Windows Server 2008 : Volume 1, Installation et mise en réseau 2100520644, 9782100520640 [PDF]

Zitiervorschau

WINDOWS SERVER 2008 ®

Volume 1 Installation et mise en réseau

Charlie Russel Sharon Crawford Adapté de l’américain par : Bénédicte Volto et Véronique Warion

Les programmes figurant dans ce livre, et éventuellement sur la disquette ou le CD-ROM d’accompagnement, sont fournis gracieusement sous forme de code source, à titre d’illustration. Ils sont fournis en l’état sans garantie aucune quant à leur fonctionnement une fois compilés, assemblés ou interprétés dans le cadre d’une utilisation professionnelle ou commerciale. Ils peuvent nécessiter des adaptations et modifications dépendant de la configuration utilisée. Microsoft Press ne pourra en aucun cas être tenu responsable des préjudices ou dommages de quelque nature que ce soit pouvant résulter de l’utilisation de ces programmes. Tous les efforts ont été faits pour fournir dans ce livre une information complète et exacte à la date de la parution. Néanmoins, Microsoft Press n’assume de responsabilités ni pour son utilisation, ni pour les contrefaçons de brevets ou atteintes aux droits de tierces personnes qui pourraient résulter de cette utilisation. Microsoft, Microsoft Press, Access, Active Directory, ActiveX, Aero, BitLocker, ESP, Excel, Expression, Hyper-V, IntelliMirror, Internet Explorer, Jscript, MSDN, MS-DOS, OneNote, Outlook, SharePoint, SQL Server, Visual Basic, Win32, Windows, Windows Logo, Windows Media, Windows NT, Windows PoweShell, Windows Server, et Windows Vista sont soit des ® marques déposées, soit des marques de Microsoft Corporation aux États-Unis ou/et d’autres pays. ®

Copyright 2008 by Microsoft Corporation. Original English language edition Copyright © 2008 by Charlie Russel and Sharon Crawford. All rights published by arrangement with the original publisher, Microsoft Press, a division of Microsoft Corporation, Redmond, Washington, U.S.A. ®

Titre U.S. : MICROSOFT WINDOWS SERVER 2008 - Administrator’s Companion ISBN U.S. : 978-0-7356-2505-1

Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants droit ou ayants cause est illicite selon le Code de la propriété intellectuelle (Art L 122-4) et constitue une contrefaçon réprimée par le Code pénal. • Seules sont autorisées (Art L 122-5) les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective, ainsi que les analyses et courtes citations justifiées par le caractère critique, pédagogique ou d’information de l’œuvre à laquelle elles sont incorporées, sous réserve, toutefois, du respect des dispositions des articles L 122-10 à L 122-12 du même Code, relatives à la reproduction par reprographie.

Édition et diffusion de la version française : Dunod Distribution : Hachette Livre Distribution Couverture : Agence SAMOA Adapté de l’américain par : Bénédicte Volto et Véronique Warion Mise en page : Arclemax ISBN : 978-2-10-055201-6

Sommaire

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i Partie I

Préparation 1

Présentation de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . .3 Une attente justifiée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Virtualisation du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Services de domaine Active Directory redémarrables . . . . . . . . . . . . 6 Stratégies de mots de passe granulaires . . . . . . . . . . . . . . . . . . . . . . . . 6 Outil d’extraction de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Passerelle des services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . 7 Terminal Services RemoteApp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Terminal Services Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Terminal Services Session Broker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Mode maintenance des services Terminal Server . . . . . . . . . . . . . . . . 8 Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Arrêt des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Autres fonctionnalités de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Randomisation du chargement de l’espace d’adressage . . . . . . . . . . 9 Chiffrement de lecteur BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Protection d’accès réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Versions de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Sommaire

2

Présentation des services d’annuaire . . . . . . . . . . . . . . . . . . . . . . . 13 Pourquoi des services d’annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Active Directory dans Microsoft Windows Server 2008 . . . . . . . . . . . . . . . . 15 Terminologie et concepts d’Active Directory . . . . . . . . . . . . . . . . . . . 16 Architecture Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Formats de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Modèle de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Mise en œuvre du schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Modèle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Contextes d’attribution de noms et partitions . . . . . . . . . . . . . . . . . . 22 Catalogue global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3

Planification de l’espace de noms et des domaines . . . . . . . . . . . 25 Analyser les besoins en termes de conventions de noms . . . . . . . . . . . . . . 25 Arborescences et forêts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Définir une convention de nommage . . . . . . . . . . . . . . . . . . . . . . . . . 27 Déterminer la résolution de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Planifier une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Domaines et unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Concevoir une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . 34 Indications sur la sécurité du domaine . . . . . . . . . . . . . . . . . . . . . . . . 35 Créer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Planifier plusieurs domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Planifier un espace de noms contigu . . . . . . . . . . . . . . . . . . . . . . . . . 37 Déterminer le besoin d’une forêt à plusieurs arborescences . . . . . . 37 Créer la forêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4

Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Fonctionnement de l’informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Identifier les besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Élaborer un cahier des charges précis . . . . . . . . . . . . . . . . . . . . . . . . . 41 Anticiper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Analyser les systèmes existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Documenter le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Sommaire

Élaborer un schéma directeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Définir les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Évaluer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Partie II

Installation et configuration 5

Démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Configuration système minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Concevoir un environnement de déploiement . . . . . . . . . . . . . . . . . . . . . . . 53 Choisir une méthode d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Installer Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Automatiser le déploiement d’un serveur . . . . . . . . . . . . . . . . . . . . . 61 Installer et configurer les services de déploiement Windows . . . . . 63 Ajouter des images supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . 69 Dépanner des installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Échec du démarrage à partir d’un point de distribution du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Fichier corrompu lors de l’installation . . . . . . . . . . . . . . . . . . . . . . . . . 74 Impossibilité de trouver un disque dur . . . . . . . . . . . . . . . . . . . . . . . . 75 Erreurs STOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

6

Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . 77 Mettre la matrice à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Éléments communs à mettre à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Phases préalables à la mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Support matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Support logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Préparer les domaines et les ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Mettre les clients à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Effectuer la mise à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 87 Niveaux fonctionnels de forêt et de domaine . . . . . . . . . . . . . . . . . . 92 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Sommaire

7

Configuration d’une nouvelle installation . . . . . . . . . . . . . . . . . . . 93 Vue d’ensemble des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Première ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Configurer le matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Configurer les informations de base sur l’ordinateur . . . . . . . . . . . . . . . . . . 97 Définir le fuseau horaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Configurer le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Définir le nom de l’ordinateur et le domaine . . . . . . . . . . . . . . . . . 101 Paramètres de mises à jour et des rapports d’erreurs . . . . . . . . . . . . . . . . . 104 Activer les mises à jour et l’envoi de rapports d’erreurs . . . . . . . . . 104 Obtenir des mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Personnaliser le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Ajouter la fonctionnalité Windows PowerShell . . . . . . . . . . . . . . . . 111 Activer le Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Configurer le Pare-feu Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Quitter l’Assistant Tâches de configuration initiales . . . . . . . . . . . . . . . . . . 117 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

8

Installation des rôles de serveurs et des fonctionnalités . . . . . . 119 Définition des rôles de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Ajouter et supprimer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Ajouter un rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Supprimer un rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Ajouter et supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Ajouter des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Ajouter et supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Ajouter des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

9

Installation et configuration de Server Core . . . . . . . . . . . . . . . . 147 Avantages d’une installation Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Installer Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Sommaire

Configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Installer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Gérer un ordinateur Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Exploiter WinRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Exploiter Terminal Services RemoteApp . . . . . . . . . . . . . . . . . . . . . . 162 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

10

Gestion des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Planifier le déploiement d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Convention de dénomination pour les imprimantes . . . . . . . . . . . 166 Convention de dénomination pour les emplacements . . . . . . . . . 167 Créer un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Activer le suivi des emplacements des imprimantes . . . . . . . . . . . . . . . . . . 169 Migrer des serveurs d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Exploiter l’Assistant Migration d’imprimante . . . . . . . . . . . . . . . . . . 172 Utiliser la ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Installer des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Déployer des imprimantes via la Stratégie de groupe . . . . . . . . . . . . . . . . 176 Ajouter PushPrinterConnections via la Stratégie de groupe . . . . . 177 Gérer les tâches d’impression à partir de Windows . . . . . . . . . . . . . . . . . . 179 Arrêter temporairement des tâches d’impression . . . . . . . . . . . . . . 179 Annuler des tâches d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Redémarrer une tâche d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 179 Changer la priorité d’une tâche d’impression . . . . . . . . . . . . . . . . . 180 Déplacer des tâches d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Gérer des imprimantes en ligne de commandes . . . . . . . . . . . . . . . . . . . . . 181 Définir les options de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Modifier les priorités de groupes et la disponibilité des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Spécifier une page de séparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Modifier le spoulage d’impression par imprimante . . . . . . . . . . . . . . . . . . 186 Spouler l’impression des documents pour qu’elle se termine plus rapidement . . . . . . . . . . . . . . . . . . . . . 186 Imprimer directement sur l’imprimante . . . . . . . . . . . . . . . . . . . . . . 186 Conserver les documents non conformes . . . . . . . . . . . . . . . . . . . . 186 Imprimer d’abord les documents présents dans le spouleur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Conserver les documents imprimés . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Modifier le spoulage sur un serveur d’impression . . . . . . . . . . . . . . . . . . . . 187

Sommaire

Optimiser les performances du serveur d’impression . . . . . . . . . . . . . . . . . 187 Déplacer le dossier du spoulage d’impression . . . . . . . . . . . . . . . . . 188 Gérer les pilotes d’imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Créer des pools d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Se préparer en cas d’échec du serveur d’impression . . . . . . . . . . . . . . . . . 190 Dépanner les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Côté serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Côté client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

11

Gestion des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . 197 Généralités sur les groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Affecter des étendues de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Planifier les unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Créer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Déplacer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Supprimer des unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . 202 Planifier une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Déterminer les noms des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Groupes globaux et de domaine local . . . . . . . . . . . . . . . . . . . . . . . 203 Groupes universels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Mettre une stratégie de groupe en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Créer des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Supprimer des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Ajouter des utilisateurs à un groupe . . . . . . . . . . . . . . . . . . . . . . . . . 205 Gérer les groupes par défaut et les droits utilisateur . . . . . . . . . . . . . . . . . 208 Groupes locaux intégrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Groupes de domaine local prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . 210 Groupes globaux prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Définir les droits utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Affecter des droits utilisateur à un groupe . . . . . . . . . . . . . . . . . . . . 217 Créer des comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Nommer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Options des comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Créer un compte utilisateur de domaine . . . . . . . . . . . . . . . . . . . . . 221 Créer un compte utilisateur local . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Configurer les propriétés d’un compte utilisateur . . . . . . . . . . . . . 222 Tester les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Sommaire

Gérer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Localiser un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Désactiver et activer un compte utilisateur . . . . . . . . . . . . . . . . . . . 225 Supprimer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Déplacer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Renommer un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Réinitialiser le mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Déverrouiller un compte utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Dossiers de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Créer des dossiers de base sur un serveur . . . . . . . . . . . . . . . . . . . . 228 Donner accès aux dossiers de base aux utilisateurs . . . . . . . . . . . . 229 Profils utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Profils locaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Profils itinérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Profils obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 Affecter un script d’ouverture de session à un profil utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

12

Gestion des ressources de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 239 Autorisations de partage et autorisations de fichiers . . . . . . . . . . . . . . . . . 240 Autorisations de partage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Autorisations de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Autorisations NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Signification des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Fonctionnement des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Configurer les autorisations de dossiers . . . . . . . . . . . . . . . . . . . . . . 247 Attribuer des autorisations aux fichiers . . . . . . . . . . . . . . . . . . . . . . . 247 Configurer des autorisations spéciales . . . . . . . . . . . . . . . . . . . . . . . 248 Notion de propriété et son fonctionnement . . . . . . . . . . . . . . . . . . 250 Dossiers partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Gestion du partage et du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Ligne de commandes : Net Share . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Publier des partages dans Active Directory . . . . . . . . . . . . . . . . . . . 256 Système de fichiers distribués . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Terminologie DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Configuration minimale sur le serveur d’espaces de noms . . . . . . 260 Configuration minimale sur le client de l’espace de noms . . . . . . 260

Sommaire

Réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Installer Gestion du système de fichiers distribués DFS . . . . . . . . . 263 Créer ou ouvrir une racine d’espace de noms . . . . . . . . . . . . . . . . . 264 Ajouter des serveurs d’espaces de noms . . . . . . . . . . . . . . . . . . . . . 266 Ajouter des dossiers DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Modifier les paramètres avancés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Sauvegarder et restaurer les cibles de dossiers DFS . . . . . . . . . . . . 270 Exploiter Réplication DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

13

Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Nouveautés de Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Composants de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Objets de la stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Ordre de mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Ordre d’héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Créer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 284 Modifier un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . 284 Supprimer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . 285 Localiser un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . 285 GPO Starter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Préférences de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 288 Utiliser les préférences de la stratégie de groupe pour Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Configurer les options communes . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Utiliser les préférences de la stratégie de groupe pour le Panneau de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 Déléguer des autorisations sur les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Déléguer l’autorisation de créer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Déléguer l’autorisation de lier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Déléguer l’autorisation de modifier, supprimer ou changer la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Désactiver une branche de GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Actualiser la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Sauvegarder un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . 338 Restaurer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Restreindre la redirection des dossiers avec la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Rediriger vers un même emplacement . . . . . . . . . . . . . . . . . . . . . . . 339

Sommaire

Rediriger par appartenance de groupe . . . . . . . . . . . . . . . . . . . . . . 340 Supprimer la redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Utiliser le Jeu de stratégie résultant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Exécuter une requête Jeu de stratégie résultant . . . . . . . . . . . . . . . 342 Jeu de stratégie résultant de journalisation . . . . . . . . . . . . . . . . . . . 343 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Partie III

Administration du réseau 14

Gestion des tâches quotidiennes . . . . . . . . . . . . . . . . . . . . . . . . . 347 Contrôle de compte d’utilisateur et administration . . . . . . . . . . . . . . . . . . 347 Mode d’approbation d’administrateur . . . . . . . . . . . . . . . . . . . . . . . 348 Contrôle de compte d’utilisateur et virtualisation du Registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Désactiver les aspects du Contrôle de compte d’utilisateur . . . . . 349 Désactiver le Contrôle de compte d’utilisateur . . . . . . . . . . . . . . . . 352 Exploiter la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Définir les options de la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . 353 Créer une console MMC avec des composants logiciels enfichables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Exploiter l’Assistant Nouvelle vue de la liste des tâches . . . . . . . . . 355 Distribuer et exploiter des consoles . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Exploiter la MMC pour l’administration à distance . . . . . . . . . . . . . 356 Définir la stratégie d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Catégories d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Auditer les événements du service d’annuaire . . . . . . . . . . . . . . . . 362 Activer l’audit des objets Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Définir la stratégie d’audit globale . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Activer l’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Exploiter l’Observateur d’événements . . . . . . . . . . . . . . . . . . . . . . . . 370 Gérer les journaux d’événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 Exploiter le Planificateur de tâches . . . . . . . . . . . . . . . . . . . . . . . . . . 378 Exploiter la commande AT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Déléguer des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Sommaire

15

Administration par les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Introduction à Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Fonctionnement de Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Fondamentaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 L’interpréteur PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Cmdlets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Infrastructure Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 .NET Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Windows Management Instrumentation (WMI) . . . . . . . . . . . . . . . 402 Windows Remote Management (WinRM) . . . . . . . . . . . . . . . . . . . . 404 COM (Component Object Model) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Créer des fenêtres contextuelles et des boîtes de saisie . . . . . . . . . 405 Exploration de PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Get-Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Get-Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Get-Member . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Affichage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Jeux de paramètres et paramètres positionnels . . . . . . . . . . . . . . . 412 Charger un composant logiciel enfichable . . . . . . . . . . . . . . . . . . . . 414 Bases de l’écriture de scripts PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 Créer un script .ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Commentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Chaînes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 Chaînes Here . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420 Caractères génériques et expressions régulières . . . . . . . . . . . . . . . 421 Tableaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 Tables de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Opérateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Instructions conditionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 Instructions de bouclage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Importer vers et exporter depuis d’autres fichiers . . . . . . . . . . . . . 430 Contrôle du flux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Mettre les cmdlets en forme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Quitter les scripts, les fonctions et les boucles . . . . . . . . . . . . . . . . . 434 Source-point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 Passer des arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Sommaire

Instruction Param . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436 $_ et $input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 Gérer les erreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Opérateurs de redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Accélérateurs de saisie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Caractères d’échappement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Exemples Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Tâches sur le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Tester l’existence d’un fichier ou d’un répertoire . . . . . . . . . . . . . . 443 Cmdlets de sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . 444 Exemple de gestion de Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . 444 Support XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 FTP (File Transfer Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Télécharger un fichier avec HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 Envoyer un courriel via SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 Compresser des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 PowerShell et les dates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 Minuterie/compte à rebours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 Récupérer l’entrée de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 Stocker des informations sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . 451 Consultez les services et les processus . . . . . . . . . . . . . . . . . . . . . . . 452 Consulter le journal d’événements Windows . . . . . . . . . . . . . . . . . . 453 Collecter les informations sur la mémoire et le processeur . . . . . . 455 Accéder aux compteurs de performance . . . . . . . . . . . . . . . . . . . . . 456 Vérifier l’utilisation de l’espace disque . . . . . . . . . . . . . . . . . . . . . . . 458 Exploiter le registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 Copier des fichiers dans un autre répertoire . . . . . . . . . . . . . . . . . . 459 Alterner les journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 Renommer les fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 Planifier des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 Exécuter des commandes sur plusieurs cibles . . . . . . . . . . . . . . . . . 462 Créer des données XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Vérifier les ports ouverts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Head, Tail, Touch et Tee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

16

Installation et configuration des services d’annuaire . . . . . . . . . 467 Active Directory dans Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . 467 Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 468

Sommaire

Services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 Services AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470 Services AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 Services de certificats Active Directory . . . . . . . . . . . . . . . . . . . . . . . 473 Installer les services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . 473 Conditions préalables à l’installation des services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 Installer les services AD DS avec l’Assistant Installation des services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Compatibilité du système d’exploitation . . . . . . . . . . . . . . . . . . . . . 477 Configuration du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 Nommer le domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 Définir les niveaux fonctionnels Windows Server 2008 . . . . . . . . . 480 Emplacements de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482 Terminer l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Ajouter un contrôleur de domaine à un domaine existant . . . . . . 484 Vérifier l’installation des services AD DS . . . . . . . . . . . . . . . . . . . . . . 484 Options avancées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485 Installer à partir d’un support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Installation automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Désinstaller les services de domaine Active Directory . . . . . . . . . . 489 Installer et configurer des contrôleurs de domaine en lecture seule . . . . 491 Définition des contrôleurs de domaine en lecture seule . . . . . . . . 492 Intérêt des contrôleurs de domaine en lecture seule . . . . . . . . . . . 493 Déléguer l’installation et l’administration d’un contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494 Configurer des stratégies de réplication de mot de passe . . . . . . . 495 Gérer les services AD DS avec Utilisateurs et ordinateurs Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 Afficher les objets AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 Créer un objet ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Configurer des objets ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Gérer un ordinateur à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 Publier un dossier partagé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 Publier une imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 Déplacer, renommer et supprimer des objets . . . . . . . . . . . . . . . . . 505 Gérer les services AD DS avec Domaines et approbations Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505 Démarrer Domaines et approbations Active Directory . . . . . . . . . 506

Sommaire

Gérer les relations d’approbation de domaines . . . . . . . . . . . . . . . 506 Spécifier le gestionnaire du domaine . . . . . . . . . . . . . . . . . . . . . . . . 509 Configurer les suffixes UPN pour une forêt . . . . . . . . . . . . . . . . . . . 509 Exploiter Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 510 Vue d’ensemble des sites Active Directory . . . . . . . . . . . . . . . . . . . . 512 Réplication Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Démarrer Sites et services Active Directory . . . . . . . . . . . . . . . . . . . 515 Installer et configurer les services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . 521 Vue d’ensemble des services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . 521 Fonctionnalités AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522 Configurer des instances et les partitions d’applications . . . . . . . . 523 Gérer les services AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526 Configurer la réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531 Configurer la synchronisation AD DS et AD LDS . . . . . . . . . . . . . . . 532 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534

17

Gestion d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535 Maintenir la base de données AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535 Stockage des données AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535 Recyclage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 Défragmentation en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 Services AD DS redémarrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 Défragmentation hors ligne de la base de données AD DS . . . . . 539 Déplacer la base de données et les journaux de transactions . . . . 540 Sauvegarder AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541 Intérêts de la sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 Fréquence de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544 Sauvegarder les services AD DS avec Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 Restaurer AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 Supprimer des contrôleurs de domaine d’Active Directory avec Ntdsutil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546 Effectuer une restauration ne faisant pas autorité d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548 Effectuer une restauration faisant autorité d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550 Gérer le schéma AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552 Conditions requises pour modifier le schéma AD DS . . . . . . . . . . . 553 Démarrer Schéma Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Sommaire

Modifier le schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554 Gérer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . 560 Transférer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . 564 Forcer les rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . 565 Auditer AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566 Configurer la stratégie d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566 Activer l’audit des modifications Active Directory . . . . . . . . . . . . . . 570 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572

18

Administration de TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573 Utiliser DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574 Concevoir des réseaux DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574 Ajouter le rôle Serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576 Créer une nouvelle étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 Autoriser le serveur DHCP et activer les étendues . . . . . . . . . . . . . 589 Ajouter des réservations d’adresses . . . . . . . . . . . . . . . . . . . . . . . . . . 590 Redondance de serveurs DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592 Paramétrer un agent relais DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 593 Administrer DHCP à partir de la ligne de commandes . . . . . . . . . . 595 Utiliser un serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 Configurer un serveur DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596 Créer des sous-domaines et déléguer l’autorité . . . . . . . . . . . . . . . 602 Ajouter des enregistrements de ressources . . . . . . . . . . . . . . . . . . . 604 Configurer les transferts de zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607 Interagir avec d’autres serveurs DNS . . . . . . . . . . . . . . . . . . . . . . . . . 608 Configurer un redirecteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 Configurer un serveur WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612

19

Mise en œuvre de la gestion des disques . . . . . . . . . . . . . . . . . . . 613 Terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614 Vue d’ensemble de Gestion des disques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617 Gestion à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 Disques dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 Ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621 Ajouter un nouveau disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621 Partitions et volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624 Créer un volume ou une partition . . . . . . . . . . . . . . . . . . . . . . . . . . . 624

Sommaire

Créer des partitions étendues et des lecteurs logiques . . . . . . . . . 629 Convertir un disque en disque dynamique . . . . . . . . . . . . . . . . . . . 630 Convertir un disque en disque GPT . . . . . . . . . . . . . . . . . . . . . . . . . . 630 Modifier la taille d’un volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631 Ajouter un miroir à un volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635 Définir des quotas de disques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 Activer les quotas sur un disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 Définir des quotas par utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640 Importer et exporter des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642 Activer le chiffrement de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646

20

Gestion du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647 Gestionnaire de ressources du serveur de fichiers . . . . . . . . . . . . . . . . . . . . 647 Installer et configurer le Gestionnaire de ressources du serveur de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648 Planifier les rapports de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . 651 Quotas de répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653 Filtrer les fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659 Tour d’horizon du Gestionnaire SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666 Concepts et terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667 Installer le Gestionnaire de stockage pour réseau SAN . . . . . . . . . 670 Exploiter la console Gestionnaire de stockage pour réseau SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671 Gérer les connexions aux serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 672 Gérer les cibles iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673 Gérer la sécurité iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675 Se connecter aux cibles iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676 Créer et déployer des LUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677 Étendre un LUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682 Stockage amovible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684 Concepts et terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684 Exploiter et gérer le stockage amovible . . . . . . . . . . . . . . . . . . . . . . 688 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692

21

Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693 Qu’est-ce qu’un cluster ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693 Clusters d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . 694 Clusters avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694

Sommaire

Nouvelles fonctionnalités du cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695 Windows Server 2008 Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696 Scénarios de clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Serveur web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Applications et services cruciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Pré-requis et planification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698 Identifier et évaluer les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698 Identifier une solution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699 Identifier et évaluer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699 Créer des listes de vérifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700 Clusters d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 700 Concepts de l’équilibrage de la charge réseau . . . . . . . . . . . . . . . . 700 Choisir un modèle de cluster NLB . . . . . . . . . . . . . . . . . . . . . . . . . . . 701 Créer un cluster d’équilibrage de la charge réseau . . . . . . . . . . . . . 703 Planifier la capacité d’un cluster d’équilibrage de la charge réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709 Tolérance de pannes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710 Optimiser un cluster à équilibrage de la charge réseau . . . . . . . . . 710 Clusters avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711 Concepts du cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . 711 Types de ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713 Définir le basculement et la restauration . . . . . . . . . . . . . . . . . . . . . 716 Configurer un cluster avec basculement . . . . . . . . . . . . . . . . . . . . . 717 Planifier la capacité d’un cluster avec basculement . . . . . . . . . . . . 719 Créer un cluster avec basculement . . . . . . . . . . . . . . . . . . . . . . . . . . 720 Clusters HPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731

Introduction « Pour améliorer il faut changer ; pour obtenir la perfection, il faut changer souvent » – Winston Churchill. Le changement est inévitable, constant et indispensable. Que vous soyez ou non de cet avis, il vous faut accepter que toute amélioration exige changement. Même si la mise à niveau des serveurs et des clients représente une tâche importante pour un administrateur, elle constitue également l’opportunité d’améliorer les fonctions du réseau. Windows Server 2008 contient nombre d’outils destinés à vous aider à changer pour le meilleur.

La famille Windows Server 2008 Windows Server existe dans cinq versions principales, dont trois sont disponibles sans Windows Server Hyper-V, soit un total de huit éditions : ■ Windows Server 2008 Standard ■ Windows Server 2008 Enterprise ■ Windows Server 2008 Datacenter ■ Windows Server 2008 for Itanium-Based Systems ■ Windows Web Server 2008 ■ Windows Server 2008 Standard without Hyper-V ■ Windows Server 2008 Enterprise without Hyper-V ■ Windows Server 2008 Datacenter without Hyper-V

Internet Information Services 7.0

Protection de l’accès réseau (NAP)

Service de gestion des droits AD

Passerelle Terminal Server et Applications distantes

Gestionnaire de serveur

Standard

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Enterprise

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Datacenter

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Web

Oui

Non

Oui

Non

Non

Non

Non

Oui

Itanium

Non

Non

Oui

Non

Non

Non

Non

Oui

Hyper-V

Édition

Server Core

Services de déploiement Windows

Le tableau ci-après décrit les fonctionnalités disponibles dans les cinq versions principales.

i

ii

Introduction

Le tableau suivant fournit quelques indications quant à la configuration matérielle minimale. La configuration réelle varie selon le système et plus particulièrement selon les applications et fonctionnalités employées. Les performances du processeur dépendent non seulement de la fréquence d’horloge du processeur, mais également du nombre de cœurs de processeur et de la taille du cache de processeur. L’espace disque requis pour la partition système est approximatif. Ces estimations varient pour les systèmes d’exploitation basés sur un processeur Itanium ou x64. Un espace disque supplémentaire peut être requis si vous installez le système sur un réseau. Composant

Configuration

Processeur

Minimale : 1 GHz (pour processeurs x86) ou 1,4 GHz (pour processeurs x64) Recommandée : 2 GHz ou plus rapide.

Mémoire

Minimale : 512 Mo Recommandée : 2 Go ou plus Optimale : 2 Go pour une installation complète ou 1 Go pour une installation Server Core Maximale pour les systèmes 32 bits : 4 Go (Standard) ou 64 Go (Enterprise et Datacenter) Maximale pour les systèmes 64 bits : 32 Go (Standard) ou 2 To (Enterprise, Datacenter et systèmes Itanium)

Espace disque requis

Minimale : 10 Go Recommandée : 40 Go ou plus Les ordinateurs disposant de plus de 16 Go de RAM peuvent avoir besoin d’un espace disque supplémentaire pour les fichiers de pagination, de mise en veille prolongée et d’image mémoire

Lecteur

DVD-ROM

Écran

Super VGA (800 x 600) ou résolution supérieure

Autres

Clavier, souris ou autre périphérique de pointage

Remarque Un processeur Intel Itanium 2 est requis pour Windows Server 2008

Itanium.

Nouveautés de Windows Server 2008 Windows Server 2008 s’accompagnent évidemment d’un large panel de nouvelles fonctionnalités, dont certaines ne sont pas explicites de prime abord et exigent quelques éclaircissements : ■ Le Gestionnaire de serveur, une forme développée de la console MMC, rassemble dans

une unique interface les fonctionnalités de configuration et d’analyse du serveur,

Introduction

iii

associées à des assistants qui simplifient et rationalisent les tâches classiques de gestion du serveur. ■ Windows PowerShell, un nouvel interprétateur en ligne de commandes optionnel et

un nouveau langage d’écriture de script, grâce auquel les administrateurs automatisent les tâches routinières d’administration du système sur plusieurs serveurs. ■ Les extensions des préférences de la Stratégie de groupe permettent de configurer des

paramètres plus simples à déployer et à gérer que les scripts d’ouverture de session. ■ Le Moniteur de fiabilité et de performances propose des outils de diagnostic offrant

une visibilité continue, à la fois physique et virtuelle, de l’environnement du serveur qui mettent en évidence et résolvent rapidement les problèmes. ■ L’administration de serveur et la réplication des données optimisées accentuent le

contrôle sur les serveurs distants. ■ Server Core propose des installations minimales où seuls les rôles et fonctionnalités de

serveur nécessaires sont installés, réduisant ainsi les besoins en maintenance et la surface d’attaque du serveur. ■ Les assistants du clustering avec basculement simplifient la mise en œuvre des

solutions haute disponibilité. IPv6 (Internet Protocol version 6) est maintenant entièrement intégré. ■ La nouvelle Sauvegarde de Windows Server incorpore une technologie de sauvegarde

plus rapide et simplifie la restauration des données et du système d’exploitation. ■ Windows Server 2008 Hyper-V permet de virtualiser les rôles de serveur sous forme de

machines virtuelles (VM, virtual machine) séparées s’exécutant sur un unique ordinateur physique, sans avoir à acquérir un logiciel tiers. ■ Un unique serveur Hyper-V permet d’installer plusieurs systèmes d’exploitation

(Windows, Linux et autres). ■ Les Applications distantes (RemoteApp) des services Terminal Server (TS) permettent

d’ouvrir d’un clic des programmes auxquels on accède à distance et de les afficher comme s’ils s’exécutaient sur l’ordinateur local de l’utilisateur final. ■ La plate-forme de publication Microsoft Web unifie IIS 7.0, ASP.NET, Windows

Communication Foundation et les services Windows SharePoint. ■ La Protection de l’accès réseau (NAP, Network Access Protection) protège le réseau et les

systèmes contre toute compromission engendrée par des ordinateurs malsains, isolant et/ou réparant les ordinateurs qui ne satisfont pas aux stratégies de sécurité définies. ■ Le

contrôle des comptes utilisateur propose une nouvelle d’authentification qui protège contre les logiciels malveillants.

architecture

■ Le Contrôleur de domaine en lecture seule (RODC, Read Only Domain Controller)

propose une méthode d’authentification locale plus sûre des utilisateurs se trouvant sur des sites distants, grâce à un réplica en lecture seule de la base de données AD principale.

iv

Introduction ■ Le Chiffrement de lecteur BitLocker procure une protection améliorée contre le vol et

l’exposition de données contenues dans des ordinateurs perdus ou volés et permet de supprimer les données en toute sécurité lorsque les ordinateurs protégés par BitLocker sont mis hors service. Et, comme on dit, ce n’est pas tout, et de loin.

