Administration Windows Server 2003 [PDF]

Zitiervorschau

Module: Administration Windows Server 2003

Enseignant: A. BenKhalifa

A.U: 2014/2015 Ecole: ESTI

1

Plan  Introduction à l’environnement Windows Server 2003

 Etapes d’installation de Windows Server 2003  Présentation du service d’annuaire (Active Directory)

 Configuration du service DNS  Gestion des comptes d’utilisateur et d’ordinateur  Gestion d’ordinateur  Base de registre  Gestion d’accès aux ressources  Stratégie de sécurité (locale/groupe)

2

Définitions  Windows Server 2003 est un système d’exploitation orienté serveur développé par Microsoft.  Un serveur informatique est un dispositif informatique matériel ou logiciel qui offre des services, à différents clients. Les services les plus courants sont :  Le partage de fichiers  L'accès aux informations du World Wide Web  Le courrier électronique  Le partage d'imprimantes  Le stockage en base de données Les serveurs sont utilisés par les entreprises, les institutions et les opérateurs de télécommunication. Ils sont courants dans les centres de traitement de données et le réseau Internet  Présenté le 24 avril 2003 comme le successeur de Windows Server 2000, Windows Server 2003 est considéré par Microsoft comme étant la pierre angulaire de la ligne de produits serveurs professionnels Windows Server System. Une version évoluée intitulée Windows Server 2003 R2 a été finalisée le 6 décembre 2005. Son successeur, Windows Server 2008 est sorti le 4 février 2008. 3

Evolutions de la famille Windows

Grand Public

Professionnel

Serveurs

Embarqué

1999

2000

2002/2003

La famille Windows Server 2003 R2

Windows Server 2003

Windows Server 2003 R2 5

Gamme Windows Server 2003 Windows 2000

Windows Server 2003

32 et 64 bits

Serveur d’applications critiques qui nécessitent les plus hauts niveau de performances et de disponibilité (bases de données, progiciels de gestion intégrée, traitement en temps réel de transactions en gros volume et consolidation de serveurs ) Serveur d’infrastructure d’entreprise et d’ applications (DC, mise en cluster, services Web)

32 et 64 bits

Pour les organisations moyennes et grandes Destiné aux petites entreprises et aux départements en tant que contrôleurs de domaine et serveurs membres Serveur tout en un

Pour les PME de moins de 50 postes Spécifique pour le développement et le déploiement des services et applications Web. 6

Configurations minimales requises

Web Edition Standard Edition

Enterprise Edition

Datacenter Edition

Processeurs >133 MHz

>133 MHz

>133 MHz >400 MHz >733 MHz type >733 MHz type Itanium Itanium

Max 2 processeurs

Max 4 processeurs

Max 8 processeurs

Max 64 Processeurs

Mémoire vive

Min 128Mo Rec 256Mo Max 2Go

Min 128Mo Rec 256Mo Max 4Go

Min 128Mo Rec 256Mo Max 32Go X86 Max 64Go Itanium

Min 512Mo Rec 1Go Max 32Go X86 Max 512Go Itanium

Disque dur

1,5 Go

1,5 Go

1,5 Go 2 Go Itanium

1,5 Go 2 Go Itanium

Support 64 bits

Non

Non

Oui

Oui 7

Rôles des serveurs

Contrôleur de domaine

Serveur DNS

Serveur de fichiers

Serveur d'impression

Serveur d'applications

Serveur Terminal Server . 8

Rôles des serveurs

• Un serveur peut jouer différents rôles – Contrôleur de Domaine (Domain Controller ou DC) dans un domaine avec Active Directory) – Serveur Membre (dans un domaine mais sans AD) – Serveur Autonome (hors domaine, en groupe de travail – workgroup et donc sans AD) – Serveur de fichiers – Serveur d’impression – Serveur DNS (Domain Name System) – Serveur d’applications – Serveur Terminal Server… .

9

Administration Windows Server 2003

Gérer la récupération d'urgence

Implémenter SUS

Gérer IIS 6.0 Gérer les services Terminal Server

Gérer les utilisateurs, les ordinateurs et les groupes Gérer la stratégie de groupe

Administration des systèmes dans Windows Server 2003

Gérer les ressources et la sécurité

Configurer et gérer le système DNS Gérer les serveurs distants 10

Liste des tâches à vérifier avant l'installation Sélectionnez le système d'exploitation Windows 2003 à installer Vérifiez que tous vos éléments matériels figurent sur la liste HCL Vérifiez que vos ordinateurs répondent à la configuration système minimale requise Vérifiez que Windows 2003 est installé sur un disque dur de 4 Go au minimum Sélectionnez le système de fichiers pour la partition sur laquelle vous allez installer Windows 2003 Sélectionnez le mode de licence pour Windows 20003 Server Déterminez le nom du domaine ou du groupe de travail Vérifiez qu'un compte d'ordinateur existe dans le domaine auquel vous adhérez ou que vous êtes habilité à en créer un pendant l'installation Définissez un mot de passe pour le compte Administrateur de l'ordinateur local 11

Installation de Windows 2003 Server à partir d'un CD-ROM

Exécution du programme d'installation Exécution de l'Assistant Installation Installation des composants réseau

Configuration du serveur

12

Exécution du programme d’Installation

Pour exécuter le programme d'installation Démarrez l'ordinateur à partir du CD-ROM Sélectionnez l'option permettant d'installer une nouvelle copie de Windows 2003 Lisez et acceptez le contrat de licence Sélectionnez la partition sur laquelle vous souhaitez installer Windows 2003 Sélectionnez un système de fichiers 13

Exécution de l'Assistant Installation

Pour exécuter l'Assistant Installation Modifiez les paramètres régionaux (si nécessaire)

Entrez votre nom et celui de votre société Choisissez un mode de licence Entrez le nom de l'ordinateur et le mot de passe du compte Administrateur local Sélectionnez les composants facultatifs de Windows 2003 Sélectionnez les paramètres de date, heure et fuseau horaire 14

Installation des composants réseau

Pour installer des composants réseau Cliquez sur Par défaut ou Personnalisé Entrez un nom de groupe de travail ou de domaine Entrez le mot de passe du compte Administrateur de l'ordinateur local pour ouvrir une session

15

Installation: captures d'écran

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

Description des outils d'administration

 Outils d'administration couramment utilisés :  Gestion de l'ordinateur  Bureaux à distance  DNS  Utilisateurs et ordinateurs Active Directory  Domaines et approbations Active Directory  Sites et services Active Directory  Les outils d’administration permettent la gestion des serveurs à distance.  Ils peuvent être installés sur n’importe quelle machine sous Windows 2003 par l’intermédiaire de adminpak.msi qui se trouve dans le dossier i386 du CD ROM d’installation du système.

Installation des outils d'administration …\i386\Adminpak.msi

.

Installation des outils d'administration

Description de MMC Windows 2003 (toutes versions) intègre un modèle d'outils d'administration nommé MMC (Microsoft Management Console) qui donne la possibilité aux administrateurs de créer eux-mêmes leur propre console d'administration. Il suffit pour cela d'intégrer les composants logiciels enfichables (snap-in) couramment utilisés.

Composants logiciels enfichables

On peut en rajouter ou en enlever

.

Procédure de création d'une console MMC personnalisée

Afin de pouvoir créer une MMC personnalisée, il vous suffit de suivre la procédure suivante : Allez dans le menu Démarrer / Exécuter. Tapez MMC, puis Entrer. Dans le menu console, sélectionnez Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter et sélectionnez le composant que vous souhaitez ajouter à votre console

.

