplication Active Directory et de Sysvol a eu lieu ; # les mécanismes d’héritage ne remplacent pas certains des paramétres ; * vous n’avez pas désactivé les paramétres de configuration de ordinateur ou de Putilisateur ; * il n’y a pas de conflits de paramétres, entre la stratégie ordinateur (prioritaire) et la stratégie utilisateur ; * option Désactiver n’est pas cochée ;GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Gestion des stratégies de groupe * les autorisations permettent d’appliquer la stratégie aux groupes ou utilisateurs spécifiés ; © Vordinateur ou Iutilisateur n’a pas été déplacé vers un autre OU, il faut alors actualiser la stratégie. OUTILS DE DIAGNOSTIC DES STRATEGIES DE GROUPE Plusieurs outils Microsoft existent pour vous faciliter la maintenance des stratégies de groupe. En effet dés qu’on multiplie les stratégies ainsi que leur niveau d’application, on peut vite finir par ne plus savoir ce qui s’applique a un utilisateur ou un ordinateur. L’outil RSOP ou Jeu de stratégie résultant permet de voir les stratégies qui s’appliquent effectivement 4 un ordinateur client et a un utilisateur & partir de celui-ci ou a distance depuis le serveur. Cliquez, Démarrer Exéeuter, tapez S0p.mSC. Développez les différents groupes de stratégie pour afficher dans le volet droit les stratégies qui s’appliquent. «7 oe 8 e@ j [3E decoy on SRV-PARIS ASCP Paaniie Ba [Nin debit ow orfguraton uteateur 5s surprmere menu xater du meu Dimarer Av ‘eaomedia Gireanaredogct th a paanénes nds 1 Ca dies dacs anen “Sa Menu Denar eet ses [et womreoneomemseoneonsoasent ai Vutilisateur et ordinateur qui a lancé la console. Celle-ci peut étre lancée a partir d’un ordinateur Windows XP ou d’un serveur Windows 2003. Au besoin, cliquez la racine de la console puis le menu Aetion Modifier la 97GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Gestion des stratégies de groupe cesta bentan se auenposedetesnriper nate Stone ad ato vob cepts Hine nisms tate panes gh econ ee (hefner pean casein = Cliquez. Un autre or ) Seuls les uilisoteurs et les ordinateurs actuellement connectés av LB domaine seront accessible. Jateur et tapez son nom sry-lyon puis Suivant. = Au besoin, choisissez l'utilisateur dans la liste puis Suivant. = Validez. les choix efffectués en cliquant Suivant dans la fenétre Apersu des sélections puis Terminer. wm Vous pouvez enregistrer la console avec la sélection effectuée & I aide du menu Fichier Enregistrer. Vous pouvez également exécuter une requéte de jeu de stratégie résultant sur un compte d'utilisateur particulier sans avoir besoin de vous connecter sur la machine. = Cliquez Démarrer Outils d'administration Utilisateurs et ordinateurs Active Directory. = Dans evromedia.local cliquez. Users. = Cliquez avec le bouton droit Mutilisateur dont vous souhaitez visualiser les stratégies puis Toutes les téches puis Jeu de straté J) Woption Jeu de stratégie résultant {journalisation) vous BPI, cenverrat le mame type de résulat que dans l'exemple précédent BS 98 résultant (planification).GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Gestion des stratégies de groupe ‘te tans cutrans EUROWEDA imams Sl ein step Sener pa ct tr ey ci eer cen m= Sélectionnez ordinateur ou le conteneur conceré puis Suivant. = Cliquez. Suivant dans la fenétre de choix des Options de simulation avaneés = Au besoin, sélectionnez.l'emplacement de l'utilisateur concemé puis. Suivant. OES ase monte aane Inatcre doptrance on gees ci lis eer as Sige ee CS PE Se pen | te = Au besoin, ajoutez un groupe de sécurité utilisateur puis Suivant. 99100 GESTION CENTRALISEE DE L'ENVIRONNEMENT UTILISATEUR Gestion des stratégies de groupe = Au besoin, ajoutez un groupe de sécurité ordinateur puis Suivant. = Validez. les choix efffectués en cliquant Suivant dans la fenétre Apersu des sélections puis Terminer. M4 Si vous ne faites aucune modification ov ajout sur les conteneurs LT et les groupes, vous pouvez cocher Se rendre & la derniére page de cet Assistant pour terminer plus rapidement. L’outil GPMC (Group Policy Management Console) permet de mieux gérer les stratégies de groupes définies sur une forét ou un domaine en fournissant des outils d’analyse sous forme de rapports détaillés ainsi que des scripts pour Vautomatisation de vos stratégies de groupes. = Téléchargez le fichier d’installation en recherchant GPMC sur le site de Microsoft : http://www.microsoft.com/france/ download/default.asp. = Installez GPMC.MSI_ sur un serveur Windows 2003 ou un ordinateur XP (sur lequel vous aurez au préalable installé le framework.Net). Iuez Démarrer Exécuter, tapez pms SC. = Développez la forét puis le domaine pour afficher la liste des stratégies dans le volet gauche. = Cliquez une stratégie, par exemple Euromédia puis OK pour la visualiser. = Cliquez ronglet Paramétres puis Fermer, les parametres utilisés s"affichent : —e Rages SS nels Sie be error Cet outil est trés complet, vous trouverez sur le site Microsoft de plus amples détails : http://www.microsoft.com/france/windows/windowsserver2003.CHAPITRE 4 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Présentation Le cycle de vie d'un logiciel est le suivant : préparation, déploiement, mise & jour, suppression, Mierosoft_a mis au point la technologie Software Installation and Maintenance (SIM) disponible uniquement avec un domaine Windows 200x, qui permet d'utiliser Windows Installer en conjonction avec les stratégies de groupe pour le déploiement et la gestion des logiciels a distance sur les postes clients, Grace aux stratégies de groupe, on peut + Installer automatiquement les logiciels au démarrage de Vordinateur ou a V’ouverture de session de l'utilisateur. * Rendre application disponible a lutilisateur s’il en a besoin, + Mettre a jour des applications, appliquer des patchs... © Supprimer des logic: 1s en les désinstallant proprement. WINDOWS INSTALLER Windows Installer remplace l'utilisation traditionnelle des fichiers Setup.exe et install.exe par des fichiers de lot d'installation au format .MSI (Microsoft Installer). Le service installation du c6té client (Msiexec.exe, disponible sur Windows XP, 2000, NT 4 et 9x) utilise les informations contenues dans le fichier de lot pour installer "application. Cette technique permet «Installation des options & Ia demande ; les éléments optionnels de certains logiciels apparaissent dans les menus méme s‘ils ne sont pas installés. Ils sont installés au premier clic de T'utilisateur sur le menu correspondant, II faut seulement que les sources soient disponibles. 101102 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Présentation * Auto-réparation des applications : fonctionnalité de réparation automatique des fichiers détruits ou corrompus depuis les sources d'installation. © Maintenance : déploiement de mises & jour, de correctifs logiciels. © Désinstallation propre : pas de fichiers résiduels de 'application, pas de risque de supprimer des éléments partagés... FICHIER DE LOT Un fichier de lot (.msi) est une base de données relationnelle qui contient les instructions et informations nécessaires pour installer, modifier et désinstaller le programme selon plusieurs scénarios d'installation. Il peut, par exemple, permettre I'installation d'une application sur un ordinateur oti l'application n'a jamais été installée ou modifier une application dont une version antérieure est dgja installée. Comme la base de données est relationnelle, la cohérence des modifications effectuées durant Vinstallation est assurée, ce qui simplifie la personnalisation d'une application volumineuse ou d'un groupe «applications existe plusieurs moyens pour se procurer un fichier MSI © Léditeur founi un fichier au format .MSI (Microsoft Office 2003 par exemple). © Création d'un fichier de lot avec des outils dédigs (WinInstall de Véritas). © Création d'un fichier texte avec extension .ZAP (pour des logiciels non MSI). * Création d'un fichier de modifications (extension .MST) qui permet une configuration spécifique d'une application déployée avee un .MSI STRATEGIE DE GROUPE WINDOWS INSTALLER Il existe également des straté mieux contréler son utilisation. de groupe pour Windows Installer afin de Le cas échéant, ouvrez une session en tant qu’administrateur du domaine. Cliquez Démarrer Outils d’administration Utiliscteurs et ordinateurs Active Directory.DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Présentation = Cliquez avee le bouton droit le domaine Pexonedalccs puis Propri Je menu contextuel = Cliquez longlet Stratégi de groupe. = Double-cliquez. Stratégie Euromédia, = Dans votre console Editeur d’objets de stratég Configuration ordinateur puis Modéles d’administrat Windows puis Windows Install de groupe, cliquez puis Composants