Contenu du livre Le Kit de l’administrateur Windows Server 2008 se compose de deux tomes organisés de sorte à correspondre approximativement à chaque phase du développement d’un réseau Windows Server 2008. Dans le tome 1, les chapitres 1 à 4 sont consacrés à la planification. Peut-être avez-vous déjà entendu la célèbre citation d’Edison, « Le génie, c’est un pourcent d’inspiration et 99 pourcents de transpiration ». Modifiez-la légèrement et vous disposez d’une excellente devise pour la mise en œuvre des réseaux : « Un bon réseau, c’est un pourcent de mise en œuvre et 99 pourcents de préparation ». Le premier chapitre fait un tour d’horizon de Windows Server 2008, ainsi que de ses composants et fonctionnalités. Il est suivi des chapitres sur les services d’annuaire et la planification de l’espace de noms. Le dernier chapitre de cette section traite des problèmes spécifiques qui se présentent pendant la planification du déploiement. Les chapitres 5 à 9 couvrent l’installation et la configuration initiale. Ces chapitres décrivent le processus d’installation de Windows Server 2008, la configuration du matériel, ainsi que l’installation des rôles de serveur et de Server Core. Les chapitres 11 à 21 parlent des tâches quotidiennes, dont la gestion des ressources de fichiers et l’utilisation de scripts pour l’administration. Dans le tome 2, les chapitres 1 à 5 concernent la sécurité : création et mise en œuvre d’un plan de sécurité. Les chapitres 6 à 10 décrivent les nouvelles fonctionnalités, dont la virtualisation et les services Terminal Server, élargissant tous deux les capacités de Windows Server 2008. Les derniers chapitres relatifs au réglage, à la maintenance et à la réparation fournissent d’importantes informations sur la santé du réseau. Un chapitre est consacré à la sauvegarde de Windows Server et un autre à l’analyse des performances. Cette dernière partie comporte également des chapitres traitant de la planification et de la prévention des conditions d’urgence. Si, malgré tous vos efforts, le réseau subit des défaillances, vous y trouverez des informations sur le dépannage et la récupération. Nous avons également inclus un chapitre sur le registre, le cerveau de Windows Server 2008, et quelques conseils si vous devez intervenir sur le registre. À la fin du tome 2, vous trouverez des informations complémentaires sur les changements apportés à l’interface et les outils de support.

Introduction

v

Dans chaque chapitre, nous avons essayé de rendre les informations aussi accessibles que possible. Vous trouverez des informations descriptives et théoriques, ainsi que des procédures de mise en œuvre et de configuration de fonctionnalités spécifiques. Elles sont complétées par des illustrations qui simplifient le suivi des instructions écrites. Nous avons également largement exploité les aides à l’utilisateur communes à tous les ouvrages de la série Kit d’administration. Remarque Les remarques présentent généralement d’autres manières

d’effectuer une tâche ou mettent l’accent sur certaines informations. Elles peuvent également proposer des astuces pour effectuer certaines tâches plus rapidement ou de manière moins évidente.

Important Lisez toujours attentivement le texte signalé comme Important. Ces

informations permettent souvent de gagner du temps et/ou d’éviter un problème.

En pratique Chacun profite de l’expérience des autres. Les encarts En pratique contiennent une élaboration sur un thème particulier ou les expériences de professionnels de l’informatique, comme vous.

À propos Lorsque les assistants ou certaines procédures agissent à l’arrière-plan, ces encarts décrivent ce qui se passe et que l’on ne voit pas.

Configuration système Voici la configuration système minimale nécessaire à l’exécution des fichiers d’accompagnement de ce livre : ■ Microsoft Windows XP Service Pack 2 avec les dernières mises à jour émises par

Microsoft Update. ■ Une connexion Internet. ■ Un écran de résolution 1 024 x 768. ■ Un souris Microsoft ou tout autre périphérique de pointage compatible.

vi

Introduction

À propos des fichiers d’accompagnement Vous trouverez en téléchargement sur le site dunod.com, sur la page dédiée à l’ouvrage, les scripts des chapitres 9 et 15 du tome 1.

Support Nous avons apporté la plus grande attention à la précision de ce livre et des fichiers d’accompagnement. Les éventuelles corrections apportées à cet ouvrage sont disponibles à l’adresse http://www.microsoft.com/mspress/support/search.aspx (en anglais). Pour tout commentaire, question ou idée relatifs à ce livre ou aux fichiers d’accompagnement, adressez-vous à Microsoft Press par le biais de l’une des méthodes suivantes : Courrier électronique : [email protected] Courrier postal : Microsoft Press Attn : Windows Server 2008 Administrator’s Companion Editor One Microsoft Way Redmond, WA 98052-6399 Ces adresses de messagerie ne fournissent aucun support. Pour plus d’informations techniques, reportez-vous au site Web de Microsoft à l’adresse http://support.microsoft.com/.

Partie I

Préparation Chapitre 1 : Présentation de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Chapitre 2 : Présentation des services d’annuaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Chapitre 3 : Planification de l’espace de noms et des domaines . . . . . . . . . . . . . . . . . . .25 Chapitre 4 : Planification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

Chapitre 1

Présentation de Windows Server 2008 Une attente justifiée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Virtualisation du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Contrôleur de domaine en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Services Terminal Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Gestionnaire de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Sauvegarde de Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Arrêt des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Autres fonctionnalités de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Versions de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Comme son nom l’indique, Windows Server 2008 arrive cinq ans après Windows Server 2003. À l’échelle humaine, cela peut sembler assez court, mais pour un produit informatique, c’est une éternité ! Comment expliquer cette attente ? Cherchons du côté de Windows Vista, qui, publié plus de cinq ans après son prédécesseur, Windows XP, propose de nombreuses fonctionnalités nouvelles ou améliorées en matière de réseau, de gestion, d’administration et surtout de sécurité. Il était donc inconcevable que Windows Server 2008, élaboré sur la même base de code, soit publié avant la finalisation de Windows Vista et qu’il ne bénéficie pas de ces nouvelles fonctionnalités.

3

4

Partie I

Préparation

Une attente justifiée La sortie de Windows Server 2008 s’est fait attendre, mais ce délai est largement justifié. En effet, ce système fournit une aide inestimable aux services informatiques qui sont soumis aux exigences de réduction du personnel et du budget. Les fonctionnalités nouvelles et améliorées de Windows Server 2008 ont pour objectif de diminuer les coûts d’administration et de gestion sans jamais compromettre la sécurité ni compliquer l’utilisation. Il ne s’agit pas de changements radicaux et quel plaisir d’entendre parler de contrôleurs de domaine en lecture seule, de réseau basé sur des stratégies, de Windows PowerShell ou de considérables modifications des services Terminal Server ! Ces fonctionnalités, parmi d’autres, ne pourront que ravir le cœur des administrateurs surchargés de travail.

Virtualisation du serveur On ne parle des serveurs virtuels que depuis peu, alors que la virtualisation existe déjà depuis plusieurs années. L’élément nouveau est la virtualisation intégrée dans Windows Server 2008. La sous-utilisation des serveurs est bien plus courante que ce que l’on s’imagine. Dans la plupart des cas, les serveurs assurent une tâche spécifique qui requiert peut-être dix ou vingt pourcents de leurs capacités. Et le reste, qui a été acheté et installé, est inutile. La virtualisation de nombreux serveurs sur un seul ordinateur optimise l’usage d’un serveur, en réduisant les coûts de gestion et d’administration. Le chapitre 8 du tome 2, « Virtualisation Windows », explique comment la virtualisation permet d’exploiter efficacement les ressources matériel.

Server Core Windows Server 2008 propose d’installer un environnement minimaliste hautement sécurisé et de charge réduite appelé Server Core. Cette option d’installation consiste à installer uniquement le sous-ensemble des fichiers binaires requis par les rôles de serveur pris en charge et laisse de côté l’interface graphique. Les administrateurs travaillent en invite de commandes ou exploitent des techniques de script pour assurer l’administration locale du serveur. Ils peuvent également gérer l’installation Server Core, qu’ils sélectionnent comme ordinateur distant à gérer, à partir d’un autre ordinateur Windows Server 2008 par le biais de la console MMC (Microsoft Management Console). Les serveurs sans interface utilisateur (GUI, Graphical User Interface) sont des cibles moins visées par les hackers et leur installation exige moins d’espace (environ 1 Go). On peut configurer une installation Server Core virtualisée destinée à exécuter des rôles comme le Serveur DHCP, le Serveur DNS, Internet Information Services, le Serveur d’impression, les Services de domaines Active Directory, les Services AD LDS (Active Directory Lightweight Directory Services), etc. Reportez-vous au chapitre 9 du tome 1, « Installation et configuration de Server Core », pour découvrir la marche à suivre.

Chapitre 1

Présentation de Windows Server 2008

5

Remarque Server Core n’est pas une édition séparée de Windows Server 2008, mais une option d’installation disponible avec toutes les versions, mis à part les éditions Web et Itanium.

PowerShell Longtemps attendu, Windows PowerShell est un nouvel interprétateur en ligne de commandes qui comprend une invite interactive et un environnement de script qui s’utilisent séparément ou de concert. Windows PowerShell introduit le concept de cmdlet (prononcez « commande-let »), un outil en ligne de commandes simple et d’usage unique intégré au shell. Les cmdlets s’emploient séparément, mais elles s’avèrent plus efficaces combinées. Windows PowerShell propose plus d’une centaine de cmdlets de base qu’il est possible de combiner pour automatiser des tâches complexes. Vous pouvez même rédiger vos propres cmdlets afin de personnaliser vos scripts. PowerShell et ses améliorations sont traités au chapitre 15 du tome 1, « Administration par les scripts ».

Contrôleur de domaine en lecture seule La gestion et la sécurité des systèmes des succursales constituent le principal défi auquel les services informatiques sont confrontés. Celles-ci sont généralement trop petites pour disposer d’un propre service informatique et trop éloignées pour que les administrateurs s’y rendent en personne. Parfois, malgré une sécurité physique réduite, la succursale nécessite un contrôleur de domaine pour exécuter une ou plusieurs applications fondamentales. Dans d’autres cas, le contrôleur de domaine est le seul serveur de la succursale et se trouve être, par conséquent, indispensable pour exécuter plusieurs rôles. Un contrôleur de domaine en lecture seule répond à bon nombre des problèmes inhérents aux emplacements des succursales. Il contient les mêmes attributs et objets Active Directory que l’on retrouve sur un contrôleur de domaine inscriptible. Il est en revanche impossible d’apporter des modifications directement sur le contrôleur de domaine en lecture seule. Elles doivent être effectuées sur un contrôleur de domaine inscriptible et répliquées sur le contrôleur de domaine en lecture seule, ce qui empêche toute modification dans la succursale et les conséquences qui s’ensuivent sur l’ensemble de la forêt. En outre, comme le contrôleur de domaine en lecture seule ne subit aucune modification, il ne provoque aucun changement lors de la réplication. Les contrôleurs de domaine en lecture seule sont traités au chapitre 16 du tome 1, « Installation et configuration des services d’annuaire ».

6

Partie I

Préparation

Services de domaine Active Directory Les Services de domaine Active Directory (AD DS) ont connu de nombreux changements qui vont simplifier le travail des administrateurs. En voici quelques-uns.

Services de domaine Active Directory redémarrables La plupart des administrateurs seront d’accord : les fonctionnalités qui réduisent le nombre de redémarrages d’un contrôleur de domaine ne peuvent être que positives. Dans Windows Server 2008, les administrateurs peuvent appliquer des mises à jour, même en matière de sécurité, sans redémarrage, c’est-à-dire sans arrêter et relancer Active Directory. Dans Windows Server 2003, une défragmentation hors connexion requiert un redémarrage avec le mode restauration des services d’annuaire. Dans Windows Server 2008, il est beaucoup plus rapide d’effectuer des opérations hors connexion ; il suffit d’arrêter et de redémarrer les Services de domaine Active Directory. Pour de plus amples informations, reportez-vous au chapitre 17 du tome 1, « Gestion d’Active Directory ».

Stratégies de mots de passe granulaires Dans Windows Server 2000 et Windows Server 2003, il n’est possible de stipuler qu’une seule stratégie de mots de passe et qu’une seule règle de verrouillage de comptes (dans la stratégie de domaine par défaut), qui s’applique ensuite à tous les utilisateurs du domaine. Des paramètres de mots de passe et de verrouillage de comptes différents pour des groupes d’utilisateurs différents imposent de créer un filtre de mots de passe ou de déployer des domaines supplémentaires. Ces solutions prennent du temps et présentent par conséquent un coût élevé. Dans Windows Server 2008, la granularité permet de définir plusieurs stratégies de mots de passe au sein d’un même domaine. Par exemple, vous pouvez établir des règles plus strictes pour des mots de passe et des stratégies de verrouillage de comptes plus rigoureuses pour protéger les comptes détenant le plus de privilèges. Le chapitre 2 du tome 2, « Mise en œuvre de la sécurité », aborde les mots de passe granulaires de manière plus détaillée.

Outil d’extraction de données L’extraction de données a longtemps été exploitée par les analystes commerciaux comme outil de collecte d’informations à partir de données. Dans Windows Server 2008, l’outil d’extraction de données permet de comparer des données à partir d’instantanés ou de sauvegardes, effectués à des moments différents, et de choisir plus judicieusement les données à restaurer.

Chapitre 1

Présentation de Windows Server 2008

7

Avant Windows Server 2008, si l’on supprimait des objets ou des unités d’organisation, il était généralement impossible de connaître l’étendue et le nombre des suppressions sans restaurer une sauvegarde dans sa totalité. Il fallait redémarrer Active Directory en mode restauration des services d’annuaire. En outre, il n’existait aucune manière efficace de comparer des sauvegardes effectuées à des moments différents. L’outil d’extraction de données ne récupère pas les objets supprimés, mais offre un moyen d’examiner les modifications et de déterminer les corrections à effectuer. Pour de plus amples informations sur cet outil, reportez-vous au chapitre 13 du tome 2, « Sauvegarde et restauration du serveur ».

Services Terminal Server Les services Terminal Server n’ont jamais constitué le point fort des serveurs. Désormais, ils sont à considérer comme le joyau de Windows Server 2008. De nombreuses nouvelles fonctionnalités ont été ajoutées, dont certaines parmi les meilleures de Windows Server 2008, et d’anciennes ont été améliorées. Grâce aux services Terminal Server, on accède à un serveur exécutant des programmes Windows ou à la totalité du bureau Windows, à partir de quasiment tous les périphériques informatiques. Les utilisateurs peuvent se connecter à un serveur Terminal Server pour exécuter des programmes et exploiter les ressources du réseau sur ce serveur.

Passerelle des services Terminal Server La Passerelle des services Terminal Server est un service inclus dans le rôle Services Terminal Server. Il permet aux utilisateurs distants de se connecter au réseau via l’Internet, avec une connexion chiffrée, sans avoir à établir de connexion VPN. Dans les versions précédentes de Windows Server, les utilisateurs ne pouvaient pas se connecter à des ordinateurs distants en traversant les pare-feu et les NAT, car le port employé pour les connexions RDP, le port 3389, est généralement bloqué pour des raisons de sécurité. Avec la Passerelle des services Terminal Server, le trafic RDP est relayé au port 443, habituellement ouvert pour la connectivité Internet et par conséquent disponible pour les connexions distantes.

Terminal Services RemoteApp Terminal Services RemoteApp est sans conteste le nouvel élément le plus remarquable de Windows Server 2008. Maintenant, les ordinateurs Windows Server 2008, Windows Vista, Windows XP (Service Pack 2) ou Windows Server 2003 (Service Pack 1) accèdent aux applications Windows, lesquelles s’exécutent ensuite dans une fenêtre dédiée redimensionnable avec les entrées appropriées dans la barre des tâches. Si un programme utilise une icône de zone de notification, elle apparaît dans la zone de notification. Les fenêtres qui s’ouvrent sont redirigées vers le bureau local. L’utilisateur peut ainsi démarrer plusieurs programmes simultanément. S’il exécute plusieurs applications distantes sur le même serveur Terminal Server, les applications vont partager la même session Terminal Server.

8

Partie I

Préparation

Avec Terminal Services Easy Print, nouveau dans Windows Server 2008, les utilisateurs impriment à partir d’une application distante ou d’une session Terminal Server sur l’imprimante de leur ordinateur client.

Terminal Services Web Access Avec Terminal Services Web Access, les utilisateurs visitent un site Web (via l’Internet ou un intranet) pour accéder à une liste d’applications distantes disponibles. Lorsqu’un utilisateur démarre une application distante, une session Terminal Server démarre sur le serveur Terminal Server qui héberge l’application.

Terminal Services Session Broker Terminal Services Session Broker comprend une nouvelle fonctionnalité, l’équilibrage de charge TS Session Broker, laquelle permet de répartir la charge de la session parmi les serveurs d’une ferme de serveurs Terminal Server. Cette solution se révèle plus simple que l’équilibrage de la charge réseau Windows et optimale pour les fermes TS comprenant entre deux et cinq serveurs.

Mode maintenance des services Terminal Server Si vous prévoyez d’exploiter les nouvelles fonctionnalités des services Terminal Server, vous devrez placer un serveur hors connexion à des fins de maintenance, même si des utilisateurs sont connectés à distance. Dans Windows Server 2003, on fait appel à un outil en ligne de commandes pour désactiver les connexions distantes, ce qui empêche les utilisateurs de se reconnecter à leur session et entraîne la perte de leurs données non enregistrées, ce qui est peu souhaitable. Pour résoudre ce problème, Windows Server 2008 propose le mode maintenance des services Terminal Server, lequel empêche la connexion de nouveaux utilisateurs au serveur tout en permettant à ceux dont la session est ouverte de s’y reconnecter. Les nouvelles requêtes de connexion sont redirigées vers un autre serveur. Le mode maintenance est intégré à l’équilibrage de charge TS Session Broker ; ainsi, un serveur appartenant à une ferme à équilibrage de charge peut être placé hors connexion sans affecter l’expérience utilisateur final. Cette optimisation, ainsi que toutes les autres, est détaillée au chapitre 9 du tome 2, « Déploiement des services Terminal Server ».

Gestionnaire de serveur Le Gestionnaire de serveur est une nouvelle console qui propose un affichage complet du serveur, avec des informations sur la configuration du serveur, l’état des rôles installés et des assistants pour ajouter et supprimer des rôles et des fonctionnalités. Il donne également accès

Chapitre 1

Présentation de Windows Server 2008

9

au Gestionnaire de périphériques, à l’Observateur d’événements et à l’Analyseur de performances, permet d’effectuer une sauvegarde et de configurer les services. Il s’emploie beaucoup plus facilement que la fonction Gérer votre serveur et fournit davantage d’informations. Le Gestionnaire de serveur remplace Gérer votre serveur, Configurer votre serveur et Ajouter ou supprimer des composants Windows. Le chapitre 8 du tome 1, « Installation des rôles de serveurs et des fonctionnalités », reprend les fonctions du Gestionnaire de serveur.

Sauvegarde de Windows Server Une fonctionnalité de sauvegarde nouvelle et optimale remplace la technologie de sauvegarde dépassée des versions précédentes de Windows Server, quasiment inchangée depuis Windows NT. Conçues pour fonctionner avec les disques USB ou FireWire, les sauvegardes sont basées sur des images et sont manuelles ou automatisées. Le chapitre 16 du tome 2 dresse la liste de tous les types de sauvegardes possibles.

Arrêt des services Dans Windows Server 2003, lorsque vous arrêtez le serveur, le système d’exploitation donne 20 secondes aux applications pour se fermer elles-mêmes correctement. Si l’application ne se ferme pas dans ce laps de temps, un message vous invite à forcer sa fermeture, ce qui risque d’engendrer une perte de données. Windows Server 2008 patiente tant que les applications signalent qu’elles ont encore besoin de temps pour s’arrêter convenablement.

Autres fonctionnalités de sécurité Un grand nombre des fonctionnalités nouvelles ou améliorées mentionnées ici jouent un rôle important en matière de sécurité. Les sections suivantes sont consacrées à certaines fonctionnalités déjà présentes dans Windows Vista mais dont le rôle est plus marqué dans Windows Server 2008.

Randomisation du chargement de l’espace d’adressage La randomisation du chargement de l’espace d’adressage (ASLR, Address Space Load Randomization) constitue l’une des fonctionnalités les plus remarquables offertes par Windows Server 2008. Dans les versions précédentes de Windows (jusqu’à Windows Vista et désormais Windows Server 2008), les fichiers exécutables système et les DLL se chargeaient toujours au même emplacement, ce qui permettait aux logiciels malveillants de retrouver les API résidant à des adresses fixes. La randomisation du chargement de l’espace d’adressage garantit que deux instances suivantes d’un système d’exploitation ne chargent pas les mêmes pilotes système au même emplacement. En fait, lors du processus de démarrage, le

10

Partie I

Préparation

gestionnaire de mémoire choisit un emplacement au hasard parmi l’une des 256 adresses alignées sur 64 Ko dans la zone 16 Mo dans la partie supérieure de l’espace d’adressage en mode utilisateur. Les DLL qui possèdent le nouvel indicateur de relocalisation dynamique sont chargées en mémoire en commençant à l’emplacement désigné de manière aléatoire et en poursuivant vers le bas. Avec cette simple modification, à savoir le travail effectué à l’arrière-plan, les possibilités qu’un logiciel malveillant localise un service système sont considérablement réduites.

Chiffrement de lecteur BitLocker BitLocker est une fonctionnalité de sécurité introduite avec Windows Vista pour protéger le volume système des ordinateurs clients, en particulier les ordinateurs portables, en cas de perte ou de vol. Par exemple, un lecteur chiffré par BitLocker ne peut être supprimé d’un ordinateur et installé sur un autre en vue de contourner la sécurité Windows. Dans Windows Server 2008, BitLocker est particulièrement intéressant pour les serveurs des succursales, où la sécurité physique s’assure plus difficilement. BitLocker chiffre toutes les données stockées sur le volume système (et les volumes de données configurés), y compris le système d’exploitation Windows, les fichiers d’échange et de mise en veille prolongée, les applications et les données qu’elles exploitent. Les données sont « verrouillées » de sorte que si le système d’exploitation ne fonctionne pas ou si le lecteur de disque est physiquement retiré, elles restent chiffrées. Le chapitre 2 du tome 2, « Mise en œuvre de la sécurité », revient sur la configuration et l’emploi de BitLocker.

Pare-feu Windows Le nouveau Pare-feu Windows entre dans le cadre de la nouvelle gestion basée sur les rôles. Reposant sur la version de Windows Vista, il est bidirectionnel et activé par défaut, quels que soient les rôles que vous ayez configurés. Lorsque vous activez et désactivez des rôles et des fonctionnalités, le Pare-feu Windows se configure automatiquement de manière à n’ouvrir que les ports requis. Vous retrouverez de plus amples informations sur les opérations du nouveau pare-feu au chapitre 2 du tome 2.

Protection d’accès réseau La protection d’accès réseau (NAP, Network Access Protection) constitue un nouvel ensemble de composants du système d’exploitation qui surveillent la santé des ordinateurs clients lorsqu’ils tentent de se connecter à ou de communiquer sur un réseau. Si des ordinateurs clients sont déterminés comme étant non conformes, ils peuvent être limités à un réseau restreint jusqu’à ce qu’ils remplissent les conditions de santé requises.

Chapitre 1

Présentation de Windows Server 2008

11

La protection d’accès réseau ne protège pas contre l’action des utilisateurs malveillants. Elle met en œuvre la conformité des ordinateurs avec les stratégies de santé déterminées par l’administrateur. Par exemple, une stratégie de santé peut imposer que tous les ordinateurs demandant une connexion au réseau possèdent les dernières mises à jour Windows, qu’ils exécutent les dernières signatures anti-virus, etc. Cela se révèle particulièrement important sur les ordinateurs portables ou de domicile qui, sans cela, ne seraient la plupart du temps pas contrôlés par le réseau. Un ordinateur désigné comme non conforme à l’ouverture de session peut être redirigé vers un réseau restreint et pris en charge par des serveurs de réparation qui font le nécessaire pour que l’ordinateur devienne conforme. Le chapitre 3 du tome 2, « Administration de la Protection d’accès réseau », explique comment tirer profit au maximum de cette fonctionnalité.

Versions de Windows Server 2008 Voici les éditions 32 et 64 bits de Windows Server 2008 disponibles : ■ Windows Server 2008, Édition Web ■ Windows Server 2008, Édition Standard ■ Windows Server 2008, Édition Enterprise ■ Windows Server 2008, Édition Datacenter

Windows Server 2008 sera le dernier serveur Windows 32 bits. Comme quasiment tous les serveurs vendus sont compatibles 64 bits, envisagez sérieusement de passer à un environnement 64 bits. L’augmentation des espaces d’adressage accroît considérablement les performances. De plus, une version 64 bits bénéficie du matériel pour fournir des fonctionnalités de sécurité supplémentaires. Au niveau du serveur, la disponibilité des pilotes ne constitue plus un problème. S’il est vrai qu’un système 64 bits n’exécutera plus d’applications 16 bits, sachez que si vous possédez un programme 16 bits indispensable, vous pourrez l’exécuter dans une machine virtuelle et personne ne vous en tiendra rigueur.

Résumé Ce chapitre vous a présenté certaines des optimisations de Windows Server 2008. Les trois prochains abordent des sujets essentiels pour planifier votre déploiement de Windows Server 2008. Le prochain chapitre regroupe les concepts et la structure des Services de domaine Active Directory.

Chapitre 2

Présentation des services d’annuaire Pourquoi des services d’annuaire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Active Directory dans Microsoft Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . 15 Architecture Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Nous devons conserver tant d’informations qu’il est devenu indispensable de se fier à des annuaires. Parmi les annuaires, définis comme des listes permettant de localiser des choses, citons les horaires de bus, les index de livres et les annuaires téléphoniques. En fait, ces derniers sont à l’origine de l’analogie de deux capacités de recherche nécessaires dans les annuaires informatiques. Il y a les « pages blanches » dans lesquelles on recherche des informations à partir d’un certain attribut, un nom bien souvent. Il existe aussi les « pages jaunes » où les recherches se font par catégories. Ces deux types de recherche permettent de retrouver facilement des objets sur lesquels on ne sait pas grand-chose. Les annuaires sont essentiels au fonctionnement d’un réseau informatique. L’absence d’annuaires cohérents et accessibles se fait cruellement sentir sur les réseaux de toutes les tailles. Il n’existe pas de véritables services d’annuaire (catalogue global de services et ressources réseau) sur les réseaux Microsoft Windows NT. Les fonctionnalités d’annuaire de la version 4 offrent ces fonctionnalités, essentielles pour les réseaux d’entreprise, que sont l’ouverture de session unique et l’administration centralisée, mais présentent de graves lacunes quand il s’agit de gérer un grand nombre d’utilisateurs. L’organisation des documents en dossiers et répertoires fonctionne bien jusqu’à un certain point, mais à partir d’un nombre précis d’objets, l’administration devient complexe et onéreuse.

Pourquoi des services d’annuaire ? Dans un environnement Windows NT classique, l’utilisateur ouvre une session sur le réseau avec un certain nom, par exemple crussel, et un mot de passe. À supposer que les autorisations soient configurées comme il faut, crussel peut cliquer sur « Voisinage réseau » ou ouvrir un lecteur mappé puis explorer des ressources.

13

14

Partie I

Préparation

Tout cela se déroule très bien tant que la portée du réseau ne change pas. Supposons que l’entreprise ajoute de la messagerie électronique au réseau et que crussel soit doté d’une autre identité ([email protected]). Les autres services, bases de données et outils d’administration, identifiant chacun Charlie Russel d’une façon spécifique, doivent être accessibles par cet utilisateur. Si l’on considère que Charlie n’est qu’un utilisateur parmi des centaines ou milliers d’autres, on comprend qu’il y a là une source potentielle d’erreurs très difficiles à résoudre. Lorsque le nombre d’objets du réseau atteint un certain seuil, il devient vital de disposer de services d’annuaire, c’est-à-dire d’un emplacement centralisé contenant toutes les données requises par l’administration de l’ensemble du système informatique. Un service d’annuaire diffère d’un simple répertoire, en ce sens qu’il contient des données, plus des services permettant aux utilisateurs d’accéder à ces données. Étant à la fois un outil d’administration et un outil pour l’utilisateur final, un service d’annuaire doit satisfaire aux besoins suivants : ■ Accès à tous les serveurs, à toutes les applications et à toutes les ressources par le biais

d’une ouverture de session unique (l’utilisateur n’accède effectivement aux ressources que s’il dispose des autorisations adéquates). ■ Réplication multimaître. Toutes les données sont distribuées sur l’ensemble du système

informatique et répliquées sur plusieurs serveurs. ■ Recherches de type « pages blanches », par exemple pour faire une recherche à partir

d’un nom ou d’un type de fichier. ■ Recherches de type « pages jaunes », par exemple pour rechercher toutes les

imprimantes du troisième sous-sol ou tous les serveurs du site Lyon. ■ Suppression de la dépendance vis-à-vis des emplacements physiques, à des fins

d’administration. Cela signifie qu’il doit être possible de déléguer l’administration de l’annuaire, partiellement ou complètement. Microsoft emploie parfois les termes « services d’annuaire » dans le contexte de Windows NT, mais Windows NT n’offre pas de véritables services d’annuaire hiérarchiques. Sous Windows NT, les fonctionnalités d’annuaire sont assurées par plusieurs services, basés sur des domaines. Le service DNS (Domain Name System), qui convertit les noms d’ordinateurs en numéros IP, coopère avec des serveurs DHCP (Dynamic Host Configuration Protocol) qui allouent dynamiquement des adresses TCP/IP. Le service WINS (Windows Internet Naming Service), qui résout les noms NetBIOS, est indispensable sur les réseaux Windows NT pour le partage de fichiers et certaines applications. La sécurité repose sur les ACL (Access Control List), sur la base de données SAM (Security Accounts Manager) et sur d’autres services. Microsoft Windows 2000 Server a été le premier produit dans lequel Active Directory a remplacé les services éparpillés de Windows NT par un service unifié qui regroupe DNS, DHCP, LDAP (Lightweight Directory Access Protocol) et Kerberos. Nous reviendrons sur ces sujets, plus loin dans ce chapitre.

Chapitre 2

Présentation des services d’annuaire

15

En pratique Services d’annuaire et X.500 X.500 est une norme de services d’annuaire, créée par l’ITU (International Telecommunications Union). Cette même norme est également publiée par la commission ISO/IEC (International Standards Organization/International Electrotechnical Commission). X.500 définit le modèle de données employé par les services d’annuaire. Dans ce modèle, toutes les données d’un annuaire sont stockées dans des rubriques (entrées), dont chacune appartient à au moins une classe d’objet. Les données proprement dites d’une rubrique sont définies à l’aide d’attributs contenus dans cette rubrique. La norme X.500 d’origine de 1988 se concentrait principalement sur les protocoles à implémenter. DAP (Directory Access Protocol) spécifie comment les applications des utilisateurs accèdent aux informations de l’annuaire. DSP (Directory Service Protocol) propage entre les serveurs d’annuaire la requête d’un utilisateur si le serveur local ne peut répondre à cette requête. Aucun service d’annuaire existant n’implémente entièrement la norme X.500, mais tous les services d’annuaire, en particulier Active Directory, s’appuient sur ses spécifications fondamentales. Vous trouverez une excellente présentation des annuaires et de X.500 à l’adresse http://www.nlc-bnc.ca/9/1/p1-244-e.html.