Active Directory Windows 2003 Server

51

ADS: Notions de base  Active Directory (AD) est un service d'annuaire LDAP (Lightweight Directory Access Protocol):  permet une gestion centralisée des objets  offre la possibilité d’administrer (ajouter, retirer et de localiser) les ressources facilement d’un point unique.  permet de gérer le stockage des millions d’objets grâce à son moteur de base de données (fichier NTDS.DIT) de type ESE (Extensible Storage Engine).  utilise DNS pour nommer et localiser des ressources

 La structure d’Active Directory est hiérarchique, elle se décompose comme suit :  Objet : représente une ressource du réseau qui peut-être par exemple un ordinateur ou un compte utilisateur ou un groupe ou une imprimante.  Unité organisationnelle (OU) : un objet conteneur utilisé pour organiser les objets au sein du domaine. Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que d’autres unités d’organisation. Les unités d’organisation permettent d’organiser de façon logique les objets de l’annuaire (ex : représentation physique des objets ou représentation logique). Les unités d’organisation permettent aussi de faciliter la délégation de pouvoir selon l’organisation des objets. 52

ADS: Notions de base

 La structure d’Active Directory est hiérarchique, elle se décompose comme suit :  Domaine: Dans Active Directory, un domaine est l’ensemble d'objets ordinateur, utilisateur et groupe défini par l'administrateur. Ces objets partagent une base de données d'annuaire, des stratégies de sécurité et des relations de sécurité communes avec d'autres domaines. Un domaine est sécurisé, c’est à dire que l’accès aux objets est limité par des ACL (Access Control List). Les ACL contiennent les permissions, associées aux objets, qui déterminent quels utilisateurs ou quels types d’utilisateurs peuvent y accéder. Toutes les stratégies de sécurité et les configurations ne se transmettent pas d’un domaine à l’autre  Arbre: c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs domaines Windows 2003 qui partagent des espaces de noms contigus (par exemple:administration.supinfo.com, comptabilité.supinfo.com, et training.supinfo.com). Tous les domaines d’un même arbre partagent le même schéma commun et partagent un catalogue commun.

53

ADS: Notions de base  La structure d’Active Directory est hiérarchique, elle se décompose comme suit :  Foret: c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs arbres qui ont des noms disjoints (par exemple : laboratoire-microsoft.org et supinfo.com). Tous les arbres d’une forêt partagent le même schéma commun et le même catalogue, mais ont des structures de noms différentes.  La forêt représente un ensemble de domaine liés entre eux par des relations d’approbation bidirectionnelles et transitives  Elle est caractérisée par la présence d’un domaine dit Racine équivalent au premier domaine installé dans la forêt.  Les domaines d’une forêt fonctionnent indépendamment les uns des autres, mais les forêts permettent la communication d’un domaine à l’autre.

 Sites: combinaison d’une ou plusieurs IP de sous-réseaux connectés par des liens à hauts débits. Ils ne font pas partie d’un espace de nommage d’Active Directory, et ils contiennent seulement les ordinateurs, les objets et les connexions nécessaires pour configurer la réplication entre sites. Ils permettent d’intégrer la topologie physique du 54 réseau dans Active Directory

ADS: Notions de base  Contrôleur principal de domaine (CPD): dans une forêt Active Directory, un contrôleur de domaine est un serveur contenant une copie inscriptible de la base de données Active Directory et contrôlant l'accès aux ressources réseau.  Contrôleur secondaire de domaine supplémentaire (CSD): Il s’agit d’un contrôleur de domaine qui reçoit une copie en lecture seule de la base de données de l'annuaire pour le domaine. Cette dernière contient toutes les informations sur les comptes et les stratégies de sécurité du domaine. En cas de non disponibilité du CPD, un CSD (le premier qui répond) est promu CPD, Quand l’ancien CPD est a nouveau disponible, il est automatiquement rétrogradé en CSD  Relation d’approbation: On peut établir des relations entre les domaines : on parle de relation d’approbations. Si un domaine A approuve un domaine B, les utilisateurs du domaine B sont autorisés à se loguer sur les stations du domaine A . On dit que le domaine A est autorisé à approuver et que le domaine B est approuvé. Une telle relation peut être réciproque 55

Terminologie Active Directory Forêt

a.univ-lyon1.fr

1.a.univ-lyon1.fr

2.a.univ-lyon1.fr

z.1.a.univ-lyon1.fr

y.1.a.univ-lyon1.fr

arbre domaine

Conteneur ou Unité Organisationnelle : Contient des objets (utilisateurs, ordinateurs ou groupe d’utilisateurs) du domaine pour lesquels on peut appliquer des règles spécifiques.

Relation d’approbation implicite, bidirectionnelle et transitive : permet aux utilisateurs du domaine z.1.a.univ-lyon1.fr de se loguer sur les machines de 1.a.univ-lyon1.fr et inversement.

56

ADS: Catalogue global  Un catalogue global est un contrôleur de domaine contenant une copie de tous les objets Active Directory d'une forêt. Il stocke une copie complète de tous les objets de l'annuaire de son domaine hôte, ainsi qu'une copie partielle de tous les objets des autres domaines de la forêt.

 Les copies partielles des objets de domaine qui sont présentes dans le catalogue global regroupent les attributs auxquels font appel les utilisateurs le plus fréquemment lors des opérations de recherche  Un catalogue global est créé automatiquement sur le premier contrôleur de domaine de la forêt  Pour ajouter ou supprimer manuellement des attributs d'objet dans le catalogue global, utilisez le composant logiciel enfichable Schéma Active Directory ou « Run->schmmgmt.msc »  Pour activer/désactiver le catalogue global, il faut utiliser Sites et services Active Directory ou « Run>dssite.msc » 57

ADS: Les Utilisateurs  Les Comptes d’utilisateurs permettent aux utilisateurs d’accéder aux ressources du réseau. • Ils sont associés à un mot de passe • fonctionnent dans un environnement défini (machine locale ou domaine).

 Un utilisateur disposant d’un compte de domaine pourra s’authentifier sur toutes les machines du domaine (sauf restriction explicite de l’administrateur).  Un utilisateur disposant d’un compte local ne pourra s’authentifier que sur la machine où est déclaré le compte.  Compte local : Les informations de comptes d’utilisateurs sont stockées localement sur les machines hébergeant les ressources réseau.  Compte de domaine : Les informations de comptes sont centralisées sur un serveur, dans l’annuaire des objets du réseau. Si une modification doit être apportée à un compte, elle doit être effectuée uniquement sur le serveur qui la diffusera à l’ensemble du domaine. 58

ADS: Les Utilisateurs  Un login doit obligatoirement être unique dans son domaine.  Il y a une nomenclature de création de login  Une fois le compte créé, il suffit de le placer dans l’unité d’organisation correspondant au département de l’utilisateur.  A la création d’un utilisateur, il est possible de spécifier un certain nombre de propriétés concernant la gestion des mots de passe : • L’utilisateur doit changer de mot de passe à la prochaine ouverture de session : cette option permet de définir un mot de passe temporaire lors de la création d’un compte ou de la réinitialisation du mot de passe et d’obliger ensuite l’utilisateur à le modifier. • L’utilisateur ne peut pas changer de mot de passe : cette option permet de bloquer la fonctionnalité de modification de mot de passe. • Le mot de passe n’expire jamais : particulièrement utile pour les comptes de service, cette option permet de s’assurer que le compte en question ne soit pas assujetti aux règles de stratégie de compte. • Le compte est désactivé : Permet de désactiver un compte sans le supprimer 59