ipsa ipo crramarttrw ts paces arrose ane cae ins re sare [Beene ences acorn san Brcrrcatrarontoesvtsomot cara Les principales stratégies sont les suivantes > Désactiver Windows Installer : restreint I'utilisation de Windows Installer. Cette stratégie empéche les utilisateurs d'installer un logiciel sur leur systéme ou leur permet de n'installer que les programmes publiés par un adminis- trateur. ©} Toujours installer avec des droits élevés : cette stratégie permet aux ultilisateurs installer des programmes qui nécessitent aceés a des répertoires que Vutilisateur n'a pas toujours le droit douvrir ou de modifier. Par défaut, le systéme applique les autorisations de l'utilisateur actuel lors de T'installation des programmes qui ne sont pas distribués ou proposés par un admi Cote decnire stratégie opparat & la fois dans Configuration ae ordinateur e Configuration utilisateur. Pour rendre cefle siratégie effective, vous devez aciiver la stratégie dans les deux arborescences 103104 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Présentation =} Empécher l'application des correctifs : empéche les utilisateurs d'installer eux- mémes des correctifs pour mettre 4 niveau leurs programmes. > ilisateur : permet aux utilisateurs de modifier les options diinstallation réservées en général exclusivement aux administrateurs. © Interdire les installations par les utilisateurs : ce paramétre vous permet de configurer les installations utilisateur selon plusieurs possibilités une fois active : Conpaterent de satan pat ihe = Dans votre console Editeur dobjets de stratégi Configuration utilisateur puis Modles d’admi de groupe, cliquez istration puis Composants (84 Toujours stale avec des rts doves 3 oer de recherche Erkan {Eva fuleaton des source de mésa amore pour totes les tations Les stratégies possibles sont les suivantes : > Toujours installer avec des dre levés : attention, les utilisateurs avancés i peuvent alors modifier leurs autorisations et obtenir un accés permanent a des fichiers ou dossiers sensibles. © Ordre de recherche : indique l'ordre dans lequel Windows Installer recherche les fichiers d'installation. Par défaut, Windows Installer explore d'abord le réseau, les médias amovibles (lecteur de disquette, de CD-Rom ou de DVD) et enfin Internet (URL). ©} Empécher annulation: les fichiers nécessaires pour revenir sur une installation qui a été interrompue ou qui a échoué ne sont pas générés > Eviter l'utilisation de la source de empéche les utilisateurs d' amovibles. amovible pour toutes les installations : taller des programmes partir de médiasDEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Déploiement de logi Déploiement de logiciels Le processus de déploiement est le suivant : 1. Obtenir ou créer un package. 2. Le stocker sur un répertoire partagé (avec des permissions suffisantes).. 3. Créer ou modifier une stratégie de groupe pour la distribution de Papplication. 4, Sélectionner les options de déploiement. Nous allons d’abord créer un utilisateur spécifique pour tester le déploiement applications. En effet, nous utiliserons le déploiement par utilisateur et non par ordinateur (les étapes étant équivalentes pour les deux), CREATION D’UN UTILISATEUR DE DEPLOIEMENT = Ouvrez une session en tant qu’administrateur du domaine, = Cliquez Démarrer Outils d’administration Utilisateurs et Ordinateurs Active Directory. = Sélectionnez Punité dorganisation ot vous voulez eréer Putilisateur. Nous choisirons pour notre exemple (@) siege EUROMEDTA France. = Cliquez. *€ ou cliquez dans le menu Action Nouveau Utilisateur. = Tapez Deploy dans toutes les zones Nom puis cliquez Suivant. = Tapez.un mot de passe dans la zone Mot de passe puis confirmez-le dans la zone suivante puis Suivant puis Terminer. L’utilisateur Deploy apparait_ dans le volet droit sous la forme: Daspioy Urisateur , PARTAGE DU REPERTOIRE DE DEPLOIEMENT Nous allons réaliser nos exemples avec les packages permettant d’installer les outils d’administration et ceux du Resource Kit de Windows Server 2003. Il en va exactement de méme pour toute autre application (bureautique...) au format MSI. 105106 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Déploiement de logiciels Créez le dossier C:\DEPLOY a I’aide de I’Explorateur. Insérez le CD-Rom de Windows Server 2003 dans le lecteur. Copiez 1386\ ADMINPAK.MSI du CD-Rom vers C:\DEPLOY. Copiez le dossier SUPPORT\TOOLS du CD-Rom vers C:\DEPLOY. Partagez le dossier C:\DEPLOY a l'aide de I’Explorateur (avec des permis- sions en lecture au moins pour l'utilisateur Deploy). CREATION DE LA STRATEGIE DE DEPLOIEMENT Ouvrez la console & uncsteurs et ordnsteurs Active Dectory Cliquez avec le bouton droit @ exomeda.ecal puis. Propriétés, Cliquez Ponglet Stratégie de groupe. Cliquez le bouton Nouveau pour eréer un nouvel objet stratégie de groupe. Tapez Déploiement Quti1sC=} comme nom de la stratégie. Cliquez le bouton Propriétés puis onglet Sécuri de la stratégie. Cliquez le groupe Utilisateurs authentifiés. Décochez la case Appliquer la stratégie de groupe / Autoriser afin que cette nouvelle stratégie ne s’applique pas & tout le monde. et tt Depa satgetezae Cette stratégie de déploiement ne doit pour I’instant s*appliquer qu’a notre utilisateur de test : Deploy. Cliquez le bouton Ajouter puis tapez Deploy dans la liste puis cliquez OK. Cochez la case Appliquer la stratégie de groupe / Autoriser.DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Déploiement de logiciels Seal Lore esa Jenova G. sepbyidenoyGeucredatical | @enrerenise comsn conTROWers a feisvron e Fsnaen 7 ieee See ane at ate Con o o4 te a oO fe oo Cant wets oo etre tet 5 39 ekg a edge ae Boo aa vst eta gusunnes a roc am arPaantin ee pies sent | Cliquez le bouton Modifier pour eréer la stratégie de déploiement. On peut définir des stratégies de déploiement d’applications sur un domaine pour chaque arborescence : Développez Paramétres logiciel dans Configuration ordinateur et dans Configuration utilisateur. Disease oégoenene Os Corhiguaten adnate 7) Ga Parente ogc 1B Incalatindelogce! 1 Ga Paranatves wows Fe arenraa Configuration tater BParanates npc $B tnealaten delogcel Les stratégies de déploiement définies dans Configuration ordinateur permettent d’installer les logiciels au démarrage de Vordinateur quel que soit Putilisateur; les. stratégies de déploiement définies dans Configuration uifiisoteur permettent d’installer les logiciels 4 l'ouverture de session de Vutilisateur quel que soit ordinateur utilisé. Dans Configuration utilisateur, double-cliquez Paramétres logiciel pour Vouvrir. 107108 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Déploiement de logiciels Cliquez avec le bouton droit Installation de logiciel puis Nouveau puis Package... L’emplacement par défaut se situe dans le répertoire NETLOGON du serveur. 37 (GF besoin, vous powez modifier emplacement por défaut des iC packages dans Configuration utilisateur, Paramatres logiciel en cliquant avec le bouton droit Install logiciel puis Prop n de Accédez au dossier partagé Deploy de votre serveur par les favoris réseau et cliquez le package SUPTOOLS.MSI puis Ouve axl Femdrdee [Zorn wsvow Ss] L’écran de sélection de la méthode de déploiement s’affiche : existe trois types de déploiement =} Publié : T'application est signalée dans le composant Ajout/Suppression de programmes du Panneau de configuration. Liutilisateur doit I'installer explicitement dans le Panneau de configuration ou en ouvrant un fichier associé a l'application, ©} Attribué : lapplication s‘installe au démarrage de la machine (directement, sans avertissement) lorsqu’elle est attribuée & un ordinateur, sinon, si elle est attribuée & un utilisateur, l'application est signalée a l'utilisateur (par une iedne sur le bureau ou dans le menu Démarrer ou par invocation de fichiers) sans tre installée. Elle ne s'installe que lorsque l'utilisateur y fait appel et sera accessible sur tous les postes ot utilisateur ouvre une session,DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Déploiement de logiciels =} Avaneé : permet de modifier les options courantes de publication et attribution ainsi que de modifier un package. ATTRIBUTION D'APPLICATION Nous allons attribuer l'application Support Tools i notre utilisateur Deploy. = Cliquez Attribué puis OK. Le package apparait dans le volet droit : ta ia deat ap Sea Bwincone Sige oo 52. Arb ——_\SrrparsdennSUPTOOLS MSE Lorsque Mutilisateur fait appel a application attribuée, la stratégie de groupe inscrit application dans le registre local de l’ordinateur, ce qui lui permet par la suite de se réparer automatiquement en cas de suppression ou corruption de certains fichiers. existe deux types d°attribution : ©} Attribution A un ordinateur : l'application sinstalle au démarrage de la machine (directement, sans avertissement). ©} Attribution A un utilisateur : les icOnes sont eréées au logon. L'application est toujours disponible a l'utilisateur méme s‘il se connecte sur une autre machine, Nous sommes ici dans le cas d’une attribution & un utilisateur du domaine ; pour une attribution un ordinateur, il faut créer le package dans Configuration ordinateur Paramétres logiciel Installation de logiciel. TEST DU DEPLOIEMENT = Fermez, toutes les fenétres de stratégies de groupe afin que celles-ci soient enregistrées = Démarrez un ordinateur client du domaine, puis ouvrez une session en tant qu’utilisateur Deploy. = Quvtez Démarrer Programmes, le groupe (i Windows 2600 Sipser Toole doit y figurer. 