Active Directory dans Microsoft Windows Server 2008 Les Services de domaine Active Directory (AD DS, Active Directory Domain Services) présentent de nombreux avantages, notamment le fait de pouvoir gérer des installations de toutes tailles, qu’elles soient composées d’un serveur unique avec quelques centaines d’objets, ou de milliers de serveurs avec plusieurs millions d’objets. Active Directory simplifie aussi grandement le processus de recherche des ressources sur un grand réseau. L’interface ADSI (Active Directory Services Interface) et le nouvel ADAM (Active Directory Application Mode) introduit dans Windows Server 2003 R2, permettent aux développeurs de créer des applications pouvant accéder aux annuaires, donnant ainsi aux utilisateurs un point d’accès unique vers de multiples annuaires, que ceux-ci s’appuient sur LDAP, NDS ou NTDS (NT Directory Services). Active Directory combine le concept Internet d’espace de noms et les services d’annuaire du système d’exploitation. Cette combinaison permet d’unifier plusieurs espaces de noms dans, par exemple, les environnements logiciels et matériels hétérogènes des réseaux d’entreprise, même entre systèmes d’exploitation différents. Compte tenu de sa capacité à regrouper des annuaires différents dans un unique annuaire à usage général, Active Directory diminue sensiblement les coûts induits par l’administration de plusieurs espaces de noms. Active Directory n’est pas un annuaire X.500. En fait, il emploie LDAP comme protocole d’accès et reconnaît le modèle de données de X.500 sans obliger les systèmes à prendre en charge toutes les fonctionnalités de X.500. LDAP, qui s’appuie sur TCP/IP, est beaucoup plus

16

Partie I

Préparation

simple que le protocole DAP de X.500. À l’instar de X.500, LDAP base son modèle d’annuaire sur des entrées, le nom unique (voir section suivante) servant à désigner une rubrique sans aucune ambiguïté. Au lieu d’employer le schéma de codification très structuré de X.500, LDAP adopte une philosophie simple, à base de chaînes, pour représenter les rubriques d’annuaire. LDAP utilise bon nombre des techniques d’accès aux annuaires telles que spécifiées dans la norme DAP de X.500, mais demande moins de ressources client, ce qui le rend plus pratique pour une utilisation fréquente sur une liaison TCP/IP. Active Directory gère aussi directement HTTP (HyperText Transfer Protocol). Tout objet Active Directory peut être affiché sous la forme d’une page HTML (HyperText Markup Language) dans un navigateur web. Des extensions pour la prise en compte des annuaires, ajoutées à Microsoft IIS (Internet Information Services), convertissent les requêtes HTTP portant sur des objets de l’annuaire en pages HTML affichables dans tous les clients HTML. Active Directory permet d’administrer, depuis un même emplacement, toutes les ressources publiées : fichiers, périphériques, connexions d’hôte, bases de données, accès web, utilisateurs, autres objets quelconques, services, etc. Active Directory emploie le protocole DNS comme service de localisation, organise les objets des domaines dans une hiérarchie d’unités organisationnelles (OU, organizational unit) et permet de regrouper plusieurs domaines au sein d’une arborescence. Exit les concepts de contrôleur principal de domaine (PDC) et de contrôleur secondaire de domaine (BDC). Le rôle BDC est dorénavant rempli par le contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller) que nous étudierons au chapitre 16 du tome 1, « Installation et configuration des services d’annuaire ». À partir de Windows Server 2003 R2, les Service de fédération Active Directory (ADFS, Active Directory Federation Services) étendent Active Directory pour autoriser la gestion des identités au-delà des frontières de l’organisation ou de la plate-forme.

Terminologie et concepts d’Active Directory Certains des termes utilisés pour décrire des concepts d’Active Directory existant déjà depuis un certain temps dans d’autres contextes, il est important d’en connaître la signification dans le contexte spécifique d’Active Directory. Cette section va présenter les termes et les concepts fondamentaux.

Espace de noms et résolution de noms Espace de noms est un terme peu connu qui recouvre pourtant un concept bien connu. Chaque service d’annuaire est un espace de noms, une aire bien délimitée permettant de résoudre un nom. Les programmes de télévision, dans lequel le nom d’une chaîne est associé à un certain numéro de canal, constituent un exemple d’espace de noms, de même que le système de fichiers d’un ordinateur, dans lequel le nom d’un fichier est associé au fichier lui-même. Active Directory forme un espace de noms dans lequel le nom d’un objet de l’annuaire permet d’accéder à l’objet lui-même. La résolution de noms est le processus consistant à traduire un nom en un certain objet (bloc de données) associé à ce nom.

Chapitre 2

Présentation des services d’annuaire

17

Attribut Un attribut est un élément de données qui décrit un certain aspect d’un objet. Un attribut se compose d’un type et d’une ou plusieurs valeurs. « Numéro de téléphone » est un exemple de type d’attribut, dont la valeur pourrait être « 33-2-37519964 ».

Objet Un objet est un ensemble particulier d’attributs qui représente quelque chose de concret, par exemple un utilisateur, une imprimante ou une application. Les attributs contiennent des données qui décrivent l’entité identifiée par l’objet d’annuaire. Les attributs d’un utilisateur sont, par exemple, le nom, le prénom et l’adresse de messagerie. La classification de l’objet indique quels sont les types d’attributs utilisés. Par exemple, les objets classifiés comme « utilisateurs » permettent d’employer des types du genre « nom de famille », « numéro de téléphone » et « adresse de messagerie », alors que la classe d’objets « entreprise » permet d’employer des types du genre « nom de la société » et « secteur d’activité ». Un attribut peut prendre une ou plusieurs valeurs, selon son type. Dans Active Directory, chaque objet possède une identité unique. On peut déplacer ou renommer les objets, mais leur identité est invariable. En interne, les objets sont référencés par leur identité et non par leur nom. L’identité d’un objet est un GUID (Globally Unique IDentifier), assigné par le DSA (Directory System Agent) lors de la création de l’objet. Le GUID est stocké dans un attribut, objectGUID, commun à tous les objets. Vous ne pouvez ni modifier, ni supprimer l’attribut objectGUID. Quand vous stockez dans un magasin externe (par exemple, dans une base de données) une référence à un objet Active Directory, utilisez de préférence objectGUID qui, contrairement au nom, ne change jamais.

Conteneur Un conteneur ressemble à un objet en ce sens qu’il possède des attributs et qu’il fait partie de l’espace de noms d’Active Directory. Toutefois, contrairement à un objet, un conteneur ne correspond à rien de concret. C’est simplement une enveloppe, qui renferme des objets et d’autres conteneurs.

Arborescence et sous-arborescence Dans Active Directory, une arborescence étend le concept d’arborescence de répertoires. C’est une hiérarchie d’objets et de conteneurs qui montre les relations entre les objets, c’est-à-dire les chemins par lesquels on passe d’un objet à un autre. Les points terminaux d’un arbre sont, en général, des objets. Une sous-arborescence est un sous-ensemble non isolé de l’arborescence, contenant tous les membres de chacun des conteneurs qu’il renferme. La figure 2-1 montre une arborescence pour microsoft.com. Chaque chemin (par exemple, de nw.sales.seattle.microsoft.com à

18

Partie I

Préparation

microsoft.com) est une sous-arborescence. Le chapitre 3 du tome 1, « Planification de l’espace de noms et des domaines », reviendra en détail sur les arborescences et les forêts. microsoft.com

uk.microsoft.com

admin.uk.microsoft.com

sales.uk.microsoft.com

us.microsoft.com

seattle.us.microsoft.com

mfg.seattle.us.microsoft.com

atlanta.us.microsoft.com

fin.seattle.us.microsoft.com

sales.seattle.us.microsoft.com

nw.sales.seattle.us.microsoft.com

sw.sales.seattle.us.microsoft.com

Figure 2-1 Une arborescence et des sous-arborescences

Nom unique Chaque objet, dans Active Directory, possède un nom unique (DN, distinguished name). Le nom unique identifie le domaine contenant l’objet, ainsi que le chemin complet utilisé pour atteindre l’objet à travers la hiérarchie des conteneurs. Par exemple, CN=Charlie Russel, OU=Ingénierie, DC=monentreprise, DC=com est un nom unique, lequel spécifie que l’objet utilisateur « Charlie Russel » appartient à l’OU Ingénierie qui, elle-même, appartient au domaine monentreprise.com. Remarque C N e s t l ’a c r o n y m e d e « c o m m o n n a m e » , O U c e l u i d e « organizational unit » et DC celui de « domain controller ». Certains attributs proviennent du modèle X.500 ; un administrateur peut en définir d’autres.

Active Directory utilise aussi des noms uniques relatifs, lesquels correspondent à la partie du nom unique qui est un attribut de l’objet lui-même. Dans l’exemple précédent, le nom unique relatif de l’objet utilisateur est CN=Charlie Russel et celui de l’objet parent est OU=Ingénierie. La portion « DC= » d’un nom unique permet aux annuaires X.500 de se connecter à l’espace de noms DNS, ce que fait aussi Active Directory. La racine de l’espace de noms global d’Active Directory est l’espace de noms DNS. Ainsi, les noms de domaine DNS s’insèrent dans le modèle de dénomination d’Active Directory. Par exemple, monentreprise.com est le nom

Chapitre 2

Présentation des services d’annuaire

19

d’un domaine DNS, mais pourrait tout aussi bien être le nom d’un domaine Active Directory. Cette intégration avec DNS implique qu’Active Directory s’adapte de manière naturelle à Internet et aux intranets. Vous pouvez relier directement à Internet des serveurs Active Directory, de façon à simplifier les communications protégées et le commerce électronique avec les clients et les partenaires.

Schéma Schéma est un terme très fréquemment employé dans le contexte des bases de données. Dans celui d’Active Directory, le schéma correspond à tout ce qui constitue l’annuaire Active Directory : les objets, les attributs, les conteneurs, etc. Active Directory possède un schéma par défaut qui définit les classes d’objets les plus courantes : utilisateurs, groupes, ordinateurs, unités organisationnelles, stratégies de sécurité et domaines. Le schéma d’Active Directory est susceptible de modifications dynamiques : une application peut compléter le schéma en y ajoutant de nouveaux attributs et de nouvelles classes, puis utiliser ces ajouts dans la foulée. La modification du schéma repose sur la création d’objets de schéma ou la modification des objets de schéma stockés dans l’annuaire. Les objets de schéma sont protégés par des ACL, afin que seules les personnes habilitées (membres du groupe Admins du schéma) puissent modifier le schéma.

Architecture Active Directory Comme nous l’avons mentionné précédemment, Active Directory n’est pas, à proprement parler, un service d’annuaire X.500 même si, à l’instar de tous les services d’annuaire existants, il dérive de cette norme. Les sections suivantes vont énumérer certaines caractéristiques de l’architecture d’Active Directory.

DSA DSA (Directory System Agent), qui est le processus permettant d’accéder au magasin physique des données de l’annuaire situé sur disque dur, fait partie du sous-système LSA (Local System Authority) de Windows Server depuis la version 2000. Les clients accèdent aux données de l’annuaire, en utilisant l’un des mécanismes suivants : ■ Les clients LDAP se connectent à DSA via le protocole LDAP. Active Directory reconnaît

LDAP v3, défini par la RFC 2251, et LDAP v2, défini par la RFC 1777. Les clients Windows Server 2000 ou ultérieur emploient LDAP v3 pour se connecter au DSA. ■ Les clients MAPI (Messaging Applications Programming Interface), comme Microsoft

Exchange, se connectent au DSA via l’interface MAPI RPC (Remote Procedure Call). ■ Les DSA Active Directory se connectent les uns aux autres, à des fins de réplication, via

une interface RPC propriétaire.

20

Partie I

Préparation

Formats de noms Active Directory reconnaît plusieurs formats de noms, pour pouvoir desservir tant les utilisateurs que les applications : ■ Noms RFC 822 Format bien connu des utilisateurs en tant qu’adresse de messagerie

Internet, comme [email protected]. Active Directory donne un « nom convivial » RFC 822 à chaque objet. Ainsi, l’utilisateur peut employer le même nom convivial comme adresse de messagerie et comme compte pour ouverture de session réseau. ■ URL HTTP Format bien connu des utilisateurs de navigateurs web. Une adresse URL

classique prend la forme http://domaine/chemin-vers-page, où domaine désigne un serveur exécutant Active Directory et chemin-vers-page le chemin (dans la hiérarchie Active Directory) qui mène à l’objet concerné. Par exemple, l’URL de Charlie Russel pourrait être http://UnServeur.monentreprise.com/Division/Produit/Ingénierie/charlierussel. ■ Noms LDAP Plus complexes que les noms Internet, mais généralement masqués dans

les applications, les noms LDAP emploient la convention de dénomination unique de X.500. Une URL LDAP spécifie le serveur hébergeant les services Active Directory et le nom unique de l’objet, par exemple : ldap://UnServeur.monentreprise.com/ CN=charlie.russel,OU=Ingénierie, OU=Produit,OU=Division,O=MegaIntl,C=FR. ■ Noms UNC Le format UNC (Universal Naming Convention), utilisé sur les réseaux basés

sur des serveurs Windows Server 2008, permet de désigner des volumes, des imprimantes et des fichiers partagés. Par exemple, \\monentreprise.com\Division. Produit.Ingénierie.Volume\DocsWord\rapportavril.doc.

Modèle de données Le modèle de données Active Directory dérive du modèle X.500. L’annuaire contient des objets qui représentent divers éléments, décrits par leurs attributs. L’univers des objets susceptibles d’être stockés dans l’annuaire est défini par le schéma, lequel définit les attributs obligatoires et les attributs optionnels que chaque classe d’objets peut posséder, ainsi que son parent.

Mise en œuvre du schéma Le schéma Active Directory est mis en œuvre sous la forme d’un ensemble d’instances de classe stocké dans l’annuaire. C’est très différent des annuaires dans lesquels le schéma prend la forme d’un fichier texte lu au démarrage. Stocker le schéma dans l’annuaire offre de nombreux avantages, par exemple, les applications des utilisateurs peuvent lire le schéma pour connaître les objets et les propriétés disponibles.

Chapitre 2

Présentation des services d’annuaire

21

Modèle de sécurité Active Directory, qui fait partie de la base approuvée de Windows Server 2000 et ultérieur, participe pleinement à l’infrastructure de sécurité. Le modèle de sécurité distribué s’appuie sur le protocole d’authentification Kerberos (version 5) du MIT. L’authentification Kerberos est compatible avec la sécurité fondée sur des couples de clés privée/publique. Elle utilise le même modèle d’ACL que le système d’exploitation sous-jacent Windows Server 2008. Les ACL protègent tous les objets d’Active Directory. Elles déterminent qui peut visualiser l’objet et ses attributs, qui peut faire quoi sur l’objet, etc. L’utilisateur qui n’a pas la permission de voir un objet ou un attribut ne saura même pas que celui-ci existe. Une ACL se compose d’entrées de contrôle d’accès (ACE, Access Control Entries) stockées avec l’objet protégé par l’ACL. Sous Windows 2000 et ultérieur, l’ACL est stockée sous la forme d’une valeur binaire, dite descripteur de sécurité. Chaque ACE contient un SID (Security IDentifier), spécifiant l’utilisateur ou groupe principal auquel s’applique l’ACE et précise le type d’accès accordé ou refusé. Les ACL des objets de l’annuaire contiennent des ACE concernant l’objet dans sa globalité, ainsi que des ACE relatives aux attributs de l’objet. L’administrateur peut donc contrôler qui a le droit de voir un objet, mais aussi qui a le droit de voir telle ou telle propriété de cet objet. Par exemple, tous les utilisateurs peuvent lire les adresses de messagerie et les numéros de téléphone des autres utilisateurs, mais seuls les administrateurs peuvent accéder aux propriétés de sécurité des utilisateurs. En outre, chaque utilisateur peut modifier sa propre adresse de messagerie et son propre numéro de téléphone. Active Directory, qui est le magasin de données du système de sécurité, contient notamment les comptes utilisateur, les groupes et les domaines. Ce magasin, qui remplace la base de comptes stockée dans le registre, est un composant approuvé de LSA.

Délégation et héritage La délégation est l’une des fonctionnalités de sécurité majeures d’Active Directory. Un administrateur peut autoriser un utilisateur à effectuer un ensemble spécifié d’actions dans une sous-arborescence bien définie de l’annuaire. On parle ici d’administration déléguée. Celle-ci permet de contrôler très précisément qui peut faire quoi et donne la possibilité aux administrateurs de déléguer des responsabilités, sans être obligé d’accorder des privilèges élevés. Cela élimine aussi le besoin d’avoir des administrateurs de domaines disposant d’une large responsabilité sur de grosses portions de la population des utilisateurs. Les administrateurs octroient le droit d’effectuer certaines opérations sur certaines classes d’objets en ajoutant des ACE à l’ACL du conteneur. Par exemple, pour permettre à Charlie Russel d’être administrateur de l’unité organisationnelle Ingénierie, on ajoute à l’ACL Ingénierie des ACE telles que : "Charlie Russel";Grant ;Create, Modify, Delete;Object-Class User "Charlie Russel";Grant ;Create, Modify, Delete;Object-Class Group "Charlie Russel";Grant ;Write;Object-Class User; Attribute Password

22

Partie I

Préparation

Charlie Russel peut alors créer de nouveaux utilisateurs et groupes dans Ingénierie et modifier les mots de passe des utilisateurs existants, mais il ne pourra pas créer d’autres classes d’objets ni toucher aux utilisateurs situés dans d’autres conteneurs (sauf, bien sûr, si des ACE l’autorisent à accéder à d’autres conteneurs). L’héritage permet de propager à une ACE donnée depuis le conteneur où elle a été appliquée vers tous les enfants de ce conteneur. On peut combiner héritage et délégation pour octroyer des privilèges administratifs à une sous-arborescence complète de l’annuaire en une seule opération.

Contextes d’attribution de noms et partitions Active Directory se compose d’un ou de plusieurs contextes d’attribution de noms (ou partitions). Un contexte d’attribution de noms est une sous-arborescence contiguë de l’annuaire. Les contextes d’attribution de noms représentent les unités du partitionnement. Un serveur en contient toujours au moins trois : ■ Le schéma ; ■ La configuration (topologie de réplication et données associées) ; ■ Un ou plusieurs contextes d’attribution de noms (sous-arborescences contenant les

objets dans l’annuaire).

Catalogue global Le nom unique d’un objet contient suffisamment d’informations pour que l’on puisse localiser une réplique de la partition contenant l’objet. Bien souvent, cependant, l’utilisateur ou l’application ne connaît pas le nom unique de l’objet cible, ni ne sait quelle est la partition susceptible de contenir l’objet. Le catalogue global permet aux utilisateurs et aux applications de trouver un objet dans une arborescence de domaine Active Directory, à partir d’un ou plusieurs attributs de cet objet. Le catalogue global (GC, global catalog) contient une réplique partielle de chaque contexte d’attribution de noms de l’annuaire. Il contient aussi le contexte d’attribution de noms du schéma et de la configuration. Autrement dit, le GC contient une réplique de chaque objet Active Directory, laquelle ne renferme qu’un petit nombre d’attributs. Les attributs cités dans le GC sont ceux qui servent le plus dans les opérations de recherche (par exemple, le nom de l’utilisateur, son prénom, son nom d’ouverture de session, etc.), ainsi que ceux requis par la recherche d’une réplique complète de l’objet. Le GC permet à l’utilisateur de localiser rapidement l’objet qui l’intéresse, même s’il ne connaît pas le domaine contenant cet objet. Il dispense, en outre, de l’obligation d’utiliser un espace de noms étendu et contigu dans l’entreprise. Le système de réplication d’Active Directory crée automatiquement le GC. La topologie de réplication du GC est, elle aussi, générée automatiquement. Les propriétés répliquées dans le GC incluent un ensemble de base défini par Microsoft. Les administrateurs peuvent spécifier des propriétés supplémentaires, selon les besoins propres de leurs installations.

Chapitre 2

Présentation des services d’annuaire

23

Dans Windows 2000, pour traiter une ouverture de session par un utilisateur dans un domaine en mode natif, un contrôleur de domaine doit contacter le serveur du catalogue global pour étendre l’appartenance de l’utilisateur au groupe universel. Par conséquent, un utilisateur à distance peut rencontrer des difficultés pour ouvrir une session si la liaison réseau est coupée entre le contrôleur de domaine et le catalogue global. Dans Windows Server 2008, il est possible de configurer les contrôleurs de domaines pour servir de cache aux recherches d’appartenance au groupe universel au moment du traitement des événements d’ouverture de session utilisateur, ainsi les utilisateurs peuvent ouvrir une session, même si le GC n’est pas disponible. Pour de plus amples informations sur l’administration et le déploiement d’Active Directory, reportez-vous aux chapitres 16 et 17 du tome 1.

Résumé Active Directory est un outil extrêmement puissant et, comme tous les outils très puissants, il peut faire des dégâts si l’on s’en sert mal. Prévoyez suffisamment de temps pour l’analyse et la planification, avant de déployer Active Directory. Avant toute chose, créez un annuaire logique et performant. Une architecture d’annuaire mal pensée peut avoir des répercussions négatives sur l’efficacité, voire sur la stabilité du réseau. Le chapitre 3 du tome 1 expliquera comment planifier votre espace de noms et vos domaines pour avoir une efficacité et une longévité maximales.

Chapitre 3

Planification de l’espace de noms et des domaines Analyser les besoins en termes de conventions de noms . . . . . . . . . . . . . . . . . . . . 25 Planifier une structure de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Planifier plusieurs domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 De nos jours, la planification souffre d’une réputation quelque peu négative. On l’associe parfois à des réunions interminables et ennuyeuses, voire à une manière d’éviter d’entrer en action. Néanmoins, la planification et la préparation sont fondamentales, qu’il s’agisse de construire un réseau ou simplement de peindre les murs d’une pièce. Si vous abordez pour la première fois le concept d’espace de noms, n’hésitez pas à passer le temps et l’énergie nécessaires pour vous préparer ; vous rentabiliserez largement votre investissement en constatant une réduction de vos coûts de prise en charge, davantage de flexibilité et moins de réorganisation. La planification de l’espace de noms d’une organisation de grande ou moyenne taille constitue un processus itératif. Vous n’y arriverez probablement pas la première fois, ni même la seconde. Mais vous devez bien commencer un jour, puis consulter et collaborer avec les acteurs clés de votre organisation, pour préciser et consulter à nouveau, jusqu’à obtenir un espace de noms optimal pour votre organisation. À mesure que vous progresserez, la majorité des avis qui vous seront donnés dépendra des stratégies de la société et des intentions personnelles, rendant le processus plus complexe qu’il n’y paraissait. Votre travail est de comprendre et de protéger les intérêts de l’organisation dans son ensemble.

Analyser les besoins en termes de conventions de noms Pour planifier votre espace de noms et la structure du domaine, il vous faut analyser votre organisation et essayer de comprendre ses besoins sous-jacents relatifs au nommage. Cela vous impose de comprendre le type d’organisation dans laquelle vous travaillez et de déterminer qui sont les acteurs, ainsi que de réfléchir à la direction dans laquelle l’organisation s’oriente.

25

26

Partie I

Préparation

Arborescences et forêts Il existe deux types d’espaces de noms de base : l’arborescence et la forêt. En comprenant ce qui diffère entre ces deux modèles et comment les aligner à votre organisation, vous pourrez choisir celui répond au mieux aux besoins de l’organisation. Même s’il reste possible de modifier les modèles ultérieurement, cela implique un travail considérable qui affectera l’emploi général des noms dans l’espace de noms. Par conséquent, ne négligez pas l’étape de la planification afin de comprendre ce dont votre organisation a réellement besoin et non ce qu’elle prétend vouloir.

Arborescences Un espace de noms en arborescence, comme l’illustre la figure 3-1, est un espace de noms contigu et unique, dont chaque nom de l’espace descend directement d’un nom de racine unique. Cette conception de nommage direct convient particulièrement à une organisation qui est pour l’essentiel stable et qui possède un nom unique déterminant ce qui peut se transformer en de nombreuses divisions et différentes activités. Ce modèle correspond particulièrement aux sociétés de taille réduite à moyenne. Même de très grandes entreprises peuvent fonctionner avec une structure en arborescence si l’organisation est assez centralisée et qu’elle possède un nom unique et reconnaissable. microsoft.com

eng.microsoft.com

dev.eng.microsoft.com

entr.microsoft.com

qa.eng.microsoft.com

conception.dev.eng.microsoft.com

finance.entr.microsoft.com

rh.entr.microsoft.com

Figure 3-1 Une structure en arborescence signifie un espace de noms contigu et unique, dont tous les noms dérivent d’une racine unique.

Comme le montre la figure, avec un espace de noms structuré en arborescence, chaque branche possède un nom dérivé directement de la racine de l’arborescence. Avec cette structure, il est aisé de retrouver n’importe quelle branche de l’arborescence en retraçant la structure de son nom.

Chapitre 3

Planification de l’espace de noms et des domaines

27

Forêts Un espace de noms en forêt, comme celui de la figure 3-2, est un regroupement d’arborescences pour l’essentiel égales, sans que l’espace de noms ne possède de racine unique. L’espace de noms en forêt convient particulièrement à une organisation qui présente plusieurs secteurs d’activité, chacun disposant de son propre nom identifiable. Il s’agit généralement de grandes sociétés et en particulier celles qui se développent par le biais de l’acquisition. Elles ne possèdent en général pas de groupe central et unique qui gère la totalité de l’organisation et chacune des divisions a ses propres identité et infrastructure. exemple.com

fra.exemple.com

par.fra.exemple.com

esp.exemple.com

lyo.fra.exemple.com

exemple2.com

us.exemple2.com

eu.exemple2.com

fr.eu.exemple2.com

gb.eu.exemple2.com

Figure 3-2 Une forêt est un regroupement d’arborescences individuelles qui n’appartiennent pas à un espace de noms contigu.

Comme l’indique la figure, un espace de noms en forêt contient un groupe égal d’arborescences, chacune possédant son propre espace de noms contigu, mais l’ensemble des arborescences n’entre pas dans le cadre d’un espace de noms global et contigu. En d’autres termes, il est impossible de retracer directement les noms de toutes les branches vers une seule racine.

Définir une convention de nommage Que vous prévoyiez d’élaborer une seule arborescence ou une forêt d’arborescences pour votre espace de noms global, il vous faudra préalablement décider comment nommer les différentes branches de l’arborescence. Il s’agit là probablement de la partie la plus délicate et la plus sensible politiquement du processus d’élaboration de la structure de nommage

28

Partie I

Préparation

globale. Préparez-vous à assister à de longues et pénibles réunions au moment où il vous faudra impliquer les acteurs principaux dans la prise de décisions. Néanmoins, ne négligez pas cette tâche ; elle va vous épargner une quantité impressionnante d’ennuis par la suite. Il existe deux sortes de conventions de nommage : organisationnelle et géographique. Chacune a ses adeptes et ses avantages. Sachez que certaines personnes peuvent être extrêmement affectées concernant le nom de leur division ou de leur service et son poids relatif au sein de l’organisation. De tels désaccords politiques peuvent se révéler non seulement acerbes, mais également durables.

Convention de nommage organisationnelle Avec une convention de nommage organisationnelle, vous modelez votre espace de noms selon la structure de votre société ou organisation. Ainsi, la racine de votre arborescence pourrait être monentreprise.com et le premier niveau inférieur se composerait de finance.monentreprise.com, admin.monentreprise.com, mark.monentreprise.com, etc. La liste suivante présente certains avantages et inconvénients du modèle organisationnel :

Avantages ■ Reflète l’organisation de la société ■ Facile à comprendre ■ Tracé évolutif naturel ■ Permet aux ressources de s’organiser par secteur d’activités

Inconvénients ■ Difficile à ajuster lors d’un changement de nom ou de structure organisationnelle ■ Peut être politiquement sensible ■ Difficile à prendre en charge en cas de scission ou de fusion des divisions ■ Difficile à mettre en œuvre si les divisions de l’organisation sont réparties sur plusieurs

sites géographiques

En pratique Sites Les sites, fournis par le service Active Directory, peuvent réduire ou éliminer le problème de la structure de nommage organisationnelle avec des divisions situées sur des sites différents. Une société peut créer un site pour chaque île d’ordinateurs ayant une connectivité de réseau local. Par exemple, le siège constituerait un site et une succursale un autre site. Tous les domaines qui englobent plusieurs sites ajustent automatiquement leurs paramètres de réplication pour optimiser l’utilisation des liens WAN lents entre les sites. Les clients sont également automatiquement dirigés vers des contrôleurs de domaine locaux pour les requêtes de services, ce qui réduit encore l’exploitation de ces liens.

Chapitre 3

Planification de l’espace de noms et des domaines

29

Convention de nommage géographique Avec une convention de nommage géographique, vous modelez votre espace de noms selon les divisions géographiques de l’organisation. Par exemple, avec la même racine monentreprise.com, vous disposez d’un premier niveau comprenant europe.monentreprise.com, asie.monentreprise.com, afrique.monentreprise.com, amernord.monentreprise.com, etc. Sous ce premier niveau, vous pouvez diviser chaque entrée en pays ou état/province, selon la taille et la complexité de votre organisation. La liste suivante présente certains avantages et inconvénients de la convention de nommage géographique :

Avantages ■ Apolitique par nature ■ Emploie des noms qui seront définitifs ■ Offre une flexibilité et une granularité accrues

Inconvénients ■ Ne reflète pas la nature de l’organisation ■ Peut nécessiter des domaines supplémentaires pour répondre aux exigences de sécurité

Remarque Les sites peuvent se révéler pratiques pour optimiser l’usage des liens WAN lents sur des réseaux à l’aide d’une convention de nommage géographique. Même s’il n’existe généralement pas de domaines qui englobent plusieurs sites dans des réseaux avec la convention de nommage géographique, l’emploi de sites optimise encore l’usage des liens WAN en améliorant la réplication interdomaines d’Active Directory.

Conventions de nommage mixtes Enfin, vous pouvez opter pour une solution qui combine les conventions de nommage organisationnelle et géographique, en particulier dans un espace de noms en forêt, où différentes cultures d’entreprise se sont développées et possèdent chacune un intérêt propre. En revanche, cela peut prêter à la confusion et rendre difficile la prise en charge, par manque de cohérence dans la manière de procéder. À vous de rationaliser au maximum la structure de votre espace de noms lors de sa création. Votre travail de prise en charge globale n’en sera que facilité au final. Même si vous adoptez une convention de nommage purement géographique pour la totalité de l’organisation, vous verrez qu’il est préférable pour le niveau le plus bas de l’arborescence de créer des unités d’organisation (OU, Organizational Units) ou des domaines qui reflètent les différents secteurs d’activités de l’organisation. En effet, les groupes qui travaillent dans des domaines similaires ou sur des projets associés ont généralement besoin d’accéder à des ressources de nature similaire. Par exemple, les besoins d’un étage d’une usine de production diffèrent de ceux du service Comptabilité. Ces besoins communs permettent d’identifier les domaines naturels de la prise en charge et du contrôle administratifs.

30

Partie I

Préparation

Déterminer la résolution de noms Après avoir défini votre convention de nommage, il vous faut décider si l’espace de noms utilisé en interne va être identique à celui communiqué à l’extérieur. De prime abord, vous pensez peut-être qu’il doit l’être ; toutefois, il peut être intéressant d’exploiter des espaces de noms interne et externe différents.

Utiliser les mêmes espaces de noms interne et externe Lorsque vous possédez un seul espace de noms, vous et vos ordinateurs ont le même nom sur le réseau interne que sur l’Internet public. Cela signifie que vous obtenez un nom unique auprès de l’autorité d’enregistrement Internet appropriée et que vous gérez un seul espace de noms DNS (Domain Name System), même si seul un sous-ensemble des noms n’est visible de l’extérieur de la société. Votre structure de réseau va finir par ressembler à l’illustration de la figure 3-3. Lorsque vous employez le même nom pour des espaces de noms interne et externe, assurezvous que la possibilité de résoudre des noms depuis l’extérieur de la société se limite aux ordinateurs qui sont situés derrière le pare-feu et supposés être visibles de l’extérieur. Vérifiez qu’aucun serveur Active Directory ne réside hors du pare-feu. Toutefois, vous devez vous assurer que vos ordinateurs internes peuvent résoudre des noms et accéder aux ressources de part et d’autre du pare-feu.

microsoft.com www.microsoft.com support.microsoft.com DNS en provenance de l’extérieur

Proxy/pare-feu

finance.entr.microsoft.com eng.microsoft.com entr.microsoft.com Espace de noms et DNS de l'intérieur

Figure 3-3 Avec le même espace de noms interne et externe, votre DNS doit comporter différentes zones selon la provenance de la requête.