ADS: Les Groupes  Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du réseau.  Les groupes permettent d’affecter en une seule action une ressource à un ensemble d’utilisateurs  Un utilisateur peut être membre de plusieurs groupes.  Dans l’AD, on peut trouver : • Les groupes de sécurité: leurs membres sont susceptibles de se voir attribuer des autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution.. • Les groupes de distribution: exploitables entre autres via un logiciel de messagerie. Ils ne permettent pas d’affecter des permissions sur des ressources aux utilisateurs

 Les deux types de groupes dans Active Directory gèrent chacun 3 niveaux d’étendue. • Groupe à étendue globale • Groupe à étendue de domaine local • Groupe à étendue universelle

60

ADS: Les Groupes globaux

Mode mixte

Mode natif

Membres

Comptes d’utilisateurs du même domaine

Comptes d’utilisateurs et groupes globaux du même domaine

Membres de

Membres de Groupes locaux du même domaine

Groupes locaux de domaines

Etendue

Visibles dans leur domaine et dans tous les domaines approuvés

Autorisations

Tous les domaines de la forêt

61

ADS: Les Groupes domaines locaux

Mode mixte

Mode natif

Membres

Comptes d’utilisateurs de tout domaine

Comptes d’utilisateurs, groupes globaux et groupes universels d’un domaine quelconque de la forêt, et groupes de domaine local du même domaine

Membres de

Membres d’aucun groupe

Groupes de domaine local du même domaine

Etendue

Visibles dans leur propre domaine

Autorisations

Le domaine dans lequel le groupe de domaine local existe

62

ADS: Les Groupes universels

Mode mixte

Mode natif

Membres

Non utilisables

Comptes d’utilisateurs, groupes globaux et autres groupes universels d’un domaine quelconque de la forêt.

Membres de

Non utilisables

Groupes de domaine local et universels de tout domaine.

Etendue

Visibles dans tous les domaines de la forêt

Autorisations

Tous les domaines de la forêt

63

Stratégie d'utilisation des groupes Anglais

Français

A G DL P A G G DL P A G U DL P A G G U DL P

C G DL A C G G DL A C G U DL A C G G U DL A

With:  A: Accounts  G: Global  DL: Domain Local  U: Universal  P: Permissions

Avec:  C: Comptes  G: Global  DL: Domaine Local  U: Universel  A: Autorisations

64

ADS: Les Groupes par défaut  Les groupes par défaut possèdent des droits et des autorisations prédéfinis qui permettent de faciliter la mise en place d’un environnement sécurisé.  Ainsi un certain nombre de rôles courants sont directement applicables en rendant membre du groupe par défaut adéquat l’utilisateur à qui l’on souhaite donner des droits ou autorisations.  Ces groupes et les droits qui leurs sont associés sont créés automatiquement.

65

ADS: Les Groupes par défaut  Dans un serveur membre voici les rôles et les propriétés de certains d’entre eux : Administrateurs

Pleins pouvoirs sur le serveur. Lorsqu’un serveur est ajouté au domaine, le groupe Admins du domaine est ajouté à ce groupe.

Invités

Un profil temporaire est créé pour l’utilisateur que l’on place dans ce groupe.

Utilisateurs avec pouvoir

Privilèges d'administration non relatifs aux domaines: Peut créer des comptes utilisateurs et les gérer. Peut créer des groupes locaux et les gérer. Peut créer des ressources partagées.

Utilisateurs

Peut lancer des applications, utiliser les imprimantes.

Opérateurs d’impression

Peut gérer les imprimantes et les files d’attentes 66

ADS: Les Groupes par défaut  Dans Active directory les groupes par défauts sont dans Builtin et Users Opérateurs de compte

Les membres de ce groupe peuvent gérer les comptes utilisateurs.

Opérateurs de serveur

Les membres de ce groupe peuvent administrer les serveurs du domaine.

Contrôleurs de domaine

Ce groupe contient tous les comptes d’ordinateurs des contrôleurs de domaine.

Invités du domaine

Les membres de ce groupe vont bénéficier d’un profil temporaire.

Utilisateurs du domaine

Contient tous les utilisateurs du domaine. Tous les utilisateurs créés du domaine sont membre de ce groupe

67

ADS: Les Groupes par défaut  Dans Active directory les groupes par défauts sont dans Builtin et Users Ordinateurs du domaine

Ce groupe contient tous les ordinateurs du domaine

Administrateurs du domaine

Ce groupe contient les utilisateurs administrateurs du domaine.

Administrateurs de l’entreprise

Ce groupe contient les administrateurs de l’entreprise. Permet de créer les relations d’approbations entre domaines.

Administrateurs du schéma

Ce groupe contient les utilisateurs capables de faire des modifications sur le schéma Active Directory.

68

ADS: Les Groupes par défaut  Les groupes systèmes sont utiles dans le cas d’affectations d’autorisations. Anonymous Logon

Représente les utilisateurs qui ne se sont pas authentifiés.

Tout le monde

Tous les utilisateurs se retrouvent automatiquement dans ce groupe.

Réseau

Regroupe les utilisateurs connectés via le réseau.

Utilisateurs authentifiés

Regroupe les utilisateurs authentifiés.

Créateur propriétaire

Représente l’utilisateur qui est propriétaire de l’objet.

69

L’installation et la gestion de Active Directory

Deux méthodes sont possibles pour installer Active Directory :  Utiliser l'utilitaire "Gérer votre serveur" (Démarrer>Tous les programmes>Outils d’administration>Gérer votre serveur) qui simplifie l'installation sans poser les questions les plus pointues. Il installe et configure AD, DNS et DHCP pour un nouveau domaine dans une nouvelle forêt..  Utiliser l'assistant "dcpromo" (lancé en ligne de commande) qui permet de contrôler tous les aspects de l'installation.

70

l'utilitaire "Gérer votre serveur" • Ajouter ou supprimer un rôle. • Choix de la configuration par défaut pour un premier serveur. Si "Configuration personnalisée" est choisi, bascule sur dcpromo. • Choix du nom du nouveau domaine. • Choix du nom compatible NetBIOS. • Choix d'un éventuel redirecteur DNS. • Confirmation -> Démarrage de l'installation

71

L’assistant dcpromo

72

L’assistant dcpromo

• Choix du nom du domaine créé (nom complet) • Choix du nom du domaine NetBIOS pour compatibilité avec les versions antérieures de Windows • Choix des emplacements de stockage des informations ADS • Définition du mot de passe administrateur pour le redémarrage en mode restauration ADS • Début de l’installation….