109110 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Dépl ment de logiciels note ullisateur Deploy. Pensez 2 modifier les aulorsotions pour Mappliquer cux groupes d’ullisateurs ov aux ordinateurs srg. ce La sratégie de déploiement ne s‘applique pour Vinstant qu’é PUBLICATION Dans ce cas, l'application est signalée dans le composant Ajout/Suppression de programmes du Panneau de configuration. L'utilisateur doit installer explicitement dans le Panneau de configuration ou en ouvrant un fichier associé 4 l'application. Les applications publiées ne créent pas d'icdnes et ne sont pas auto-réparables, On ne peut publier une application que pour un utilisateur pas pour un ordinateur. Dans Configuration utilisateur, double-cliquez, Paramétres logiciel. Cliquez avec le bouton droit Installation de logiciel puis Nouveau puis Package... Ouvrez le dossier partagé Deploy de votre serveur et cliquez le package ADMINPAK.MSI puis Ouvrir. Cliquez Publié puis OK. Le package apparait dans le volet droit : No verso | tata Blot cacneiraton... 52 PURE Serpe depoyladnipakint CREER DES CATEGORIES DE LOGICIELS Nous avons vu que les applications publiges sont signalées dans Ajout/ Suppression de programmes du Panneau de configuration. On peut y définir des catégories de logiciels afin de mieux les retrouver, Cliquez avec le bouton droit Installation de logiciel puis Propriétés. Cliquez Ponglet Catégories. Cliquez le bouton AjouterDEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Déploiement de logiciels = Tapez un nom, Utilitaires par exemple, puis cliquez OK puis nouveau OK pour quitter. Vous pouver ajouter autant de catégories que vous le désirez en cliquant le bouton Ajouter. Ensuite, le package est associé 4 une ou plusieurs catégories ainsi définies. PROPRIETES D‘UN PACKAGE = Double-cliquez le package windows suppet Tools dans le volet droit pour visualiser ses propriétés. Six onglets sont disponibles : Se ail irk |osnne| Mies sien] Cotgeee| Hasire Sou] ton — = = @£@# @ = Cliquez longlet Catégor eT ce x SE] Meee S| ‘hal Di Me a Scere cago tle cle can tae ar Stoning a res puis Sélectionner > puis Appliquer. Exits ct = Cliquez Uti TEST DE LA PUBLICATION = Fermez toutes les fenétres de stratégies de groupe afin que celles-ci soient enregistrées, = Démarrez un ordinateur client, puis ouvrez. une session en tant qu’utilisateur Deploy. = Cliquez Démarrer Paramétres Panneau de configuration Ajout/ Suppression de programmes. ™ Cliquez licéne Ajouter des nouveaux programmes. Ww112 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Maintenance 2 VES pmmee Bigtiegpstnas tir eines trace — SUR trac awe bese. ote drs ane coors [amare oie in wid 3808) Pars cezonomm, amor Ate, ‘ee (2 Wecone som sepot ese nee Catégories et sélectionnez _Utilitaires. Seul Outils d’administration Windows 2000 est alors visible dans la liste. Maintenance Les mises a jour des applications, les correctifs (services packs) ou des installations personnalisées, peuvent également étre distribuées par des stratégies de groupe; ces modifications s‘appliqueront lorsque Mutilisateur lancera le programme. MISES A JOUR Vous pouvez appliquer des correctifs, remplacer une ancienne version d’un logiciel par une nouvelle (désinstallation puis réinstallation de la nouvelle version) ou encore remplacer un logiciel par un autre. = Copiez vos fichiers de mise A jour au format .MSI dans le dossier de déploiement (Deploy) oii sont stockés vos fichiers initiaux. = Ouvrez Configuration utilisateur Paramétres logiciel Installation de logiciel. = Cliquez avec le bouton droit Installation de logiciel puis Nouveau puis, Package... pour créer un nouveau package contenant la mise a jour. = Accédez au dossier partagé (Deploy) de votre serveur par les favoris réseau et cliquez le package de mise a jour puis Ouvrir. = Cliquez Attribué ou Publié puis OK.DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Maintenance = Cliquez avee le bouton droit le nouveau package puis Propri = Cliquez. 'onglet Mises & niveau puis le bouton Ajouter. ELEN a 5 tate noi 20 FO) at © cbt einige gmc P0) ait Pca rama bre lemon cite paap cene © Laeasap ptm debtor oe tnt = Sélectionnez ancien package & mettre & niveau. Deux options sont possibles : > Désinstaller le package existant...: il s'agit alors d’une Mise & niveau obligatoire. Le programme est désinstallé puis réinstallé, © Le package peut mettre & niveau le package existant : il s’agit alors d°une Mise & niveau optionnelle = Cliquez. Désinstaller le package existant... puis le bouton OK. = Cochez |W !iieaiwesnécessarepou'kspadiaysewiods! dans l'onglet Mises & niveau pour appliquer la mise a jour dés le lancement de I’application. Il faut ensuite redéployer le logiciel pour que les modifications soient appliquées. Tous les utilisateurs concernés seront avertis de la mise a jour. Si le package avait été déployé sur ordinateur : le patch est appliqué automatiquement, si le package a été déployé sur Putilisateur : le patch est appliqué au lancement de l'application, = Cliquez avec le bouton droit le nouveau package puis Toutes les taches puis Redéploiement des applications. 13114 DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Maintenance pa ee Pace es okt Cliquez Oui pour confirmer. Le logiciel est mis a niveau. INSTALLATIONS PERSONNALISEES. Si vous souhaitez déployer des modifications de Tinstallation d’un logiciel pour certaines OU, par exemple pour gérer plusieurs langues dinstallation, vous devez, déployer l’application et sa personnalisation a l'aide d’un fichier -MSI associé & un fichier .MST qui personalise votre installation. Pour fabriquer vos fichiers .MSI_ ou .MST, il faut utiliser Wininstall de la société OnDemand Software (Véritas). La version freeware WinInstall LE 2003, est disponible en téléchargement sur le site OnDemand Software 4 I'adresse suivante : http://www.ondemandsoftware.com/ products. J \0 version freeware Winlnstall LE pour Windows 2000 <2, SWIADMLE.MSI est disponible sur le CD-Rom de Windows 2000 Server dans \VALUEADD\3RDPARTY\MGMT\WINSTLE mais ne peut te uilsée que pour des ordinoteurs Windows 2000. Installez wininstalle.MSI_ sur votre serveur ou un ordinateur client. Le programme d’installation vous propose de partager le répertoire contenant le programme (C:\Program Files\OnDemand\viomchoisit). En effet, le programme g#iWinxeraulie2its permet de créer un fichier .MSI. La technique utilisée est celle des clichés ou « snapshot ». Vous devez. disposer dun client «propre » contenant uniquement le systéme d’exploitation et les patchs éventuels. Vous prenez un « snapshot » de cette configuration en langant 2 wiinsractie203 “depuis le répertoire partagé sur le client « propre ». Ensuite vous installez la nouvelle application sur le client « propre » puis vous prenez un nouveau « snapshot » aprés installation, Le programme 2 Wiiistai E2003 compare les deux snapshots et stocke les différences (fichiers, clés de registres) dans le package. Ouvrez Démarrer Tous les programmes Wiistallie =DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Maintenance gam ‘OnDeiitid tna sat Le programme g/WiistAlUl@200 permet également de visualiser un fichier MSI et de le modifier en ajoutant ou supprimant des composants, changeant la liste des fichiers... Il permet également de créer les fichiers MST. Bp Pour de plus amples détails sur utilisation de cet out, reportez BH, vows ov guide d'utlisotion sur le ste de I'éditeur SEZ ip: //anew-ondemandsofware.com/ Copiez vos fichiers .MSI et .MST dans votre dossier de déploiement Deploy. Créez votre package comme décrit précédemment ou utilisez un package existant. Ouvrez Configuration utilisateur Paramétres logiciel Installation de logi Cliquez. avec le bouton droit votre package puis. Prop juez l'onglet Modif Cliquez le bouton Ajouter puis sélectionnez votre fichier .MST dans la liste Cliquez le bouton Ouvrir puis OK lorsque toutes vos modifications sont choisies. dans lordre de la liste des