CHAPITRE 02 ADMINISTRATION RESEAUX

1. Introduction

Windows Server est une plateforme permettant de créer une infrastructure

d'applications, de réseaux et de services web connectés, du groupe de travail au
centre de données. Elle relie les environnements locaux à Azure, ajoutant des
couches de sécurité supplémentaires tout en contribuant à moderniser vos
applications et votre infrastructure.

L'architecture client/serveur permet une interaction fluide entre des ordinateurs

connectés en réseau. Pour vous aider à mieux appréhender cette base d'interactivité
informatique, nous allons couvrir le sujet de sa définition à son fonctionnement
pratique.

La stratégie de groupe centralise les paramètres de configuration et de gestion des

systèmes d’exploitation, ainsi que les paramètres d’ordinateur et d’utilisateur dans
un environnement informatique Microsoft. La stratégie de groupe repose sur un
double concept : Une stratégie de groupe locale pour les postes de travail
individuels, et une stratégie de groupe pour Active Directory.

2. Définition de l’architecture client/serveur

L'architecture client/serveur est un modèle informatique fondamental qui régit

l'interaction entre différents dispositifs informatiques connectés en réseau, tels que
des ordinateurs, des serveurs et des périphériques. Elle implique deux acteurs
principaux :

Le client

Le client, actif ou esclave, initie les communications en envoyant une requête vers
le serveur. Ce sont les postes d'où proviennent les demandes. Ils peuvent être
individuels ou multiples et sont actifs dans le processus, initiant les
communications en envoyant des requêtes vers le serveur. Il attend ensuite la
réception des réponses pour continuer sa tâche. Un client a accès à un portail central
qui centralise les différentes ressources ou services fournis par le serveur.

16
 CHAPITRE 02 ADMINISTRATION RESEAUX

Le serveur

il répond aux demandes des clients en fournissant la ressource demandée ou en

exécutant les actions spécifiées. Le serveur, considéré comme passif ou maître, se
tient prêt à réagir aux sollicitations des clients. Il traite les demandes reçues et
renvoie les informations nécessaires. Ce dernier peut avoir différentes spécialités,
avec la capacité de gérer les demandes de plusieurs clients en même temps, assurant
ainsi une utilisation efficace des ressources réseau : il peut gérer des applications,
modifier des données, stocker des fichiers, piloter des terminaux ou traiter des
courriels.

Dans cette architecture client/serveur, une machine comme un ordinateur

physique peut être à la fois client et serveur. Le fait qu’il envoie ou reçoive les
requêtes de services et de ressources détermine son rôle dans le réseau.

Fonctionnement de l’architecture client/serveur

Dans une architecture client/serveur standard, il y a trois éléments principaux :

1. Le front-end : c'est la partie du logiciel qui interagit avec les utilisateurs

sur différentes plateformes. Il comprend les écrans de connexion, les menus
et les rapports.

2. Le serveur d'application : il héberge les modules logiciels de l'application

et gère les requêtes des utilisateurs.

3. Le serveur de base de données : il stocke les données de l'application et

gère les opérations de recherche et de mise à jour.

Dans l'architecture client/serveur, un code et une requête jouent un rôle crucial

dans la communication entre le client et le serveur. Un code, écrit dans des langages
spécifiques, permet de définir le format des données échangées et les actions à
entreprendre en réponse à des requêtes. Par exemple, PHP, Python ou [Link] côté
serveur génèrent dynamiquement le contenu d’une page web, tandis que HTML,
CSS et JavaScript côté client gèrent l'affichage et l'interaction utilisateur.
Une requête regroupe des messages envoyés par le client au serveur pour
demander des actions spécifiques ou récupérer des données, suivant des protocoles

17
 CHAPITRE 02 ADMINISTRATION RESEAUX

de communication standardisés tels que HTTP pour le web. Ainsi, les codes créent
une interaction dynamique entre le client et le serveur, tandis que les requêtes
initient cette interaction en demandant des ressources ou des actions spécifiques
au serveur.

Traduction et clarification des architectures de réseau

La clarification des termes utilisés pour décrire les architectures de réseau est
essentielle pour une compréhension précise des concepts informatiques.

Les expressions "trois tiers" et "multi-tiers" résultent souvent d'une traduction

imprécise des termes anglais "three-tier" et "multi-tier" ou "n-tier".