73

Creating the first Windows Server 2003 Domain Controller in a domain

74

Click Start -> Run

75

Type "dcpromo" and click "OK"

76

You will see the first window of the wizard. After this, click "Next"

77

Click "Next" on the compatibility window, and in the next window keep the default option of "Domain Controller for a new domain" selected, and click "Next"

78

In this tutorial we will create a domain in a new forest, because it is the first DC, so keep that option selected

79

Now we have to think of a name for our domain. Active Directory domains don't need to be "real" domains - they can be anything you wish. So here we will create "visualwin.testdomain"

80

Now in order to keep things simple, we will use the first part of our domain ("visualwin"), which is the default selection, as the NetBIOS name of the domain

81

The next dialog suggests storing the AD database and log on separate hard disks but for this tutorial we will just keep the defaults

82

The SYSVOL folder is a public share. Once again, we will keep the default selection but it can be changed if you wish to use the space of another drive

83

Now we will get a message that basically says that you will need a DNS server in order for everything to work the way we want it (i.e., our "visualwin.testdomain" to be reachable). We will install the DNS server on this machine as well, but it can be installed elsewhere. So keep the default selection of "Install and configure", and click "Next"

84

Because, after all, this is a Windows Server 2003 tutorial website, we'll assume there are no pre-Windows 2000 servers that will be accessing this domain, so keep the default of "Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems" and click "Next"

85

The restore mode password is the single password that all administrators hope to never use, however they should also never forget it because this is the single password that might save a failed server. Make sure it's easy to remember but difficult to guess

86

Now we will see a summary of what will happen. Make sure it's all correct because changing it afterwards can prove to be difficult

87

After the previous next was clicked, the actual process occurs. This can take several minutes. It's likely that you will be prompted for your Windows Server 2003 CD (for DNS) so have it handy

88

Résultat de l’installation

• Après l’installation d’Active Directory Service, un certain nombre d’outils d'administration sont disponibles. • Après redémarrage, ADS est en fonctionnement pour la gestion de notre domaine. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré.

89

Configuration du service DNS Les tâches à réaliser via le gestionnaire DNS sont:  Définition de zones de recherche directes pour les résolution nom IP -> adresse IP  Définition de zones de recherche inverses pour les résolutions adresse IP -> nom IP

90

Configuration de la zone directe

Déclaration des nouvelles machines (hôtes) avec demande de création automatique du pointeur PTR associé.

91

Configuration de la zone inverse

• • • • • •

Lancement de l'assistant de création de zone inverse Création d'une zône principale intégrée à Active Directory Choix de l'étendue de réplication de cette zône Définition de l'ID réseau de cette zone Choix du mode de mise à jour dynamique Fin de l'assistant de création de zone inverse

92

Reconfiguration des paramètres TCP/IP

• Reconfiguration des paramètres TCP/IP pour intégrer le DNS principal et nom domaine choisi comme premier suffixe DNS

93

La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine  Outil : utilisateurs et ordinateurs Active Directory.  Rundsa.msc

 Cet outil réalise l'administration des utilisateurs, des groupes d’utilisateurs et des ordinateurs d'un domaine (il leur est attribué un compte). 94

La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine

Groupes crées à l’installation

Utilisateurs et groupes d’utilisateurs du domaine

95

La gestion des utilisateurs, des groupes d'utilisateurs et des ordinateurs du domaine Contrôleurs de domaine

96

Création d’un nouvel utilisateur

97

Création d’un nouvel utilisateur

Choix des Paramètres de création:

98

Propriétés d’un utilisateur

99

Propriétés d’un utilisateur Use 01 Properties

User01 User02 User03 User04 User05 User06

User User User User User User

Options d'ouverture de session

Par défaut

Copie de comptes d'utilisateur de domaine Copier un compte d'utilisateur de domaine pour simplifier le processus de création d'un compte d'utilisateur de domaine

Compte d'utilisateur de domaine (Utilisateur1)

Utilisateur1

Copie

Compte d'utilisateur de domaine (Utilisateur2)

Utilisateur2

Création de modèles de compte d'utilisateur  Un modèle de compte est un compte utilisateur générique contenant Les informations communes à tous les comptes ayant le même rôle dans l’entreprise.  Une fois ce modèle de compte créé (en utilisant la même procédure que n’importe quel compte utilisateur), il suffira de le dupliquer à chaque création d’un nouveau compte correspondant au rôle.  Ainsi le nouveau compte créé, héritera des propriétés du modèle.  Propriétés maintenues lors de la copie du modèle de compte Lorsqu’un modèle de compte est dupliqué, toutes les propriétés ne sont pas copiées. La liste qui suit vous informe des propriétés qui le sont :

 Onglet Adresse : Les informations sont copiées, à l’exception de la propriété Adresse.  Onglet Compte : Les informations sont copiées, à l’exception de la propriété Nom d’ouverture de session de l’utilisateur qui est récupéré de l’assistant de duplication de compte.  Onglet Profil : Les informations sont copiées, à l’exception des propriétés Chemin du profil et Dossier de base qui sont modifiées pour refléter le changement de nom d’ouverture de session.  Onglet Organisation : Les informations sont copiées, à l’exception de la propriété Titre

Création de modèles de compte d'utilisateur

• •

Configurez un compte d'utilisateur comme modèle de compte Créez un compte d'utilisateur en copiant le modèle de compte

Profils d'utilisateur et répertoire de base  Profil d’utilisateur : Le profil de l’utilisateur, stocké dans un répertoire, contient tous les paramètres qui définissent l’environnement utilisateur (bureau, menu programmes, imprimantes, variables d’environnement, connexion réseau, fond d’écran, résolution d’écran …). Il est composé de deux parties :  une partie commune à tous les utilisateurs (non modifiable) stockée dans le répertoire \Documents and Settings\All Users,  une partie spécifique à l'utilisateur (éventuellement modifiable) stockée dans un répertoire portant le nom de l'utilisateur sous \Documents and Settings.

 Profil prédéfini à l'installation:  "Default User" (utilisateur par défaut): Profil attribué à tout utilisateur n'en possédant encore aucun (Attribution réalisée par création d'une copie) profil  Le profil peut être local (disponible sur une seule machine) ou errant (réseau ou disponible sur toutes les machines du domaine).

 Profil d’utilisateur local: Profil stocké uniquement localement. A chaque première ouverture de session d’un utilisateur sur un ordinateur client du domaine, un profil local est créé dans le dossier « Documents and Settings »; ainsi lors de l’ouverture de session suivante l’utilisateur retrouve la même configuration du bureau et ses fichiers de dossier « My Documents ». Ce type de profil n’est viable 105 que si l’utilisateur utilise toujours le même ordinateur.

Profils d'utilisateur et répertoire de base

 Profil d’utilisateur itinérant (errant): La création d’un profil itinérant permettra à un utilisateur de retrouver un environnement de bureau identique et personnalisé sur tous les ordinateurs clients du domaine. Les informations concernant les profils itinérants des utilisateurs seront stockées sur le contrôleur de domaine et chargées à travers le réseau à chaque ouverture de session.  Remarque : pour rendre un profil obligatoire, c’est a dire non modifiable, il suffit de renommer le fichier ntuser.dat (contient tous les paramètres personnalisés de l' utilisateur pour la plupart des logiciels installés sur l' ordinateur incluant Windows lui-même et se trouve sous sous C:\Documents and Settings\) en ntuser.man.