Chapitre 3

Planification de l’espace de noms et des domaines

31

La liste suivante présente les avantages et les inconvénients de l’emploi du même espace de noms interne et externe :

Avantages ■ Nommage cohérent en interne et en externe ■ Permet un enregistrement de noms unique ■ Permet aux utilisateurs de posséder une seule identité d’ouverture de session et de

messagerie électronique

Inconvénients ■ Nécessite une configuration de serveur proxy complexe ■ Impose la maintenance de différentes zones portant le même nom ■ Oblige les utilisateurs à connaître les différentes présentations des ressources, selon

l’endroit d’où ils y accèdent

Utiliser des espaces de noms interne et externe différents Avec des espaces de noms interne et externe différents, vous pourriez vous présenter publiquement sous le nom microsoft.com, en utilisant msn.com en interne. Toutes les ressources situées hors du réseau de la société portent des noms se terminant par microsoft.com, comme www.microsoft.com. Toutefois, au sein du réseau, on emploie un espace de noms différent qui comporte msn.com en tant que racine, comme le montre la figure 3-4.

www.microsoft.com support.microsoft.com

Espace de noms et DNS externes

Proxy/pare-feu

microsoft.com

finance.entr.msn.com eng.msn.com entr.msn.com

Espace de noms et DNS internes

Figure 3-4 Réseau privé/public comportant des espaces de noms différents

32

Partie I

Préparation

Avec des espaces de noms interne et externe différents, les noms DNS de vos ordinateurs qui sont accessibles à l’extérieur diffèrent de ceux qui n’apparaissent qu’à l’intérieur du pare-feu. Dans ce cas de figure, il est toutefois obligatoire d’enregistrer les noms publics et privés auprès de l’autorité d’enregistrement de noms Internet appropriée. L’enregistrement du nom interne vous semble peut-être inutile dans la mesure où vous ne comptez pas l’exposer sur l’Internet public mais de cette manière, vous vous assurez que personne ne va employer le même nom et ainsi provoquer des problèmes de résolution de noms avec vos clients internes. Remarque Il existe une manière de contourner le problème d’un nom uniquement interne, en particulier lorsqu’il est difficile de contrôler le nom de domaine du fait qu’il est légitimement la propriété de quelqu’un d’autre : choisissez un nom de domaine racine qui n’existe pas, comme .lan (par exemple, microsoft.lan). Grâce à cette stratégie, vous possédez un nom interne approprié à cette portion de l’espace de noms sans risquer d’entrer en conflit avec le nom de domaine d’une autre personne. Par défaut, dans Windows Server 2008, on utilise .local comme nom de domaine racine interne. Dans ce livre, nous utiliserons monentreprise.com pour désigner le domaine principal. La liste suivante présente les avantages et les inconvénients de l’emploi d’espaces de noms interne et externe différents :

Avantages ■ Distingue clairement ce qui est interne de ce qui est externe ■ Simplifie la gestion et la configuration des proxys ■ Met en évidence les différences entre les espaces de noms interne et externe

Inconvénients ■ Impose l’enregistrement de deux noms ■ Implique que les noms d’ouverture de session des utilisateurs soient différents de ceux

de leur messagerie électronique

Planifier une structure de domaine Une fois que vous avez façonné l’aspect global de votre espace de noms, vous devez concevoir la structure de domaine désignée à le prendre en charge. Chaque branche de l’espace de noms peut engendrer un domaine ou une OU. Ce choix dépend d’un certain nombre de considérations, comme les exigences de réplication, la stratégie de sécurité, la disponibilité des ressources, la qualité de la connexion, etc.

Domaines et unités d’organisation Les arborescences de réseau Windows Server 2008 se composent de domaines et d’OU. Tous deux ont pour vocation de sectoriser l’administration entre les branches de l’arborescence, mais leurs implications et leurs exigences de ressources sont différentes.

Chapitre 3

Planification de l’espace de noms et des domaines

33

Domaines L’unité fondamentale du service d’annuaire Active Directory de Windows Server 2008 est le domaine, exactement comme dans Windows Server 2003 et Microsoft Windows NT 4. Tous les objets du réseau existent comme partie du domaine et la stratégie de sécurité y est uniforme. Contrairement à Windows NT, la sécurité dans Windows 2000, Windows Server 2003 et Windows Server 2008 repose sur la version 5 de Kerberos et les relations d’approbation sont transitives. Cela signifie que si le domaine A approuve le domaine B et que si le domaine B approuve le domaine C, le domaine A approuve également le domaine C. Planification Il reste possible d’établir des relations d’approbation de type Windows NT 4 unidirectionnelles. Plus important encore, les relations entre les domaines Windows Server 2008 et les anciens domaines Windows NT s’appuient des relations d’approbation non transitives unidirectionnelles inhérentes à Windows NT. Il est essentiel de tenir compte de ces relations lors de la planification de votre structure de domaine. Depuis Windows 2000, le concept d’un contrôleur de domaine principal (PDC, Primary Domain Controller) et d’un ou plusieurs contrôleurs de domaine de sauvegarde a considérablement évolué. Les contrôleurs de domaine dans Windows 2000 et ultérieur étaient multimaîtres et basés sur une relation d’homologues. Chaque contrôleur de domaine bénéficiait d’une autorité identique dans le domaine et si un contrôleur était déconnecté, les autres continuaient à administrer et à authentifier le domaine. N’importe quel contrôleur de domaine pouvait être à l’origine d’un changement du domaine puis répercuter le changement sur les autres contrôleurs de domaine du domaine. Bien entendu, nous parlons au passé. Les contrôleurs de domaine de sauvegarde sont revenus, sous un autre nom : contrôleurs de domaine en lecture seule. Le concept est identique : un contrôleur de domaine en lecture seule n’est pas en mesure de modifier Active Directory. Nous reviendrons sur les contrôleurs de domaine en lecture seule d’Active Directory et les contrôleurs de domaine de manière plus détaillée au chapitre 16 du tome 1, « Installation et configuration des services d’annuaire ». Remarque Bien que les contrôleurs de domaine créés dans Windows Server 2008 soient égaux, il en est un qui sera plus égal que les autres si vous prenez encore en charge des ordinateurs Windows NT dans votre domaine (par exemple, si vous travaillez au niveau fonctionnel d’un domaine ou d’une forêt qui prend en charge des contrôleurs de domaine Windows NT 4). Dans ce cas particulier, un contrôleur de domaine émule la fonctionnalité de contrôleur de domaine principal Windows NT 3.x et Windows NT 4. Par défaut, c’est le premier contrôleur de domaine d’un domaine qui reçoit cette attribution, mais il est possible de transférer le rôle d’émulateur du contrôleur principal à un autre contrôleur de domaine si nécessaire. Reportez-vous au chapitre 17 du tome 1, « Gestion d’Active Directory », pour de plus amples informations sur ce rôle et les autres rôles de maître d’opérations dans le domaine.

34

Partie I

Préparation

Le domaine constitue également l’unité de réplication au sein d’Active Directory. Les modifications du domaine se répliquent sur tout le domaine, même lorsque celui-ci englobe plusieurs sites ou emplacements. Les contrôleurs de domaines situés sur des sites distants sont ainsi en mesure d’apporter des modifications sur le domaine et de les répliquer sur tout le domaine. Il va de soi que si un site distant ne possède qu’un contrôleur de domaine en lecture seule, il ne peut être à l’origine de modifications. Même si les droits d’accès sont transitifs au travers des frontières du domaine, les droits d’administration sont par défaut limités au domaine. Il est par conséquent possible d’accorder des droits d’administration à un utilisateur clé d’un domaine particulier sans se soucier de la sécurité générale de l’organisation, puisque les droits d’administration s’arrêtent à la frontière du domaine, sauf s’ils ont été explicitement accordés pour d’autres domaines.

Unités d’organisation Le concept d’unité d’organisation a été introduit pour la première fois dans Windows 2000. Elle possède certaines des caractéristiques d’un domaine, mais sans sa charge de ressources. L’OU est comprise dans un domaine et agit comme un conteneur d’objets du service d’annuaire. Elle forme une branche de l’espace de noms LDAP (Lightweight Directory Access Protocol) continu, mais pas nécessairement de l’espace de noms DNS et elle peut également contenir d’autres OU. Ainsi, le domaine entr.microsoft.com peut contenir d’autres domaines, comme finance.entr.microsoft.com, et des unités d’organisation telle que l’unité « rh » de entr.microsoft.com. Ici, le nom LDAP serait « OU=rh,DC=finance,DC=entr,DC=microsoft,DC=com » mais le nom DNS resterait entr.microsoft.com, sauf si on le modifie explicitement. L’OU établit une frontière administrative appropriée et vous pouvez déléguer des droits et des privilèges d’administration à des utilisateurs d’une OU sans compromettre le reste du domaine. Cependant, une OU ne requiert pas de contrôleur de domaine séparé et elle n’intervient pas dans la réplication.

Concevoir une structure de domaine Dès lors que vous avez conçu votre espace de noms et que tous les acteurs impliqués l’ont approuvé, vous êtes prêt à concevoir et à mettre en œuvre la structure du domaine. La conception de votre structure de domaine va refléter celle de votre espace de noms, mais vous pouvez décider que certaines frontières de l’espace de noms ne requièrent que des OU et non pas des domaines complets. Choisissez une OU ou un domaine selon vos besoins en stratégie de sécurité séparée (par exemple, une stratégie définissant la complexité des mots de passe ou du verrouillage de comptes) pour les entités contenues au sein des limites de l’espace de noms. Si une frontière de l’espace de noms particulière ne nécessite pas de stratégie de sécurité différente de celle de son parent, l’OU constituera probablement une division appropriée car elle n’impose pas la mise en œuvre de nombreuses ressources.

Chapitre 3

Planification de l’espace de noms et des domaines

35

Concevoir une structure d’arborescence de domaine unique Pour créer un espace de noms unique et contigu et par conséquent une structure d’arborescence de domaine, créez les domaines dans un ordre hiérarchique, en commençant au niveau supérieur de l’arborescence. Ce domaine supérieur constitue votre domaine racine et soit il contient tous les utilisateurs (dans les modèles plus restreints de domaine unique), soit il n’en contient aucun (si vous utilisez un domaine structurel comme domaine racine). Pour ceux qui connaissent bien les modèles de domaines Windows NT 4, cette structure correspond en grande partie au modèle de domaine « à maître unique », avec une différence importante. Les utilisateurs n’ont pas besoin, et le plus souvent ne doivent pas, se trouver dans un domaine à maître unique, mais ils doivent résider à leur emplacement approprié dans la hiérarchie du domaine. Lorsque vous élaborez l’arborescence de votre espace de noms, vous créez des domaines ou des OU pour chaque branche de l’arborescence. Le choix entre une OU ou un contrôleur de domaine dépend du modèle de sécurité général, de la qualité de la connexion à l’emplacement et de nombreux autres facteurs, des considérations politiques à la planification de l’espace de noms d’origine. Remarque La structure d’arborescence unique décrite ici constitue également une forêt, avec certes une seule arborescence, mais néanmoins une forêt.

Concevoir une structure d’arborescence de domaines multiples La forêt d’arborescences est le plus souvent utilisée pour structurer un espace de noms existant qui n’est pas contigu et qui le serait difficilement. Vous obtenez plusieurs domaines racines, tous au même niveau. Sous chacun de ces domaines racines se trouve un espace de noms contigu pour cette arborescence. Chaque branche de l’espace de noms LDAP est soit un domaine (avec ses exigences correspondantes d’un ou de plusieurs contrôleurs de domaine), soit une OU. Vous créez généralement chaque arborescence à partir du haut et chaque branche de l’arborescence présente automatiquement une relation d’approbation avec les autres branches de l’arborescence. Toutes les arborescences d’une forêt partagent un schéma, une configuration et un catalogue global identiques, avec des relations d’approbation Kerberos transitives parmi tous les domaines de la forêt. La hiérarchie d’approbation au sein de chaque arborescence suit celle du nommage DNS. Toutefois, la hiérarchie d’approbation de la forêt dans son ensemble suit l’ordre dans lequel les arborescences rejoignent la forêt, avec des approbations transitives et bidirectionnelles créées entre chaque paire d’arborescences de la forêt. Ce schéma est transparent pour les utilisateurs mais l’administrateur a la possibilité de le modifier pour optimiser la gestion et les renvois.

Indications sur la sécurité du domaine Au sein de chaque domaine, les exigences, les stratégies et la configuration de la sécurité sont cohérentes. Si vous devez modifier les exigences et la stratégie de sécurité d’une sous-unité

36

Partie I

Préparation

d’un domaine, créez cette sous-unité en tant que domaine enfant et non comme une OU. N’oubliez pas cette indication lors de la planification de votre espace de noms général ; il vous faut une branche distincte de l’espace de noms pour disposer d’une stratégie de sécurité distincte. Comment définir une stratégie de sécurité ? Qu’implique-t-elle ? La partie IV traite exclusivement des questions de sécurité, mais voici déjà un résumé des éléments dont il sera question : ■ Exigences d’ouverture de session ■ Certificats ■ Exigences de validité des mots de passe et de longueur minimale ■ Carte à puce ou autres éléments additionnels d’authentification ■ Restrictions concernant l’ordinateur et l’heure d’utilisation

Bon nombre de ces mesures de sécurité seront identiques dans l’ensemble de votre organisation, mais certaines zones sont susceptibles de nécessiter une plus grande sécurité que le reste de l’organisation. Dans ce cas, prévoyez de placer les zones exigeant davantage d’attentions dans un domaine séparé, de sorte que leur sécurité restrictive ne s’impose pas à toute l’organisation.

Créer des unités d’organisation S’il n’est pas nécessaire de créer des domaines séparés pour des raisons de sécurité, mais que vous souhaitez pouvoir déléguer des fonctions d’administration, créez une OU séparée plutôt qu’un domaine enfant. Ainsi, vous pouvez avoir un domaine appelé europe.exemple.com à diviser en unités d’activités au sein de la zone. Vous pouvez créer les domaines ventes, support, formation, ressources humaines, production et finances sous europe.exemple.com. Cependant, la charge de domaines séparés et de leurs contrôleurs requis pour chaque unité n’est pas nécessaire, principalement parce qu’elles ne partagent pas la même stratégie de sécurité. En conséquence, il suffit de créer des OU pour chacune. Si ultérieurement vous devez convertir l’une ou plusieurs d’entre elles en domaines, c’est possible, même si le processus n’est pas très aisé. Les OU établissent des frontières utiles à des fins d’administration. Divers privilèges et tâches d’administration peuvent être délégués à l’administrateur pour une OU spécifique, ce qui libère l’administrateur du domaine et donne à l’OU un contrôle local de ses propres ressources.

Planifier plusieurs domaines Si votre organisation est assez complexe, ou simplement assez grande, pour exiger la création de plusieurs domaines, n’hésitez pas à passer le temps nécessaire à planifier leur mise en œuvre. Vous récupérerez au centuple le temps passé en amont.

Chapitre 3

Planification de l’espace de noms et des domaines

37

Dessinez votre structure de domaine planifiée et comparez-la à votre espace de noms planifié ou existant. Déterminez ce qui doit simplement être un domaine et ce qui convient en OU. Identifiez les serveurs à définir comme contrôleurs de domaine. N’oubliez pas que les concepts de contrôleur de domaine principal et de contrôleur de domaine de sauvegarde de Windows NT sont de retour, du moins en partie. Les contrôleurs de domaine qui sont en lecture seule ne peuvent pas modifier le domaine, mais tous les autres contrôleurs de domaine sont considérés de manière égale. Les modifications apportées à un contrôleur de domaine qui n’est pas en lecture seule sont répercutées sur tous les autres contrôleurs du domaine. Si vous effectuez des modifications simultanées sur plusieurs contrôleurs, Active Directory utilise des USN (Update Sequence Numbers, numéros de mise à jour) et les indicateurs de date et heure des changements pour résoudre les conflits.

Planifier un espace de noms contigu Lorsque vous planifiez un espace de noms contigu, et ainsi une structure de forêt à arborescence unique, il vous faut créer préalablement le domaine racine de l’espace de noms. Dans cet espace de noms, créez les comptes d’administrateur principaux mais ne vous occupez pas encore des autres comptes. Les comptes utilisateur et d’ordinateur doivent résider dans la branche de l’arborescence où ils vont effectuer le plus de travail. Cette procédure est contraire à celle de Windows NT, où si l’on possédait plusieurs domaines, il fallait souvent créer tous les comptes utilisateur au niveau le plus élevé du domaine à cause des relations d’approbation. Si vous migrez d’un environnement Windows NT existant, il se peut que vos utilisateurs se trouvent dans un domaine à maître unique ou multimaître. Vous pouvez poursuivre cette procédure, laquelle constitue peut-être la manière la plus simple de migrer d’un environnement existant. Le chapitre 6 du tome 1, « Mise à niveau vers Windows Server 2008 », reprend cette analyse sur la mise à niveau des domaines.

Déterminer le besoin d’une forêt à plusieurs arborescences Si vous disposez déjà d’un environnement comportant plusieurs domaines racines, ou un seul sans espace de noms contigu, il vous faut créer une forêt à plusieurs arborescences et non un environnement avec forêt et arborescence uniques. La première étape consiste à se pencher longuement sur vos espaces de noms non contigus. Voyez-vous une occasion de les réunir pour en réduire le nombre ? Le moment est venu. Il sera bien plus complexe de les regrouper ultérieurement et vous aurez également davantage de difficultés à l’imposer aux personnes concernées.

Créer la forêt Si vous décidez qu’il est définitivement impossible d’obtenir un seul espace de noms contigu et s’il est vraiment nécessaire de créer une forêt à plusieurs arborescences, déterminez exactement l’emplacement de la racine de chaque arborescence de la forêt. Réfléchissez aux

38

Partie I

Préparation

emplacements physiques de vos éventuels contrôleurs de domaine, à la disposition de votre réseau, à la bande passante des différents sites et à l’existence de domaines et contrôleurs Windows NT 4. Une fois que votre réseau est physiquement et logiquement structuré, vous êtes prêt à planifier la stratégie de votre domaine. Créez d’abord vos domaines racines, puis construisez vos arborescences. Cet ordre n’est pas obligatoire ; si vous manquez une arborescence ou qu’une modification a lieu, il est possible de revenir en arrière et d’ajouter une autre arborescence à votre forêt. Cependant, il est généralement préférable de commencer par les racines, ne serait-ce que pour maintenir l’ordre des relations d’arborescence à arborescence. En pratique Dès lors que vous avez créé la racine d’une arborescence, il

devient difficile de la renommer ou de la supprimer. Dans Windows Server 2008, Rendom.exe permet de changer les noms de domaine, mais cette action n’est pas à entreprendre fréquemment. Par conséquent, ne vous précipitez pas pour élaborer la structure du domaine ; sa planification détaillée vous économisera bien des efforts sur le long terme.

Autres informations Vous retrouverez d’autres analyses d’Active Directory et

de son fonctionnement dans le livre Services d’annuaires et de sécurité sous Windows Server 2003 : Conception et déploiement (Microsoft Press, 2003) ou Kit de déploiement : Microsof t Windows Ser ver 2003 – Conception d’un environnement contrôlé (Microsoft Press, 2003).

Résumé La planification de votre espace de noms et de la structure de votre domaine constitue une étape essentielle pour parvenir à une mise en œuvre optimale de Windows Server 2008. Il s’agit d’un processus itératif qui requiert une planification soignée et une compréhension totale des réalités politiques de l’organisation. Un espace de noms Windows Server 2008 peut comporter une structure unique, contiguë et hiérarchique avec une forêt qui serait une arborescence unique ou une forêt de plusieurs arborescences dans un espace de noms non contigu. Tous les contrôleurs de domaine d’un domaine, excepté les contrôleurs de domaine en lecture seule, détiennent la même autorité sur le domaine et un domaine peut contenir plusieurs OU à des fins de délégation. Au chapitre 4 du tome 1, « Planification du déploiement », nous poursuivrons l’étape de la planification, puis, au chapitre 5 du tome 1, « Démarrage », nous passerons de la planification de l’installation à sa concrétisation.

Chapitre 4

Planification du déploiement Fonctionnement de l’informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Identifier les besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Analyser les systèmes existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Élaborer un schéma directeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Nous avons travaillé avec des administrateurs système pour qui le déploiement consiste à insérer un DVD dans le nouveau serveur et à démarrer l’installation. Selon notre expérience, insérer le DVD n’est que la dernière phase du processus. Au moment de démarrer l’installation, vous devez avoir planifié, négocié et préparé le déploiement. Le déploiement recouvre bien d’autres tâches que le simple fait d’installer un système d’exploitation, voire un système d’exploitation réseau. Les activités spécifiques au déploiement (installation et configuration des applications, des services de fichiers et d’impression, d’Active Directory, des communications, de la sécurité et des autres fonctionnalités) seront détaillées dans des chapitres ultérieurs. Le présent chapitre explique ce qu’il faut faire avant même d’insérer le premier DVD, à savoir planifier l’infrastructure matérielle et logicielle sur laquelle s’appuiera votre réseau Microsoft Windows Server 2008. La réussite du déploiement réseau dépend, avant tout, de la planification. Une bonne planification, quant à elle, repose sur la collecte et l’analyse de données, ainsi que sur une certaine dose d’anticipation. Les choix que vous ferez, dans les premières phases du déploiement, porteront votre empreinte, en bien ou en mal. Votre vision de l’avenir prévaudra, pour les années à venir, au niveau du fonctionnement de l’entreprise, et nul doute que vous serez tenu pour responsable si cette vision s’avère erronée. Par conséquent, mieux vous planifierez le déploiement, et mieux ce sera pour tout le monde. Il existe trois éléments essentiels pour bâtir une stratégie informatique efficace : ■ L’étude de l’adéquation du système informatique actuel aux besoins de l’entreprise.

Qu’est-ce qui fonctionne dans votre infrastructure technologique, et qu’est-ce qui ne va pas ?

39

40

Partie I

Préparation

■ La définition des objectifs de l’entreprise et de ceux de l’informatique. Élaborez des

plans à un an, à trois ans, à cinq ans et à dix ans pour définir les besoins de l’entreprise, et pour aboutir à des fonctionnalités et services informatiques répondant à ces besoins. ■ L’élaboration d’un schéma directeur permettant à l’entreprise et à son informatique

d’atteindre leurs objectifs d’une manière optimale. Ce chapitre va étudier ces trois éléments, ainsi que leurs interrelations. Tout au long de ce chapitre, nous nous concentrerons sur le quoi, le pourquoi et le comment. Nous avons volontairement évité toute référence à une application logicielle, Microsoft ou tierce, destinée à simplifier ce processus. Il nous semble plus important de parfaitement comprendre les processus impliqués. Le choix des outils associés fait partie de ce processus.

Fonctionnement de l’informatique La plupart des personnes pensent que le rôle du service informatique est de servir les besoins actuels de l’entreprise et, en outre, de proposer des objectifs stratégiques à long terme. Certains pensent même que le service informatique constitue un avoir essentiel et une force dans la lutte concurrentielle. Hélas, cela n’est pas toujours aussi évident, et ce pour une foule de raisons. Cela tient parfois à un problème de communication. Il arrive souvent que personne n’ait suffisamment réfléchi à ce que demande, techniquement parlant, la satisfaction des besoins de l’entreprise. Nombre de réseaux semblent avoir surgi comme des champignons après la pluie, sans s’appuyer sur quelque chose qui ressemblerait, de près ou de loin, à une vision globale. Il n’est pas facile de modifier la situation et ce pour plusieurs raisons : ■ La présence de matériels et de logiciels hérités ; ■ L’incompatibilité entre des systèmes d’exploitation et des applications qui avaient été

choisis, en leur temps, pour résoudre les problèmes particuliers de tel ou tel service de l’entreprise ; ■ L’évolution rapide des technologies et des besoins des utilisateurs ; ■ La résistance aux changements, émanant de tous ceux qui ont travaillé avec les

anciennes technologies ; ■ Le manque de personnel, de temps et d’argent pour la planification et la réalisation

d’une modernisation du système informatique. Le dernier de ces problèmes se retrouve presque partout. Néanmoins, si ces facteurs empoisonnent votre entreprise, il est temps de commencer à bousculer les habitudes. Vous ne pourrez pas faire une révolution du jour au lendemain, mais une planification bien pensée et l’élaboration de priorités claires représenteront déjà un grand bond en avant.

Chapitre 4

Planification du déploiement

41

Identifier les besoins L’identification des besoins de l’entreprise constitue une tâche qui peut sembler écrasante. Un bon point de départ consiste à étudier les besoins des divers services de l’entreprise. Analysez, par exemple, les besoins du service Ventes, du service Ressources Humaines et du service Marketing. Que doit faire chaque service à l’heure actuelle et que serait-il bon qu’il fasse à l’avenir ? Étudiez les opérations fondamentales (facturation, stock, etc.) qu’il faut effectuer tous les jours, ainsi que les opérations moins fréquentes (lancement des nouveaux produits, etc.). Quels sont les niveaux de souplesse à intégrer aux systèmes informatiques ? Quels sont les types de changements à anticiper pour tenir compte de l’accroissement des activités Internet ou de l’augmentation des accès émanant d’utilisateurs distants ? Cette étude des besoins de l’entreprise vous aidera à surmonter les résistances inévitables visà-vis des changements apportés à l’infrastructure. Les personnes ayant participé à votre étude des problèmes courants et des perspectives de l’entreprise vous épauleront pour le déploiement de Windows Server 2008.

Élaborer un cahier des charges précis Commencez par dresser une liste, triée par ordre d’importance, des fonctionnalités indispensables pour atteindre les objectifs de votre entreprise. À cette liste, ajoutez les éléments suivants : ■ Analyse du coût total de propriété, identifiant les endroits où la modernisation de

l’infrastructure informatique aboutirait à une diminution des coûts ; ■ Analyse du retour sur investissement, identifiant les bénéfices financiers susceptibles

d’être engendrés par la modernisation de l’infrastructure informatique ; ■ Évaluation du chiffre d’affaires supplémentaire susceptible d’être engendré par la

modernisation de l’infrastructure ; ■ Évaluation des risques potentiels résultant du maintien de l’infrastructure informatique

actuelle. Toutes ces questions sont fort compliquées, d’autant plus qu’elles se recoupent souvent. Il se pourrait donc que vous soyez obligé de refaire cette liste plusieurs fois. Selon la taille du projet, vous pourrez subdiviser cette liste en plusieurs sous-projets individuels, plus faciles à gérer.

Anticiper Pour réussir un réseau, il faut étudier avec une grande précision ce que sera l’entreprise d’ici un, trois, cinq et même dix ans. L’entreprise sera-t-elle plus ou moins centralisée ? Connaîtrat-elle une expansion géographique, ou au contraire une contraction ? Aurez-vous plus d’employés qui auront besoin de la libre circulation de l’information sur des réseaux pour

42

Partie I

Préparation

faire leur travail ? Devrez-vous gérer des employés mobiles, susceptibles de travailler tantôt dans l’entreprise, tantôt à l’extérieur (chez eux, chez des clients, etc.) ? Avec ce genre d’employés, les méthodes classiques de distribution de l’information risquent de s’avérer totalement dépassées. Comment ces employés obtiendront-ils ce dont ils auront besoin ? Comment arriverez-vous à combiner la facilité d’accès aux informations et la sécurité ? Les réseaux informatiques eux-mêmes sont sujets à des changements rapides. En effet, l’expérience du travail en réseau modifie la perception qu’a l’utilisateur de ce qui est possible et donc de ce qui est souhaitable. Quand les gens commencent à prendre l’habitude de consulter en temps réel les résultats des ventes ou les situations des stocks, la demande en matière d’accès augmente très rapidement. Même les changements mineurs peuvent avoir des répercussions majeures sur votre infrastructure informatique. En anticipant les changements et en les planifiant, vous garantirez l’évolution de votre réseau et son adéquation aux besoins à venir.

Analyser les systèmes existants Rares sont les entreprises qui connaissent l’inventaire exact de leurs matériels et de leurs logiciels. Plus rares encore sont les entreprises qui connaissent la fréquence de modification de leur infrastructure matérielle et logicielle. Il est impossible d’atteindre des objectifs si l’on ne connaît pas bien le présent. Même si vous n’êtes pas certain d’aller un jour à Paris, comment voulez-vous vous y rendre si vous ne savez même pas que vous êtes à Toulouse ou à Strasbourg ? Les sections qui suivent vont détailler les étapes de cette analyse, qui vous permettra de savoir ce dont vous avez besoin et comment mettre en œuvre les changements.

Documenter le réseau Savoir quels sont les matériels et les logiciels que vous avez déployés et comment ils sont utilisés, voilà un élément essentiel pour la conception d’un réseau et pour le choix optimal de la méthode de mise en œuvre de ce réseau. Après tout, vous n’allez pas jeter à la poubelle l’ensemble du réseau existant et le remplacer par des matériels dernier cri (et même cela serait-il le cas, ce n’est pas aussi facile qu’il y paraît). Il est plus probable que vous retirerez progressivement les matériels et les logiciels existants, à savoir sur des semaines ou des mois, voire plus. Pendant ce temps, vous serez bien obligé de les gérer. Une étude soigneuse et exhaustive du réseau actuel sera d’un grand secours pour la détection des problèmes potentiels (et pour le choix de solutions de remplacement).

Infrastructure organisationnelle et physique Dessinez la cartographie du réseau physique : stations, serveurs, routeurs, armoires de branchement, concentrateurs, etc. Ce schéma montrera les endroits où vous pouvez étendre le réseau (et ceux où vous ne le pouvez pas), révélera le meilleur routage du trafic et indiquera si les serveurs (et d’autres matériels) sont placés de manière optimale. En parallèle,

Chapitre 4

Planification du déploiement

43

un organigramme organisationnel, référençant tous les membres de l’équipe informatique et leurs responsabilités individuelles, permettra de clarifier les lignes de communication et révélera les failles à ce niveau. Vérifiez que toutes les tâches critiques sont assignées à chaque site, unité organisationnelle ou emplacement. Vous n’allez pas installer un serveur à un emplacement distant s’il n’y a personne pour l’administrer convenablement.

Tendances en matière de trafic Collectez des rapports sur le trafic réseau pour déterminer les emplacements optimaux des routeurs, des concentrateurs et des commutateurs, connaître les besoins en bande passante des stations et des groupes de travail et évaluer les besoins ultérieurs en matière de logiciels d’administration de réseau. Il existe des utilitaires d’analyse de réseau qui vous permettront de connaître les volumes précis du trafic réseau. Les tendances en matière de trafic ont également leur importance quand il s’agit d’évaluer les bonnes vitesses de connectivité longue distance ou la vitesse à utiliser sur les goulets reliant les différents étages d’un bâtiment.

Adresses réseau Quand vous mettrez à niveau le réseau en utilisant Active Directory, vous affecterez vraisemblablement de nouveaux noms à la plupart des nœuds du réseau. Ajoutez les adresses des nœuds au schéma physique que vous avez préalablement dessiné, de façon que vous puissiez savoir quelles sont les adresses à assigner et quelles seront les étapes requises par le passage de l’ancien système de dénomination au nouveau.