L'architecture client/serveur se distingue par la présence de deux catégories

d'ordinateurs reliés en réseau : les clients et les serveurs. Cette configuration est
souvent désignée par l'expression "two-tier" dans la langue anglaise. Cependant,
les architectures dites multi-tiers vont au-delà de cette simplification en
décomposant le rôle du serveur en plusieurs entités distinctes. Par exemple, un
serveur d'application peut agir comme client vis-à-vis d'un autre serveur,
notamment un serveur de base de données. Cette décomposition en plusieurs
niveaux permet une gestion plus complexe et spécialisée des services, offrant ainsi
une flexibilité et une scalabilité accrues dans les environnements informatiques
modernes.

Applications et exemples de l’architecture client/serveur

Dans le contexte plus large d'Internet, l'architecture client/serveur est

omniprésente, alimentant une multitude de services et d'applications en ligne, des
sites web aux systèmes ERP (Enterprise Resource Planning). Le fonctionnement de
l'architecture client/serveur se manifeste à travers différents scénarios
d'utilisation informatique, chacun nécessitant des logiciels serveur spécifiques :

• Page web : lorsqu'un utilisateur consulte une page web, il entre en

interaction avec cette structure, agissant en tant que client via son ordinateur
et un navigateur. De l'autre côté, le serveur héberge les applications qui

18
 CHAPITRE 02 ADMINISTRATION RESEAUX

fournissent la page web demandées, orchestrant la communication par le

biais du protocole HTTP.

• Courriels : les échanges d'e-mails sont facilités par des serveurs de

messagerie tels que Microsoft Exchange, Postfix ou Sendmail, qui utilisent
des protocoles comme SMTP, POP ou IMAP pour permettre l'échange d'e-
mails entre les utilisateurs.

• Bases de données centralisées : elles facilitent la gestion des informations

en permettant l'accès et la modification par plusieurs postes clients. Des
serveurs de bases de données comme MySQL, PostgreSQL ou Microsoft
SQL Server sont déployés.

• Système X Window : utilisant cette architecture, il peut fonctionner sur des

machines distinctes au sein d'un réseau. Les logiciels serveur associés, tels
que [Link] Server, permettent la gestion des interfaces graphiques et la
communication avec les clients légers ou les machines distantes.

• Clients légers : dans le cas des clients légers, où des ordinateurs aux
ressources limitées dépendent d'un serveur puissant pour l'exécution des
applications, des logiciels serveur spécialisés comme LTSP (Linux
Terminal Server Project) ou la technologie NX sont utilisés pour fournir les
ressources nécessaires aux clients.

Avantages de l’architecture client/serveur

Le modèle client/serveur est largement adopté dans les réseaux, principalement

en raison de ses nombreux avantages.

[Link] centralisée

L'un des principaux atouts de l’architecture client/serveur réside dans

son administration centralisée : le serveur constitue le pivot du réseau, accessible
à tous les utilisateurs ou clients. Les ressources cruciales, telles que les bases de
données, sont centralisées sur le serveur, simplifiant ainsi leur gestion et leur
maintenance. Cette centralisation facilite également les mises à jour, avec peu de
risques associés.

19
 CHAPITRE 02 ADMINISTRATION RESEAUX

[Link]ôle précis des autorisations

Dans le modèle client/serveur, la centralisation des ressources clés permet un

contrôle précis des autorisations d'accès, renforçant ainsi la sécurité. Il est essentiel
de savoir qui peut accéder aux données sensibles et effectuer des manipulations
spécifiques. Limiter au maximum les droits d'accès est crucial pour garanti r la
protection des données.

c.Évolutivité et partage des ressources

Le modèle client/serveur permet à un seul serveur de répondre aux demandes de

nombreux clients, favorisant ainsi l'évolutivité. Les clients partagent les ressources
du serveur, ce qui permet une utilisation efficace des ressources. De plus, le serveur
peut être situé à distance des clients, selon la configuration du réseau, évitant ainsi
le besoin de ressources locales.

Inconvénients de l’architecture client/serveur

Bien que le modèle client/serveur offre de nombreux avantages, il comporte

également quelques inconvénients.

[Link] de serveur

La centralisation du modèle client/serveur expose à un risque majeur : une panne

du serveur entraîne une interruption générale du système. En cas d'indisponibilité
du serveur, les clients ne peuvent plus fonctionner normalement car ils dépendent
des réponses du serveur.

[Link] en ressources

Les tâches exécutées par le serveur nécessitent souvent des ressources importantes,
tandis que les clients ont des exigences moins élevées. Une insuffisance de
ressources du serveur peut avoir un impact sur l'ensemble des clients, soulignant
l'importance de choisir un fournisseur fiable garantissant des ressources adéquates.

[Link] en temps

20
 CHAPITRE 02 ADMINISTRATION RESEAUX

La gestion d'un serveur demande du temps et des compétences spécifiques,

notamment pour la sécurisation et la configuration. Cela peut représenter une
charge importante en termes de ressources temporelles.