 Répertoire de base: Le répertoire de base d’un utilisateur est son dossier d’acceuil. Ce répertoire de base peut être un chemin local ou un chemin réseau. Un chemin réseau permet à un utilisateur itinérant de centraliser ses données sur le disque dur d’un serveur de fichiers. L’utilisation de dossiers de base permet à l’utilisateur d’accéder à ses données depuis n’importe quel ordinateur du réseau, tout en permettant de centraliser la sauvegarde et la gestion des fichiers utilisateurs 106

Types de profils d'utilisateur • Profil d'utilisateur par défaut – Sert de base à tous les profils d'utilisateur

Affichage

• Profil d'utilisateur local Modification

Paramètres régionaux

Enregistrement

Profil d'utilisateur

– Créé la première fois qu'un utilisateur ouvre une session sur un ordinateur – Stocké sur le disque dur local de l'ordinateur

Souris

Sons 

Profil d'utilisateur itinérant  





Créé par l'administrateur système Stocké sur un serveur

Ordinateur client Windows 2003

Affichage

Créé par l'administrateur système Stocké sur un serveur

Paramètres régionaux

Profil d'utilisateur obligatoire 

Profil

Serveur de profils

Souris

Sons

Ordinateur client Windows 2003 Ordinateur client Windows 2003 107

Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur  Création d'un répertoire destiné à héberger les répertoires de base et les profils itinérants(Utilisateurs>Profils)

108

Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur  Partage de ce répertoire (sous le nom Users) et configuration des autorisations sur le répertoire et sur le partage

109

Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur

 Configuration de l'utilisateur concerné dans l'onglet profil de ses propriétés au sein du gestionnaire des utilisateurs

110

Affectation d'un répertoire de base et d'un profil itinérant à un utilisateur  Le gestionnaire des utilisateurs crée lui-même le répertoire de base et lui affecte les permissions en limitant l'accès au seul administrateur et à l'utilisateur.

 Montage automatique du répertoire de base au niveau du client. 111

Création d’un groupe

Nom : unique Etendue : sur le domaine local ou globalement

Type : groupe de sécurité ou de distribution

112

Propriétés d’un groupe • Paramètres généraux,Membres,Groupes du domaine dont il est membre,Utilisateur gestionnaire

113

Création d’un nouvel ordinateur

• Définir son nom (unique)

• Possibilité de le déclarer en tant que machine à système prè Windows 2000 ou non • Possibilité de le déclarer en tant que contrôleur supplémentaire ou en tant que membre simple

114

Joindre un ordinateur à un domaine • Onglet "Identification" ou "Nom de l'ordinateur" du panneau de configuration "Système" Ulysse membre du Workgroup WK

115

Joindre un ordinateur à un domaine

116

Joindre un ordinateur à un domaine

117

Création d’un groupe d'ordinateurs

 Création d'un nouveau groupe

 Ajout des ordinateurs à ce groupe

118

Gestion locale de l’ordinateur  Outils:  "My computer"->Manage (“Poste de travail”->Gérer)  Run->compmgmt.msc (Exécuter->compmgmt.msc)

 Le gestionnaire d'ordinateur prend en charge un certain nombre des options de configuration locales de l'ordinateur

Trois entrées principales: Outils sytème, stockage et services et applications

119

Gestion locale de l’ordinateur- Utilisateurs/groupes locaux  Permet de gérer les comptes d’utilisateurs et groupes locaux de la machine. Si l’ordinateur est un contrôleur de domaine, cet élément est masqué car la console est remplacée par «Utilisateurs et ordinateurs Active Directory».

120

Gestion locale de l’ordinateur- périphérique  Permet de contrôler l’ensemble de périphériques et pilotes de matériel sur la machine.

121

Gestion locale de l’ordinateur- Services  L’outil services permet d'administrer les services (tâches de fond) fonctionnant localement sur l'ordinateur

122

Gestion locale de l’ordinateur- Services  Cet outil s’appuie sur la console Services et a déjà été mentionné dans la console « Gestion de l’ordinateur »

123

Base de registre  L'ensemble des paramètres système est sauvegardé dans une base de données sécurisée appelé « Registre ».  Jusqu'à Windows 2000, il y avait 2 utilitaires légèrement différents regedit et regedt32 pour modifier la base de registre. regedit était plus convivial, alors que regedt32 permettait de faire des modifications plus pointues. Avec Windows XP, Microsoft a unifié les 2 utilitaires : désormais, les 2 commandes appellent le même outil.

 ATTENTION: Ces deux utilitaires sont à utiliser de manière extrêmement prudente car les actions réalisées sont irréversibles

124

Base de registre  Répertoire de la base de registre: Sous Windows Server 2003, Windows XP, Windows Server 2000 et NT, par défaut, c'est dans le répertoire %SystemRoot%\System32\Config que sont stockés les fichiers de ruche suivants : SAM (Security Account Manager), Security, Software, System.  Les informations concernant un utilisateur sont stockées dans le répertoire correspondant à la variable d'environnement %UserProfile%. Par exemple, pour un utilisateur dont le login est "dupont", la valeur %UserProfile% sera par défaut "C:\Documents and settings\dupont". Il y a un fichier de ruche NTUSER.DAT par utilisateur. Le répertoire %SystemRoot%\repair contient une sauvegarde de la base de registre ; elle est utilisée par Windows pour certains cas de figure.  Des fichiers journaux (extension .LOG) et des fichiers de sauvegarde (extension .SAV) sont utilisés en interne par Windows pour pallier des coupures de courant intempestives, ou à toute autre forme d'arrêt brutal

125

Base de registre  La base de registre est organisée de façon hiérarchique. Elle se compose de sous arbres avec les clés et les valeurs. HKEY_LOCAL_MACHINE

Contient les informations relatives à l’ordinateur local : données sur le matériel et sur le système d’exploitation (type de bus, la RAM, les pilotes de périphérique …

HKEY_CLASSES_ROOT

regroupe des paramètres spécifiques aux programmes comme les extensions de fichiers, icônes spécifiques, menus contextuels, fichiers communs (dll par exemple), licence

HKEY_CURRENT_USER

Contient le profil de l’utilisateur en cours de session (variable d’environnement, bureau, connexion réseau, les imprimantes …)

HKEY_USERS

Contient tous les profil utilisateurs chargés activement, y compris HKEY_USER, le profil par défaut.

HKEY_CURRENT_CONFIG

Contient les informations sur le profil matériel utilisé par l’ordinateur local au démarrage (pilotes à charger, résolution d’écran)

126

Base de registre  On peut exporter toute la base ou une branche de la base de registres dans un fichier .REG. Pour l’importer, il suffit de double cliquer dessus, et d’avoir les permissions de mise à jour.

127

Gestion d’accès aux ressources

128

Gestion d’accés aux ressources - Introduction  Le système de contrôle d’accès dans Windows 2003 est basé sur trois composants qui permettent la définition du contexte de sécurité des éléments du système.  Ces trois éléments sont :  Les entités de sécurité : Les entités de sécurité peuvent être un compte utilisateur, d’ordinateur ou un groupe. Ils permettent d’affecter l’accès à un objet en le représentant dans le système informatique.  Le SID - Security Identifier: Toutes les entités de sécurité sont identifiées dans le système par un numéro unique appelé SID.  DACL - Discretionary Access Control List : associe à chaque objet un contrôle d’accès. Les DACL sont composées d’ACE (Access Control Entry) qui définissent les accès à l’objet.  Les ACE se composent de la façon suivante :  Le SID de l’entité à qui l’on va donner ou refuser un accès.  Les informations sur l’accès (ex : Lecture, Ecriture, …)  Les informations d’héritage.  L’indicateur de type d’ACE (Autoriser ou refuser). 129

Description des autorisations  Les autorisations définissent le type d'accès accordé à un utilisateur, un groupe ou un ordinateur sur un objet  Les autorisations sont appliquées aux objets tels que les fichiers, les dossiers, les fichiers partagés et les imprimantes  Les autorisations sont attribuées aux utilisateurs et aux groupes dans Active Directory ou sur un ordinateur local

130

Description des autorisations standard et speciales

Autorisations standard

Autorisations spéciales

131

Les ressources - Dossiers partagés  Le partage d’un dossier permet de rendre disponible l’ensemble de son contenu via le réseau.  Par défaut, lors de la création d’un partage, le groupe « Tout le monde » bénéficie de l’autorisation « Lecture ».  Il est possible de cacher le partage d’un dossier en ajoutant le caractère « $ » à la fin du nom. Pour pouvoir y accéder, il sera obligatoire de spécifier le chemin UNC (Universal Naming Convention) complet: \\nom_du_serveur\nom_du_partage$  Windows 2003 crée automatiquement des partages administratifs.  Les noms de ces partages se terminent avec un caractère $ qui permet de cacher le partage lors de l'exploration par le réseau :  C$, D$, E$: Fournit un accès complet à l'administrateur sur les lecteurs. \\nom_ordinateur\C$  Admin$: Utilisé pour la gestion d'une station à travers le réseau. Il s'agit du répertoire %systemroot% (c:\windows)  IPC$: Ce partage sert pour la communication entre les processus. Il est utilisé notamment lors de l'administration à distance d'une station ou même lorsque on consulte un répertoire partagé.  Print$: Est utilisé pour l'administration à distance des imprimantes  Seuls les membres du groupe « Administrateurs » peuvent accéder à ces partages en 132 accès Contrôle Total.