Connectivité du système d’exploitation Nombre de systèmes existants sont connectés à d’autres systèmes d’exploitation, comme UNIX. Déterminez les outils nécessaires pour préserver la connectivité ou migrez ces plates-formes vers Windows Server 2008. Sachez, en outre, que les emplacements physiques des routeurs, commutateurs et autres passerelles, sont critiques pour assurer une connectivité optimale. Remarque Windows Server 2008 inclut un client NFS (Network File System) et des composants serveur pour la connectivité UNIX, ainsi que le SUA (Subsystem for UNIX Applications) qui simplifient la migration des applications UNIX vers Windows. Pour de plus amples informations, reportez-vous au chapitre 6 du tome 2, « Interopérabilité ».

Connectivité avec le monde extérieur De même que la plupart des entreprises ne savent pas ce qu’elles ont comme matériel, la connectivité externe des réseaux est rarement documentée. Les entreprises connaissent souvent les services Internet, de réseau étendu et de télécopie utilisés, mais ne documentent pas les lignes téléphoniques qui servent aux accès distants ou à l’administration à distance. Il n’est pas rare de trouver des connexions sans fil non documentées (et non autorisées). Il est temps de les contrôler.

44

Partie I

Préparation

Systèmes d’exploitation réseau existants Dresser la liste des systèmes d’exploitation utilisés sur les différents serveurs et stations du réseau est un élément essentiel pour réussir la mise à niveau ou la migration des systèmes d’exploitation. Déterminez les exigences de la mise à niveau ou de la migration et sachez s’il faut procéder à des mises à niveau préliminaires.

Applications et services existants Faites l’inventaire des logiciels installés sur les serveurs et les stations. Lorsque vous aurez dressé cette liste, procédez à une analyse complémentaire pour connaître les besoins, ordinaires et extraordinaires, des applications en matière de ressources. Par exemple, un programme génère un trafic réduit la plupart du temps, sauf pour des téléchargements hebdomadaires de 200 Mo effectués depuis un serveur distant. En outre, les exigences du service comptable sont nettement différentes à la fin de l’année qu’au deuxième trimestre. Si des applications s’exécutent sur des serveurs ou des systèmes d’exploitation migrés, soyez sûr de connaître le processus de migration des applications et du système d’exploitation. En outre, ventilez les applications et services inventoriés dans différentes catégories : ■ Stratégiques Logiciels et services essentiels au fonctionnement de l’entreprise les plus

concernés par la réalisation des objectifs actuels et à venir. ■ Tactiques Applications et services intéressants pour l’entreprise, mais qui ne

fournissent pas d’avantages optimaux. ■ Hérités Logiciels et services encore utilisés dans l’entreprise, mais qui approchent de la

fin de leur durée de vie utile. Votre planification doit prévoir de retirer ces composants avant qu’ils ne tombent dans la catégorie Obsolètes. ■ Obsolètes Applications et services représentant une gêne plutôt qu’un avantage pour

l’entreprise. Votre objectif doit être d’en débarrasser l’entreprise le plus vite possible. Chaque composant logiciel entre dans l’une des ces catégories. Cette classification vous aidera à clarifier votre réflexion et à donner forme à votre planification. N’ignorez pas cette étape. Impliquez les parties de l’organisation qui exploitent une application ou un processus, en particulier si l’application est héritée ou obsolète. L’implication des utilisateurs constitue une part importante du processus. Ils comprennent ainsi la place de l’application dans les objectifs stratégiques de l’entreprise et peuvent trouver un moyen de résoudre le problème de l’application héritée. Les applications héritées font d’excellents candidats à la virtualisation. Pour chaque application entrant dans cette catégorie, réfléchissez au moyen de combiner et de rationaliser les serveurs qui les prennent en charge pour les virtualiser.

Chapitre 4

Planification du déploiement

45

Charge du serveur Réalisez un inventaire physique des serveurs du réseau pour inclure leur charge utile. Vous identifierez ainsi les candidats à la virtualisation et à la consolidation. En consolidant les charges de travail des serveurs sous-employés et en les déplaçant vers des serveurs virtualisés, vous réduirez significativement la charge de gestion globale et exploiterez plus efficacement les ressources. Windows Server 2008 inclut de nouvelles fonctionnalités de virtualisation décrites au chapitre 8 du tome 2, « Virtualisation Windows ».

Élaborer un schéma directeur Une enquête parrainée par Microsoft il y a quelques années, a défini six points qui caractérisent les services informatiques efficaces. Ces conclusions ne sont pas révolutionnaires, mais il est bon de les répéter. Les entreprises dotées de services informatiques performants : ■ Mettent l’informatique au service de l’entreprise et non au service des

informaticiens. En d’autres termes, les informaticiens doivent s’impliquer sans réserve dans la stratégie générale de l’entreprise et dans la mise en œuvre quotidienne de cette stratégie.

■ Décident des investissements financiers concernant l’informatique en se basant

sur les mêmes critères que pour les autres investissements. Qu’il s’agisse d’acheter

de la technologie informatique ou de nouveaux bureaux, il faut analyser le ratio coût/ bénéfice et le retour sur investissement. ■ Mettent l’accent sur la simplicité et la souplesse sur l’ensemble de

l’environnement informatique. Il faut limiter le nombre des technologies et des

plates-formes et rechercher le maximum de souplesse et de facilité de mise en œuvre. ■ Exigent des résultats rapides en matière de développement. Il faut privilégier les

déploiements par paliers, ainsi que les logiciels standards du marché. Si le développement d’un logiciel personnalisé s’avère indispensable, il faut se concentrer sur les vingt pourcents de fonctionnalités qui représenteront quatre-vingts pourcents de la valeur ajoutée. ■ Poussent sans cesse à l’amélioration de la productivité. Il faut mesurer les

performances par rapport à des tests référence et des standards, tant internes qu’externes, et rechercher en permanence des améliorations. ■ Cherchent à avoir un service informatique qui comprenne la gestion et une

organisation générale qui s’y connaisse en informatique. En termes plus simples,

dans une entreprise performante les informaticiens travaillent la main dans la main avec les autres services. Tout le monde parle le même langage, communique, comprend les possibilités et les besoins de l’autre. Voilà de grands et beaux principes, difficiles de contester dans l’absolu mais de mise en œuvre délicate dans la pratique. Cependant, il faut bien commencer quelque part. Gardez ces

46

Partie I

Préparation

objectifs à l’esprit et faites tout pour les appliquer, cela ne pourra que profiter à l’entreprise en général. Après avoir analysé la situation présente ainsi que les objectifs stratégiques à venir, vous devrez élaborer un schéma directeur qui vous permettra d’aller là où vous voulez aller. Le schéma directeur comprend la définition des objectifs, l’évaluation des risques et le planning de mise en service.

Définir les objectifs Les objectifs de votre déploiement doivent être précis, réalisables et mesurables. Énumérez les problèmes à résoudre et spécifiez la façon dont vous solutionnerez les diverses contraintes : besoins des utilisateurs finaux, coûts, calendrier, fiabilité, etc. Votre planning doit ensuite préciser ce que vous devez réaliser à chaque étape, ainsi que la façon dont vous vérifierez si vous avez fait ce que vous aviez prévu. Quand vous déployez Windows Server 2008 dans un certain service, abordez ce travail comme si vous étiez un fournisseur extérieur. Au minimum, vous devez : ■ Déterminer qui doit donner son accord sur la portée du projet et qui devra approuver

le travail fait. ■ Déterminer la portée du projet : que faut-il installer ? Que faut-il configurer ? Qu’est-ce

que les utilisateurs seront capables de faire à la fin du projet ? Tâchez d’y impliquer le plus grand nombre de personnes du service. ■ Définir, en collaboration avec les personnes du service, ce que l’on entend par

« achèvement du projet ». Par exemple, le projet sera considéré comme achevé quand toutes les stations seront reliées au réseau, quand tous les logiciels spécifiés auront été installés sur les stations, quand les utilisateurs pourront ouvrir des sessions sur le réseau et quand ils pourront accéder aux données en moins de n secondes (dans tous les cas de figure). Ici aussi, soyez précis. ■ Définir une méthodologie de test pour toutes les portions du projet. Faites approuver

officiellement cette méthode. Prévoyez suffisamment de temps pour les tests. Procédez régulièrement à des tests ponctuels, à mesure que vous avancez ; cela vous fera gagner du temps et vous évitera des déboires par la suite. ■ Une fois le projet terminé, vous faire donner un quitus témoignant de l’achèvement du

projet. Les ajouts et modifications non prévus dans le projet initial doivent entrer dans le cadre d’un nouveau projet (une autre phase du déploiement). Il est très important que chaque phase ait un point de terminaison. Certains éléments de la liste précédente paraissent aller de soi et pourtant, on peut s’étonner du nombre de personnes qui ne savent pas si la mise à niveau qu’ils ont faite a vraiment servi à quelque chose et, si tel est le cas, si les résultats sont ceux qui étaient voulus et requis. Bien souvent, les informaticiens s’en vont très contents d’eux-mêmes, laissant les utilisateurs dans un état de grande insatisfaction.

Chapitre 4

Planification du déploiement

47

En pratique Le projet sans fin À nos débuts dans le monde informatique, nous avons travaillé sur un projet de migration qui s’est très mal passé. Une grande entreprise, principalement équipée d’ordinateurs centraux et sans aucune infrastructure ou expérience informatique réelle en dehors des ordinateurs centraux, a décidé d’installer des ordinateurs personnels dans chaque service. Elle avait choisi d’installer, au même moment, une suite logicielle d’entreprise qui devait modifier radicalement le déroulement de chaque processus. La suite logicielle dépendait des ordinateurs personnels, ainsi que de nouveaux serveurs de bases de données UNIX. Alors que la liste des problèmes et des leçons à apprendre du fiasco qui en a résulté pourrait remplir un livre, la vraie leçon concernait les objectifs et la portée. Au lieu de construire le projet par phases avec une planification précise, des tests et des vérifications à chaque phase, le projet a été conçu en une seule et unique phase applicable à toute l’entreprise, sans accord préalable sur le résultat final. En conséquence, le projet n’a jamais été terminé. Il a fini par dépasser de très loin le budget prévu et par rendre malheureux les utilisateurs, l’équipe informatique et la direction. En outre, l’infrastructure n’a jamais répondu aux attentes des utilisateurs. Ne gérez pas votre projet de cette manière. Faites ce qu’il faut pour contrôler la portée et chaque phase du projet, définir des objectifs spécifiques, réalisables et quantifiables, avec un point final clair et sans ambiguïté qui répond à des objectifs réalistes.

Évaluer les risques Il est impossible de prédire tous les problèmes susceptibles de survenir au cours d’un déploiement, mais sachez qu’il y aura toujours quelque chose qui coincera. Entre autres problèmes classiques, citons les modifications subites des besoins de l’entreprise ou des utilisateurs ainsi que le dépassement des budgets ou des délais prévus. Vous pouvez gérer les risques de manière proactive ou réactive. De toute évidence, mieux vaut prévenir que guérir mais, de façon tout aussi évidente, cela n’est pas toujours possible. Reste qu’il est conseillé d’établir un plan d’évaluation et de gestion des risques. Un tel plan doit énumérer les différents types de problèmes potentiels, les réponses appropriées à chacun de ces problèmes, ainsi que les solutions permettant de minimiser les pertes potentielles. Un planning mal pensé est l’une des pires choses qui soient pour un déploiement. En même temps, un planning qui tient compte des risques contribue de beaucoup à réduire la probabilité de problèmes sérieux. Les précautions suivantes vous aideront à minimiser les périls relatifs au planning : ■ Commencez par développer les composants à haut risque. Développez en premier,

et de manière indépendante, les parties qui sont déjà sources de problèmes chroniques (par exemple, la messagerie ou le serveur web). Quant aux nouveaux composants qui

48

Partie I

Préparation

n’ont jamais fait partie du réseau, testez-les séparément et vérifiez leur fonctionnement à fond avant de les installer là où ils risquent d’affecter des opérations critiques. ■ Ajoutez un facteur de dépassement pour tenir compte des circonstances

imprévues. Rien ne se passe jamais exactement comme prévu. Telle installation qui

devait se faire en cinq minutes s’avère exiger une modification au niveau du matériel. Tel remplacement de matériel qui devait se faire facilement demande en fait une heure de configuration. Estimez un délai pour chaque étape du déploiement, puis doublez ce délai. ■ Actualisez le planning du projet. En cas de changement du contexte et d’achèvement

d’une étape, informez toutes les personnes impliquées dans le projet en actualisant et diffusant le planning. Si, par exemple, vous arrivez à la fin de la première phase du déploiement avec deux jours de retard sur le calendrier prévu, ne vous contentez pas de prévoir de rattraper votre retard en travaillant plus vite. Modifiez le planning et voyez si le retard est dû à une lacune dans la planification (auquel cas le problème risque de se répéter) ou s’il s’agit d’une erreur ponctuelle. Il est bon d’être optimiste, mais il est préférable d’être réaliste. Remarque La gestion du risque est un sujet complexe, mais il est important que l’équipe informatique le comprenne, en particulier dans le domaine de la sécurité réseau. Le Security Risk Management Guide de Microsoft propose des conseils avisés en la matière. Vous pouvez le télécharger à l’adresse http:// www.microsoft.com/downloads/details.aspx?FamilyID=c782b6d3-28c5-4ddaa168-3e4422645459&displaylang=en.

Résumé Ces premiers chapitres vous ont, sans doute, donné beaucoup de choses à considérer et aussi à faire. Quelle que soit la qualité de votre planification, il faudra tôt ou tard la mettre en pratique, ne serait-ce que pour trouver des améliorations. Avec le chapitre suivant commencera la partie II, dans laquelle vous apprendrez à installer et à configurer Windows Server 2008.

Partie II

Installation et configuration Chapitre 5 : Démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 Chapitre 6 : Mise à niveau vers Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . .77 Chapitre 7 : Configuration d’une nouvelle installation . . . . . . . . . . . . . . . . . . . . . . . . . . .93 Chapitre 8 : Installation des rôles de serveurs et des fonctionnalités . . . . . . . . . . . . . 119 Chapitre 9 : Installation et configuration de Server Core . . . . . . . . . . . . . . . . . . . . . . . 147 Chapitre 10 : Gestion des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Chapitre 11 : Gestion des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Chapitre 12 : Gestion des ressources de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Chapitre 13 : Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Chapitre 5

Démarrage Configuration système minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Concevoir un environnement de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Dépanner des installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 L’installation interactive de Windows sur un seul système prend du temps ; sur cinq ordinateurs, elle est ennuyeuse à mourir et tout simplement absurde sur vingt serveurs. En fait, il est même fastidieux d’installer manuellement deux ou trois serveurs. Dans ce chapitre, nous allons nous pencher sur l’installation de Windows Server 2008 et la manière d’automatiser quelques-uns des processus en vue de faciliter vos tâches quotidiennes.

Configuration système minimale Avant d’installer Windows Server 2008, lisez attentivement la configuration système requise pour vous assurer que votre matériel informatique répond à la configuration minimale. Le tableau 5-1 présente la configuration minimale officielle requise pour Windows Server 2008 dans le cadre d’une nouvelle installation à partir de rien, ainsi que nos commentaires sur cette configuration. Tableau 5-1 Configuration matérielle minimale pour Windows Server 2008 Matériel

Configuration minimale

Commentaires

Processeur

32 bits – 1 GHz 64 bits, x64 – 1.4 GHz 64 bits, Itanium – Itanium 2

Il est plus réaliste de prévoir un processeur de 2 GHz ou plus.

RAM

512 Mo

1 Go de RAM est un minimum plus réaliste. 2 Go sont même recommandés. Pour Server Core, 1 Go de RAM suffit généralement avec des charges de travail classiques.

Disque

10 Go

Pas moins de 40 Go d’espace disque dur sur le lecteur système. Et si votre serveur possède plus de 16 Go de RAM, augmentez le minimum à 50 Go au moins.

51

52

Partie II

Installation et configuration

Tableau 5-1 Configuration matérielle minimale pour Windows Server 2008 Matériel

Configuration minimale

Commentaires

Lecteur optique

DVD-ROM

Un lecteur de CD-ROM ne suffit plus, même s’il est encore techniquement possible d’obtenir un CD d’installation particulier. Dans les installations de réseau, le lecteur optique n’est pas requis.

Vidéo

800 x 600

1 024 x 768 est un minimum plus réaliste. Certains écrans ne donnent pas un résultat optimal avec une résolution inférieure à 1 024 x 768.

Autre

Clavier et souris

Réseau

Non requis

En réalité non. Une carte réseau est nécessaire pour rejoindre un domaine ou quasiment tout ce que l’on est amené à faire avec Windows Server 2008.

Notez ce qui n’apparaît pas dans la liste du matériel requis : un lecteur de disquette ! Enfin, dans Windows Server 2008, on peut se débarrasser des disquettes, même s’il faut charger des pilotes pour le contrôleur de disque dur. Les pilotes se chargent maintenant à partir de CD ou de DVD, d’un lecteur flash USB ou d’une disquette.

En pratique Pilotes 64 bits et signés L’un des grands changements dans Windows Server 2008 concerne les pilotes signés qui sont nécessaires dans toutes les versions 64 bits. Cela signifie que vous devez vous assurer que votre fournisseur vous a procuré la prise en charge complète pour son matériel dans Windows Server 2008 64 bits. Nous avons été surpris par le temps nécessaire pour recevoir les pilotes 64 bits signés de la part des principaux vendeurs ; ainsi, si vous devez utiliser des cartes ou des périphériques non inclus avec le serveur que vous avez commandé auprès de votre fournisseur, vérifiez bien la disponibilité d’un pilote signé et pris en charge pour tel périphérique ou carte avant d’installer une version 64 bits de Windows Server 2008. Si un pilote n’est pas disponible, vous devrez soit trouver un autre fournisseur de matériel pour vous le procurer, soit exécuter une version 32 bits de Windows Server 2008 qui possède un pilote. Nous conseillons par conséquent de ne pas se tourner vers les fournisseurs qui ne gèrent pas totalement la prise en charge des pilotes 64 bits.

Chapitre 5

Démarrage

53

Concevoir un environnement de déploiement Si vous effectuez plusieurs installations de Windows Server 2008, il est judicieux de concevoir un environnement de déploiement pour déployer Windows efficacement sur les systèmes client et serveur de l’organisation. Les prochaines sections analysent comment concevoir un environnement de déploiement qui procure la vitesse et le contrôle de déploiement nécessaires, tout en conservant un niveau de complexité acceptable.

Choisir une méthode d’installation L’installation de Windows repose maintenant complètement sur une image. Plutôt que de copier des fichiers individuels sur le disque dur de l’ordinateur cible, la nouvelle installation de Windows Server 2008 exploite des fichiers WIM (Windows Image) pour placer une image complète de Windows Server 2008 sur le disque système du serveur cible. Cette installation basée sur l’image ne change pas si vous employez un DVD local ou si vous installez Windows sur le réseau à l’aide des Services de déploiement Windows. L’installation basée sur l’image présente plusieurs avantages : ■ Les temps d’installation sont réellement plus courts, quelle que soit la source de

l’installation. ■ L’ajout ou la suppression de composants Windows n’impose pas d’accéder au support

d’installation d’origine, car tous les fichiers sont déjà sur le serveur. ■ Le déploiement d’images pré-corrigées ou d’images contenant des jeux personnalisés

de pilotes est simplifié. Lorsque vous déployez Windows Server 2008 sur un ou deux serveurs, l’emploi d’un DVD standard ne pose pas de problème pour l’installation. S’il s’agit d’une installation de mise à niveau, passez directement au chapitre 6 du tome 1, « Mise à niveau vers Windows Server 2008 ». Si vous installez un nouveau serveur avec un DVD standard, consultez la section « Installer Windows Server 2008 », plus loin dans ce chapitre. Vous retrouverez les informations sur les services de déploiement Windows pour automatiser le déploiement de Windows Server 2008 à la section « Automatiser le déploiement d’un serveur », plus loin dans ce chapitre.

Installer Windows Server 2008 L’installation de Windows Server 2008 à partir d’un support de distribution standard sur un serveur démuni de système d’exploitation génère uniquement sept écrans au départ ; le reste de l’installation se poursuit et s’achève sans aucune interruption. Il n’est pas utile de saisir d’informations sur le réseau, le nom de l’ordinateur ou encore le nom du domaine, excepté le code d’identification produit associé à l’installation et la langue de l’installation.

54

Partie II

Installation et configuration

À propos Installations sans code d’identification produit Windows Server 2008 vous demande normalement de saisir la clé de produit pour l’installation. Cependant, vous pouvez passer outre, puis choisir la version de Windows Server 2008 que vous installez. Quelques invites et avertissements s’affichent, mais si vous voulez uniquement exécuter un environnement de démonstration ou d’évaluation pendant 60 jours ou moins, vous n’êtes pas obligé de saisir de clé de produit. Vous profiterez de la même installation complète de Windows Server 2008 pendant la période donnée. Il est même possible d’étendre cette période à deux reprises pour bénéficier deux fois supplémentaires de 60 jours en faisant appel à la commande slmgr -rearm. Si vous décidez de convertir un serveur installé sans clé de produit en serveur Windows Server 2008 activé, vous devez saisir la clé de produit d’exactement la même version de Windows Server 2008 que vous avez indiquée lors de la première installation. Cela signifie que si vous avez utilisé un support vendu au détail pour installer le serveur, vous devez fournir une clé de détail. Si vous avez sélectionné Windows Server 2008 Standard, vous devez fournir une clé de détail Windows Server 2008 Standard. Il est impossible de changer la version installée sans réinstaller complètement Windows Server 2008. Pour saisir la clé de produit d’un serveur installé sans clé, tapez la commande slmgr.vbs –ipk. Voici comment installer Windows Server 2008 sur un serveur vierge à l’aide d’un DVD standard :

1. Mettez le serveur sous tension et insérez immédiatement le DVD Windows Server 2008 de l’architecture à installer. Si le disque dur principal ne possède pas de système d’exploitation amorçable, vous êtes automatiquement dirigé vers le processus d’installation de Windows Server 2008. Si le disque contient un système d’exploitation amorçable, le message Appuyez sur n’importe quelle touche pour démarrer du CDROM ou du DVD-ROM s’affiche. Dans ce cas, appuyez sur une touche. 2. Lorsque l’écran Installer Windows de la figure 5-1 apparaît, sélectionnez la langue et les autres paramètres régionaux à employer avec cette installation.

Chapitre 5

Démarrage

55

Figure 5-1 Première page de l’Assistant Installer Windows

3. Cliquez sur Suivant pour ouvrir la page de la figure 5-2. Vous pouvez réparer une installation Windows Server 2008 endommagée ou afficher des informations supplémentaires avant l’installation.

Figure 5-2 Page Installer de l’Assistant Installer Windows

56

Partie II

Installation et configuration

4. Cliquez sur Installer pour afficher la page Entrez votre clé de produit pour activation de l’Assistant Installer Windows, comme le montre la figure 5-3.

Figure 5-3 Page Entrez votre clé de produit pour activation de l’Assistant Installer Windows

5. Tapez la clé de produit de cette installation de Windows Server 2008 (reportez-vous à l’encart À propos pour savoir comment installer sans saisir de clé de produit). 6. Laissez cochée la case Activer automatiquement Windows quand je serai en ligne, sauf si vous préférez décider quand activer le produit. 7. Cliquez sur Suivant pour afficher la page Sélectionnez l’édition de Windows que vous avez achetée de l’Assistant Installer Windows, illustrée par la figure 5-4. Si vous installez le produit sans saisir de clé de produit, la liste des versions possibles est plus longue.

Chapitre 5

Démarrage

57

Figure 5-4 Sélectionnez l’édition de Windows que vous avez achetée de l’Assistant Installer Windows

8. Choisissez entre Installation complète ou Installation Server Core. Ce choix est irréversible : il est impossible de convertir ultérieurement une installation complète en Server Core ou inversement. L’installation et la configuration de Windows Server 2008 Server Core sont analysées au chapitre 9 du tome 1, « Installation et configuration de Server Core ». 9. Cliquez sur Suivant pour afficher la page Veuillez lire le contrat de licence. Cochez la case J’accepte les termes du contrat de licence. Vous n’avez pas le choix : soit vous les acceptez, soit l’installation s’arrête. 10. Cliquez sur Suivant pour ouvrir la page Quel type d’installation voulez-vous effectuer. La seule possibilité que vous avez lorsque vous démarrez d’un DVD est Personnalisée (Avancé). Sélectionnez alors cette option pour ouvrir la page Où souhaitez-vous installer Windows de la figure 5-5.

58

Partie II

Installation et configuration

Figure 5-5 Page Où souhaitez-vous installer Windows de l’Assistant Installer Windows

11. Le premier disque de votre ordinateur est mis en évidence. Vous êtes libre de sélectionner le disque de votre choix. Si le disque cible ne s’affiche pas, chargez les pilotes requis en cliquant sur Charger un pilote. Cliquez sur Options de lecteurs (avancées) pour obtenir d’autres options destinées à repartitionner ou à formater le lecteur sélectionné. 12. Une fois que vous avez sélectionné le lecteur, cliquez sur Suivant pour démarrer l’installation. Aucune invite ne s’affiche jusqu’à la fin de l’installation. Vous êtes alors invité à saisir votre mot de passe pour le compte Administrateur.

À propos Options de lecteurs Le lecteur sélectionné par défaut à l’installation de Windows Server 2008 est le premier lecteur énuméré par le BIOS. Vous pouvez en sélectionner un autre si celui que vous voulez n’est pas sélectionné ou ajouter des pilotes pour d’autres contrôleurs si le lecteur que vous voulez n’apparaît pas. Pour ceux qui connaissent bien les versions précédentes de Windows, réjouissez-vous d’apprendre que Windows Server 2008 propose enfin une prise en charge de supports autres que la disquette pour charger les pilotes de stockage pendant l’installation. Comme le montre la figure 5-6, il est possible de charger des pilotes à partir de disquettes, CD, DVD ou lecteur flash USB.

Chapitre 5

Démarrage

59

Figure 5-6 Windows Server 2008 prend en charge le chargement de pilotes de stockage à partir de disquette, disque optique ou lecteur USB.

Si vous devez modifier les partitions d’un lecteur, le formater ou même l’étendre pour lui fournir de l’espace supplémentaire, cliquez sur Options de lecteurs (avancées) pour afficher les options supplémentaires de gestion et de configuration des disques pendant l’installation, comme le montre la figure 5-7.

Figure 5-7 Des options de lecteurs avancées sont disponibles pendant l’installation de Windows Server 2008.

60

Partie II

Installation et configuration

Le processus d’installation de Windows Server 2008 propose une nouveauté importante : la possibilité d’étendre une partition. S’il ne s’agit pas d’une fonctionnalité importante dans les installations toutes nouvelles, elle se révèle pratique si vous recyclez un ordinateur. Vous pouvez étendre une partition avec de l’espace non alloué disponible du même disque. Remarque Si vous devez ouvrir une fenêtre d’Invite de commandes pendant le processus d’installation, appuyez sur les touches Maj+F10. Il est alors possible d’exécuter manuellement Diskpart.exe ou n’importe quel autre outil disponible et charger manuellement un pilote ou ajuster le partitionnement. À la fin de l’installation, Windows Server 2008 redémarre et présente l’écran d’ouverture de session. Vous devez saisir un nouveau mot de passe pour le compte Administrateur, comme le montre la figure 5-8, puis ouvrir une session sur le nouveau serveur.

Figure 5-8 Définition du mot de passe initial pour le compte Administrateur

Une fois que vous êtes connecté, l’Assistant Tâches de configuration initiales s’affiche pour gérer la configuration de votre nouveau serveur. Le chapitre 7 du tome 1, « Configuration d’une nouvelle installation », détaille cet assistant ainsi que les autres étapes initiales de la configuration d’un serveur.

Chapitre 5

Démarrage

61

Installations Server Core Windows Server 2008 propose une installation en mode Server Core. Cette version avec interface minimale de Windows Server 2008 comporte moins de rôles et de fonctionnalités et peu de fonctionnalités graphiques. Elle occupe très peu d’espace disque et de charge en mémoire. Mais plus important encore, elle présente une surface d’attaque réduite, améliorant la sécurité globale. En outre, comme elle possède peu de services en cours d’exécution et de composants installés, le suivi de la maintenance et des mises à jour (ainsi que les risques associés) sont réduits. Le chapitre 9 du tome 1 contient des informations et des scripts pour installer et configurer Server Core.

Paramètres par défaut pour la configuration initiale Lors de l’installation de Windows Server 2008, vous n’avez à répondre qu’à très peu de questions. Par conséquent, le processus d’installation doit définir quelques paramètres par défaut qu’il vous faudra configurer ultérieurement à l’aide de l’Assistant Tâches de configuration initiales. Le tableau 5-2 présente la liste de ces paramètres de départ. Tableau 5-2 Paramètres d’installation initiale par défaut Paramètre

Valeur par défaut

Fuseau horaire

GMT+1 (Bruxelles, Copenhague, Madrid, Paris)

Réseau

DHCP configuré

Nom de l’ordinateur

Nom généré

Domaine/Groupe de travail

WORKGROUP

Mises à jour automatiques

Non configurées

Rapport d’erreurs Windows

Désactivé

Programme d’amélioration du produit

Ne pas participer

Rôles

Aucun

Fonctionnalités

Aucune

Bureau à distance

Désactivé

Pare-feu Windows

Activé

Automatiser le déploiement d’un serveur Si vous installez un ou deux serveurs, il est logique d’employer un DVD et de démarrer l’installation, en particulier si celle-ci ne concerne pas le déploiement d’un gros client. Mais si vous disposez d’une douzaine de serveurs à installer et à configurer, vous n’allez pas procéder de la même manière, car vous souhaiterez automatiser l’installation.

62

Partie II

Installation et configuration

En pratique Normaliser les technologies de l’information On entend très souvent qu’il est impossible de normaliser l’informatique, ce qui est tout simplement faux. Et si vous espérez un jour contrôler tous vos processus informatiques, il vous faut commencer à les normaliser. Il existe des méthodologies bien documentées pour normaliser les processus informatiques, dont la Bibliothèque des Infrastructures des Technologies de l’Information et Microsoft Operations Framework. Si vous ne les connaissez pas, il est temps de les découvrir. Commencez par le livre blanc anglais « MOF: An Actionable and Prescriptive Approach to ITIL » téléchargeable à l’adresse http:// www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/mofitil.mspx. Le déploiement est une tâche que l’on pense naturellement à normaliser. En utilisant les outils de Windows Server 2008, on crée des images standards des serveurs et des clients à déployer automatiquement. L’avantage principal du déploiement automatisé est que tous les déploiements sont assurés d’être identiques, ce qui simplifie le suivi de la maintenance et des mises à jour. Le mécanisme d’automatisation des déploiements de Windows Server 2008 correspond au rôle Services de déploiement Windows. Il s’agit d’une extension et d’une amélioration de la fonctionnalité RIS (Remote Installation Services) des versions précédentes de Windows Server.

À propos Améliorations de la fonctionnalité RIS Si les services de déploiement Windows s’appuient sur la fonctionnalité RIS, ils offrent de nombreux avantages et évolutions. Voici les changements de la fonctionnalité RIS dans Windows Server 2008 : ■ Prise en charge des déploiements Windows Vista et Windows Server 2008 ; ■ Prise en charge de Windows PE en tant que système d’exploitation amorçable ; ■ Prise en charge des fichiers .wim (Windows Image) ; ■ Prise en charge du déploiement par multidiffusion ; ■ Nouvelle interface graphique.

Les services de déploiement Windows sont disponibles sur Windows Server 2003, mais leur ensemble de fonctionnalités est plus limité. Le déploiement par multidiffusion n’est pas pris en charge, le serveur TFTP est limité et les capacités de rapport sont également moins étendues. Les services de déploiement Windows s’accompagnent de trois ensembles de composants : ■ Composants serveur Un nouveau serveur TFTP (Trivial File Transfer Protocol), un

serveur PXE (Pre-Boot Execution Environment) amélioré et l’entrepôt d’images.