Alternative au modèle client/serveur

En revanche, les réseaux peer-to-peer ou pair-à-pair (P2P) présentent une

efficacité différente. Dans un réseau de type peer-to-peer ou pair-à-pair, chaque
nœud du réseau peut agir à la fois en tant que client et en tant que serveur. Ce type
de modèle permet un partage direct de ressources entre les pairs sans passer par
un serveur centralisé. Ils gagnent en efficacité avec l'arrivée de nouveaux
participants et peuvent maintenir la continuité du service même en cas d'abandon
ou de déconnexion de plusieurs utilisateurs.

3. Réseau de base Windows Server

Un réseau de base est un ensemble de matériels, périphériques et logiciels réseau

qui fournissent les services centraux répondant aux besoins en technologies de
l’information de votre organisation.

Un réseau de base Windows Server présente de nombreux avantages, notamment :

Des protocoles centraux pour la connectivité réseau entre les ordinateurs et d’autres
périphériques compatibles avec le protocole TCP/IP (Transmission Control
Protocol/Internet Protocol). TCP/IP est une suite de protocoles standard utilisée
pour la connexion d’ordinateurs et la création de réseaux. TCP/IP est un logiciel de
protocole réseau fourni avec les systèmes d’exploitation Microsoft® Windows®
qui implémente et prend en charge la suite de protocoles TCP/IP.

a. Adressage IP automatique par un serveur DHCP (Dynamic Host

Configuration Protocol). La configuration manuelle d’adresses IP sur tous
les ordinateurs de votre réseau prend du temps et est moins souple que
l’attribution dynamique de baux d’adresses IP aux ordinateurs et autres
périphériques par un serveur DHCP.

b. Un service de résolution de noms (DNS, Domain Name System). Le service

DNS permet aux utilisateurs, aux ordinateurs, aux applications et aux

21
 CHAPITRE 02 ADMINISTRATION RESEAUX

services de trouver les adresses IP des ordinateurs et périphériques du réseau

d’après le nom de domaine complet (FQDN, Fully Qualified Domain Name)
de l’ordinateur ou du périphérique.

c. Une forêt, qui est constituée d’un ou de plusieurs domaines Active Directory
partageant les mêmes définitions de classes et d’attributs (schéma), les
mêmes informations de site et de réplication (configuration) et des
fonctionnalités de recherche à l’échelle de la forêt (catalogue global).

d. Un domaine racine de forêt, qui est le premier domaine de forêt créé dans
une nouvelle forêt. Les groupes Administrateurs de l’entreprise et
Administrateurs du schéma, qui sont des groupes d’administration
s’appliquant à l’ensemble de la forêt, sont situés dans le domaine racine de
la forêt. Par ailleurs, un domaine racine de forêt, comme les autres
domaines, est une collection d’objets de type ordinateur, utilisateur et
groupe qui sont définis par l’administrateur dans les services de domaine
Active Directory (AD DS). Ces objets partagent une base de données
d’annuaire commune et des stratégies de sécurité. Ils peuvent également
partager des relations de sécurité avec d’autres domaines si vous ajoutez des
domaines à mesure que votre organisation se développe. Le service
d’annuaire stocke également des données d’annuaire et permet aux
ordinateurs, applications et utilisateurs autorisés d’accéder aux données.

e. Une base de données de comptes d’utilisateurs et d’ordinateurs. Le service

d’annuaire offre une base de données de comptes d’utilisateurs centralisée
qui vous permet de créer des comptes d’utilisateurs et d’ordinateurs pour
les personnes et les ordinateurs qui sont autorisés à se connecter à votre
réseau et à accéder aux ressources réseau, comme les applications, les bases
de données, les fichiers et dossiers partagés, ainsi que les imprimantes.

Un réseau de base vous permet également de faire évoluer votre réseau à mesure
que votre organisation se développe et que vos besoins en technologies de
l’information évoluent. Par exemple, avec un réseau de base, vous pouvez ajouter
des domaines, des sous-réseaux IP, des services d’accès à distance, des services

22
 CHAPITRE 02 ADMINISTRATION RESEAUX

sans fil et d’autres fonctionnalités, ainsi que les rôles serveur fournis par Windows
Server 2016.