Dossiers d'administration partagés

133

Les ressources - Dossiers partagés  Chaque dossier partagé peut être protégé par une autorisation qui va restreindre son accès spécifiquement aux Utilisateurs, Groupes et Ordinateurs  Il existe trois niveaux d’autorisations affectables :  Lecture : Permet d’afficher les données et d’exécuter les logiciels.  Modifier : Comprend toutes les propriétés de l’autorisation lecture avec la possibilité de créer des fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus.  Contrôle total : Comprend toutes les propriétés de l’autorisation Modifier avec la possibilité de modifier aux travers le réseau les autorisations NTFS des fichiers et dossiers.  Les trois niveaux d’autorisations sont disponibles en «Autoriser» ou en «Refuser» en sachant que les autorisations de refus sont prioritaires.  Pour affecter des autorisations de partage, vous avez deux solutions :  A l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant enfichable « Dossiers Partagés ». 134  A l’aide de l’explorateur dans les propriétés du dossier partagé.

Les ressources - Dossiers partagés  Afin qu’un client puisse accéder à un dossier partagé, plusieurs moyens sont disponibles :  Favoris réseau : Permet de créer des raccourcis vers les partages désirés.  Lecteur réseau : Permet d’ajouter le dossier partagé directement dans le poste de travail en lui attribuant une lettre.  Exécuter : Permet d’accéder ponctuellement à la ressource en spécifiant simplement le chemin UNC d’accès à la ressource.

135

Procédure de publication d'un dossier partagé Un dossier partagé publié est un objet Dossier partagé dans Active Directory Les clients peuvent rechercher facilement dans Active Directory les dossiers partagés qui sont publiés Les clients n'ont pas besoin de connaître le nom du serveur pour se connecter à un dossier partagé

136

Procédure de connexion à un dossier partagé

137

Les ressources - Accès au fichiers et dossiers NTFS  NTFS (New Technology File System) est un système de fichiers qui offre les avantages suivants :  Fiabilité : NTFS est un système de fichiers journalisé.  Sécurité : Le système NTFS prend en charge le cryptage de fichiers avec EFS (Encrypted File System). NTFS permet aussi l’utilisation d’autorisations NTFS qui permettent de restreindre l’accès aux données de la partition.  Gestion du stockage : NTFS permet la compression de données transparente pour tous les fichiers stockés sur la partition. Il permet aussi l’implémentation de la gestion de quotas pour restreindre de façon logique l’espace dont peut bénéficier un utilisateur sur une partition.  Les autorisations NTFS permettent de définir les actions que vont pouvoir effectuer les utilisateurs, groupes ou ordinateurs sur les fichiers.  Contrôle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la possibilité de modifier les autorisations du fichier.  Modification : Permet de modifier, supprimer, lire et écrire les fichiers.  Lecture et exécutions : Permet de lire les fichiers et d’exécuter les applications.  Ecriture : Permet d’écraser le fichier, de changer ses attributs et d’afficher le propriétaire.  Lecture : Permet de lire le fichier, d’afficher ses attributs, son propriétaire138 et ses autorisations.

Les ressources - Accès au fichiers et dossiers NTFS  Les autorisations NTFS permettent de définir les actions que vont pouvoir effectuer les utilisateurs, groupes ou ordinateurs sur les dossiers.  Contrôle total : Dispose de toutes les autorisations de « Modification » avec la prise de possession et la possibilité de modifier les autorisations du dossier.  Modification : Dispose de toutes les autorisations de « Ecriture » avec la possibilité de supprimer le dossier.  Lecture et exécutions : Permet d’afficher le contenu du dossier et d’exécuter les applications  Ecriture : Permet de créer des fichiers et sous-dossiers, de modifier ses attributs et d’afficher le propriétaire.  Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propriétaire et autorisations du dossier.  Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.  Les autorisations sur les fichiers sont prioritaires sur les autorisations sur les dossiers 139

Les ressources - Accès au fichiers et dossiers NTFS  Toutes les opérations de copie héritent des autorisations du dossier cible. Seul le déplacement vers la même partition permet le maintien des autorisations.  Les fichiers déplacés depuis une partition NTFS vers une partition FAT perdent leurs attributs et leurs descripteurs de sécurité.  Les attributs de fichiers pendant la copie/déplacement d’un fichier à l’intérieur d’une partition ou entre deux partitions sont gérés ainsi:  Copier à l’intérieur d’une partition : Crée un nouveau fichier identique au fichier original. Il hérite des permissions du répertoire de destination.  Déplacer à l’intérieur d’une partition : Ne crée pas un nouveau fichier. Il y a seulement une mise à jour des pointeurs du dossier. Garde les permissions appliquées à l’origine au fichier.  Déplacer vers une autre partition : Crée un nouveau fichier identique à l’original et détruit le fichier original. Le nouveau fichier hérite des permissions du répertoire de destination. Copier Partition NTFS C:\ Partition NTFS D:\

Déplacer

Partition NTFS E:\

Copier ou Déplacer 140

Les ressources - Héritage NTFS  Les autorisations sur un dossier parent sont héritées et propagées à tous les sousdossiers, et les fichiers qu’il contient.  Tous les nouveaux fichiers et dossiers créés dans ce dossier hériteront aussi de ces permissions.  Il est possible de bloquer cet héritage afin que les permissions ne soient pas propagées aux dossiers et aux fichiers contenus dans le dossier parent.  Plusieurs solutions d’héritage à partir d’un dossier  Copier  Supprimer  Pour bloquer l’héritage des permissions, afficher les propriétés du dossier:  Onglet Sécurité  Paramètres avancés  Désactiver la case à cocher « Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici.»  Dans la nouvelle fenêtre, cliquez sur :  Copier si vous souhaitez garder les autorisations précédemment héritées sur cet objet  Supprimer afin de supprimer les autorisations héritées et ne conserver que les 141 autorisations explicitement spécifiées.