Chapitre 5

Démarrage

63

■ Composants client Une interface graphique qui appartient à l’environnement de

préinstallation Windows (Windows PE). ■ Composants de gestion Les différents outils employés pour gérer le serveur des

services de déploiement Windows et ses composants. Il s’agit de la console graphique Wdsmgmt.msc et de l’utilitaire en ligne de commandes Wdsutil.exe.

Installer et configurer les services de déploiement Windows Le rôle Services de déploiement Windows s’installe avec le même Assistant Ajout de rôles que les autres rôles de serveurs de Windows Server 2008. Il faut choisir entre deux services de rôle : Serveur de déploiement et Serveur de transport. Installez uniquement Serveur de transport si vous voulez faire de la multidiffusion mais que vous ne souhaitez pas bénéficier de la totalité des fonctionnalités des services de déploiement Windows. Dans la plupart des cas, on installe toutefois les deux services de rôle.

Procédure d’installation Voici comment installer le rôle Services de déploiement Windows :

1. Ouvrez la console Gestionnaire de serveur. 2. Dans le volet de gauche, cliquez sur Rôles et sélectionnez Ajouter des rôles dans le menu Action pour ouvrir l’Assistant Ajout de rôles. 3. Cliquez sur Suivant pour ouvrir la page Sélectionnez des rôles de serveurs, comme le montre la figure 5-9.

Figure 5-9 Page Sélectionnez des rôles de serveurs de l’Assistant Ajout de rôles

64

Partie II

Installation et configuration

4. Sélectionnez Services de déploiement Windows et cliquez sur Suivant pour ouvrir la page Vue d’ensemble des services de déploiement Windows. Cette page contient des informations de base sur les conditions requises par les services de déploiement Windows et des liens vers des documents portant sur la configuration et la gestion de ce rôle. 5. Cliquez sur Suivant pour ouvrir la page Sélectionner les services de rôle de la figure 5-10. Dans la majorité des cas, sélectionnez les services Serveur de déploiement et Serveur de transport.

Figure 5-10 Page Sélectionner les services de rôle de l’Assistant Ajout de rôles

6. Cliquez sur Suivant pour ouvrir la page Confirmer les sélections pour l’installation. 7. Cliquez sur Installer pour démarrer l’installation, puis sur Fermer à la fin de l’installation.

Configuration initiale Une fois les services de déploiement Windows installés, ils nécessitent un minimum de configuration pour s’activer. Il vous faut effectuer la configuration de départ et ajouter des images à employer pour le déploiement avant que le serveur PXE ne soit activé et que les services de déploiement Windows ne soient prêts à déployer des systèmes d’exploitation. Pour configurer les services de déploiement Windows de manière à déployer des versions Windows Server 2008, procédez comme suit :

1. Ouvrez la console Services de déploiement Windows.

Chapitre 5

Démarrage

65

Remarque La ligne de commandes pour ouvrir la console Services de déploiement Windows est Wdsmgmt.msc.

2. Sélectionnez le serveur à configurer, comme le montre la figure 5-11, et dans le menu Action, sélectionnez Configurer le serveur.

Figure 5-11 Console Services de déploiement Windows

3. Sur la page Page d’accueil de l’Assistant Configuration des services de déploiement Windows, lisez les conditions requises pour le rôle. 4. Si votre environnement répond aux exigences requises, cliquez sur Suivant pour ouvrir la page Emplacement du dossier d’installation à distance, illustrée par la figure 5-12. Saisissez l’emplacement où stocker les images ou cliquez sur Parcourir pour le sélectionner.

Figure 5-12 Page Emplacement du dossier d’installation à distance de l’Assistant Configuration des services de déploiement Windows

66

Partie II

Installation et configuration

5. Cliquez sur Suivant pour ouvrir la page Paramètres initiaux du serveur PXE, illustrée par la figure 5-13. Le paramètre par défaut consiste à ne pas répondre aux requêtes PXE, ce qui n’a pas réellement de sens. Sélectionnez Répondre uniquement aux ordinateurs clients connus si vous prévoyez de préinstaller des ordinateurs dans Active Directory. Choisissez Répondre à tous les ordinateurs clients (connus et inconnus) si vous ne comptez pas préinstaller les clients. Si vous n’effectuez aucune préinstallation, vous pouvez définir les services de déploiement Windows de sorte qu’ils requièrent une approbation des clients inconnus. Les clients connus, préinstallés dans Utilisateurs et ordinateurs Active Directory, ne nécessiteront pas d’approbation.

Figure 5-13 Page Paramètres initiaux du serveur PXE de l’Assistant Configuration des services de déploiement Windows

6. Cliquez sur Terminer pour afficher la page Configuration terminée de l’Assistant Configuration des services de déploiement Windows de la figure 5-14.

Figure 5-14 Page Configuration terminée de l’Assistant Configuration des services de déploiement Windows

Chapitre 5

Démarrage

67

7. Cochez la case Ajouter les images au serveur de déploiement Windows maintenant et cliquez sur Terminer pour ouvrir l’Assistant Ajout d’images. 8. Sur la page Emplacement des fichiers image Windows de la figure 5-15, saisissez l’emplacement des images Windows à employer. Elles doivent se situer sur un lecteur ou un répertoire local.

Figure 5-15 Page Emplacement des fichiers image Windows de l’Assistant Services de déploiement Windows – Ajout d’images

Les images de démarrage et d’installation de Windows Vista et de Windows Server 2008 se trouvent dans le sous-répertoire Sources du support d’installation.

9. Cliquez sur Suivant pour ouvrir la page Groupe d’images. Tapez un nom descriptif à attribuer au premier groupe d’images (le nom par défaut présente peu d’intérêt). 10. Cliquez sur Suivant pour ouvrir la page Revoir les paramètres de la figure 5-16.

Figure 5-16 Page Revoir les paramètres de l’Assistant Configuration des services de déploiement Windows – Ajout d’images

11. Cliquez sur Suivant pour commencer à ajouter les images. Lorsque toutes les images sélectionnées ont été ajoutées, cliquez sur Terminer pour quitter l’assistant.

68

Partie II

Installation et configuration

Définir les propriétés supplémentaires Après avoir effectué la configuration de base de votre serveur des services de déploiement Windows, vous avez la possibilité d’ajuster les paramètres du serveur en ouvrant la boîte de dialogue Propriétés dans la console Services de déploiement Windows. Les sections qui suivent décrivent les huit onglets de la boîte de dialogue Propriétés : Général ■ Aucun paramètre disponible, mais cet onglet donne des informations de base sur le

serveur, dont le nom, le dossier d’installation et le mode de déploiement. Paramètres de réponse PXE ■ Stratégie de réponse PXE. ■ Ne répondre à aucun ordinateur client. ■ Répondre uniquement aux ordinateurs clients connus. ■ Répondre à tous les ordinateurs clients (connus et inconnus). ■ Pour les clients inconnus, informer l’administrateur et répondre après accord. ■ Délai de réponse PXE (en secondes). La valeur par défaut est de 0.

Services d’annuaire ■ Nouvelle stratégie de noms de clients. La valeur par défaut basée sur le nom de

l’utilisateur n’a aucun sens. Vous la modifierez pour déployer des serveurs. Important La longueur maximale d’un nom d’ordinateur est de

15 caractères. Les stratégies par défaut génèrent jusqu’à 63 caractères, ce qui crée des problèmes lorsque l’on tente de joindre le domaine. Choisissez une convention de noms qui garantit un plafond de 15 caractères aux noms. ■ Emplacement du compte client. Domaine ou OU où le compte d’ordinateur client est

créé. Démarrer ■ Programme de démarrage par défaut (facultatif). Permet de spécifier pour chaque

architecture un programme de démarrage différent de celui par défaut. ■ Image de démarrage par défaut (facultatif). Permet de spécifier pour chaque

architecture une image par défaut spécifique. Client ■ Activer l’installation sans assistance. Si ce paramètre est coché, autorise une installation

sans assistance complète à l’aide de fichiers XML unattend. ■ Création des comptes clients. Permet de désactiver la liaison automatique au domaine.

Chapitre 5

Démarrage

69

DHCP ■ Permet de configurer DHCP s’il s’exécute localement sur le serveur des services de

déploiement Windows. Paramètres réseau ■ Adresse IP de multidiffusion. Sélectionnez DHCP si votre serveur DHCP le prend en

charge ou spécifiez la plage d’adresses IP pour la multidiffusion. La valeur par défaut est 239.0.0.1 – 239.0.0.254. ■ Plage de ports UDP. La valeur par défaut est 64001 – 65000. Ne la modifiez pas. ■ Profil réseau. Cette valeur définit la vitesse de votre réseau.

Avancé ■ Options utilisées par le serveur des services de déploiement Windows. Permet de

spécifier les contrôleurs de domaine et les serveurs de catalogue global (non recommandé) ou d’autoriser les services de déploiement Windows à les découvrir dynamiquement. ■ Autorisation DHCP. Choisissez d’autoriser ou non le serveur des services de

déploiement Windows dans DHCP.

Ajouter des images supplémentaires Lors de la configuration initiale, vous spécifiez les images à employer dans les services de déploiement Windows, mais il est possible d’ajouter d’autres images pour différentes architectures et différents systèmes d’exploitation. Vous pouvez aussi spécifier des images qui comprennent les applications et les rôles de serveurs préinstallés à exploiter sur un groupe de clients des services de déploiement Windows.

Ajouter des images standards Pour ajouter des images de système d’exploitation standards sans personnalisation particulière ou comportement par défaut, procédez comme suit :

1. Ouvrez la console Services de déploiement Windows. 2. Dans le volet de gauche, développez le nom du serveur des services de déploiement Windows auquel ajouter des images et sélectionnez Image d’installation (pour ajouter de nouvelles images d’installation) ou Image de démarrage (pour une nouvelle image de démarrage). 3. Pour une image de démarrage, sélectionnez Ajouter une image de démarrage dans le menu Action. Pour une image d’installation, sélectionnez le groupe d’images auquel ajouter l’image et cliquez sur Ajouter une image d’installation dans le menu Action.

70

Partie II

Installation et configuration

4. Sur la page Fichier image de l’Assistant Services de déploiement Windows – Ajout d’images, illustrée par la figure 5-17, recherchez l’image à ajouter, sélectionnez-la et cliquez sur Ouvrir pour revenir à la page Fichier image.

Figure 5-17 Page Fichier image de l’Assistant Services de déploiement Windows – Ajout d’images

5. Cliquez sur Suivant pour afficher la page Liste des images disponibles. Supprimez la coche des images à ne pas installer. 6. Cliquez sur Suivant pour afficher la page Résumé. Si tout semble correct, cliquez sur Suivant pour ajouter l’image, puis sur Terminer pour quitter l’assistant.

Créer une image de capture Une image de capture est une image de démarrage qui permet de créer une image d’un ordinateur spécifique et ainsi d’obtenir des images (d’installation) de déploiement personnalisé. Voici comment créer une image de capture :

1. Ouvrez la console Services de déploiement Windows. 2. Dans le volet de gauche, développez le nom du serveur des services de déploiement Windows auquel ajouter des images, puis sélectionnez Images de démarrage. 3. Sélectionnez l’image de démarrage à employer pour créer l’image de démarrage de capture et sélectionnez Créer une image de démarrage de capture dans le menu Action pour ouvrir l’Assistant Création d’images de capture, illustré par la figure 5-18.

Chapitre 5

Démarrage

71

Figure 5-18 Page Capturer les métadonnées d’image de l’Assistant Création d’images de capture

4. Renseignez les champs fournis sur la page Capturer les métadonnées d’image et cliquez sur Suivant. 5. Cliquez sur Terminer lorsque l’image de capture est achevée. 6. Sélectionnez Images de démarrage et cliquez sur Ajouter une image de démarrage dans le menu Action. 7. Recherchez l’image de capture que vous venez de créer et cliquez sur Suivant. 8. Suivez les instructions de l’Assistant Ajout d’images pour terminer la capture. Remarque Pour éviter tout problème avec les noms et les SID dupliqués sur le réseau, faites appel à Sysprep.exe pour préparer les ordinateurs d’où vous créez les images de capture. Sysprep peut être remplacé par Newsid.exe, disponible en téléchargement à l’adresse http://www.microsoft.com/technet/sysinternals/ Utilities/NewSid.mspx.

Ajouter des images personnalisées Une fois que vous avez créé une image d’installation personnalisée, il est possible de répéter les mêmes procédures pour l’ajouter à vos déploiements en guise d’une autre image. Cette image peut comprendre des pilotes préinstallés pour des cartes réseau personnalisées ainsi que des applications préinstallées, ce qui va simplifier la distribution et le déploiement d’images serveur standards.

72

Partie II

Installation et configuration

Dépanner des installations L’installation de Windows Server 2008 ne pose en général pas de problème, mais elle se complique en cas de problème. Cependant, lorsqu’elle échoue pour une raison ou une autre, cela pimente votre quotidien. La plupart des erreurs d’installation provient de défaillances ou d’incompatibilités du matériel ; ainsi, les techniques de dépannage standards pour les problèmes de matériel vont s’appliquer. Voici quelques-uns des problèmes les plus courants : ■ Échec du démarrage à partir d’un point de distribution du réseau ; ■ Fichier corrompu lors de l’installation ; ■ Impossibilité de trouver un disque dur ; ■ Erreurs STOP.

Les sections suivantes reprennent chacun de ces problèmes et fournissent les solutions pour en venir à bout.

Échec du démarrage à partir d’un point de distribution du réseau Lorsque vous installez Windows Server 2008 à partir d’un point de distribution du réseau, vous vous servez du code PXE de la carte réseau pour vous connecter au partage de la distribution et télécharger l’environnement de démarrage Environnement de préinstallation Windows sur le serveur et à partir de cet environnement, copier l’image Windows Server 2008 amorçable que vous avez choisie pour le serveur. Tout cela dépend de votre environnement de réseau et des pilotes matériel du serveur que vous déployez. Voici quelques problèmes susceptibles de se produire : ■ Échec de la connexion au serveur PXE ; ■ Échec du chargement de WinPE ; ■ Incapacité de WinPE à se connecter au serveur de distribution ; ■ Corruption de l’image.

Étudions chacun de ces problèmes de manière détaillée.

Échec de la connexion au serveur PXE Les échecs de connexion au serveur PXE s’expliquent le plus souvent du fait que le code de démarrage PXE n’est pas activé dans le BIOS. Pour vous en assurer, regardez si la carte réseau tente de démarrer, comme le montre la figure 5-19. Si toutes les cartes réseau présentent un affichage légèrement différent lorsqu’elles essaient de démarrer le serveur PXE, elles sont essentiellement identiques. Si cet écran ne s’affiche pas, contrôlez les paramètres BIOS de l’ordinateur et vérifiez que le démarrage du réseau est activé.

Chapitre 5

Démarrage

73

Figure 5-19 Tentative de démarrage du réseau pour se connecter à un serveur PXE

Une seconde explication se trouve dans un problème de connectivité avec le serveur PXE. Le réseau tente de démarrer à partir du serveur PXE, sans succès, comme le montre la figure 5-20. Il peut s’agir d’un problème de câble réseau ou d’une défaillance du serveur PXE lui-même. Contrôlez la connectivité du réseau et vérifiez que le serveur de démarrage PXE fonctionne correctement.

Figure 5-20 Échec du démarrage depuis un serveur PXE

Échec du chargement de WinPE Dès lors que le client PXE de la carte réseau de votre nouvel ordinateur est connecté au serveur PXE, il télécharge les fichiers nécessaires pour démarrer WinPE. Aucun disque dur n’est impliqué : WinPE se charge complètement en mémoire. Si l’ordinateur commence à télécharger WinPE, mais qu’il échoue, il faut chercher les problèmes du côté du réseau. Il se

74

Partie II

Installation et configuration

peut également que la mémoire de l’ordinateur soit défaillante, mais cela se produit généralement à d’autres étapes du processus.

Incapacité de WinPE à se connecter au serveur de distribution Une fois que WinPE est chargé sur le nouvel ordinateur, il faut le connecter au serveur des services de déploiement Windows et télécharger l’image Windows Server 2008 appropriée du disque dur de l’ordinateur. S’il ne peut pas se connecter au serveur des services de déploiement Windows, il s’agit sans doute d’un pilote de carte réseau manquant dans WinPE. Vous devrez alors créer une image de démarrage personnalisée qui contienne les pilotes de carte réseau nécessaires ou encore employer une autre carte réseau.

Corruption de l’image Il arrive également que toutes les étapes de la mise en réseau et de WinPE semblent se dérouler sans embûche et que l’image Windows Server 2008 démarre le téléchargement depuis le serveur des services de déploiement Windows, mais qu’elle échoue pendant le téléchargement ou lorsque le nouvel ordinateur tente de redémarrer avec l’image téléchargée. Ces échecs peuvent s’expliquer par une image défaillante du serveur des services de déploiement Windows ou par des problèmes de réseau qui corrompent l’image lors de son téléchargement. La distribution d’image réseau est un processus qui sollicite fortement les composants réseau à tous les niveaux du parcours entre le serveur des services de déploiement Windows et l’ordinateur déployé et un échec ou une défaillance à n’importe quel niveau du processus risque d’entraîner une corruption. Contrôlez vos composants réseau et vérifiez l’état de mise à jour de la carte réseau auprès de son fabricant.

Fichier corrompu lors de l’installation Même en cas d’installation à partir d’un DVD, on peut imaginer qu’une image corrompue puisse saboter l’installation. La probabilité d’un DVD Microsoft défaillant est relativement faible, mais elle n’est pas à exclure, et un défaut du DVD peut le rendre illisible. Si un DVD a été gravé à partir d’une image .ISO téléchargée, un mauvais téléchargement ou un DVD mal gravé peuvent être à l’origine d’une image corrompue. Il arrive aussi qu’un module mémoire défaillant provoque un échec qui se manifeste en tant que fichier corrompu ou manquant pendant l’installation. En cas d’erreur lors d’une installation à partir d’un DVD, essayez de résoudre le problème comme suit :

1. Si le DVD est un DVD de production, testez l’installation avec un autre DVD. 2. Si le DVD est un DVD gravé par vos soins, remplacez-le par un DVD de production ou essayez de regraver l’image en diminuant de moitié la vitesse du DVD défaillant. 3. Si le DVD est un DVD gravé par vos soins et qu’en diminuant de moitié la vitesse, le problème n’est pas résolu, téléchargez à nouveau le fichier .ISO.

Chapitre 5

Démarrage

75

4. Si aucune de ces solutions ne fonctionne, vérifiez que les câbles à l’intérieur du boîtier du serveur sont correctement positionnés. Remplacez le lecteur DVD par un autre. 5. Effectuez un test de mémoire approfondi.

En pratique Vérification CRC des téléchargements Le CRC (Cyclic Redundancy Code) est une méthode d’identification de fichier unique. De nombreuses sources de téléchargement fournissent une somme de contrôle CRC qui peut être comparée au fichier téléchargé sur votre disque dur local. Il vous faut un outil CRC à exécuter sur le fichier téléchargé. Il en existe de nombreux, dont CRC305.exe, disponible en téléchargement pour les abonnés de la MSDN et de Technet dans la rubrique consacrée aux outils, SDK et DDK. L’outil CRC305 vérifie les fichiers image et le CD/DVD. Chaque fois que vous utilisez un DVD gravé par vos soins, nous vous conseillons de vérifier la valeur CRC lorsque la référence CRC est connue. On a souvent constaté que les images corrompues des DVD, du fait d’un mauvais téléchargement ou d’un DVD mal gravé, constituent la cause la plus fréquente des échecs d’installation de Windows Server 2008.

Impossibilité de trouver un disque dur Pendant l’installation, Windows Server 2008 inspecte votre ordinateur et recherche un disque dur où s’installer. S’il n’en retrouve pas, il ne dispose pas du pilote nécessaire pour votre contrôleur de disque et vous êtes invité à fournir un pilote pendant l’installation. Windows Server 2008 prend en charge le chargement de pilotes à partir d’un périphérique de stockage USB, d’un CD/DVD ou d’une disquette. Il s’agit là d’une amélioration significative des précédentes versions de Windows Server, qui ne prenaient en charge que le chargement des pilotes de stockage en masse à partir d’une disquette. Employez également cette technique si vous disposez de plusieurs périphériques de stockage en masse sur votre ordinateur et que celui sur lequel vous voulez installer Windows Server 2008 n’apparaît pas dans la liste des lecteurs disponibles.

Erreurs STOP Pendant l’installation de Windows Server 2008, une erreur fatale peut provoquer des redémarrages à répétition du serveur. L’erreur générée est appelée erreur STOP et le code de chaque type d’erreur est différent, ce qui permet de dépanner la cause de l’erreur. Si l’erreur STOP apparaît trop rapidement à l’écran et que l’ordinateur redémarre automatiquement, vous pouvez imposer à Windows de ne pas redémarrer sur un échec. Au redémarrage du système, appuyez sur F8 immédiatement pour accéder à la page Options de démarrage avancées de la figure 5-21.

76

Partie II

Installation et configuration

Figure 5-21 Page Options de démarrage avancées

Sélectionnez Désactiver le redémarrage automatique en cas d’échec du système puis reprenez le processus de démarrage. Maintenant, si le système échoue, il va s’arrêter à l’écran d’échec et vous pourrez noter l’erreur STOP et rechercher son origine.

Résumé Dans ce chapitre, nous avons analysé l’installation de Windows Server 2008 sur un nouvel ordinateur, soit en démarrant à partir d’un DVD d’installation, soit en employant une image de démarrage PXE à déployer sur un réseau. Windows Server 2008 base son installation sur l’image et intègre le rôle de serveur Services de déploiement Windows pour permettre de concevoir des déploiements réseau standards et personnalisés. Le prochain chapitre est consacré à la mise à niveau d’une version précédente de Windows Server à Windows Server 2008.

Chapitre 6

Mise à niveau vers Windows Server 2008 Mettre la matrice à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Éléments communs à mettre à niveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Préparer les domaines et les ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Effectuer la mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 La mise à niveau constitue la manière la plus simple d’installer Windows Server 2008 sur un ordinateur tout en conservant les informations de domaine, les programmes et les paramètres d’ordinateur existants. Ce processus est simple pour les serveurs membres 32 bits et les serveurs autonomes, mais lorsqu’il implique des contrôleurs de domaine, ou des modifications de l’architecture, il est indispensable de s’y préparer.

Mettre la matrice à niveau En règle générale, on effectue une mise à niveau d’un ordinateur Windows Server 2003 vers la version équivalente de Windows Server 2008. Il est cependant possible de modifier l’architecture pendant la mise à niveau. Il n’existe pas de support pour la mise à niveau directe des systèmes Itanium, vous devez réaliser une installation à partir de rien. Le tableau 6-1 détaille les mises à niveau supportées. Tableau 6-1 Principales possibilités de mise à niveau pour Windows Server 2008 Système d’exploitation actuel

Mise à niveau supportée

Windows Server 2003 Standard Edition (SP1)

Windows Server 2008 Standard (Complète)

Windows Server 2003 Standard Edition (SP2)

Windows Server 2008 Enterprise (Complète)

Windows Server 2003 R2 Standard Edition Windows Server 2003 Standard x64 Edition (SP1)

Windows Server 2008 Standard (Complète, architecture x64)

Windows Server 2003 Standard x64 Edition (SP2)

Windows Server 2008 Enterprise (Complète, architecture x64)

Windows Server 2003 R2 Standard x64 Edition

77

78

Partie II

Installation et configuration

Tableau 6-1 Principales possibilités de mise à niveau pour Windows Server 2008 Système d’exploitation actuel

Mise à niveau supportée

Windows Server 2003 Enterprise Edition (SP1)

Windows Server 2008 Enterprise (Complète)

Windows Server 2003 Enterprise Edition (SP2) Windows Server 2003 R2 Enterprise Edition Windows Server 2003 Enterprise x64 Edition (SP1)

Windows Server 2008 Enterprise (Complète, architecture x64)

Windows Server 2003 Enterprise x64 Edition (SP2) Windows Server 2003 R2 Enterprise x64 Edition Windows Server 2003 Datacenter Edition (SP1)

Windows Server 2008 Datacenter (Complète)

Windows Server 2003 Datacenter Edition (SP2) Windows Server 2003 R2 Datacenter Edition Windows Server 2003 Datacenter x64 Edition (SP1)

Windows Server 2008 Datacenter (Complète, architecture x64)

Windows Server 2003 Datacenter x64 Edition (SP2) Windows Server 2003 R2 Datacenter x64 Edition

Comme le montre ce tableau, aucune mise à niveau ne mène à Server Core et il est uniquement possible d’effectuer une mise à niveau vers la même architecture que celle actuellement installée.

Éléments communs à mettre à niveau Avant de détailler la mise à niveau elle-même, arrêtons-nous sur les quelques éléments communs à la plupart des environnements à planifier : ■ Phases préalables à la mise à niveau ; ■ Architecture ; ■ Active Directory ; ■ Support matériel ; ■ Support logiciel.

Dans les prochaines sections, nous étudierons ces questions pour identifier et planifier l’environnement avant et pendant la mise à niveau d’un serveur existant.

Chapitre 6

Mise à niveau vers Windows Server 2008

79

Phases préalables à la mise à niveau En tout premier lieu, avant de mettre le serveur à niveau, effectuez une sauvegarde intégrale, complète et vérifiée. Peu importe le programme ou le support de sauvegarde. Quel que soit votre choix, vérifiez la sauvegarde en la restaurant intégralement sur un matériel identique ou en restaurant des fichiers sur une zone test du serveur d’origine. Si vous ne testez pas la sauvegarde, vous ne pouvez pas la considérer comme vérifiée. La mise à niveau pourrait impliquer une reconstruction intégrale du serveur à partir de rien. Nous avons réalisé plusieurs mises à niveau pendant l’écriture de ce livre sans rencontrer la moindre défaillance catastrophique, mais il est toujours plus sûr de posséder une sauvegarde vérifiée en particulier si vous exploitez des applications professionnelles dont la réinstallation et la restauration des données constitueraient un problème majeur. Vous disposez donc d’une sauvegarde vérifiée. Que vous faut-il accomplir avant de commencer la mise à niveau ? ■ Convertissez les volumes FAT. Windows Server 2008 installe uniquement une

partition NTFS. Les volumes FAT sont toujours supportés pour les disques nonsystème, mais fortement déconseillés. ■ Vérifiez l’espace disque libre. Il vous faudra au moins 10 Go d’espace disque libre sur

le volume système mis à niveau. Toutefois, nous pensons qu’un minimum de 20 Go d’espace libre est plus réaliste. ■ Actualisez les progiciels. Il est préférable d’installer la dernière mise à jour des

progiciels installés sur le serveur. Un ancien progiciel pourrait présenter des problèmes de compatibilité avec Windows Server 2008 que les versions plus récentes auront résolus. ■ Récupérez des pilotes mis à jour. Ce point est particulièrement important pour les

serveurs x64. Windows Server 2008 supporte uniquement les pilotes signés numériquement pour ses versions x64. ■ Déconnectez les périphériques UPS. Le mécanisme de détection automatique de

Windows Server 2008 peut causer des problèmes avec les mécanismes d’extinction automatiques des périphériques UPS. Vous pourrez reconnecter le câble série UPS après l’installation. ■ Désactivez le logiciel antivirus. Le logiciel antivirus peut interférer avec n’importe

quelle installation et d’autant plus avec les mises à niveau de Windows Server 2008. Il risque pour le moins de ralentir la mise à niveau et fortement de provoquer une défaillance de la mise à niveau. Ne le réactivez pas tant que vous n’avez pas vérifié qu’il supporte Windows Server 2008.

80

Partie II

Installation et configuration

■ Préparez Active Directory. Si vous mettez à niveau un contrôleur de domaine,

assurez-vous qu’Active Directory a été correctement préparé. Reportez-vous à la section relative à Active Directory, plus loin dans ce chapitre.

Architecture Les serveurs Windows Server 2003 sont en grande majorité des versions 32 bits. Cependant, si ces serveurs ont été acquis au cours des deux dernières années, ils peuvent exécuter une version 64 bits de Windows Server 2008, ce qui présente de sérieux avantages, parmi lesquels la prise en charge de plus de RAM (32 Go dans la version x64 de Windows Server 2008 Standard et 2 To dans les versions Enterprise et Datacenter). Si votre serveur exécute une version x64 de Windows Server 2003 et que les pilotes de tout votre matériel sont signés 64 bits, passez à la version 64 bits. Dans la majorité des cas, vous noterez que les versions x64 de Windows Server 2008 sont plus rapides, plus stables et plus sûres que les versions 32 bits.

En pratique Pilotes x64 et signés Pourquoi insister sur le fait de vérifier la présence de pilotes signés numériquement si l’on installe une version x64 de Windows Server 2008 ? Pour la simple raison que Microsoft a décidé qu’à partir de cette version, les pilotes non signés ne pourront plus s’exécuter en mode noyau sur une version x64 du système d’exploitation. Même si vous exécutez une édition x64 de Windows Server 2003, vérifiez que les pilotes signés numériquement ont été actualisés sans quoi vous rencontrerez des problèmes. Cette manœuvre n’en demeure pas moins une excellente chose, puisqu’elle fait de Windows Server 2008 un système d’exploitation plus sûr et plus stable. Il sera toujours possible que le fabricant écrive un pilote défectueux et le signe numériquement, mais du moins serez-vous certain que tous les pilotes de votre système sont signés et proviennent bien d’où ils le prétendent. Il nous semble que Microsoft aurait dû imposer cette condition pour les serveurs 32 bits mis à niveau vers Windows Server 2008, mais comprenons également les cris d’anxiété que cela aurait engendré et les problèmes que cela aurait pu créer pour l’immense base des serveurs 32 bits installés. De surcroît, Microsoft ayant clairement déclaré qu’il s’agissait de la dernière version de Windows Server proposant des versions 32 bits, la décision est d’autant plus logique. Cela renforce notre position selon laquelle il faut convertir dès maintenant les installations Windows Server 2003 32 bits qui peuvent supporter des versions x64 de Windows Server 2008.

Chapitre 6

Mise à niveau vers Windows Server 2008

81

Active Directory Active Directory Windows Server 2008 requiert une nouvelle version du schéma AD si l’un des serveurs Windows Server 2008 doit faire office de contrôleur de domaine. Avant d’ajouter le rôle Services de domaine Active Directory au Windows Server 2008 de votre AD Windows 2000 ou Windows Server 2003, préparez la forêt (et si possible le domaine) à accepter le nouveau contrôleur de domaine Windows Server 2008. Si vous n’installez pas le rôle AD DS sur l’un des ordinateurs Windows Server 2008, inutile de mettre le schéma à niveau. Voici comment mettre à jour le schéma Active Directory pour supporter un contrôleur de domaine Windows Server 2008 :

1. Ouvrez une session sur le serveur qui héberge le rôle de maître du schéma FSMO (Flexible Single Master Operations). Ouvrez une session avec un compte membre du groupe de sécurité Administrateurs du schéma. Remarque Avec PowerShell, il est possible d’identifier rapidement les propriétaires du rôle FSMO. Reportez-vous à l’encart À l’arrière-plan intitulé « Utiliser PowerShell pour découvrir les propriétaires du rôle FSMO ».

2. Copiez le contenu du dossier \sources\adprep du DVD Windows Server 2008 sur le serveur. Remarque Employez la même version d’architecture d’adprep que sur le serveur hébergeant le rôle de maître du schéma. Si le maître du schéma actuel se trouve sur une édition 32 bits de Windows Server 2003, copiez les fichiers à partir du support d’installation de la version 32 bits de Windows Server 2008. Remarque Servez-vous d’adprep directement à partir du DVD, si vous le

souhaitez.