4. Guide du réseau de base pour Windows Server

Le Guide du réseau de base Windows Server 2016 fournit des instructions sur la
façon de planifier et déployer les composants centraux requis pour créer un réseau
pleinement fonctionnel et un nouveau domaine Active Directory® dans une
nouvelle forêt. Ce guide vous explique comment déployer des ordinateurs
configurés avec les composants Windows Server suivants :

Rôle serveur des services de domaine Active Directory (AD DS)

Rôle serveur DNS (Domain Name System)

Rôle serveur DHCP (Dynamic Host Configuration Protocol)

Service de rôle NPS (Network Policy Server) du rôle serveur Services de stratégie
et d’accès réseau

Rôle serveur Serveur Web (IIS)

Connexions TCP/IP (Transmission Control Protocol/Internet Protocol) version 4

sur les ordinateurs individuels

5. les principales missions de l'Administrateur Réseau

L’Administrateur Réseau assure la bonne circulation de l’information dans l’entreprise

en veillant à la qualité, la compatibilité et la performance des équipements et du réseau
de la structure. Ses fonctions vont de la résolution d’anomalies à la gestion des accès
utilisateurs, en passant par le réglage des paramètres et la sécurisation du réseau.

L’Administrateur Réseau travaille avec les équipes Ingénieurs et Techniciens pour

définir les plans de rénovation ou d’extension de l’infrastructure informatique et des
systèmes de télécommunications et suivent les nouvelles avancées technologiques.

Les missions de l’Administrateur Réseau sont variées :

23
 CHAPITRE 02 ADMINISTRATION RESEAUX

• Optimisation du réseau avec la refonte de certains matériels ou logiciels du

système ;

• Réception et installation du matériel informatique et téléphonique ;

• Tests de compatibilité du nouveau matériel avec les installations existantes ;

• Paramétrage et sécurisation du réseau pour la protection des données

confidentielles de l’entreprise ;

• Analyse de la performance du réseau et résolution de problèmes potentiels ;

• Intégration de nouvelles applications et extension du réseau ;

• Gestion des différents comptes et droits d’accès pour les utilisateurs internes ;

• Suivi du budget d’exploitation des réseaux ;

• Réponse aux besoins des utilisateurs.

Avec le développement des sites de e-commerce et des outils de travail collaboratifs,

les Administrateurs Réseaux voient leurs missions et projets se diversifier.

6. Les structures font appel à un Administrateur Systèmes et

Réseaux

Rattaché au service informatique d'une PME, d'une grande entreprise ou d'une

administration, l'Administrateur Réseau travaille en collaboration avec les Techniciens
et les Ingénieurs systèmes et ré[Link] peut également travailler chez des prestataires
de services spécialisés en : installation, télécommunications ou encore en ingénierie
informatique.

7. Les compétences pour un Administrateur Réseau

Les principales compétences pour devenir Administrateur Réseau sont : une parfaite
connaissance des infrastructures et supports, notamment sur l’informatique des
réseaux (câblage, routage, cyber sécurité, droits d’accès), des systèmes
d’exploitation (Windows, Mac OS, iOS) et des protocoles de communication qui

24
 CHAPITRE 02 ADMINISTRATION RESEAUX

garantissent la circulation des informations entre les équipements du réseau de

l’entreprise. Il maîtrise les normes, sait analyser et faire face à tout type de réseaux,
même les plus complexes. Autonome, rigoureux, réactif et résistant au stress, il tient
compte des risques et résout les problèmes et pannes avec rapidité.

Souvent sollicité sur différents sujets, l’Administrateur Réseau reste organisé et

possède de bonnes compétences en matière de gestion de projet. Il possède de
bonnes qualités relationnelles pour échanger avec les ingénieurs et techniciens, les
utilisateurs internes et les prestataires externes. Il réalise régulièrement une veille
technologique pour rester à la pointe des nouveautés et apporter les meilleures solutions
possibles à l’infrastructure de son entreprise.

8. Les serveurs de fichiers en quelques mots

Un serveur de fichiers en entreprise est un référentiel de stockage central ou un

espace de travail qui permet aux employés sur des appareils connectés (tels que
Windows PC, macOS ou même des appareils mobiles) d'accéder aux fichiers et aux
dossiers et de configurer un flux de travail pour collaborer quotidiennement sur le
travail lié à l'entreprise. Le terme «serveur de fichiers» est généralement
interchangeable avec la gestion de documents, le référentiel de fichiers, le partage
de fichiers ou la collaboration entre fichiers et dossiers.

Accéder à un serveur de fichiers

L'accès à un serveur de fichiers est généralement protégé par un service d'identité

pour l'authentification utilisateur et protégé par une structure d'autorisation pour
voir (liste), lire ou écrire (contrôle total) des fichiers et dossiers individuels
spécifiques.
Techniquement parlant, un serveur de fichiers fait référence à une instance de
serveur central dans un réseau informatique générique. Cependant, le réseau
informatique dans le contexte ci-dessus se réfère généralement à un réseau local
(LAN) à la place d'un réseau à zone large (le cloud).