modifications ; utlsez les boutons re Si on ojouie plusieurs Modifications, elles seront oppliquées Monter et Descendre pour en modifier I'ordre. SUPPRESSION/DESINSTALLATION taller que les logiciels déployés avec les stratégies de ités s’offrent & vous. 15116 ©} Suppression Optionnel DEPLOIEMENT D’APPLICATIONS AVEC LES STRATEGIES DE GROUPE Maintenance ©} Suppression Foreée : l'application est désinstallée, soit a Tallumage de la machine, soit au logon de l'utilisateur. = Double-cliquez le package @$outls dasninstraton... dans le volet droit pour visualiser ses propriétés. = Cliquez onglet Dépleiement. ah fe ont 1 lin anager ae tn rr amon 1 Pre cate phonelavl toivemo e aoe 1 Nepes ane c poche ce eet Hasson fips soPamems econgnon Pee = Cochez Désinstaller cette application... il s‘agit d’une suppression manuelle. Lutilisateur désinstalle application a Vaide d’Ajout/ Suppression de programmes ; elle ne pourra plus étre installée ensuite.CHAPITRE 5 GESTION DES DISQUES Gestion des disques Deux modes d’utilisation des disques s’offrent désormais 4 vous : © les disques de base : ils reprennent la structure classique des systémes de gestion de fichiers antérieurs : 4 partitions maximum dont au maximum 3 principales et une étendue ou 4 principales... ; =} les disques dynamiques: fonctionnalité offerte depuis Windows 2000 permettant de s‘affranchir de cette limite, de monter des volumes dans des répertoires, de gérer la tolérance de pannes logicielle.... CREATION D’UNE PARTITION ETENDUE La partition principale de votre premier disque a été créSe lors de installation. Nous allons voir comment eréer une partition étendue et des lecteurs logiques sur un disque de base, dadmi = Cliquez Démarrer Outi ration Gestion de l'ordinateur. Iuez Stockage puis Gestion des disques. Bosb stone tebe FS crane dete Doses pate 7GESTION DES DISQUES Gestion des disques = Sélectionnez l’espace Non alloué sur le disque 0 et cliquez avec le bouton droit Créer une partion... = Llassistant de création de partitions s'affiche, cliquez Suivant. = Choisissez: Partition étendue puis cliquez. Suivant = Laissez la taille maximale de espace disponible sur votre disque pour la partition étendue puis cliquez Suivant puis Terminer. La partition étendue est eréée et apparait en vert fluorescent. Soisqueo Debore c 37250 9,7 comes Enigne San Gisame) CREATION D'UN LECTEUR LOGIQUE Nous allons eréer un lecteur logique pour accueillir les données, ceci permettra de faciliter les sauvegardes, = Cliquez avec le bouton droit Espace libre dans la partition étendue puis cliquez Créer un lecteur logique... puis Suivant puis a nouveau Suivant. = Entrez la taille désirée pour la partition de données puis cliquez. Suivant. m= Cliquez, Aivisie ible deiseiawauiane!, choisissez par exemple [F_=] comme lettre de lecteur & affecter & ce volume, puis cliquez. Suivant. ohm ema capt ee aie at 118GESTION DES DISQUES Disques dynamiques = Choisissez le type de formatage de cette partition : NTFS. NTFS elle varie de 512 octets & 64 Ko. En loissant Par défaut, la taille sero défnie en fonction de la taille dv volume Si vous désirez des unités d'allocation plus petites, vous pouvez sélectionner 512 octets ov 1 Ko dans la zone Taille d’unité diallocation| ie Lo taille d’unité collocation doit étre la plus petite possible, en = Tapez Données dans la zone Nom de volume, puis Suivant. = Cliquez. Terminer lorsque le résumé des paramétres que vous avez choisis, svaffiche. La nouvelle partition apparait en bleu aprés son formatage. Di isques dynamiques Les «disques dynamiques » permettent de modifier la configuration des disques dynamiquement, c’est-a-dire sans réamorcer le systéme. Attention, leur utilisation empéche ensuite tout accés 4 partir d’un autre systéme exploitation que Windows 200x, mais sur un serveur Windows 2003 cela ne nous génera pas. Al) Gertsins diques ne supporent pas bien lo conversion en dynamique. Efectuez d'abord une sauvegarde de vos disques ft notamment une image de la partion systime qui peut étre rendue inaccessible dans certains cos. CREATION DE DISQUES DYNAMIQUES iquez avec le bouton droit sur icone du disque puis choisissez Convertir en disque dynamique... ‘rrr ea nai Brometts ae les ordinateurs portables ne supportent pas les _disques dynamiques. N’essoyez pos cette fonctionnalité, vous risqueriez de ne plus pouvoir accéder & vos données | 119120 GESTION DES DISQUES Disques dynamiques Sélectionnez le ou les disques 4 transformer et eliquez OK. ELC eh covet ary dane ot oe Une fenétre de confirmation récapitule les choix que vous avez. effectués précédemment. jez Convertir puis Ovi pour confirmer. Eaniene eee ieee eee 2A cece Cae Cliquez & nouveau Oui pour lancer la conversion ; si le disque contient le systéme, un redémarrage sera effectué, le eas échéant cliquez OK. Vous observerez que les dénominations ont changé, il n’y a plus que des volumes. fatissiinlé) (plus de partitions) sur le disque dynamique, l’espace libre de la partition étendue a ét8 convertie en espace libre Non allové : VOLUME SIMPLE Un volume simple réside sur un seul disque physique. Il peut étre constitu d'une partie du disque ou de la totalité, II peut étre eréé sur des partitions FAT ou NTFS et reprend les partitions dun disque de base.GESTION DES DISQUES Disques dynamiques = Sélectionnez l'espace Non allous sur le disque dynamique et cliquez avec le bouton droit Nouveau nem... puis cliquez, Suivant. = Choisissez Simple puis cliquez Suivant. E “NTempeneritcireele diam ahaa ampouceveine TE — eet a ae das pre mimlenMe 05 Stenene: tein | een ee = Dans la zone Sélectionnez l'espace en Mo:, entrez la taille désirée pour le volume des dossiers utilisateurs puis cliquez. Suivant = Cliquez, Abie iaate deleciau savant! choisissez par exemple [EME=] comme lettre de lecteur & affecter & ce volume, puis cliquez. Suivant. = Choisissez le type de formatage de ce volume : NTFS. = Tapez Users dans la zone Nom de volume, puis cliquez Suivant. = Cliquez Terminer lorsque le résumé des paramétres que vous avez choisis s‘affiche ETENDRE UN VOLUME SIMPLE Vous pouvez étendre un volume simple NTFS avee de espace libre du méme disque ou de plusieurs disques (on parle alors de volume fractionné). Il n’oftre aucune tolérance aux pannes car il n’y a aucune redondance des informations. Par ailleurs, si vous souhaitez étendre un volume simple, il doit étre eréé en dynamique et ne pas provenir d’une ancienne partition de votre disque de base, 121122 GESTION DES DISQUES Disques dynamiques Seuls les volimes ne contenant pas les pariions systéme et Lt famorcage peuvent aire étendus. Les volumes FAT ne peuvent are étendus. Cliquez avec le bouton droit le volume Users et sélectionnez étendre volume..., puis cliquez. Suivant. Dans la zone Pour tous les disques :, entrez la taille désirée 1000 puis cliquez Suivant puis Terminer. Le nouveau volume USERS fait 9000 Mo et apparait sous la forme suivante : 7,81 GoNTES San is He), Al) Ure fis avun volume @ sé éendy, il west plus possible cen supprimer une parfie sans en supprimer la totalié. SUPPRIMER UN VOLUME Nous allons supprimer le volume Données que nous avons eréé précédemment. Cliquez avec le bouton droit le volume Données et sélectionnez. Supprimer le volume. A rere etme =e Cliquez Oui pour confirmer la suppression. MONTER UN VOLUME ‘Nous allons maintenant monter dans un dossier du volume H, un volume ott seront stock¢s les profils des utilisateurs.GESTION DES DISQUES Disques dynamiques Sélectionnez espace Non elloué sur le disque dynamique et cliquez avec le bouton droit Nouveau nom... puis cliquez. Suivant. Choisissez Simple puis cliquez. Suivant. Dans la zone Pour le disque sélectionné :, entrez. la taille désirée 1000 puis cliquez Suivant. Cliquez . puis cliquez, Parcourir. Le lecteur H étant sélectionné, cliquez Nouveau dossier. Tapez PROFILS comme nom du dossier, puis [=J. sai anseste cent eme eacers Soriisticae Mace FE are htnar Cliquez OK puis Suivant. Choisissez le type de formatage de ce volume: NTFS et tapez PROFILS comme nom du volume, puis Suivant. Cliquez Terminer lorsque le résumé des paramétres que yous avez choisis s‘affiche Le nouveau volume apparait sur le disque : A Vaide de ’Explorateur Windows, développez le Poste de travail puis le lecteur H, le nouveau volume monté apparait sous la forme : >. 