Identification des autorisations effectives sur les fichiers et les dossiers NTFS  Lorsque vous accordez des autorisations à un utilisateur, à un groupe ou à un utilisateur, il est parfois difficile de s’y retrouver avec par exemple les groupes auxquels un utilisateur peut appartenir et les autorisations héritées.  Lorsque l’on définit des autorisations, il est possible qu’un même utilisateur obtienne plusieurs autorisations différentes car il est membre de différents groupes. Dans ce cas, les autorisations se cumulent et il en résulte l’autorisations la plus forte (ex : lecture + contrôle total  contrôle total).  Lorsqu’un utilisateur ne se trouve pas dans la DACL de l’objet, il n’a aucune autorisation dessus. C’est une autorisation « Refuser » implicite.  Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.  Les autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans TOUS les cas (ex : contrôle total + refuser lecture  La lecture sera bien refusée).  Le propriétaire a la possibilité d’affecter les autorisations qu’il désire sur tous les fichiers dont il est le propriétaire même si il n’a pas d’autorisations contrôle total dessus.  Il est possible de vérifier les permissions effectives d’un utilisateur à l’aide de l’onglet Autorisations effectives de la fenêtre de paramètres de sécurité avancé.

Cumul des autorisations NTFS et des autorisations de partage  Lorsqu’ un utilisateur est sujet aussi bien aux autorisations NTFS qu’aux autorisations de partage, ses permissions effectives s’obtiennent en combinant le niveau maximum d’autorisations indépendamment pour les autorisations NTFS et pour les autorisations de partage et une fois les deux autorisations définies, il suffit de prendre la plus restrictive des deux.  Exemple :  Partage (lecture) + NTFS (contrôle total)  lecture  Inversement  Partage (contrôle total) + NTFS (lecture)  lecture

143

Fichiers hors connexion Les fichiers hors connexion sont une fonction d'administration des documents qui permet à l'utilisateur d'accéder de manière cohérente aux fichiers en ligne et hors connexion Avantages de l'utilisation des fichiers hors connexion : Prise en charge des utilisateurs itinérants Synchronisation automatique Avantages en termes de performances Avantages de sauvegarde

 Procedure de synchronisation de fichiers hors connexion : Déconnectés du réseau Windows Server 2003 synchronise les fichiers réseau avec une copie localement mise en cache des fichiers L'utilisateur travaille avec la copie en cache local Connectés au réseau Windows Server 2003 synchronise les fichiers hors connexion que l'utilisateur a modifiés avec la version des fichiers sur le réseau Si un fichier a été modifié dans les deux emplacements L'utilisateur est invité à choisir la version du fichier à conserver ou à renommer le fichier pour conserver les deux versions 144

Options de la mise en cache hors connexion des fichiers Activer le service de fichier hors connexion sur votre machine cliente. Menu \ outils \ options des dossiers \ fichiers hors connexion puis cocher : Autoriser l’utilisation de fichiers hors connexion Aller au répertoire partagé sur le réseau, sélectionner la ressource à mettre en cache avec un click droit. Afficher le menu contextuel et sélectionner: Rendre disponible hors connexion.

145

Stratégies de groupe

146

Présentation des stratégies de groupe Une stratégie de groupe (Group Policy Object) est un ensemble d'éléments de configuration de Windows et de logiciels s'appliquant à des ordinateurs, des utilisateurs ou des groupes d'utilisateurs permettant d'autoriser ou d'interdire certaines actions ou de configurer des paramètres d'utilisation Une stratégie de groupe peut s’appliquer à un ordinateur local, un site, un domaine ou à une unité d’organisation et peut être assignée plusieurs fois simultanément sur différents conteneurs. On peut lier plusieurs objets Stratégie de groupe à un site, domaine ou une unité d'organisation

L’implémentation des stratégies de groupes va permettre de centraliser la gestion de l’environnement des utilisateurs Deux types de stratégies locale: ne s’applique que sur l’ordinateur sur lequel elle est configurée. C’est l’objet de stratégie ayant le moins d’autorité dans un environnement Active Directory Stratégie de groupe AD: s'applique à un site, un domaine ou une unité d'organisation 147

Paramètres des stratégies de groupe Modèles d’administration: modification des propriétés du bureau à l’aide de modifications distantes de la base de registre Déploiement de logiciels : automatisation complète de l’installation des programmes sur les postes clients en fonction du profil de l’utilisateur Application des paramètres de sécurité : permet de modifier le contexte de sécurité de l’environnement utilisateur Redirection de dossiers: possibilité de rediriger certains répertoires sensibles vers un serveur distant ou de bloquer la modification de leurs contenus Scripts: démarrage/arrêt d'ordinateur ou de session utilisateur

148

Structure des stratégies de groupe Conteneur (Group Policy Container) : objet Active Directory Modèle (Group Policy Template): dossier contenu dans %systemroot%\SYSVOL\sysvol\\policies

GPO est identifiée par le GUID (global unique Identifier) GPO locale pour des machines individuelles: %systemroot%\System32\GroupPolicy

149

Paramètres de GPO pour Ordinateurs/Utilisateurs Paramètres de stratégie de groupe pour les ordinateurs Définissent le comportement du système d'exploitation et du bureau, la configuration de la sécurité, les scripts de démarrage et d'arrêt des ordinateurs, les options d'application affectées par l'ordinateur et la configuration des applications S'appliquent au démarrage de l’ordinateur (initialisation du système d'exploitation) et lors du cycle de rafraîchissement périodique

Paramètres de stratégie de groupe pour les utilisateurs Définissent le comportement du système d'exploitation, la configuration du bureau et de la sécurité, les options d'application affectées et publiées, la configuration des applications, les options de redirection des dossiers et les scripts d'ouverture et de fermeture de sessions utilisateur

S'appliquent à l'ouverture d'une session utilisateur sur l'ordinateur et lors du cycle de rafraîchissement périodique Ces paramètres suivent l'utilisateur de machine en machine 150

Outils d’édition des stratégies de groupe Utilisateurs et ordinateurs Active Directory (dsa.msc): permet d’éditer les stratégies associées au domaine et aux unités d’organisation Sites et services Active Directory (dssite.msc): permet d’éditer les stratégies associées aux sites Editeur d’objets de Stratégie de groupe (gpedit.msc): c’est l’éditeur commun d’objets des stratégies de groupe locales ou distantes Stratégie de sécurité locale : Permet d’éditer les stratégies locales des machines Stratégie de sécurité de domaine (dompol.msc): permet d’éditer les stratégies de domaine Stratégie de sécurité de contrôleur de domaine (dcpol.msc): permet d’éditer les stratégies de contrôleur de domaine Gestion des stratégies de groupes (gpmc.msc) est un outil complémentaire pour faciliter la gestion des GPO, celui-ci reprend les interfaces et fonctionnalités des outils Utilisateurs et ordinateurs Active Directory et Sites et services Active Directory ainsi que des modules d’administration des stratégies

151

Console gpedit

152

Console de gestion des stratégies de groupe

153

Stratégie de sécurité de domaine Utilisée pour configurer les paramètres de sécurité de domaine

154

Stratégie de sécurité de contrôleur de domaine Utilisée pour configurer les paramètres de sécurité pour les contrôleurs du domaine

155

Modèles d’administration Type

Description

Appliqué

Composants Windows

Controle de fonctionnalites d’IE, netmeeting, gestionnaire de taches, windows explorer

Utilisateur, Ordinateur

Système

Ouverture/fermeture de session, quotas de disque, modification de registre, application GPO, gestion de l’alimentation

Utilisateur, Ordinateur

Réseau

Connexions reseau, fichiers hors connexion

Utilisateur, Ordinateur

Imprimantes

Controler l’impression a partir d’un navigateur web, publication des imprimantes dans AD

Ordinateur

Menu Démarrer et barre des tâches

Les fonctionnalités auxquelles les utilisateurs peuvent accéder à partir du menu Démarrer et les options qui rendent le menu Démarrer en lecture seule

Utilisateur

Bureau

Le bureau Active Desktop, y compris ce qui apparaît sur les bureaux, et ce que les utilisateurs peuvent faire avec le dossier Mes documents

Utilisateur

Panneau de configuration

Cacher tout ou partie du panneau de configuration, de restreindre l’accès à certains composants (Ajout/Suppression de programmes, Imprimantes , options régionales et linguistiques)

Utilisateur

156

Etapes d’application des paramètres de modèles d’administration Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans les répertoires %systemroot%\System32\GroupPolicy\ADM et %systemroot%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (Le « group policy template », ou GPT) au sein du répertoire Sysvol. Les fichiers .ADMX sont des fichiers basés sur le format XML et introduits par Windows Vista pour la gestion des stratégies de groupe.