Qu'est-ce qu'un serveur de fichiers

25
 CHAPITRE 02 ADMINISTRATION RESEAUX

En tant que composant logiciel, un serveur de fichiers fait partie d'un système
d'exploitation tel que le système d'exploitation Windows. Un serveur de fichiers
permet à une machine cliente connectée d'étendre son système de fichiers local (tels
que ceux d'un lecteur C ou D) pour inclure un système de fichiers réseau. Certes,
l'accès aux fichiers sur un réseau n'est pas aussi rapide que la lecture ou l'écriture
de fichiers à partir d'un lecteur C local. Néanmoins, l'effet de mise en réseau permet
immédiatement aux agents clients connectés et autorisés pour les opérations de
base telles que la liste des fichiers et des dossiers, la lecture et l'écriture de fichiers,
et surtout, le verrouillage des fichiers afin de faciliter la collaboration de groupe.
Les avantages d'un serveur de fichiers en tant que plateforme de collaboration à
l'échelle de l'entreprise sont énormes.

Les administrateurs du serveur doivent définir qui sont les utilisateurs, le jeu de
fichiers et de dossiers auxquels les utilisateurs peuvent accéder et les autorisations
d'accès. Les administrateurs du serveur doivent également définir des stratégies de
rétention des versions et des fichiers et prendre en charge la continuité de l'activité,
comme la sauvegarde des serveurs de fichiers.

9. Serveur de fichiers Windows

La plupart des entreprises se standardisent aujourd'hui sur la plate-forme Windows

au travail. Le serveur de fichiers Windows remonte à Windows NT 3.1 dans les
années 1990 et a progressé vers Windows Server 2019 d'aujourd'hui. De
nombreuses technologies sous-jacentes ont changé, et Microsoft a ajouté de
nombreuses fonctionnalités à la gamme de produits du serveur de fichier Windows.
Cependant, un thème central reste le même : en théorie, le serveur de fichiers
Windows appartient toujours au réseau local du siège social de l'entreprise. Il
favorise toujours les employés qui ont des périphériques connectés sur le même
réseau local pour un accès facile. Les employés distants s'appuient sur un VPN (un
réseau privé virtuel) pour étendre le réseau d'entreprise à des emplacements
domestiques et distants pour un accès distant.

26
 CHAPITRE 02 ADMINISTRATION RESEAUX

[Link] et accès à distance

L'histoire du VPN a commencé en 1996. Il s'agit d'une technologie client -serveur

typique. Tout d'abord, l'entreprise doit déployer un serveur VPN. Deuxièmement,
les utilisateurs finaux sur les appareils connectés à Internet doivent installer un
agent client VPN. Avec l'aide d'un serveur VPN et les périphériques clients
configurés en conséquence, les utilisateurs peuvent accéder au serveur de fichiers
à distance, ce qui permet d'accéder aux fichiers et de les enregistrer sur le serveur
de fichiers même lorsque les utilisateurs sont en déplacement. Cependant, le VPN
devient pénible pour les utilisateurs d'entreprise. Surtout parce que la technologie
VPN est une technologie qui étend un réseau privé aux périphériques connectés.
Cela oblige les utilisateurs finaux à comprendre la topologie et la technologie du
réseau, et bien souvent, l'équipe de support d'entreprise traite des tickets liés au
VPN générés par des travailleurs distants.

11. Stratégie de groupe locale

Sans Active Directory, une seule stratégie de groupe est disponible : la stratégie de
groupe locale, qui n’affecte que le poste de travail sur lequel elle se trouve. La
stratégie de groupe locale vous impose de gérer les postes de travail de manière
décentralisée, en accédant à chaque machine individuellement. La stratégie de
groupe locale est donc à privilégier lorsque Active Directory n’est pas disponible,
par exemple lorsque certaines machines ne sont pas connectées à un domaine
Windows.

Le plus rapide, pour éditer la stratégie de groupe locale sur une machine, est de
cliquer sur le bouton « Démarrer » et d’exécuter la commande [Link] pour
lancer l’Éditeur de stratégie de l’ordinateur local. La stratégie de groupe locale
prend en charge plusieurs GPO locaux, ce qui vous permet de déterminer quels
utilisateurs bénéficient de quelles options au niveau local ; vous pouvez par
exemple attribuer aux utilisateurs ordinaires un ensemble de paramètres et aux
administrateurs un autre ensemble, ou vous pouvez donner à un utilisateur
spécifique une combinaison particulière de paramètres.