3. Ouvrez une fenêtre d’invite de commandes. 4. Rendez-vous dans le dossier où vous avez copié le contenu du dossier adprep. 5. Exécutez la commande suivante : Adprep /forestprep

6. Si vous installez un contrôleur de domaine en lecture seule, exécutez également la commande suivante : Adprep /rodcprep

82

Partie II

Installation et configuration

7. Lorsque l’opération est terminée et répliquée, poursuivez la préparation du domaine pour la prise en charge d’un contrôleur de domaine Windows Server 2008. 8. Ouvrez une session sur le serveur hébergeant le rôle Maître de l’infrastructure FSMO pour le domaine que vous préparez. Ouvrez une session avec un compte membre du groupe de sécurité Admins du domaine. 9. Copiez le contenu du dossier \sources\adprep du DVD Windows Server 2008 sur le serveur. Remarque Employez la même version d’architecture d’adprep que sur le serveur hébergeant le rôle de maître du schéma. Si le maître du schéma actuel se trouve sur une édition 32 bits de Windows Server 2003, copiez les fichiers à partir du support d’installation de la version 32 bits de Windows Server 2008.

10. Ouvrez une fenêtre d’invite de commandes. 11. Rendez-vous dans le dossier où vous avez copié le contenu du dossier adprep. 12. Exécutez la commande suivante : Adprep /domainprep /gpprep

13. Lorsque l’opération est terminée et répliquée, vous pouvez ajouter un contrôleur de domaine Windows Server 2008 dans le domaine existant.

À propos Utiliser PowerShell pour découvrir les propriétaires du rôle FSMO Il existe bien des manières de localiser les rôles FSMO, mais l’une des plus simples consiste à utiliser PowerShell. Servez-vous du script suivant à partir de la ligne de commandes ou incluez-le dans un script, puis exécutez-le à partir de n’importe quel ordinateur du domaine sur lequel est installé PowerShell. # ScriptName: Get_FSMO_Owners.ps1 $Forest = [system.directoryservices.activedirectory.forest]::getcurrentforest() $Domain = [system.directoryservices.activedirectory.domain]::getcurrentdomain() $Forest | format-list SchemaRoleOwner, NamingRoleOwner $Domain | format-list PDCRoleOwner, InfrastructureRoleOwner, RIDRoleOwner

La figure 6-1 montre le résultat de l’exécution de ce script.

Chapitre 6

Mise à niveau vers Windows Server 2008

83

Figure 6-1 Servez-vous de PowerShell pour connaître les propriétaires actuels du rôle FSMO

Support matériel Windows Server 2008 supporte trois architectures différentes : 32 bits x86, 64 bits x64 et 64 bits ia64. Chaque architecture possède des pilotes distincts et supporte un matériel différent. On ne peut pas employer les pilotes de l’une des architectures pour une autre architecture. En outre, les systèmes ia64 sont significativement plus limités en matière de matériel supporté, ne proposant aucun support pour la majorité des matériels ou fonctionnalités orientés client ou consommateur, comme les cartes son ou les cartes sans fil. Windows Server 2008 pour les systèmes Itanium sert uniquement dans les applications serveur à grande échelle. Comme nous l’avons déjà mentionné, les versions x64 de Windows Server 2008 supportent uniquement les pilotes signés numériquement pour tout le matériel. Avant de mettre à niveau une édition x64 de Windows Server 2003, assurez-vous que les pilotes sont signés pour tout le matériel essentiel du serveur. Si le serveur existant exécute une version 32 bits de Windows Server 2003 et supporte uniquement Windows Server 2008 32 bits, vérifiez tout de même s’il n’existe pas des pilotes mis à jour pour tout le matériel essentiel du serveur. Le processeur minimal supporté est un processeur x86 d’une vitesse minimale de 1 GHz et la RAM minimale nécessaire est de 512 Mo. Ces chiffres sont significativement plus élevés que ceux de Windows Server 2003, qui ne demandait qu’un processeur 133 MHz et 128 Mo de RAM. Si le serveur Windows Server 2003 existant ne satisfait pas au moins à la configuration minimale, n’essayez pas de le mettre à niveau. Même si la mise à niveau réussit, l’expérience ne sera pas satisfaisante. Envisagez plutôt de migrer les rôles du serveur vers un nouveau serveur ou de migrer le serveur dans une machine virtuelle.

84

Partie II

Installation et configuration

En pratique Optimiser la virtualisation des serveurs hérités Windows Server 2008 propose une nouvelle fonctionnalité particulièrement intéressante : Hyper-V. Ce nouvel hyperviseur fondé sur la virtualisation native permet de migrer les serveurs hérités existants sur des machines virtuelles sous Windows Server 2008. Malheureusement, Hyper-V est arrivé sur le tard et ne fait pas partie de la version Windows Server 2008 pour l’instant. Nous étudierions Hyper-V et les autres solutions de virtualisation dans le chapitre 8 du tome 2, « Virtualisation Windows ». Bien qu’Hyper-V ne fasse pas partie de la version originale de Windows Server 2008, vous pouvez néanmoins profiter de la virtualisation pour migrer les serveurs matériels hérités existants qui ne sont pas suffisamment puissants pour migrer vers Windows Server 2008 nativement. Faites appel à Microsoft Virtual Server 2005 R2 SP1 et convertissez le serveur physique en machine virtuelle. System Center Virtual Machine Manager 2007 supporte la conversion directe du physique au virtuel (P2V) et il existe des outils tiers qui simplifient également la conversion. Une fois convertis en machine virtuelle, les serveurs hérités dont le matériel n’était pas en mesure d’exécuter Windows Server 2008 seront plus rapides et disposeront de suffisamment de vitesse processeur et de RAM pour supporter la mise à niveau. Ils peuvent également continuer à exécuter une version héritée de Windows Server si la mise à niveau n’est pas urgente. Si le serveur actuel exécute une édition x64 de Windows Server 2003, il satisfait déjà à la configuration minimale de processeur et de RAM pour la mise à niveau vers Windows Server 2008. Si le serveur n’en est pas équipé, vous devez installer un lecteur DVD ou commander une distribution CD spéciale de Windows Server 2008. Vous aurez également besoin de beaucoup plus d’espace disque. En dehors de ces changements, vous n’aurez que peu de problèmes, en supposant que vous avez actualisé les pilotes signés numériquement pour le matériel.

Support logiciel Le logiciel qui s’exécute sous Windows Server 2003 devrait s’exécuter sous Windows Server 2008. Il peut cependant se présenter des problèmes de compatibilité. Vérifiez toujours que le fabricant supporte Windows Server 2008 avant la mise à niveau. En outre, si vous effectuez une migration à partir d’une version 32 bits de Windows Server 2003 vers une version x64 de Windows Server 2008, vérifiez que toutes les applications 32 bits qui s’exécutent sur le serveur Windows Server 2003 supportent d’être exécutées dans l’environnement Windows 32 bits sous Windows64 (WOW64) que les versions x64 de Windows Server 2008 emploient pour supporter les applications 32 bits.

Chapitre 6

Mise à niveau vers Windows Server 2008

85

À propos WOW64 L’architecture matérielle de Windows x64 est en fait une extension du matériel x86 existant supporté par Windows 32 bits. En tant que tel, elle supporte en natif tout le jeu de commandes 32 bits de Windows Server 32 bits et peut exécuter une version 32 bits de Windows Server 2008 en natif. Lorsque l’on exécute une version x64 de Windows Server 2008, ce support 32 bits natif est employé pour fournir un sous-système d’exploitation 32 bits particulièrement efficace et léger pour les applications 32 bits. Si l’application n’exploite pas de pilote matériel ou utilise les appels en mode noyau de bas niveau, elle devrait s’exécuter nativement dans WOW64 aussi rapidement, voire davantage, que dans Windows Server 32 bits. Les applications écrites pour profiter d’un espace d’adressage de la mémoire virtuelle supérieur à 2 Go lorsqu’elles s’exécutent sous Windows 32 bits, voient immédiatement un espace d’adressage de mémoire virtuelle de 4 Go. Autrement dit, les applications sous contrainte de la mémoire, même si on les exécute avec le commutateur /3GB dans Windows Server 2003, disposent à présent de 4 Go de mémoire dans WOW64. Cela suffit généralement à augmenter significativement la vitesse des applications sous contrainte de la mémoire. Les applications qui s’exécutent sous WOW64 ont une vue différente du registre et des parties du système de fichiers Windows pour les séparer des applications 64 bits. On peut ainsi effectuer une migration par étape vers les versions 64 bits des applications à mesure qu’elles sont disponibles, puisqu’elles peuvent s’exécuter conjointement aux versions 32 bits. Les versions 64 bits de Windows Server 2008 ne supportent aucune application 16 bits. Si vous possédez une application héritée 16 bits (ou une application 32 bits avec une installation 16 bits), vous devrez soit conserver le serveur existant qui la supporte ou migrer le serveur vers un serveur physique ou virtuel exécutant une version 32 bits de Windows Server. Quelle que soit la version de Windows Server 2008 vers laquelle vous réalisez la mise à niveau, vérifiez toujours que les applications professionnelles essentielles seront intégralement supportées sous Windows Server 2008, avant la mise à niveau. Une fois la mise à niveau terminée, la seule manière de revenir à la version précédente de Windows Server consiste à refaire une installation complète.

Préparer les domaines et les ordinateurs Avant de mettre à niveau un contrôleur de domaine vers Windows Server 2008, suivez les phases décrites dans la section « Active Directory » précédemment dans ce chapitre pour préparer la forêt et le domaine à accepter un contrôleur de domaine Windows Server 2008. Si vous mettez uniquement un serveur membre à niveau vers Windows Server 2008 ou un

86

Partie II

Installation et configuration

serveur autonome, il est inutile de préparer le domaine. Notez cependant qu’une mise à niveau correcte de la forêt et du domaine avant l’installation d’un contrôleur de domaine Windows Server 2008 ne pose pas de problème. Avant la mise à niveau, effectuez le nettoyage qui s’impose du lecteur système de l’ordinateur mis à niveau. Supprimez les fichiers temporaires et videz les répertoires des fichiers journaux. Enregistrez les journaux sur un autre lecteur si vous devez les conserver. Défragmentez le lecteur. Nous avons employé un utilitaire de défragmentation tiers, à savoir PerfectDisk de Raxco. Il effectue parfaitement la tâche et permet de réaliser une défragmentation à l’amorçage du système de fichiers qui sinon se trouve occupé et ne peut être défragmenté. Cela n’évite évidemment pas la fragmentation du lecteur système pendant la mise à niveau. Pensez également à supprimer les fichiers qui ne sont pas absolument nécessaires sur le lecteur système pour bénéficier du plus grand espace possible. Vous devrez disposer d’environ 15 Go d’espace libre sur le lecteur pour réaliser la mise à niveau. Pour finir, arrêtez les services ou les applications inutiles, en particulier les applications antivirus ou tout service d’analyse en temps réel. Retirez tous les périphériques de stockage USB ou autres périphériques USB (à l’exception de la souris et du clavier, dont il est difficile de se séparer).

Mettre les clients à niveau Si vous disposez de clients pré-Windows XP SP2 sur le réseau, il serait à présent réellement temps de les mettre à niveau. Windows 95 et ses acolytes, Windows 98 et Windows Me, ne sont plus supportés et doivent être retirés du réseau. Si les ordinateurs sur lesquels ils s’exécutent sont relativement récents et le supportent, effectuez-y une installation propre de Windows XP. Évitez toute mise à niveau. Oui, c’est parfois techniquement possible, mais cela reste une mauvaise idée. Si certains de vos clients supportent Windows Vista, mettez-les à niveau. Windows Vista fonctionne mieux avec Windows Server 2008 puisqu’ils partagent une pile de gestion de réseau, ainsi que d’autres fonctionnalités. Windows Vista supporte également l’UAC (User Account Control) et inclut le nouveau Pare-feu Windows bidirectionnel, optimisant ainsi la sécurité globale.

Effectuer la mise à niveau Maintenant que vous avez planifié la mise à niveau et préparé le domaine et la forêt, vous êtes prêt à démarrer la mise à niveau. Les seules mises à niveau supportées sont celles qui partent de la même architecture Windows Server 2003 vers Windows Server 2008. Si vous souhaitez mettre à niveau un serveur Windows 2000 Server, vous devez procéder en deux phases : une pour passer à Windows Server 2003 et une autre pour passer à Windows Server 2008. Pour ce faire, utilisez un média intégré qui inclut au moins le Service Pack 1 (SP1) de Windows Server 2003, bien qu’il soit préférable de faire appel au Service Pack 2 (SP2).

Chapitre 6

Mise à niveau vers Windows Server 2008

87

Important Si l’ordinateur que vous mettez à niveau exécute Windows NT 4,

envisagez de migrer les charges de travail Windows NT 4 vers une machine virtuelle et de reconstruire le serveur à partir de rien. Il est vivement déconseillé de passer par toutes les mises à niveau depuis Windows NT 4.

Mise à niveau vers Windows Server 2008 Voici comment passer d’un serveur Windows Server 2003 à Windows Server 2008 :

1. Mettez le serveur Windows Server 2003 à niveau avec le dernier Service Pack (le niveau actuel est le SP2). 2. Fermez tous les programmes, désactivez tous les programmes de protection antivirus et insérez le DVD Windows Server 2008 dans le lecteur DVD. 3. Si le programme d’installation Windows Server 2008 ne démarre pas automatiquement, exécutez setup.exe sur le lecteur DVD. 4. Sur la première page de l’Assistant Installer Windows, cliquez sur Installer. 5. Sur la page Obtenir les mises à jour importantes pour l’installation, illustrée par la figure 6-2, choisissez de récupérer les mises à jour en ligne ou de poursuivre sans les mises à jour. Reportez-vous à l’encart En pratique intitulé « Mises à jour pendant l’installation ? » pour une explication sur les compromis.

Figure 6-2 Page Obtenir les mises à jour importantes pour l’installation de l’Assistant Installer Windows

88

Partie II

Installation et configuration

6. Si vous souhaitez envoyer à Microsoft les informations relatives à l’installation, cochez la case Je veux aider à améliorer le programme d’installation de Windows. 7. Si vous choisissez d’obtenir les mises à jour, l’Assistant Installer Windows recherche des mises à jour, comme le montre la figure 6-3.

Figure 6-3 Page Recherche de mises à jour d’installation de l’Assistant Installer Windows

8. Sur la page Entrez votre clé de produit pour activation, saisissez une clé de produit valide et cliquez sur Suivant. Vous pouvez ignorer la saisie d’une clé et exécuter Windows Server 2008 pendant 60 jours. Si vous ne saisissez pas de clé, vous verrez l’avertissement de la figure 6-4. Cliquez sur Non pour poursuivre sans clé ou sur Oui pour revenir à la page Entrez votre clé de produit pour activation.

Figure 6-4 Cet avertissement s’affiche, si vous tentez de poursuivre sans saisir de clé de produit.

Chapitre 6

Mise à niveau vers Windows Server 2008

89

9. Choisissez la version de Windows Server 2008 à installer. Si vous avez saisi une clé de produit, vous pouvez uniquement choisir les versions auxquelles s’appliquent la clé, comme le montre la figure 6-5. Si vous n’avez pas saisi de clé, vous verrez la fenêtre de la figure 6-6.

Figure 6-5 Page Sélectionner le système d’exploitation que vous voulez installer

Figure 6-6 Page Sélectionnez l’édition de Windows que vous avez achetée

90

Partie II

Installation et configuration

10. Choisissez une version Installation complète de Windows Server 2008 pour la mise à niveau et optez pour une version supportée par la matrice de mise à niveau, tel que décrit dans le tableau 6-1, précédemment dans ce chapitre. Cliquez sur Suivant (si vous réalisez une installation sans clé de produit, confirmez avoir choisi l’édition correcte de Windows Server 2008). 11. Sur la page Veuillez lire le contrat de licence, cochez J’accepte les termes du contrat de licence. Il est intéressant de lire réellement les termes de la licence à l’occasion. Cliquez sur Suivant. 12. Si toutes les conditions de la mise à niveau sont satisfaites, l’option Mise à niveau est disponible sur la page Quel type d’installation voulez-vous effectuer, illustrée par la figure 6-7.

Figure 6-7 Page Quel type d’installation voulez-vous effectuer

13. Cliquez sur Mise à niveau pour installer la mise à niveau. Vous verrez un rapport sur la compatibilité, tel que celui de la figure 6-8. Le vôtre peut être différent, selon les éléments trouvés par l’Assistant Installer Windows. Lisez attentivement le rapport et prenez note des problèmes relevés. En l’absence de problème critique, cliquez sur Suivant pour effectuer la mise à niveau.

Chapitre 6

Mise à niveau vers Windows Server 2008

91

Figure 6-8 Page Rapport sur la compatibilité

C’est tout. L’installation se poursuit, redémarrant plusieurs fois l’ordinateur au cours du processus.

En pratique Mises à jour pendant l’installation ? Effectuer ou non une mise à jour pendant l’installation, telle est la question. On trouve des arguments pour et contre. Si Microsoft identifie des correctifs critiques affectant la réussite de la mise à niveau après la mise sur le marché de Windows Server 2008, il peut être important de les récupérer automatiquement et de les inclure dans l’installation. Bien, ceci augmente les chances de réussir l’installation sans problème. L’inconvénient, en revanche, est que dans ce cas, le serveur doit rester connecté à l’Internet pendant toute la durée de l’installation. Dans certains environnements, cela ne pose sans doute aucun problème, mais dans d’autres, il s’agit d’une violation directe de la stratégie qui exige que tous les ordinateurs soient intégralement déconnectés de tout réseau externe jusqu’à l’achèvement de leur mise en œuvre et l’installation complète de toutes les mises à jour. Ce qui n’est pas une mauvaise idée si l’environnement le supporte, comme dans un environnement WSUS (Windows Server Update Services) ou tout autre mécanisme de distribution des mises à jour. Alors, que choisir ? Votre choix repose sur les stratégies de l’entreprise et votre environnement.

92

Partie II

Installation et configuration

Niveaux fonctionnels de forêt et de domaine Windows Server 2008 supporte trois niveaux fonctionnels de domaine – Windows 2000 Natif, Windows Server 2003 et Windows Server 2008 – et trois niveaux fonctionnels de forêt – 2000 Natif, Windows Server 2003 et Windows Server 2008. Si vous mettez à niveau un contrôleur de domaine dans un domaine et une forêt Active Directory existants vers Windows Server 2008, le domaine et la forêt doivent être au moins à l’un de ces niveaux. Il n’existe plus de support pour les niveaux fonctionnels de domaine intérimaires et hérités qui autorisaient l’existence de contrôleurs de domaine Windows NT 4. Pour de plus amples informations sur les fonctionnalités et limites de chaque niveau fonctionnel de domaine et de forêt, reportez-vous au chapitre 16 du tome 1, « Installation et configuration des services d’annuaire ».

Résumé Dans ce chapitre, nous avons étudié les différents points et les phases de la mise à niveau d’un ordinateur Windows Server 2003 existant vers Windows Server 2008. Nous avons identifié les types de mises à niveau possibles et la préparation à mettre en œuvre selon l’environnement existant, avant la mise à jour. Les mises à niveau entretiennent les applications et services installés tout en préservant les applications professionnelles pour lesquelles une nouvelle installation pourrait causer une nuisance ou impliquer un ralentissement significatif de la production. Dans la majorité des cas, il est cependant préférable de procéder à une nouvelle installation qui offre une plus grande souplesse dans le choix du type et de l’architecture de l’installation. Dans le prochain chapitre, nous verrons comment procéder à une nouvelle installation de Windows Server 2008.

Chapitre 7

Configuration d’une nouvelle installation Vue d’ensemble des tâches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Première ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Configurer le matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Configurer les informations de base sur l’ordinateur. . . . . . . . . . . . . . . . . . . . . . . . 97 Paramètres de mises à jour et des rapports d’erreurs . . . . . . . . . . . . . . . . . . . . . . 104 Personnaliser le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Quitter l’Assistant Tâches de configuration initiales. . . . . . . . . . . . . . . . . . . . . . . . 117 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Une fois l’installation de Windows Server 2008 terminée, il reste quelques étapes à accomplir avant que le serveur ne soit réellement prêt à jouer son rôle sur votre réseau. L’installation par défaut ne comprend ni la configuration du mot de passe Administrateur initial ni celle du nom de l’ordinateur. Aucun rôle n’est installé, le réseau est inactif et tous les services, sauf les plus basiques, sont désactivés. À vous d’effectuer la configuration de base du serveur avant de pouvoir l’exploiter. Vous allez vérifier que l’installation s’est déroulée sans erreur, attribuer un mot de passe Administrateur et effectuer le reste de la configuration principale, à savoir ajouter des périphériques, configurer le nom du serveur et les paramètres réseau et configurer le serveur de sorte qu’il remplisse son rôle sur votre réseau. Nous supposons que vous configurez un nouveau serveur, mais s’il s’agit d’une mise à niveau d’une version précédente de Windows Server, il vous faut également effectuer quelques-unes de ces tâches, même si certaines appartiennent à l’opération de mise à niveau. Remarque Ce chapitre décrit la configuration d’une installation normale, graphique de Windows Server 2008. Il ne traite absolument pas de l’installation Server Core de Windows Server 2008, une option spécialisée à laquelle un chapitre entier est dédié. Reportez-vous au chapitre 9 du tome 1, « Installation et configuration de Server Core », pour découvrir comment configurer Server Core.

93

94

Partie II

Installation et configuration

Vue d’ensemble des tâches La plupart des tâches de ce chapitre sont brèves et simples de manière à ce que votre serveur soit opérationnel le plus vite possible après son installation. Voici les premières tâches à accomplir sur une nouvelle installation de serveur : ■ Attribuer le mot de passe du compte Administrateur ; ■ Installer les pilotes matériel éventuellement requis ; ■ Définir le fuseau horaire ; ■ Configurer le réseau ; ■ Attribuer un nom au serveur ; ■ Joindre le serveur à un domaine ou l’assigner à un groupe de travail ; ■ Configurer les paramètres de mises à jour et d’envoi de rapports d’erreurs

automatiques ; ■ Vérifier les mises à jour et les installer.

L’Assistant Tâches de configuration initiales propose d’autres tâches qui s’effectuent de préférence dans le cadre de la configuration de départ : ■ Ajouter des rôles de serveurs ; ■ Ajouter des fonctionnalités ; ■ Activer le Bureau à distance ; ■ Configurer le Pare-feu Windows.

Ne vous attardez pas sur la première et les deux dernières pour le moment. Nous verrons comment ajouter des rôles de serveurs au prochain chapitre et le Pare-feu Windows s’active automatiquement. Pour savoir comment ajuster sa configuration, reportez-vous au chapitre 2 du tome 2, « Mise en œuvre de la sécurité ». Cependant, les deux autres tâches de cette liste requièrent un peu d’attention. Il nous semble indispensable d’installer immédiatement une première fonctionnalité : Windows PowerShell, ce que nous allons faire dans ce chapitre. Et nous pensons également qu’il est bon de quitter la pièce où se situe le serveur ; ainsi nous allons activer le Bureau à distance dans ce chapitre. Ceci fait, vous pourrez répondre librement à tous les besoins de votre propre station de travail. Le programme de configuration de Windows Server 2008 a complètement changé ; Microsoft a fait des efforts considérables pour vous poser le moins de questions possible pendant cette première installation. Toutefois, le prix de cette simplicité se paie ensuite : les

Chapitre 7

Configuration d’une nouvelle installation

95

paramètres à configurer une fois l’installation terminée sont plus nombreux. Rassurez-vous, au final, vous n’êtes pas perdant. D’une part, inutile de prêter attention au processus d’installation, il vous suffit de le démarrer, de parcourir quelques étapes préliminaires et vous pouvez partir. À votre retour, Windows Server 2008 est installé et il ne vous reste qu’à le configurer selon vos besoins.

Première ouverture de session Une fois Windows Server 2008 installé, vous êtes invité à définir le mot de passe Administrateur initial avant de pouvoir ouvrir une session, comme le montre la figure 7-1.

Figure 7-1 Définir le mot de passe initial pour Windows Server 2008

Une fois que vous avez défini le mot de passe du compte Administrateur et que vous êtes connecté à la console, vous apercevez enfin l’Assistant Tâches de configuration initiales, illustré par la figure 7-2.

96

Partie II

Installation et configuration

Figure 7-2 Assistant Tâches de configuration initiales

Configurer le matériel L’Assistant Tâches de configuration initiales présente un défaut essentiel et incompréhensible. Avant de pouvoir configurer le serveur, il nous semble logique de faire fonctionner notre matériel. En effet, il arrive qu’une carte réseau ne soit pas prise en charge si l’on n’ajoute pas de pilote et dans ce cas, l’Assistant Tâches de configuration initiales pense que vous ne possédez pas de carte réseau du tout. Microsoft s’efforce de regrouper le plus de pilotes possible sur le DVD d’installation, mais cela ne règle jamais le problème, car le marché voit sans cesse arriver de nouveaux périphériques et le DVD ne peut pas être constamment actualisé. Par conséquent, il arrive que des pilotes requis ne figurent pas sur le DVD. Dans ce cas, la première étape consiste à ouvrir le Gestionnaire de périphériques et de contrôler les périphériques qui manquent ou ne fonctionnent pas. On les identifie aisément, comme le montre la figure 7-3, avec notre contrôleur audio multimédia. Vous êtes libre d’installer les pilotes dans l’immédiat et s’il ne s’agit pas d’un périphérique indispensable pour la configuration initiale, vous pouvez attendre d’en avoir terminé avec l’assistant.

Chapitre 7

Configuration d’une nouvelle installation

97

Figure 7-3 Périphérique inconnu dans le Gestionnaire de périphériques

Dès lors que votre matériel fonctionne, poursuivez la configuration des paramètres de base de l’ordinateur dans l’Assistant Tâches de configuration initiales.

Configurer les informations de base sur l’ordinateur La première section de l’Assistant Tâches de configuration initiales concerne la configuration de base de l’ordinateur : le fuseau horaire, le réseau et le nom de l’ordinateur, puis l’appartenance de l’ordinateur à un domaine. Cette section de la configuration nécessite un redémarrage du serveur lorsque vous définissez le nom du serveur et l’appartenance à un domaine ; repoussez-la par conséquent à la fin de la configuration.

Définir le fuseau horaire Pendant l’installation, Windows définit un fuseau horaire (pas systématiquement le bon) et la date et l’heure selon le BIOS de votre ordinateur. Pour définir la date et l’heure, ainsi que le fuseau horaire, cliquez sur le lien de l’Assistant Tâches de configuration initiales pour ouvrir la boîte de dialogue Date et heure de la figure 7-4. Après avoir défini l’heure et le fuseau horaire du serveur, cliquez sur Appliquer puis sur OK pour revenir à l’assistant.

98

Partie II

Installation et configuration

Figure 7-4 Boîte de dialogue Date et heure

En pratique Horloges supplémentaires Windows Server 2008 propose de configurer deux horloges supplémentaires dans la boîte de dialogue Date et heure. L’affichage de l’horloge dans la zone de notification est activé par défaut, mais s’il ne l’est pas pour une raison ou une autre, cliquez droit dans la zone de notification pour afficher la boîte de dialogue Propriétés de la Barre des tâches et du menu Démarrer, cliquez sur l’onglet Zone de notification et cochez la case Horloge. Vous activez ainsi l’affichage de l’horloge. Lorsque vous configurez d’autres horloges, l’heure de ces fuseaux horaires s’affiche si vous déplacez votre souris sur l’horloge. Si vous travaillez régulièrement avec des personnes se trouvant dans un autre fuseau horaire, vous allez vous habituer au décalage et vous n’aurez peut-être plus besoin de toutes ces horloges sur votre serveur. De plus, vous ne passez pas tout votre temps devant votre console de serveur. Mais il reste pratique de posséder deux autres horloges lorsque l’on travaille avec des Américains et des Australiens : une réglée sur GMT5 heures pour les États-Unis et une sur GMT+10 heures pour l’Australie. Ainsi, si vous leur téléphonez à une heure absolument pas raisonnable, vous n’avez aucune excuse.

Chapitre 7

Configuration d’une nouvelle installation

99

Configurer le réseau Ensuite, la liste contient la configuration du réseau. Par défaut, votre nouveau serveur a activé IPv4 et IPv6 et si vous possédez un serveur DHCP en exécution sur le réseau, il a automatiquement configuré les adresses correspondantes. Si aucun serveur DHCP n’est disponible, le serveur a configuré une adresse de lien local, c’est-à-dire une adresse IP unique sur le réseau qui se configure automatiquement, mais ne sera pas transmise par les routeurs à un autre réseau. Pour les serveurs, il est fortement conseillé d’avoir au moins l’adresse IPv4 en adresse fixe. Dans la majorité des situations, l’adresse IPv6 peut être une adresse sans état configurée automatiquement ou une adresse de site local fournie par DHCP, comme le décrit le chapitre 18 du tome 1, « Administration de TCP/IP ». Voici comment configurer le réseau et définir une adresse IP fixe pour le serveur :

1. Cliquez sur Configurer le réseau dans l’Assistant Tâches de configuration initiales pour ouvrir l’application Connexions réseau du Panneau de configuration, illustrée par la figure 7-5 (la commande correspondante est Ncpa.cpl).

Figure 7-5 Application Connexions réseau du Panneau de configuration

2. Cliquez droit sur la connexion à configurer et sélectionnez Propriétés dans le menu contextuel pour ouvrir la boîte de dialogue Propriétés de Connexion au réseau local de la figure 7-6.

100

Partie II

Installation et configuration

Figure 7-6 Boîte de dialogue Propriétés de Connexion au réseau local

3. Sélectionnez Protocole Internet version 4 (TCP/IPv4) et cliquez sur Propriétés. 4. Sélectionnez Utiliser l’adresse IP suivante, comme le montre la figure 7-7.

Figure 7-7 Boîte de dialogue Propriétés de Protocole Internet version 4 (TCP/IPv4)

5. Saisissez une adresse IP, un masque de sous-réseau et une passerelle par défaut appropriés à votre réseau.

Chapitre 7

Configuration d’une nouvelle installation

101

6. Spécifiez le serveur DNS préféré pour votre réseau. Il doit s’agir d’un contrôleur de domaine si vous utilisez un DNS intégré à Active Directory. Vous pouvez également inscrire un serveur DNS auxiliaire si nécessaire. 7. Cliquez sur Avancé si vous devez définir d’autres propriétés pour cette connexion réseau. Vous pouvez spécifier des adresses IP supplémentaires, d’autres passerelles, des paramètres DNS complémentaires et des paramètres concernant le serveur WINS. Ces paramètres par défaut suffisent dans la plupart des réseaux, en particulier pour effectuer la configuration initiale. Cliquez sur OK pour revenir à la page principale Propriétés. 8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet version 4 (TCP/IPv4) et cliquez sur Fermer pour terminer la configuration de la connexion. 9. Fermez la fenêtre Connexions réseau en cliquant sur le bouton X dans l’angle supérieur droit pour revenir à la page de l’Assistant Tâches de configuration initiales. Remarque Si vous possédez plusieurs car tes réseau sur votre ser veur, renommez-les avec un nom plus significatif que Connexion au réseau local et Connexion au réseau local 2. Cela va vous faciliter la tâche lorsque vous voudrez configurer les rôles de serveurs.

Définir le nom de l’ordinateur et le domaine Une fois le réseau configuré, il est temps d’attribuer un nom à l’ordinateur et de le joindre à un domaine. S’il s’agit du premier ordinateur du domaine, ne définissez pas le domaine maintenant ; vous vous en chargerez plus tard lorsque vous ajouterez et configurez les Services de domaines Active Directory. Le processus d’installation de Windows Server 2008 attribue automatiquement un nom généré au hasard et insignifiant au nouveau serveur. S’il est sans conteste unique sur le réseau, il n’est absolument pas pratique et mérite vraiment d’être changé.