1 faut maintenant définir la taille qui peut étre différente pour chaque disque Cliquez chaque disque séparément dans la partie droite ou sélectionnez les deux. Dans la zone Sélectionnez espace en Mo:, tapez la taille désirée, par exemple: 5000, Cliquez. Suivant lorsque la taille de l'espace est définie pour chaque disque. Les étapes suivantes sont les mémes que pour un volume simple : Cliquez “Atibie'isibtie de Lele Suivanie!, choisissez une lettre de lecteur a affecter 4 ce volume, puis cliquez Suivant. Choisissez le type de formatage du volume : NTFS. Tapez un nom dans la zone Nom de volume, puis Suivant. Cliquez Terminer lorsque le résumé des paramétres que vous avez choisis s‘affiche. Le volume fractionné apparait en couleur violette : [i Walane Waetienié), VOLUMES AGREGES PAR BANDE Un volume agrégé par bande (RAID 0) consiste & répartir les données sur plusieurs disques durs (appelés Grappe ou Array) en les remplissant en paralléle (par bande de 64 Ko), sans attendre que le premier soit plein pour commencer remplir la bande suivante. L’espace disque utilisé doit étre de taille identique sur chaque disque. L’accés aux données en lecture et en Gcriture est plus rapide que sur un seul disque Les étapes pour Ia eréation d’un volume agrégé par bande sont les mémes que pour un volume fraction Cliquez. avec le bouton droit de l’espace libre sur un des disques dynamiques puis cliquez Nouveau nom... puis Suivant. Choisissez Ag por bandes puis cliquez. Suivant. Sélectionnez un ou plusieurs disques avec de l’espace libre et cliquez. Ajouter.GESTION DES DISQUES Tolérance de panne disque mS samainasiectonmacine FS) Seecrent danas eo oat ou ‘ston ‘te come i ato vchnefgsot es 8 nie dane ago nsomlenMe SSE Seesienc tein fea Dans la zone Sélectionnez espace en Mo:, tapez la taille désirée, par exemple : 5000. Cliquez Suivant. Cliquez Altibie siete de ecteu suivante, choisissez une lettre de lecteur a affecter & ce volume, puis cliquez Suivant. Choisissez le type de formatage du volume : NTFS Tapez un nom dans la zone Nom de volume, puis. Suivant. iquez Terminer lorsque le résumé des paramétres que vous avez choisis svaffiche. Le volume agrégé par bande apparait avec une couleur vert foneé : Fl Vola area pa bande peuvent pas résider sur un volume agrégé par bandes ou un te Les partitions d'omorcage et systime de Windows 200x ne volume RAID 5. Tolérance de panne disque Différentes techniques peuvent étre employées pour assurer la protection des données et offtir des systémes & tolérance de panne (SFT ou RAID). 127128 GESTION DES DISQUES Tolérance de panne disque Les solutions RAID (Redundant Arrays of Inexpensive Disk) sont proposées sous forme logicielle ou matérielle. Les solutions matérielles mettent en ceuvre des cartes contréleur spécifiques gérant le RAID en interne (sans utiliser le micro-processeur) mais plus cofiteuses. Windows 200r prend en charge les niveaux de RAID 0, 1 et 5 sur des disques dynamiques, VOLUME EN MIROIR (RAID-1) Un volume en miroir est un volume offfant la tolérance aux pannes en dupliquant vos données sur deux disques physiques. Chaque fois qu'une modification est enregistrée sur un disque, cette modification est également réalisée sur un deuxiéme disque appelé disque miroir du premier. Ainsi, l'un ou Tautre des deux disques en miroir peut tomber en panne, l'information reste toujours accessible. De plus, les performances en lecture sont accrues dans certains cas, car la lecture est réalisée 4 partir des deux disques. Cette technique trés satisfaisamte sur le plan de la sécurité est cofteuse puisqu'elle double l’espace disque nécessaire (seule la moitié de la capacité installée est disponible pour enregistrer les données). Les partitions systéme ou d’amorgage peuvent résider sur un volume en miroir. Les étapes pour la création d’un volume en miroir sont les mémes que pour un volume agrégé par bandes, nous ne les décrirons pas & nouveau. Aprés le formatage, une étape de resynchronisation est nécessaire pour les volumes en miroir, ensuite le volume en miroir apparait avec une couleur rouge fonceé : i) Voki Gee Cliquez avec le bouton droit le volume en miroir, les actions possibles sont les suivantes : ‘superiner le deque me. Annuler le volume en miroir...: permet de séparer les deux membres du miroir en deux volumes identiques mais & nouveau indépendants. Supprimer le disque miroir... le volume en miroir du disque sélectionné est supprimé et toutes les données qu’il contient avec. Cette opération n’est 4 effectuer que si vous avez un membre du miroir manquant ou défaillant.GESTION DES DISQUES Tolérance de panne disque Si vous n’avez. pas eréé votre miroir & Vorigine, il est possible de le faire & partir d’un volume contenant des données et d’un espace libre équivalent sur un autre disque. Cliquez. avec le bouton droit le volume simple puis cliquez Ajouter un disque Sélectionnez. le disque utiliser puis cliquez le bouton Ajouter un disque Une étape de resynchronisation est nécessaire afin de copier les données vers le deuxieme disque. Si Venrée de menu Ajouter un disque miroir opporait \ « arisée, c'est que vous ne disposez pas de suffsamment d'espace disque pour créer le miroir. En cas de défaillance, le disque est marqué Manquant ou Hers connexion ot Déconnecté : cher dela edondence Vérifiez qu’il ne s’agit pas d’une panne matérielle (vérifiez la déteetion par le BIOS). Cliquez avec le bouton droit le volume en erreur puis cliquez Réactiver le volume. Le disque est maintenant signalé (246842, il faut régénérer le miroir. Cliquez avec le bouton droit le disque en erreur puis cliquez Réactiver le disque. En cas de défaillance de la partition systéme ou d'amorgage du premier disque dun miroir, une disquette de démarrage bootant sur le deuxigme disque est nécessaire. Pour créer cette disquette : formater une disquette sous Windows 2003, copier les fichiers NTLDR, Ntdetect.com, Ntbootdd.sys (pour les disques SCSI sans ROM bios) et Boot.ini Modifiez le fichier Boot.ini pour désigner la nouvelle partition systéme sur le deuxiéme disque (modification du numéro du disque dans le chemin ARC). 129130 GESTION DES DISQUES Tolérance de panne disque Cette modification doit étre effectuée dans les 2 sections de Boot.ini : [operating systems] et [boot loader]. VOLUMES RAID-5. Un volume RAID-5 est un volume agrégé par bandes avec des codes de contrdle (données de parité) correspondant aux données disponibles sur les autres disques (trois disques minimum) de fagon 4 pouvoir vérifier et reconstituer le cas échéant les données de ces derniers. Si un disque tombe en panne, son contenu pourra étre recréé partir des données et des parités enregistrées sur les autres disques. La parité occupe U/n de lespace disque oti» est le nombre de disques du volume RAIDS. Les volumes & tolérance de pannes : RAID-1 et RAID-5 ne sont he disponibles que sur les ordinateurs exécvtan! Windows 200% Server. Les étapes pour la création d'un volume RAID-5 sont les mémes que pour un volume agrégé par bande, nous ne les décrirons pas @ nouveau. Aprés le formatage, une étape de régénération est nécessaire pour les volumes en RAID-5, ensuite le volume RAID-5 apparait avec une couleur bleu clair : [7 Volume RAIDS. REPARATION D'UN VOLUME RAID-5 Lorsque l'état d'un volume RAID-5 est Echec de la redondance, cela signific que la tolérance de pannes n’est plus assurée. Pour éviter la perte des donnée vous devez réparer le volume (s) 500 Mo NTFS Echoc dela redondance Si I'état du volume RAID-5 est Echee de la redondance et celui de lun des disques Hors connexion, le nom du disque peut prendre la valeur Manquant 1 faut alors changer le disque défaillant puis réactiver le disque. Si "état du volume RAID-5 est Echee de la redondance et celui du disque Connexion (erreurs), il faut seulement réactiver le disque. L’icéne & indique un disque avec erreurs, 'icéne ® signale un disque Manquant ou Hors connexion.GESTION DES DISQUES Gestion des quotas disques Cliquez. avec le bouton droit le volume en erreur puis cliquez Réactiver le volume. Gestion des quotas disques ‘Nous allons maintenant définir des quotas sur le volume Users afin de limiter la taille des données des utilisateurs. Sous Windows 200x, les quotas sont ‘gérés sur chaque volume ou partition NTFS et ne tiennent pas compte de la compression des fichiers ou des dossiers, ils sont calculés d’aprés la taille réelle non compressée. Les quotas sont calculés par rapport au proprigtaire du fichier (I'utilisateur qui l’a eréé ou copié) Cliquez. Démarrer Tous les Programmes Accessoires Explorateur Windows. Cliquez avec le bouton droit sur le lecteur H puis Propriétés. Cliquez onglet Quote. Bai) otal | vai Pte tet acres | {- Par défaut, les quotas ne sont pas activés. Cochez la case Aetiver la gestion de quota. Cochez la case Refuser de espace disque aux utilisateurs qui dépassent leur limite de quota. Le message suivant s‘affichera alors sur ordinateur de l'utilisateur lorsqu’il dépassera lespace disque défini 131132 GESTION DES DISQUES Gestion des quotas disques © Limite de quota : il faut maintenant définir l'espace disque maximum réservé & chaque utilisateur sur ce volume. a ea aa oo UO ep etrionaca dpe ee a | Dien iernsaveasommta [1 fro] = Dans la zone Limiter espace disque a, sélectionnez par exemple 10 Mo. = Dans la zone Définir le niveau d’avertissement a, sélectionnez par exemple 8 Mo. Ainsi, dés que ce niveau sera atteint, l'utilisateur sera avert, et le cas échéant un événement sera consigné. =} Journalisation de quota: vous pouvez enregistrer les événements correspondant au dépassement des quotas. Par défaut, ils ne le sont pas. “Seach enor dejeranton de qua pout ce vine Frege tenement qin tet excel eta TF Ere tenement ng/ml ere sen rian davteanert Si vous enregistrez les événements, lorsqu’un utilisateur dépassera sa lit de quota, !’