27
 CHAPITRE 02 ADMINISTRATION RESEAUX

La stratégie de groupe locale est stockée dans le répertoire

%windir%\system32\grouppolicy
(généralement,C:\windows\system32\grouppolicy).

Chaque stratégie que vous créez est assortie de son propre dossier, nommé suivant
l’ID de sécurité (SID) de l’objet utilisateur correspondant.

a) Stratégie de groupe dans Active Directory

L’autre stratégie est l’administration centralisée Stratégie de groupe, qui ne

fonctionne que si Active Directory est activé. On peut considérer qu’un réseau
Active Directory est constitué de quatre niveaux distincts liés à la stratégie du
groupe :

• L’ordinateur local

• Le site

• Le domaine

• L’unité d’organisation (OU)

Dans Active Directory, chaque serveur et chaque poste de travail doivent être
membres d’un (et d’un seul) domaine et être situés dans un (et un seul) site. Sous
Windows NT, des domaines supplémentaires étaient souvent créés pour répartir les
responsabilités administratives (comme une architecture de forêt ESAE) ou pour
limiter les échanges superflus entre les contrôleurs de domaine. Avec Active
Directory, la responsabilité administrative peut être déléguée par le biais des OU,
et le problème des échanges superflus sur la bande passante des domaines a été
maîtrisé grâce à l’ajout des sites Active Directory, qui sont des concentrations de
sous-réseaux IP à connectivité rapide. Il n’est plus nécessaire de corréler les
domaines avec la bande passante du réseau, les sites sont là pour ça !

b) Gérer la stratégie de groupe

Les administrateurs peuvent gérer la stratégie de groupe à l’aide de la console de

gestion des stratégies de groupe (GPMC). La GPMC n’était pas intégrée à
Microsoft Windows 2000, Windows Server 2003 ni Windows XP, il fallait la

28
 CHAPITRE 02 ADMINISTRATION RESEAUX

télécharger séparément. Mais elle a été intégrée à tous les systèmes d’exploitation
Windows Server depuis Windows Server 2008, de sorte qu’aucune démarche
supplémentaire n’est nécessaire pour y accéder aujourd’hui.

La GPMC a été créée pour offrir aux administrateurs un guichet unique pour toutes
les fonctions de gestion de la stratégie de groupe et une vue d’ensemble centrée sur
la stratégie de groupe. La GPMC excelle à aligner l’interface utilisateur de la
stratégie de groupe avec ce qui se passe dans les coulisses. Elle se compose d’un
composant logiciel enfichable MMC et d’un ensemble d’interfaces programmables
permettant de gérer la stratégie de groupe. L’interface de rédaction de scripts de la
GPMC permet d’effectuer à peu près n’importe quelle opération relative aux GPO.
L’ancienne GPMC, qui fonctionne sur les serveurs XP et 2003, permet de rédiger
des scripts à l’aide de VBScript. La nouvelle peut utiliser VBScript ou PowerShell.

c) Objets de stratégie de groupe (GPO)

Un objet de stratégie de groupe (GPO) est un ensemble de paramètres de stratégie

de groupe qui définissent à quoi va ressembler un système et comment il va se
comporter pour un groupe défini d’utilisateurs. Chaque GPO contient deux parties,
ou nœuds : une configuration utilisateur et une configuration ordinateur.

Le premier niveau sous les nœuds Utilisateur et Ordinateur contient les paramètres
logiciels, les paramètres Windows et les modèles d’administration. En explorant
les modèles administratifs du nœud Ordinateur, on découvre les composants
Windows, le système, le réseau et les imprimantes. De la même façon, en explorant
les modèles administratifs du nœud Utilisateur, nous retrouvons certains dossiers
similaires et d’autres, tels que les dossiers partagés, le bureau, le menu Démarrer
et la barre des tâches.

Le nœud Ordinateur contient des paramètres de stratégie qui ne concernent que les
ordinateurs. Autrement dit, si un GPO contenant des paramètres Ordinateur
« trouve » un ordinateur, ces paramètres entrent en vigueur. Ces paramètres
Ordinateur peuvent être des scripts de démarrage, des scripts d’arrêt, et des
paramètres qui contrôlent la configuration du pare-feu local. Chaque paramètre se
rapporte à l’ordinateur lui-même, indépendamment de qui est connecté à ce
moment-là.