157

Description des Modèles d’administration Les paramètres de modèle d'administration modifient les paramètres du Registre qui contrôlent les environnements utilisateur Ces modèles modifient les clés de Registre HKEY_LOCAL_MACHINE pour les paramètres d'ordinateur HKEY_CURRENT_USER pour les paramètres d'utilisateur

Exemple: Menu Démarrer et Barre des tâches Suppression du menu Documents dans le menu Démarrer Suppression des Connexions réseau et accès distant du menu Démarrer Suppression du menu Exécuter dans le menu Démarrer Désactivation de la fermeture de session dans le menu Démarrer Désactivation de la commande Arrêter

Panneau de configuration Désactivation du Panneau de configuration Masque de certaines applications du Panneau de configuration

Système Activation des quotas de disque Désactivation des outils de modifications du Registre Désactivation de l'invite de commandes

Internet Explorer Désactivation de la modification des paramètres de la page de démarrage

158

Application: Supprimer Le menu Exécuter du Menu Démarrer Etat initial: apparition du menu Exécuter

159

Application: Supprimer Le menu Exécuter du Menu Démarrer

160

Application: Supprimer Le menu Exécuter du Menu Démarrer

Etat Final: disparition du menu Exécuter

161

paramètres de sécurité Stratégies de compte

Configurent des stratégies pour les mots de passe (longueur, complexité, durée de vie) et les comptes (modalités de verrouillage)

Stratégies locales

Configurent l'audit, les droits d'utilisateur et les options de sécurité

Journal des événements

Configure les paramètres des journaux des applications, des journaux système et des journaux de sécurité

Groupes restreints

Configurent l'adhésion aux groupes sensibles en termes de sécurité: Imposer des membres à des groupes

Services système

Configurent les paramètres de sécurité et de démarrage des services (manuel, automatique ou désactivé) exécutés sur un ordinateur

Registre

Configure la sécurité (autorisations d'accès et des paramètres d'audit) pour les clés du registre

Système de fichiers

Configure la sécurité (autorisations d'accès et des paramètres d'audit) au niveau des autorisations NTFS des fichiers

Stratégies de réseau sans fil

spécifient si les clients sont autorisés à utiliser Windows pour configurer les paramètres de la connexion réseau sans fil, s'il y a lieu d'activer l'authentification 802.1X pour les connexions réseau sans fil, ainsi que les réseaux sans fil favoris auxquels les clients peuvent se connecter.

Stratégies de clé publique

Configurent les agents de récupération de données cryptées, les racines de domaines, les autorités de certification approuvées, etc.

Identifient les logiciels et contrôlent leur capacité à s'exécuter: interdire le lancement de Stratégies de restriction logicielle certains programmes ou donner une liste exhaustive des programmes que l'on peut lancer

Stratégies IPSec

Configurent la sécurité IP sur un réseau 162

Attribution de scripts avec la stratégie de groupe Grâce à une stratégie de groupe, il est possible d’affecter des scripts aux machines ou aux utilisateurs Les scripts affectés aux ordinateurs seront exécutés au démarrage et/ou à l’arrêt de l’ordinateur et les scripts affectés aux utilisateurs seront exécutés à l’ouverture et à la fermeture de la session.

Plusieurs langages sont supportés avec les scripts batch (NET USE …), les scripts WSH (Windows Script Host) ou des exécutables. Via les propriétés d’un compte utilisateur, il est possible de spécifier un script d’ouverture de session mais cette méthode est moins souple au niveau administratif.

163

Scripts d’ouverture ou fermeture (déconnexion) de session

164

Scripts de démarrage ou arrêt de l’ordinateur

165

Qu'est-ce que la redirection de dossiers ? Ce paramètre de stratégie de groupe permet de rediriger les dossiers sensibles de l’utilisateur afin de centraliser sur un serveur les données et ainsi en faciliter la sécurité et la sauvegarde Les documents sont stockés sur le serveur mais apparaissent comme stockés localement Les dossiers pouvant être redirigés sont les suivants : Mes documents : Permet de centraliser les données utilisateur sur un serveur de fichiers pour que son contenu soit disponible quelque soit l’ordinateur sur lequel se connecte l’utilisateur (ex : redirection vers le dossier de base de l’utilisateur). Menu Démarrer : Permet de faire pointer le contenu du menu Démarrer de tous les utilisateurs vers un contenu unique. Bureau : Permet de faire pointer le contenu du Bureau de tous les utilisateurs vers un contenu unique. Application Data : Contient les préférences applicatives de certaines applications qui peuvent être sauvegardées sur un serveur avec la réplication. Il est possible via la redirection avancée, de rediriger les répertoires vers des dossiers différents selon l’appartenance de l’utilisateur à un groupe. La fonction de redirection de dossiers crée elle-même automatiquement des dossiers avec les autorisations adéquates. 166

Comment rediriger les dossiers ? Sur un contrôleur de domaine, lancer GPMC (gpmc.msc) Sélectionner une OU puis créer une nouvelle GPO (créer et lier une nouvelle stratégie de groupe) appelée « GPO_VENTE » Cliquer sur Modifier pour modifier la GPO « GPO_VENTE »

Développer Configuration utilisateur Développer Paramètres Windows

Choisir Redirection de dossiers Cliquer droit sur Mes Documents, puis cliquer sur Propriétés

Cliquer sur «De base » ou «avancé» Dans la zone Emplacement du dossier cible , taper le chemin d'accès en tant que :\\ servername\sharename\username 167

Comment rediriger les dossiers ?

168

Comment rediriger les dossiers ?

169

Comment rediriger les dossiers ?

170

Comment rediriger les dossiers ?

171

Comment rediriger les dossiers ?

172

Comment rediriger les dossiers ?

173

Ordre d’application des GPOs Les conteneurs enfants héritent des paramètres de l'objet Stratégie de groupe des conteneurs parents Blocage: on peut bloquer l'héritage Filtrage: on peut empêcher certains objets d'un conteneur de se voir appliquer les paramètres des GPO. se fait via les autorisations de la GPO sur le conteneur locale

Site

Domaine

OU

174

Resolution de conflits entre les parametres de GPO Tous les paramètres d’une stratégie de groupe s’appliquent à moins que certains d’entre eux n’entrent en conflit Lorsque les paramètres de différents objets stratégie de groupe dans la hiérarchie Active Directory sont en conflit, les paramètres de l’objet stratégie de groupe du conteneur enfant s’appliquent

Lorsque les paramètres des objets stratégie de groupe liés à un même conteneur entrent en conflit, les paramètres de l’objet stratégie de groupe les plus hauts dans la liste s’appliquent Les paramètres d’un ordinateur s’appliquent lorsqu’ils sont en conflit avec ceux d’un utilisateur 175

Application d’une strategie de groupe

176

MERCI &

BONNE CHANCE

177