événement apparaitra dans le journal systéme. iiss conearoomt bs) Order: SFIS Desegten [ruta s aterm ania cale vane Nous venons de définir des quotas pour tous les utilisateurs du volume, il est également possible de définir des quotas pour des utilisateurs particuliers. = Cliquez le bouton Entrées de quota : par défaut, le groupe des admi un quota illimité sur tous les volumes.GESTION DES DISQUES Gestion des quotas disques = Cliquez E} ou le menu Quota Nouvelle entrée de quota pour définir une Nouvelle entrée de quota. puis Rechercher et sélectionnez un utilisateur nouveau OK. = Cliquez le bouton Avane dans la liste, cliquez OK pu Rca cee ay Co ee bouton droit sur lentrée de quota puis choisissez Propriétés. _B) Pour modifier une entiée de quota existante, cliquez avec le wh = Laissez Ne pas limiter Vespace disque pour cet utilisateur, ainsi il échappera a la régle que nous avons établie précédemment pour l'ensemble dans onglet Quota. = Cliquez. OK. Une nouvelle entrée s’affiche dans la liste : Etat [Nom [Nom douverture de season DOK co, A chaque écriture d’un nouvel ut enirée de quota sera consignée : 133134 GESTION DES DISQUES Clichés instantanés Lorsque le niveau d’avertissement est atteint, le symbole devient AMvertszement lorsque le quota est atteint et qu'on a autorisé son dépassement, fe symbole devient Quinte supérieure . La fenétre Entrées de quota vous permet a la fois de créer de nouveaux quotas, de surveiller les quotas existants et de supprimer des documents pour libérer de espace. Nous allons visualiser les fichiers d’un utilisateur afin 4éventuellement les supprimer. = Cliquez. avec le bouton droit sur une entrée de quota puis choisissez, Supprimer puis Oui. (Ce NH ©) Shcontncenazierarendetunmelacestan teapot Lanes anime [eer DIRT oumsetoes a too] ©} Supprimer : vous permet de supprimer définitivement le fichier sélectionné dans la liste sauf ceux des administrateurs. © Appropriation : vous permet de rendre les administrateurs propriétaires du fichier sélectionné dans la liste afin de pouvoir le déplacer sur un autre volume ou dossier. = Cliquez Fermer pour quitter. hés instantanés La restauration de clichés instantanés (Volume Shadow Copy) est une nouvelle fonctionnalité du stockage de fichiers de Windows Server 2003.GESTION DES DISQUES Clichés instantanés Grace a la création et au stockage de clichés instantanés, elle permet de conserver plusieurs versions d'un méme fichier et ainsi de procurer a Vutilisateur un retour en arriére facile sur un fichier sans recourir a Vintervention de l’administrateur. Elle permet également de sauvegarder les fichiers en cours d'utilisation en utilisant le principe des « snapshots » (clichés). Cela nécessite que les fichiers soient stockés sur un volume NTFS partagé du serveur et que les systémes dexploitation des ordinateurs clients soient Windows XP ou Windows 2000 (SP3 et version ultérieure) dows. = Cliquez. Démarrer Tous les Programmes Accessoires Explorateur = Cliquez avee le bouton droit sur le lecteur H_ puis Propriétés. = Cliquez l'onglet Clichés instantanés. ‘rl Oak | vated Paton Stine birt |u| atx) Leeder: ner rae Se nm atae alent Seenonen air drsbnows Pasir crtonsa sr eget? ‘Soe = Vérifiez que le lecteur H est sélectionné pu = Cliquez. Oui pour confirmer activation des clichés instantanés ] y Vous pouvez égelement gérer les clichés instantanés & cide de AS Vuiltaire de ligne de commande vssadmin, 135GESTION DES DISQUES Clichés instantanés Le bouton Créer permet de créer immédiatement un nouveau snapshot, sans recourir a une tiche planifiée. = Cliquez le bouton Paramétres pour visualiser les paramétres par défaut, Les paramétres par défaut sont dutiliser le volume actuel comme Zone de stockage, de limiter la taille maximale des clichés instantanés & 10% de la taille de la partition et enfin de eréer 2 clichés instantanés par jour. 136GESTION DES DISQUES Clichés instantanés Pour pouvoir accéder aux clichés instantanés & partir d'un client, vous devez installer le elient de clichés instantanés (ShadowCopyClient.msi). Ce logiciel est indispensable sur les systémes d'exploitation Windows XP ou Windows 2000 (SP3 et version ultérieure), nous allons le télécharger sur le site de Microsoft. = Lancez Internet Explorer et tapez. http: //www.microsoft .com/france/. Dans la zone PEeesettert ss taper: ShadowCopyC1 ient.msi. = Cliquez le lien Détails du téléchargement : Client de el EI ‘lent de oiches instantanes : Acoés aux dichés instantanes| ‘Sur Windows Server 2003 = Cliquez le lien Télécharger puis Enregistrer = Sélectionnez emplacement désiré, par exemple Deploy puis cliquez, Enregistrer. = Démarrez un ordinateur client, et installez le logiciel. = Double-cliquez le fichier ShadewCopyClient.msi puis Suivent. = Cliquez le lien Jaccepte les termes du contrat de licence puis Suivant puis, Terminer. = Dans les Favoris réseau, ouvrez le répertoire partagé: Users. 137138 GESTION DES DISQUES Clichés instantanés = Créez un nouveau fichier texte, et renommez-le test. = Ouvrez le fichier test et tapez.le texte Premiére Version puis enregistrez- le fichier. Nous allons prendre un snapshot de ce fichier sur le serveur, m= Sur le serveur, au besoin ouvrez les Prope du volume Users. = Dans onglet Clichés instantanés, sélectionnez le volume Users et cliquez le bouton Créer pour créer un nouveau snapshot. = Sur ordinateur client, ouvrez nouveau le fichier test et tapez Deuxiéme Version puis enregistrez-le. ‘Nous allons prendre un deuxiéme snapshot de ce fichier sur le serveur. = Sur le serveur, ouvrez les Propriétés du volume Users, dans l'onglet Clie instantanés, sélectionne7.le volume Users et cliquez le bouton Créer. = Sur ordinateur client, cliquez avec le bouton droit le fichier test pui Propriétés. = Cliquez longlet Versions préeédentes. Les différentes versions s’affichent : ioe Stem] Rlane Yano pers | “Gp Passe ment in, chara mn ‘ean tue ce eee cate a he “ver die ee ©} Vous pouvez visualiser chaque version & l'aide du bouton Afficher. ©} Le bouton Copier vous permet de copier le fichier 4 un autre emplacement. ©} Le bouton Restaurer permet de remplacer la version courante par l'ancienne version sélectionnée,CHAPITRE 6 SERVICES TERMINAL SERVER Présentation des services Terminal Server Les services Terminal Server offrent un acces multi-utilisateur 4 un serveur applications sous Windows 2003. Les ordinateurs clients auront acces & interface de Windows 2003 et aux applications installées sur le serveur. En mode Serveur d’application, ’exécution, le traitement et le stockage des données et des programmes se fait sur le serveur. Vous pouvez déployer et gérer des applications & partir d’un emplacement central, et réduire ainsi les interventions de maintenance et de mise a niveau. Une fois qu’une application est déployée dans les services Terminal Server, les clients peuvent l’exécuter par le réseau local, Internet ou une connexion d’aceés distant. Les services Terminal Server ont deux principaux types d’application * Permettre a des ordinateurs anciens et peu puissants un accés aux applications 32 bits d’un serveur 2003 avec le bureau de Windows 2003, * Réduire le coat de possession en centralisant les applications sur le serveur: mise a jour et maintenance facilitées (prise de contrdle a distance), configuration homogéne pour les utilisateurs (bureau de Windows 2003). CONFIGURATION REQUISE POUR LE SERVEUR D’APPLICATION La puissance du serveur est un facteur déterminant pour assurer Ie bon fonctionnement de la solution Terminal Server. Un processeur performant est nécessaire, voire plusieurs processeurs dont chacun sera dédié a une application. La mémoire du serveur est également trés importante, on part avee une configuration de 512 Mo minimum a laquelle on rajoutera une certaine quantité de mémoire (8 4 32 Mo) pour chaque client. 