29
 CHAPITRE 02 ADMINISTRATION RESEAUX

Le nœud Utilisateur contient des paramètres de stratégie qui ne concernent que les
utilisateurs. À nouveau, si un GPO contenant des paramètres Utilisateur « trouve »
un utilisateur, ces paramètres entrent en vigueur. Les paramètres Utilisateur ne sont
pertinents que pour l’utilisateur individuel actuellement connecté. Ils concernent
par exemple les scripts de connexion, de déconnexion et la disponibilité du Panneau
de configuration. Ces paramètres suivent l’utilisateur sur chaque machine qu’il
utilise.

d) Créer et associer les GPO

La création d’une stratégie de groupe au niveau local affecte tous ceux qui utilisent
cette machine. Cependant, en utilisant Active Directory, vous disposez d’un
nombre presque illimité d’objets de stratégie de groupe, avec la possibilité de
choisir quels utilisateurs et quels ordinateurs seront assortis de quels paramètres.
En réalité, vous ne pouvez appliquer que 999 GPO à un utilisateur ou un ordinateur
avant que le système n’en refuse d’autres.

Lors de la création d’un GPO, deux choses se produisent : De nouvelles entrées

sont créées dans Active Directory, et de nouveaux fichiers sont automatiquement
créés dans les contrôleurs de domaine. Ces éléments constituent collectivement un
GPO.

Lorsqu’un GPO est créé, il devient simplement disponible, prêt à être utilisé dans
le domaine où il a été créé. Pour appliquer les paramètres d’un GPO, il faut associer
ce GPO à un ou plusieurs sites, domaines ou OU :

• Si un GPO est lié au niveau site, ses paramètres affectent tous les comptes
d’utilisateur et d’ordinateur de ce site spécifique, quel que soit le domaine
ou l’OU auquel appartiennent les comptes. Cette démarche se base sur le
sous-réseau IP dont l’ordinateur de l’utilisateur fait partie et qui est
configuré à l’aide des sites et services Active Directory.

• Si un GPO est lié au niveau domaine, il affecte tous les utilisateurs et tous
les ordinateurs du domaine, dans toutes les OU qui se situent à un niveau
inférieur.

30
 CHAPITRE 02 ADMINISTRATION RESEAUX

• Si un GPO est lié au niveau OU, il affecte tous les utilisateurs et ordinateurs
de cette OU et toutes les OU en dessous (qui sont appelées OU enfants ou
sous-OU).

Quand vous dites au système : « Je veux qu’un nouveau GPO affecte cette OU »,
Le système crée automatiquement le GPO à l’emplacement désiré, puis associe ce
GPO au niveau auquel vous voulez qu’il applique ses paramètres, OU dans notre
exemple. Cette association est appelée « liaison ». Dans Active Directory, plusieurs
niveaux peuvent être liés à un GPO spécifique. Tout niveau d’Active Directory peut
donc faire appel à plusieurs GPO en attente dans le domaine, prêts à être utilisés.
Gardez à l’esprit qu’un GPO n’a aucun effet s’il n’est pas spécifiquement lié à un
site, un domaine ou une OU.

Dans la mesure où les paramètres sont hérités des niveaux supérieurs vers les
niveaux inférieurs, on peut se demander ce qui se passe si deux paramètres de
stratégie entrent en conflit. Il se peut qu’une stratégie de niveau domaine spécifie
un paramètre mais qu’une autre stratégie de niveau OU spécifie le contraire. Le
résultat est simple : Les paramètres de stratégie les plus en aval sont prioritaires.
Dans notre exemple, le paramètre de niveau OU l’emporte sur le paramètre de
niveau domaine. Cela peut sembler contre-intuitif, mais n’oubliez pas que la règle
d’or de la stratégie de groupe est « le dernier qui écrit gagne ». Lisez les bonnes
pratiques de stratégie de groupe pour en savoir plus sur la façon d’organiser votre
stratégie de groupe pour un maximum de clarté et d’efficacité.

Si vous souhaitez lier un GPO à plusieurs domaines, vous devez effectuer l’une des
opérations suivantes :

• Créer exactement le même GPO dans chaque domaine à l’aide de la GPMC.

• Créer le GPO dans un domaine et le copier dans les autres domaines en

utilisant soit la GPMC, soit un outil tiers.

• Utiliser la liaison de stratégie inter-domaines. Il est toutefois généralement

admis qu’il s’agit d’une mauvaise pratique.