139140 SERVICES TERMINAL SERVER Présentation des services Terminal Server En effet, chaque session Terminal Server requiert 8 4 32 Mo de mémoire, selon le type d’activité du client : © Le client n’exécutera qu’une application de type gestion, au cours de sa session, par exemple, le logiciel comptable (8 Mo peuvent sutfire). ‘* Le client exécutera plusieurs applications : c*est le cas de la majorité des utilisations (secrétariat, technique...) ; les besoins en mémoire vive sont alors plus importants (16 Mo minimum). © Le client doit exécuter des applications multimédias. Ce cas de figure nécessite un réseau rapide (100 Mb/s) et de la mémoire vive importante (24 Mo minimum), Ninstallez pos votre serveur dapplication sur un coniréleur de Lt domaine. Cela ralentira énormément vos performances INSTALLATION DES SERVICES TERMINAL SERVER On peut installer les services Terminal Server sur un serveur Windows 2003 pendant I’installation de Windows Server 2003 ou aprés son installation, Il est important que le serveur ne comporte aucune application installée avant Vinstallation des services Terminal Server afin de permettre l’exécution des applications en mode multi-utilisateurs. Insérez le CD-Rom de Windows Server 2003 dans le lecteur. Cliquez Démorrer Parametres Panneau de configuration Ajout/Suppression de programmes. Cliquez Vicéne Ajouter/Supprimer des composants Windows. Qo esta SS att ane seen] grees |iSERVICES TERMINAL SERVER Présentation des services Terminal Server Sélectionnez Gestion de licences Terminal Server et Terminal Server puis Suivant. Cliquez Ovi puis Suivant pour poursuivre installation, aprés le message @avertissement concernant le niveau de sécurité d’Intenet Explorer. Cliquez. Suivant pour poursuivre installation. Sélectionnez Sécurité Totale afin d’avoir environnement le plus sir pour votre serveur Terminal Server. Si toutefois, vous aviez des problémes avec certaines applications, vous pourrez assouplir la configuration si celle-ci est trop restrictive. Sélectionnez Votre domaine ou groupe de travail et laissez l’emplacement par défaut puis cliquez. Suivant pour valider la gestion des licences. Cliquez Terminer puis Oui pour redémarrer votre ordinateur. Remarquez qu’au redémarrage l’aide en ligne s’ouvre sur la. Configuration de Terminal Server. COMPOSANTS DES SERVICES TERMINAL SERVER Durant installation, plusieurs éléments sont ajoutés au menu Outils ‘administration : (GB aueseS ase : Vous permet de vous connecter 4 distance 4 un ou plusieurs serveurs afin de les administrer, il s’agit du mode Administration & distance des services Terminal Server accessible uniquement aux administrateurs. GR ERNE THREE: gére la configuration du protocole et des paramétres de serveur des services Terminal Server. ‘Bien eancee ternal see! - gere Les licences d’accés clients pour les TSE. Les services Terminal Server ne fonctionneront plus aprés 120 Go) eS cee tigen pow bs sere Terminal Server ne soni pas installées avec Gestion de -ences Terminal Server. iteurs, les sessions, aP Gerrie es Sees Tel SeA! : gre et analyse les utili et les processus sur les serveurs exécutant les services TSE. 141142 SERVICES TERMINAL SERVER Présentation des services Terminal Server PARAMETRAGE DU SERVEUR DE LICENCES TERMINAL SERVER Si vous ne voulez pas ou si vous ne pouvez. pas vous enregistrer tout de suite, passez au paragraphe suivant. Vous pourrez néanmoins utiliser les services TSE durant 120 jours. Cliquez Démarrer Outils d’administration Gestion de li Server. snces Terminal Bows tame Cliquez avec le bouton droit votre serveur puis Activer le serveur. On vous informe que le serveur ne fournit des licences Terminal Server que pendant 120 jours. Cliquez Suivant puis Connexion automatique puis Suivant Lordinateur recherche le serveur Microsoft d’activation du service. Sélectionnez le pays puis. Suivant. Entrez I"identité de votre serveur de licences puis Terminer. E eireesenriornn) INSTALLATION DES APPLICATIONS. Pour que plusieurs utilisateurs puissent utiliser une méme application, les fichiers de application doivent étre installés dans un emplacement central sur le serveur et non dans le répertoire de base des utilisateurs. Les applications seront réinstallées pour fonctionner en environnement multi-utilisateur ; pour des raisons de sécurité, on les installera sur une partition spécifique du serveur au format NTFS.SERVICES TERMINAL SERVER Configuration des services Terminal Server est recommandé que ces applications soient ajoutées ou retirées par le biais de la fonction Ajout/Suppression de programmes du Panneau de , afin que soient automatiquement gérées les spécifications stallation des services Terminal Server. Seul l’administrateur a les droits pour installer des applications sur un serveur d’applications Terminal Server. Consultez le site de Microsoft ou de l’éditeur du logiciel pour installation anciennes applications en mode multi-utilisateurs. Une liste des applications compatibles et de patches éventuels est disponible. Con! guration des services Terminal Server CONFIGURATION DES UTILISATEURS Les utilisateurs qui disposent de comptes d’utilisateur sur le serveur exécutant les services Terminal Server ou sur le domaine sont autorisés par défaut & ouvrir une session sur un serveur Terminal Server. = Cliquez, Démarrer Outils d’admi stration & Utcateus et ordinateur Active Directory = Développez @Peuromeda local puis (Zi Sige EUROMEDIA France = Double-cliquez.un utilisateur de votre domaine pour afficher ses Propri aia Girl Adee Cane] P| Tetere| nwo Mee S| Aree Emsrranet Ser | Comte ren | Plea TomeaSena | COM = Cliquez ’onglet Environnement. NNER lee ees eee 143144 SERVICES TERMINAL SERVER Configuration des services Terminal Server Par défaut, les lecteurs et imprimantes de ordinateur client sont accessibles et conneetés. Vous pouvez définir un programme qui se lance au démarrage de la session TSE. Cliquez Vonglet Sessions. Sele ere ai tee ein Ht caine mememnansevtariemasene Indrememdicreie; HEE =] on ese = 3 liter: Fen a Lease ned ene re oui coven agit Deereeon enim 5 Digan © Cage derewaiett Vous pouvez ici définir les modalités de fin de session en forgant la (Sia Xe ee ESE contigs atin deserves Torna eres a | CaParmarer deserve Le protocole RDP de Microsoft est le protocole utilisé en standard pour les connexions avec Terminal Server. II permet a l'utilisateur de retrouver Finterface de Windows Server 2003. Ce protocole est basé essentiellement sur le standard international de téléconférence multi-canaux T.120 optimisé pour des environnements professionnels & large bande. Une seule connexion RDP peut étre configurée par carte réseau. Le serveur peut héberger simultanément un grand nombre de sessions clientes ouvertes depuis n’importe quel poste client (Windows, terminaux windows). La version actuelle de RDP (5.2) a été nettement améliorée par rapport aux versions précédentes disponibles sous Windows 2000 et NT. Notamment au niveau de la quantité d'informations nécessaires pour communiquer entre le serveur et le client ce qui permet une économie de bande passante grace & une meilleure compression des données. La sécurité a été augmentée également avec notamment le support du cryptage avec une clé de 128 bits. La redirection d’imprimante est également gérée. DESACTIVER LE MAPPAGE DES LECTEURS Cliquez avec le bouton droit RDP-TCP dans Connexions puis Propri Cliquez Vonglet Paramétres du client. 147SERVICES TERMINAL SERVER Configuration des services Terminal Server ioe! | Paaninedaonuedesscn | Seom | Eviomenet ‘Gomendsiee” Pastas” | Caenes | Adele iiraievesnesoriae ee Leave rente sia ccs fm a] FF mepon celeinrs Mago ooo F Mage ce namie inte Maer bBeoeie msg poet seo Vous pouvez ici désactiver le Mappage de lecteurs, des imprimantes.... du client, ce qui vous permet par exemple d’interdire acces a tous les lecteurs du poste client. Il est également possible dutiliser les GPO Services Terminal Server pour les désactiver. ADMINISTRATION DE TERMINAL SERVER = Cliquez “€P cestonmae des serves Tena Saver ee RataL 148SERVICES TERMINAL SERVER Etablissement d’une session Terminal Server L’outil Gestionnaire des services Terminal Server permet de gérer le réseau entier depuis Terminal Serveur. Il est possible de voir combien dordinateurs sont connectés sur le serveur. Avec la possibilité d'avoir une fiche détaillée de la configuration des clients et des processus utilisés par ceux-ci. Il offre également la possibilité d'envoyer des messages sur les clients, de mettre fin a des sessions.. Etablissement d’une session Terminal Server Les ordinateurs clients fonetionnant sous Windows XP sont dotés du logiciel client des services Terminal Server. Pour les autres versions de Windows 32 bits, on peut installer les services Terminal Server sur ordinateur client en utilisant un dossier partagé contenant les fichiers sources d’installation du ient des services Terminal Server. Le poste client doit utiliser le méme plan dadressage que le serveur et faire partie du méme domaine que le serveur. INSTALLATION DU POSTE CLIENT Si vos clients n’utilisent pas Windows XP, il vous faudra installer le client des services Terminal Server. Les fichiers source du client des services Terminal Server sont stockés dans le dossier %systemroo!