31
 CHAPITRE 02 ADMINISTRATION RESEAUX

e) Préférences de la stratégie de groupe

Les préférences de stratégie de groupe sont relativement anciennes, mais beaucoup

d’administrateurs ne les utilisent toujours pas dans leur infrastructure ; certains ne
savent même pas qu’elles existent. Elles constituent une extension ou un nœud qui
étend la portée et les capacités de la stratégie de groupe. Il ne s’agit pas de
stratégies, mais de paramètres avancés définis par les administrateurs. Les
préférences de stratégie de groupe doivent cependant être parfaitement comprises
et utilisées avec prudence afin de ne pas se tirer accidentellement une balle dans le
pied.

Elles se trouvent dans la version actualisée de la GPMC. Vous devez au choix

utiliser Windows Server 2008 ou une version plus récente ou installer les outils
RSAT sur un système Windows antérieur, puis naviguer vers Configuration de
l’ordinateur -> Préférences. Le nouveau nœud Préférences comporte 21 nouvelles
catégories. Ce nœud est divisé en paramètres Windows et en paramètres du Panneau
de configuration, comme détaillé ci-dessous.

Paramètres Windows

Les paramètres Windows affectent directement Windows. Les extensions suivantes

sont disponibles :

• Environnement – Pour définir des variables d’environnement spécifiques

basées sur certaines conditions et de les appeler ultérieurement. Vous
pouvez notamment :

o Définir les variables d’environnement des utilisateurs et du système.

Vous pouvez, par exemple, définir la variable HRFILES à la valeur
C:\Documents\HRFILES, et utiliser cette variable dans les
préférences de stratégie de groupe pour lire ou copier des fichiers
RH sans avoir à saisir un chemin d’accès complet à chaque fois.

o Mettre à jour la variable système PATH.

• Fichiers – Pour copier des fichiers du point A au point B. Le point A peut

être un chemin d’accès UNC ou la machine locale. Le scénario le plus

32
 CHAPITRE 02 ADMINISTRATION RESEAUX

courant consiste à copier un fichier depuis un partage d’un serveur vers le

dossier « Mes documents » d’un utilisateur, le bureau ou le lecteur C:\.

• Dossiers – Pour créer de nouveaux dossiers et supprimer des dossiers

existants ou effacer leur contenu. Par exemple, vous pouvez supprimer
chaque jour le contenu du dossier %HRFILES%.

• Registre – Pour envoyer certains paramètres du registre à vos machines

clientes. Cette extension est très efficace et peut s’avérer un peu difficile à
utiliser. Vous pouvez envoyer des paramètres de registre normalement
conçus pour les utilisateurs aux conteneurs HKLM et HKCU. Et vous
pouvez envoyer au conteneur HKLM des paramètres de registre
normalement conçus pour les ordinateurs.

• Partages réseau – Pour créer de nouveaux partages sur des postes de travail
ou des serveurs, ou pour supprimer des partages existants.

• Raccourcis – Pour créer des raccourcis vers des programmes et des URL
sur les bureaux, dans le dossier Démarrage, dans les dossiers Programmes
et à bien d’autres endroits.

f) Paramètres du Panneau de configuration

Voici les extensions du nœud Panneau de configuration :

• Sources de données – Pour définir des connexions avec les sources de

données ODBC via la stratégie de groupe.

• Appareils – Pour désactiver un seul appareil ou une seule classe

d’appareils.

• Options de dossier – Pour associer une extension de fichier à une classe

particulière.

• Utilisateurs et groupes locaux – Pour ajouter ou supprimer des utilisateurs

dans des groupes, modifier les mots de passe des utilisateurs, verrouiller des
comptes et définir l’expiration des mots de passe.

33
 CHAPITRE 02 ADMINISTRATION RESEAUX

• Options réseau – Pour configurer les types de connexion suivants :

o Connexions VPN (réseau privé virtuel)

o Connexions d’accès réseau à distance (DUN)

• Options d’alimentation – Pour gérer les paramètres d’alimentation. Vous

pouvez définir des paramètres tels que le temps d’arrêt du disque dur ou le
délai avant que l’écran passe en mode veille.

• Imprimantes – Pour gérer les imprimantes partagées.

• Tâches planifiées – Pour définir des tâches planifiées.

• Services – Pour gérer presque tous les aspects des services d’un ordinateur
client. Ceci est particulièrement utile si la cible est un serveur, qu’un de vos
services fonctionne sur plusieurs machines mais que vous n’avez pas eu le
temps de modifier le compte du service.

• Paramètres Internet – Pour spécifier les paramètres d’Internet Explorer.

• Options régionales – Pour modifier les paramètres locaux en fonction de

l’utilisateur.

• Menu Démarrer – Un moyen très facile de modifier le menu Démarrer.

[Link]

Dans ce chapitre nous présentons un vue global sur l’administration réseau et

Windows serveur dans la partie suivant nous passons vers la partie pratique

34