% \ System32\\Clients\ Tsclient\ 32 du serveur Terminal Server. Le dossier Tselient contient les fichiers installation. Pour permettre aux utilisateurs d’accéder au client des services Terminal Server par lintermédiaire du réseau et de installer sur leur ordinateur, il faut partager les dossiers pour les plates-formes appropriées. = Partagez pour tous. —es_—_utilisateurs. Je. ——_dossier ‘Sb systemroot% \ System32\Clients\Tscliont\win32 du serveur oi! Terminal ver est installé sous le nom Tselient. = Ouvrez une session administrateur sur le client. = Dans les favoris réseau, ouvrez le partage Tselient et cliquez Setup.exe pour lancer l’installation. = Cliquez Suivant. = Cliquez. J’accepte les termes du contrat de licence puis Suivant. = Définissez un nom d’utilisateur et d’organisation puis cliquez Toute personne utilisant cet ordinateur puis Suivant. 149SERVICES TERMINAL SERVER Etablissement d’une session Terminal Server = Cliquez Installer puis Terminer. Le programme ®& Cornesicntueausditerce a ét6 rajouté dans le menu. Démarrer Programmes de votre ordinateur client. CONNEXION A TERMINAL SERVER = Cliquez Démarrer Tous les programmes Accessoires Communications & comer Bue sdatence = Cliquez le bouton Options >>. BBR] Erber rome rate cs cher nets ‘ela dodo Plusieurs onglets sont a votre disposition : &} Général : il faut entrer le nom du serveur Terminal Server ou son adresse IP, Je nom de l'utilisateur, son mot de passe et son domaine. ©} Affichage : cette option permet de sélectionner une résolution d’écran. Ce paramétre ne dépend pas de la résolution d’écran du serveur, mais bien souvent du débit entre le poste client et le serveur. Puisque plus la définition est grande, plus le débit nécessaire est important. ©} Ressources locales : on peut accéder simplement aux ressources locales (les imprimantes, les lecteurs) de ordinateur client en cochant les cases désirées. 150SERVICES TERMINAL SERVER Etablissement d’une session Terminal Server C’est une des grandes innovations des TSE de Windows Server 2003, par rapport 4 Windows 2000 Server. = Au besoin, cliquez Lecteurs de disque vous permet d’accéder A vos disques durs ou a vos lecteurs amovibles (4 l’exception du lecteur de disquettes). ©} Programmes : on peut démarrer un programme lors de la connexion, ©} Avaneé : cette option permet d’indiquer votre vitesse de connexion pour optimiser les performances. = Cliquez. nouveau le bouton Options >>, sélectionnez un serveur Terminal Server dans la liste Ordinateur, puis cliquer Connecter. = Entrez le login et le mot de passe d’un utilisateur autorisé a utiliser les services TSE puis OK. L’utilisateur est connecté et ouvre une session sur le serveur Terminal Server. 151152 SERVICES TERMINAL SERVER Etablissement d’une session Terminal Server = Cliquez. Démarrer Explorateur Windows et développez le Poste de Travail. + Les lecteurs locaux de lordinateur client apparaissent comme des lecteurs réseaux, on peut également y accéder par Favoris Réseaux Tout le réseau Services Terminal Server Microsoft, on les retrouve sous le nom. \\tselient\C. Pensez & metire en place une stratégie de groupe pour masquer les lecteurs du serveur et & définir des permissions NTFS restreintes car les leceurs du serveur sont visibles por les uilisateurs TSE ! FIN D'UNE SESSION TERMINAL SERVER Les services Terminal Server fournissent deux possibilités pour mettre fin & une session Terminal Server. ©} Déconnexion d’une session : l'utilisateur peut se déconnecter dune session, celle-ci continuera a fonctionner sur le serveur. L’utilisateur peut alors se reconnecter au serveur et reprendre la session en cours. C’est ce qu'il se produit lorsqu’on clique sur la croix de la barre de menu jaune en haut de V’écran. ©} Fermeture d’une session : la fermeture d’une session met fin & son exécution sur le serveur. Les applications exécutées au cours de la session sont fermées et les données non enregistrées sont perdues. C'est ce qu'il se produit lorsqu’on clique sur Démarrer Fermer la session. II est essentiel pour les utilisateurs de fermer la session afin de rendre les ressources du serveur disponibles pour de nouvelles sessions. J) Vodministroteur peut fermer des sessions restées owvertes & AD, \oide de loutl Gestionnaie des services Terminal Server.INDEX DES MOTS-CLES A Adive Diedtory 19 Annusire 19) Arborescence 20 ‘Changer de mode de domaine 33, 34 Créer une unité dlorgarisation 26 Déragmentation 54 Domaine 20 Fordt 21 Installation 13, 14 Installation dun second contrdleur de domaine 34, 35 ‘Maintenance’ 52 Mode mixte 33 Mode nati 33 ‘Made Restauration Active Directory 54, 55 Madiles d'organisation 22 ‘Mat de passe de restauration 16, 54 NIDSUTIL 53 ‘Objets de annvaive 25 Relations d'approbation 21 Renommer un sile 44 Replication 44 Restauration 55 Restauration Forcée 57 Sauvegarde 52 Sites 19, 37 Structure logique et physique 19 Unité dorganisation 21 Assistant Délégation de contrdle 30 G Catalogue global 38 Déinicle serveur de catalogue global 39 Clichésinstantanés 134 Contréleur de domaine 14, 37 Catalogue global 38 Réles 37 D Délégotion de 'edmiristration 30 Déploiement d'applicatons 107 ‘Atibution 109 Cotégories 110 Ciéation d'un package 108 Cebation d’unutiisateur 105 bation de lo stratégie de groupe 106 Désinstallation 115 Fichier .MSI 102 Instlloions personnalisées 11.4 Maintenance 112 Mises a jour 112 Proprigtée d'un package 111 Publication 110 Test 109, 111 Disques de bose 117 Disques dynomiques 117, 119 DNS Configuration 16 Installation 35 Zones de recherche directes 17, 37 “Zones de recherche inversée 18 Etat du aystime. Restauration 55 Souvegarde 52 G Gestion des dieques 117 ‘Ajouter des dieques 124 Cichésinstantondés 134 Ceéation d'une partion étendve 117 Création de disques dynomiques. 119 Quotas 131 Suppression de disques dynomiques 124 Group Policy Management Console 100 J Jeu de strotégie résultant 97 M Maire d'opération 40 Emuloteur CPD 42 Maire d‘atibution de noms de domaine 42 Maire dinfrastructure 43 Maire de schéma 40 Maire RID 42 Modales de sécurité 85 153154 INDEX DES MOTS-CLES P Package 108 Postion Formatage NTFS.119 Lecteur logique 118. Porttion étendue 117 Q Quotas disques. 131 ‘Adiver 131 Entrées de quota 132 Journalsation 132 Limite 132 Supprimer des fichiers 134 Redirection de dossiers 69 Réplcation d'Adive Directory 44 \Vérficateur de cohérence 45 Réseau 13 Poramatres TCP/IP 13 Propridtés de Connexion au réseau local 13, 34 Restauration ‘Annucire 55 Etat du systeme 55 Registre 55 Restriction logicielle 90 RSOP 97 s Sewvegorde ‘Annvaire 52 thot du syste 52 Rogishe 52 Stes Active Dredory 47 ‘Création d'un Lien iner-ste 50 Création d'un ste 47, Création d'un soueréseau 49 Srotigies de groupe 59 ‘Apiar uno foson 81 ‘Applique’ un modale de séurté 88, 89 ‘Aveun remplocament 83 ‘Atorisations 77 Bloquer Mhétoge de srotégies 83 Bureau 67 Conseils protiques 96 Ceber 60, 82 Dépannage 96, 97 Déploiement ‘applications 107 Désoctver 83 Désactver les paramates ordinoteur 77 Diagnostic 97 Distribution de logiciel 107 PMc 100 Hértage 83 Imervalle d'actuaisation 65, 69 Jeu de stratégie résukont 97 Lioisons 79 Menu Démarrer et Borre des tiches 66 Mise en ceuvre 76 Modéles d’edministration 61 Modification de "hértage 83 Mader 60 Ne pas poster ove 83 Options 83 Ordinatour 62 Ordre dapplication 83 Ordre de traitement 78 Panneau de configuration 67 Paramétres 60 Poromitres de sécurité 84 Redirection de dossiers 69 Restriction logicelle 90 Scripts 74 Supprimer 80 Supprimer Io ioison 80 Supprimer les profs en cache 63 Systéme 68 Type 76 Stratégies de sécurité 84 ‘Audit 91 Groupes Resteins 85 Journal des événements 85 Ouils d'adminisration 84 Registre 85 Réseau sans fl 85 Restriction logicelle 85 Services Systime 85 Stratégies de clé publique 85 Stratigies de sécurts P85 Stratégie locales. 85 Systome de fichiers 85INDEX DES MOTS-CLES T Terminal Server 139 Configuration requise 139 Configuration uiisateur 143 Connexion 150 Dossier de base 144 Etablssement d'une session 149 Installation 140 Installation du poste client 149 Présentation 139 Serveur de licences 142 Tolérance de panne disque 127 RAID 1 128 RAID 5 130 v Volume Etend:e un volume 121 Formatage 121, 123, Monter 122 Volume en miroir 128 Volime fractionné 125 Ceber 125 Volume Shadow Copy 134 Volume simple 120 Ceéer 120 Supprimer 122 Volumes agrégés por bande 126 Volimes RAID-5 130 Réporation 130 Ww Windows Installer 101 155