En pratique Nommer des ordinateurs Il est judicieux d’employer un nom d’ordinateur compatible d’une part avec DNS et d’autre part avec NetBIOS pour que tous les types de clients puissent voir le même nom. Cela n’est pas prêt de changer, car nous devrons encore supporter la présence de NetBIOS pendant un bon moment, puisque les applications qui ne fonctionnent pas sans lui, comme celles de Microsoft, sont encore bien trop nombreuses. Pour ce faire, choisissez un nom ne dépassant pas 15 caractères et n’utilisez ni astérisque ni point. Pour optimiser la compatibilité des applications, préférez les tirets aux espaces et aux caractères de soulignement. D’autre part, faites appel à une convention de noms qui soit cohérente en interne. Il existe toutes sortes de conventions de noms absurdes, consistant à attribuer des noms

102

Partie II

Installation et configuration

d’après des poètes romantiques, des personnages de science-fiction, des dieux grecs ou romains, des couleurs… Honnêtement, nous préférons les noms qui aident réellement à identifier la fonction, l’emplacement, la géographie, l’adresse, le matériel, le domaine ou encore une combinaison de ces éléments. Voici les noms des ordinateurs compris dans notre réseau Exemple : ■ hp350-dc-02 (fonctionne sur un H-P ML350 G5, est un contrôleur de domaine et

son adresse IP est 192.168.51.2.) ■ hp350-ts-05 (serveur Terminal Server qui fonctionne sur un H-P 350, adresse IP

192.168.51.5.) ■ dl380-core-08 (ordinateur H-P DL380, exécutant Server Core, adresse IP

192.168.51.8.) Évidemment, cette manière d’attribuer des noms n’est pas très amusante, mais elle a le mérite d’être logique et évite d’avoir à se souvenir que Hermès est le serveur Microsoft Exchange et que Zeus est un contrôleur de domaine. Vous économisez un redémarrage si vous modifiez le nom de l’ordinateur et le domaine simultanément. Les deux opérations nécessitent un redémarrage qui empêche d’accomplir d’autres tâches, mais heureusement, on peut les associer. Pour définir le nom et le domaine, procédez comme suit :

1. Dans l’Assistant Tâches de configuration initiales, cliquez sur Indiquer un nom d’ordinateur et un domaine pour ouvrir la boîte de dialogue Propriétés système de la figure 7-8.

Figure 7-8 Boîte de dialogue Propriétés système

Chapitre 7

Configuration d’une nouvelle installation

103

2. Tapez une description de l’ordinateur à votre guise, mais sachez qu’elle n’est pas indispensable. 3. Cliquez sur Modifier pour ouvrir la boîte de dialogue Modification du nom ou du domaine de l’ordinateur, illustrée par la figure 7-9.

Figure 7-9 Boîte de dialogue Modification du nom ou du domaine de l’ordinateur

4. Choisissez un nom d’ordinateur en fonction de votre convention de noms, puis cliquez sur Domaine pour saisir le domaine à rejoindre. 5. Cliquez sur OK. Vous allez être invité à taper les informations d’identification pour effectuer les modifications. Il doit s’agir d’informations d’identification de niveau administrateur du domaine auquel vous joignez le serveur ou d’un compte qui a reçu le droit de joindre des ordinateurs au domaine. 6. Cliquez sur OK. Si aucun problème ne se produit, vous obtenez un message de bienvenue. 7. Cliquez sur OK pour fermer le message. Vous êtes invité à redémarrer le serveur pour que les modifications prennent effet. Cliquez à plusieurs reprises sur OK pour que le serveur redémarre. Important Il peut être tentant d’essayer de retarder le redémarrage pour voir s’il n’est pas possible d’accomplir encore quelques tâches avant d’avoir à attendre que le ser v eur s’éteigne et re démarre. C’est compré hensible, car les redémarrages prennent beaucoup de temps et les tâches à effectuer sont souvent nombreuses dans ce type de situations. Mais ce redémarrage est sans doute le seul à ne pas repousser. Vous avez besoin de ce nouveau nom et de la sécurité en vigueur avant de poursuivre avec quoi que ce soit d’autre.

104

Partie II

Installation et configuration

Paramètres de mises à jour et des rapports d’erreurs La prochaine section de paramètres de l’Assistant Tâches de configuration initiales concerne la gestion des mises à jour et l’envoi de rapports d’erreurs à Microsoft. Par défaut, vous ne téléchargez pas de mises à jour, vous n’envoyez pas de rapports d’erreurs à Microsoft, mais vous savez quels rôles sont installés sur le serveur. Il est très peu probable que ces paramètres soient optimaux, alors modifions cette configuration.

Activer les mises à jour et l’envoi de rapports d’erreurs Le premier paramètre de cette section concerne justement la configuration des paramètres destinés à gérer les mises à jour et les rapports d’erreurs. Trois possibilités s’offrent à vous si vous cliquez sur Activer la mise à jour et l’envoi de rapports automatiques dans l’Assistant Tâches de configuration initiales : ■ Paramètres de mises à jour Windows et Microsoft ■ Paramètres des rapports d’erreurs Windows ■ Paramètres du Programme d’amélioration du produit

Voici comment configurer ces paramètres :

1. Cliquez sur Activer la mise à jour et l’envoi de rapports automatiques pour ouvrir la boîte de dialogue de la figure 7-10.

Figure 7-10 Boîte de dialogue Activer les mises à jour et le signalement de problèmes

Chapitre 7

Configuration d’une nouvelle installation

105

2. Ne choisissez pas Activer les mises à jour automatiques et le signalement de problèmes, sauf si vous voulez que votre serveur télécharge et installe automatiquement des mises à jour sans avertissement, avec des redémarrages automatiques, sans jamais vous prévenir. 3. Cliquez sur Configurer les paramètres manuellement pour ouvrir la boîte de dialogue de la figure 7-11.

Figure 7-11 Boîte de dialogue Configurer les paramètres manuellement

4. Pour configurer la gestion des mises à jour Windows et Microsoft sur ce serveur, cliquez sur Modifier les paramètres. La boîte de dialogue de la figure 7-12 s’affiche.

106

Partie II

Installation et configuration

Figure 7-12 Boîte de dialogue Choisissez comment Windows installe les mises à jour

5. Voici les différentes options : ■ Installer les mises à jour automatiquement (recommandé)

Même si ce paramètre est recommandé par Microsoft, nous pensons que c’est une très mauvaise idée pour un serveur. Lisez l’encart En pratique sur les mises à jour automatiques pour en savoir plus. ■ Télécharger des mises à jour mais me laisser choisir s’il convient de les installer

Nous recommandons ce paramètre. Les téléchargements se produisent automatiquement à l’arrière-plan en période de faible usage de la bande passante. Une fois le téléchargement terminé, le premier administrateur qui ouvre une session sur le serveur aperçoit dans la zone de notification une invite pour installer la mise à jour. ■ Rechercher des mises à jour mais me laisser choisir s’il convient de les télécharger

et de les installer Lorsqu’une mise à jour qui s’applique au serveur est disponible, le premier administrateur qui ouvre une session sur le serveur aperçoit une invite dans la zone de notification. Si vous acceptez d’installer la mise à jour annoncée, vous devez au préalable la télécharger. Cette manière de fonctionner n’est pas la plus efficace, sauf si votre bande passante est très coûteuse.

Chapitre 7

Configuration d’une nouvelle installation

107

■ Ne jamais rechercher des mises à jour (non recommandé)

Cette option est à exclure, sauf si votre environnement exploite une solution de correctifs non-Microsoft. Il est important d’installer sans attendre les mises à jour les plus urgentes et critiques pour protéger le serveur. Si vous optez pour ce paramètre, vous devrez vous connecter manuellement au site Windows Update pour vérifier régulièrement si des mises à jour sont disponibles. Autrement, faites appel à une solution tierce. Vous pouvez aussi choisir d’inclure les mises à jour recommandées avec celles qui sont concernées par les paramètres que vous avez choisis. Il s’agit de mises à jour qui sont moins importantes que les mises à jour Critiques et Importantes annoncées normalement par la fonctionnalité de mise à jour automatique.

6. Une fois que vous avez fait votre choix, cliquez sur OK pour revenir à la boîte de dialogue Configurer les paramètres manuellement de la figure 7-11. 7. Cliquez sur le bouton Modifier les paramètres de la section Rapport d’erreurs Windows pour ouvrir la boîte de dialogue Configuration du rapport d’erreurs Windows, illustrée par la figure 7-13.

Figure 7-13 Boîte de dialogue Configuration du rapport d’erreurs Windows

8. Choisissez comment gérer les rapports d’erreurs. Il nous semble judicieux d’envoyer automatiquement au moins des rapports de synthèse et de préférence des rapports détaillés. Reportez-vous à l’encart À propos pour découvrir ce qui est envoyé et l’intérêt de ces envois. Une fois que vous avez fait votre choix, cliquez sur OK pour revenir à la boîte de dialogue Configurer les paramètres manuellement de la figure 7-11.

108

Partie II

Installation et configuration

9. Cliquez sur le bouton Modifier les paramètres de la section Programme d’amélioration du produit pour ouvrir la boîte de dialogue Configuration du programme d’amélioration du produit de la figure 7-14.

Figure 7-14 Boîte de dialogue Configuration du programme d’amélioration du produit

10. Par défaut, vous participez automatiquement à ce programme. Aucune information permettant de vous identifier personnellement ou d’identifier votre société n’est communiquée à Microsoft. Les rapports rassemblent des informations sur votre matériel et les rôles de serveurs installés sur le serveur et si vous incluez des détails sur les serveurs, stations de travail et secteur d’activités de votre organisation, ces données sont associées à celles qui sont collectées. 11. Choisissez une option et cliquez sur OK, puis sur Fermer pour revenir à l’Assistant Tâches de configuration initiales.

En pratique Les mises à jour automatiques sur un serveur L’intérêt de mettre à jour vos serveurs régulièrement et ponctuellement dès lors que des mises à jour de sécurité critiques sont disponibles est incontestable. Le chapitre 4 du tome 2 est d’ailleurs entièrement consacré aux correctifs. Dans l’idéal, il faudrait que les serveurs et les stations de travail n’aient jamais besoin de correctifs ou de mises à jour,

Chapitre 7

Configuration d’une nouvelle installation

109

mais ce n’est pas le cas, et lorsqu’une nouvelle vulnérabilité est découverte, il se passe toujours très peu de temps avant que quelqu’un ne l’exploite publiquement et ne mette la pagaille dans votre réseau. Par conséquent, pourquoi refuser que Microsoft applique automatiquement des mises à jour sur Windows Server 2008 ? En fait, nous préférons être les seuls décisionnaires quant à l’emplacement, au moment et à la manière dont les mises à jour s’appliquent. De plus, les utilisateurs ont le droit de savoir lorsqu’un serveur va redémarrer. Tout d’abord, à cause de ce redémarrage automatique, vous ne pourrez pas honorer vos engagements en termes de connectivité continue. En outre, comment être sûr que l’heure définie par défaut pour installer les mises à jour et redémarrer (3 heures du matin chez vous) convient autant aux personnes qui travaillent dans vos succursales à l’étranger ou à vos commerciaux qui parcourent le monde ? C’est probablement à ce moment-là qu’ils travaillaient sur un fichier d’importance capitale… Par conséquent, gardez le contrôle sur votre environnement de mise à jour et refusez les mises à jour automatiques. Choisissez de télécharger les mises à jour en fonction du coût de votre bande passante. Sinon, installez un serveur WSUS (Windows Server Update Services) sur votre réseau et configurez-le de sorte qu’il détermine comment et quand proposer et appliquer des mises à jour à vos serveurs. Vous pouvez aussi faire appel au System Center Configuration Manager si votre réseau est assez étendu pour le justifier ou exploiter un produit tiers comme Shavlik NetChk Protect pour gérer l’application de vos mises à jour. Mais dans tous les cas, ne définissez pas vos serveurs de manière à ce qu’ils se mettent à jour automatiquement et qu’ils redémarrent. C’est une très mauvaise idée.

À propos Les rapports d’erreurs Windows L’envoi de rapports d’erreurs Windows existe depuis l’introduction de l’utilitaire Dr Watson, dont la popularité n’était déjà pas à envier à l’heure des premiers pas de Windows. Aujourd’hui, la situation a bien évolué. Dans Windows XP, l’envoi de crash dumps à Microsoft a été mis en place, lorsqu’un programme s’interrompait ou ne répondait plus. Il s’agit en fait de l’outil Analyse des incidents Microsoft en ligne, lequel a résolu de nombreux bogues. En cas de problème, vous choisissiez d’envoyer ou non le rapport, ce que de nombreux utilisateurs ont fait, heureusement, car Windows est devenu plus stable et plus robuste, accompagné de pilotes de bien meilleure qualité. Steve Ballmer, PDG de Microsoft, a affirmé qu’« environ 20 pourcents des bogues entraînent 80 pourcents de toutes les erreurs ». Comme ces 20 pourcents des bogues ont été identifiés en rassemblant tous les efforts à leur niveau, nous bénéficions tous d’un logiciel plus stable et sans défaillance. Il est toutefois important de noter que les rapports d’erreurs contenaient parfois des informations personnelles identifiables. Si vous étiez en pleine saisie de votre numéro de carte bancaire lorsque le programme que vous exploitiez s’interrompait, il y avait des

110

Partie II

Installation et configuration

risques que votre numéro, ou du moins une partie, soit inscrit dans le rapport d’erreur. Microsoft a émis des garanties à répétition et apparemment crédibles stipulant qu’ils n’utiliseraient en aucun cas les informations personnelles des rapports d’erreurs. La Déclaration de confidentialité relative est disponible à l’adresse http://privacy.microsoft.com/fr-fr/default.aspx. En fait, nous vous incitons vivement à la lire. Elle est simple et aussi précise que possible. Elle est également rassurante. Nous avons tous bénéficié des erreurs qui ont été signalées dans le passé pour améliorer le logiciel que nous exploitons.

Obtenir des mises à jour La dernière option de cette section consiste à télécharger immédiatement des mises à jour. Il suffit de cliquer sur Télécharger et installer les mises à jour. La boîte de dialogue Windows Update de la figure 7-15 s’affiche.

Figure 7-15 Boîte de dialogue Windows Update

Si des mises à jour sont disponibles, elles figurent dans cette boîte de dialogue et vous êtes libre de les installer immédiatement. Cette page contient également un lien important : Obtenir des mises à jour d’autres produits. Il donne accès au service Microsoft Update au lieu du service Windows Update. Le service Microsoft Update regroupe tous les produits

Chapitre 7

Configuration d’une nouvelle installation

111

Microsoft, y compris ceux que l’on installe généralement sur Windows Server. Si vous n’y prêtez pas attention, vous risquez d’exploiter des applications vulnérables nécessitant des correctifs sur le serveur. Par conséquent, nous vous conseillons de choisir Microsoft Update, sauf si vous faites appel à un autre mécanisme pour garantir l’actualisation de vos autres applications Microsoft sur le serveur.

Personnaliser le serveur La dernière section de l’Assistant Tâches de configuration initiales permet d’ajouter des rôles et des fonctionnalités au serveur, d’activer l’accès à distance et de configurer le Pare-feu Windows. Il s’agit enfin d’une réelle configuration, qui prépare concrètement le serveur. Jusqu’à présent, il s’agissait des bases de la configuration. Nous n’allons pas décrire l’option Ajouter des rôles de l’Assistant Tâches de configuration initiales car le prochain chapitre est entièrement consacré à l’installation et à la configuration des rôles de serveurs. On pourrait également éviter d’aborder l’installation de fonctionnalités dans ce chapitre, mais il est essentiel de parler ici d’une fonctionnalité que Microsoft n’installe pas par défaut et qui doit être sur tous les serveurs : Windows PowerShell.

Ajouter la fonctionnalité Windows PowerShell Windows PowerShell est un nouvel interprétateur en ligne de commandes et langage de script publié par Microsoft en 2006. Il est disponible en téléchargement à l’adresse http://www.microsoft.com/technet/scriptcenter/topics/msh/download.mspx pour les versions précédentes de Windows et il est fourni en tant que fonctionnalité avec Windows Server 2008. Il ne s’installe pas automatiquement et n’est malheureusement pas du tout disponible sur Server Core. Sur nos ordinateurs, Windows PowerShell a complètement remplacé notre interprétateur de commandes quotidien Cmd.exe. Même si vous n’écrivez pas encore des quantités de scripts PowerShell, vous allez prendre plaisir à travailler en ligne de commandes grâce à lui. Avant de pouvoir l’employer, vous devez toutefois ajouter la fonctionnalité correspondante à votre nouvelle installation Windows Server 2008. L’Assistant Tâches de configuration initiales comporte un lien Ajouter des fonctionnalités qui va nous servir à installer PowerShell, en procédant comme suit :

1. Dans l’Assistant Tâches de configuration initiales, cliquez sur Ajouter des fonctionnalités pour ouvrir l’Assistant Ajout de fonctionnalités, illustré par la figure 7-16.

112

Partie II

Installation et configuration

Figure 7-16 Page Sélectionner des fonctionnalités de l’Assistant Ajout de fonctionnalités

2. Parcourez la liste Fonctionnalités et sélectionnez Windows PowerShell. 3. Cliquez sur Suivant pour afficher la page de confirmation. Elle contient la liste des fonctionnalités prêtes à être installées ainsi que l’avertissement sur le redémarrage nécessaire. Ne vous inquiétez pas, le serveur ne va pas redémarrer si vous n’installez que cette fonctionnalité. 4. Cliquez sur Installer pour démarrer l’installation. À la fin de l’installation, la page Résultats de l’installation s’affiche. Elle présente les éventuels problèmes qui se seraient produits ou rapporte simplement que l’installation a réussi. Cliquez sur Fermer pour quitter l’Assistant Ajout de fonctionnalités. C’est à peu près tout. Il ne reste plus que quelques petites étapes de configuration destinées à simplifier l’emploi de PowerShell. Tout d’abord, plaçons PowerShell dans le menu Démarrer pour simplifier son utilisation. Car si Cmd s’y trouve, pourquoi pas PowerShell ? Voici comment procéder :

1. Cliquez sur Démarrer. 2. Cliquez sur Tous les programmes, puis sur Windows PowerShell 1.0. 3. Cliquez droit sur Windows PowerShell et choisissez Ajouter au menu Démarrer.

Chapitre 7

Configuration d’une nouvelle installation

113

Figure 7-17 Ajouter Windows PowerShell au menu Démarrer

4. Profitez-en pour ajouter PowerShell à votre barre de lancement rapide. Désormais, vous accédez facilement à PowerShell sans avoir besoin de le rechercher dans les menus. Par défaut, PowerShell s’installe de la manière la plus sécurisée possible, vous empêchant d’exécuter des scripts ou des fichiers de configuration. Cela vous permet d’employer la ligne de commandes, mais limite considérablement les possibilités de personnalisation ou d’aller au-delà des simples commandes de shell. Cette restriction est appelée stratégie d’exécution du shell. Quatre niveaux de stratégie d’exécution sont disponibles : ■ Restricted N’autorise pas l’exécution de scripts et ne charge aucun fichier de

configuration. Il s’agit de la valeur par défaut. ■ AllSigned Permet l’exécution de script ou de fichiers de configuration signés par un

éditeur approuvé. Même les scripts que vous écrivez vous-même doivent être signés. ■ RemoteSigned Permet d’exécuter des scripts ou des fichiers de configuration non

signés qui ont été créés sur le réseau local, mais tout script téléchargé de l’Internet doit être signé par un éditeur approuvé. ■ Unrestricted Permet d’exécuter n’importe quel script ou fichier de configuration,

quelle que soit sa provenance. Les scripts ou fichiers de configuration provenant de l’Internet vont toutefois générer un avertissement avant leur exécution.

114

Partie II

Installation et configuration

La valeur par défaut, Restricted, est un peu trop sévère à notre goût et nous n’apprécierions pas non plus d’avoir à demander un certificat de signature de code juste pour exécuter nos propres scripts, ce qui rend l’option AllSigned peu appropriée. Dans un environnement qui prend complètement en charge les certificats de signature de code et où l’on souhaite limiter les scripts autorisés à ceux approuvés et signés, AllSigned est une option sensée. Mais dans la plupart des cas, RemoteSigned nous semble être un bon compromis. Voici comment définir la stratégie d’exécution à RemoteSigned :

1. Cliquez sur Démarrer, cliquez du bouton sur Windows PowerShell et choisissez Exécuter en tant qu’administrateur. 2. À l’invite du Contrôle du compte utilisateur, sélectionnez Continuer pour ouvrir PowerShell avec des privilèges d’administrateur. 3. À l’invite PowerShell, tapez la commande suivante : Set-ExecutionPolicy RemoteSigned

4. Pour confirmer que la modification a été prise en compte, faites appel à la commande Get-ExecutionPolicy, comme le montre la figure 7-18.

Figure 7-18 Définir la stratégie d'exécution de PowerShell

Activer le Bureau à distance L’Assistant Tâches de configuration initiales propose ensuite un lien appelé Activer le Bureau à distance. Grâce au Bureau à distance, les administrateurs se connectent directement au serveur sans être obligés d’être physiquement devant la console, dans la salle des serveurs. Windows Server 2008 introduit la version 6.1 du protocole RDP (Remote Desktop Protocol). RDC 6.1 (Remote Desktop Client) est fourni avec Windows Vista Service Pack 1 et Windows XP Service Pack 3 et les clients de la version 6 sont téléchargeables à partir de l’article 925876 de la Base de connaissances Microsoft (http://support.microsoft.com/kb/ 925876). RDP version 6 et ultérieure présente de nombreuses améliorations sur les versions antérieures, à savoir la couleur 32 bits, l’authentification du serveur, la redirection des ressources, le lissage des polices et Terminal Services RemoteApp. Dans le cadre de l’administration à distance d’un serveur, l’optimisation la plus intéressante concerne

Chapitre 7

Configuration d’une nouvelle installation

115

l’authentification du serveur, qui garantit que vous vous connectez réellement à l’ordinateur voulu. Voici comment activer le Bureau à distance sur le nouveau serveur :

1. Dans l’Assistant Tâches de configuration initiales, cliquez sur le lien Activer le Bureau à distance pour ouvrir la boîte de dialogue Propriétés système. L’onglet Utilisation à distance est sélectionné par défaut, illustré par la figure 7-19.

Figure 7-19 Onglet Utilisation à distance de la boîte de dialogue Propriétés système

2. Sélectionnez le niveau de client Bureau à distance à activer. Si tous vos clients exécutent au minimum Windows XP SP2 ou ultérieur, choisissez N’autoriser que la connexion des ordinateurs exécutant Bureau à distance avec authentification NLA (plus sûr). 3. Cliquez sur OK. Un message vous informe qu’une exception de pare-feu sera activée pour permettre le fonctionnement de Bureau à distance. Cliquez à nouveau sur OK pour revenir à la boîte de dialogue Propriétés système. 4. Cliquez sur OK. Le Bureau à distance est activé.

Configurer le Pare-feu Windows La dernière étape de l’Assistant Tâches de configuration initiales consiste à cliquer sur le lien Configurer le Pare-feu Windows. Par défaut, il est activé sur tous les nouveaux serveurs. Cette version est différente de celui fourni avec la première édition de Windows Server 2003.

116

Partie II

Installation et configuration

Le nouveau Pare-feu Windows est équipé de la reconnaissance des emplacements et les règles qui s’appliquent pour régir le trafic sont différentes dans les domaines, les réseaux privés et les réseaux publics. Il est bidirectionnel, exerçant un contrôle sur le trafic entrant et sortant. Nous y reviendrons de manière plus détaillée au chapitre 2 du tome 2, « Mise en œuvre de la sécurité ». Pour l’instant, il est juste essentiel de savoir qu’il est activé par défaut. Tous les rôles ou fonctionnalités Windows Server 2008 que vous activez via le Gestionnaire de serveur ou l’Assistant Tâches de configuration initiales mettent automatiquement le Pare-feu Windows à jour si nécessaire, mais si vous possédez des applications tierces qui nécessitent que des exceptions du pare-feu soient activées, vous devez vous en charger manuellement. Voici comment configurer le Pare-feu Windows sur le nouveau serveur :

1. Cliquez sur le lien Configurer le Pare-feu Windows de l’Assistant Tâches de configuration initiales pour ouvrir la boîte de dialogue Pare-feu Windows de la figure 7-20.

Figure 7-20 Boîte de dialogue Pare-feu Windows

2. Cliquez sur Modifier les paramètres pour accéder à l’onglet Général de la boîte de dialogue Paramètres du Pare-feu Windows. Il est alors possible d’activer ou de désactiver le pare-feu ou de le définir de sorte qu’il bloque toutes les connexions entrantes. 3. Cliquez sur l’onglet Exceptions de la boîte de dialogue pour autoriser des programmes ou fonctionnalités spécifiques à traverser le Pare-feu Windows, comme le montre la figure 7-21.

Chapitre 7

Configuration d’une nouvelle installation

117

Figure 7-21 Onglet Exceptions de la boîte de dialogue Paramètres du Pare-feu Windows

4. Sélectionnez Gestion à distance du Pare-feu Windows pour autoriser la configuration à distance du pare-feu à partir de ce serveur. Il peut être intéressant de sélectionner également Gestion à distance de Windows et Gestion des services à distance. 5. Cliquez sur OK pour fermer la boîte de dialogue Paramètres du Pare-feu Windows, puis fermez la boîte de dialogue Pare-feu Windows pour revenir à l’Assistant Tâches de configuration initiales.

Quitter l’Assistant Tâches de configuration initiales Une fois que vous avez terminé toutes les étapes de l’Assistant Tâches de configuration initiales, vous pouvez cocher la case Ne pas afficher cette fenêtre à l’ouverture de session et cliquer sur Fermer de manière à quitter l’assistant et ne plus l’afficher ultérieurement. À la fermeture de l’assistant, le Gestionnaire de serveur s’ouvre pour que vous poursuiviez la configuration de votre serveur en ajoutant des rôles et fonctionnalités et que vous puissiez accéder facilement à toutes vos tâches de gestion quotidiennes sur le serveur. Si vous n’êtes pas sûr de ne plus avoir besoin de l’Assistant Tâches de configuration initiales, ne cochez pas la case correspondante et fermez la fenêtre. Le Gestionnaire de serveur s’ouvre automatiquement, mais à votre prochaine ouverture de session, l’Assistant Tâches de configuration initiales s’ouvrira à nouveau.

118

Partie II

Installation et configuration

Toutes les fonctions de ce dernier sont disponibles ailleurs, mais cette fonctionnalité est pratique et bien conçue car elle centralise toutes les étapes initiales nécessaires sur un nouveau serveur. Si vous avez fermé l’Assistant Tâches de configuration initiales, que vous l’avez désactivé et que vous réalisez que vous devez revenir sur une étape, exécutez la commande Oobe.exe pour le récupérer.

Résumé Dans ce chapitre, nous avons analysé toutes les étapes de configuration initiale nécessaires sur la plupart des nouveaux ordinateurs Windows Server 2008. Nous nous sommes concentrés sur l’Assistant Tâches de configuration initiales car il nous semble être un assistant cohérent et bien conçu, mais toutes les tâches décrites s’effectuent également en ligne de commandes ou en passant par des assistants individuels. Si vous travaillez avec Server Core, vous n’avez pas le choix : vous devez exploiter la ligne de commandes ou des scripts pour effectuer la configuration initiale, que vous verrez au chapitre 9 du tome 1. Entre-temps, le chapitre 8 est consacré à l’utilisation du Gestionnaire de serveur pour ajouter des rôles de serveurs, des services de rôle et des fonctionnalités.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités Définition des rôles de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Ajouter et supprimer des rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Ajouter et supprimer des services de rôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Ajouter et supprimer des fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Les versions précédentes de Windows Server s’appuyaient sur une méthode libre pour ajouter et supprimer les différentes fonctionnalités de Windows Server. Il était ainsi possible de désactiver aisément les services non nécessaires, exposant le serveur à des risques. De même, on pouvait désactiver une fonctionnalité essentielle de Windows Server, ce qui perturbait le fonctionnement d’autres services ou fonctionnalités. Le dépannage de ces problèmes mobilisait du temps et des efforts et la sécurité générale du serveur pouvait être compromise. Les assistants Configurer votre serveur et Gérer votre serveur de Windows Server 2003 résolvent certains de ces problèmes en proposant une interface simple qui constitue emplacement unique dédié à l’ajout ou à la suppression de rôles et la gestion de ceux déjà installés sur le serveur. Windows Server 2008 reprend ces anciens assistants et les remplace par le nouveau Gestionnaire de serveur, dont l’objectif est de proposer un emplacement unique où ajouter ou supprimer des rôles, des services de rôle et des fonctionnalités au serveur, tout en accédant à tous les outils de gestion des rôles et fonctionnalités installés. Le Gestionnaire de serveur est le point incontournable de toutes les tâches de gestion de Windows Server 2008. Du moins, en théorie, car s’il optimise considérablement l’ajout et la suppression de rôles, de services de rôles et de fonctionnalités, il est moins adapté en ce qui concerne la gestion quotidienne. Il reste plus pratique d’exploiter les consoles autonomes pour les rôles à gérer. Elles sont plus performantes et offrent une navigation plus aisée ; en revanche, le Gestionnaire de serveur convient mieux pour certaines tâches de gestion. Et pour ajouter des rôles, des services de rôles ou des fonctionnalités, le Gestionnaire de serveur est un outil assez pratique, même s’il existe un équivalent en ligne de commandes.

119

120

Partie II

Installation et configuration

Remarque Le Gestionnaire de serveur n’est pas disponible sur les installations

Server Core de Windows Server 2008. Server Core emploie différents outils de configuration. Pour installer un serveur Windows Server 2008 Core, passez au chapitre 9 du tome 1, « Installation de configuration de Server Core ».

Dans ce chapitre, nous allons expliquer comment travailler avec la console graphique du Gestionnaire de serveur et l’outil en ligne de commandes ServerManagerCmd.exe pour ajouter et supprimer des rôles, services de rôle et fonctionnalités.

Définition des rôles de serveurs Windows Server 2008 établit une distinction entre un rôle de serveur, un service de rôle et une fonctionnalité. Les rôles de serveurs sont des ensembles de fonctionnalités communes qui aident à définir à quoi sert un serveur. Ainsi, un serveur de fichiers sera équipé du rôle Services de fichier et un serveur Terminal Server du rôle Services Terminal Server. Chacun de ces rôles s’accompagne d’un ou de plusieurs services de rôle. Un service de rôle est une fonctionnalité particulière qui n’est disponible que pour le rôle dont elle est un service. Ainsi, un serveur de fichiers équipé du rôle Services de fichiers offre plusieurs services de rôle : Serveur de fichier, Système de fichiers distribués (et ses services auxiliaires, Espaces de noms DFS et Réplication DFS), Gestion de ressources du serveur de fichiers, Services pour NFS, Service de recherche Windows et Services de fichiers Windows Server 2003 (et ses deux services associés, le Service de réplication des fichiers et le Service d’indexation). Le rôle Services Terminal Server possède les services de rôle suivants : Terminal Server, Gestionnaire de licences TS, Session Borker TS, Passerelle TS et Accès Web TS. Le tableau 8-1 liste des rôles et services de rôle disponibles dans Windows Server 2008. Tableau 8-1 Rôles et services de rôle Windows Server 2008 Rôle

Service de rôle

Services de certificats Active Directory

ID d’installation AD-Certificate

Autorité de certification

ADCS-Cert-Authority

Inscription de l’autorité de certification via le Web

ADCS-Web-Enrollment

Répondeur en ligne

ADCS-Online-Cert

Service d’inscription de périphériques réseau

ADCS-Device-Enrollment

Services de domaine Active Directory

Aucune (s’installe avec Dcpromo.exe) Contrôleur de domaine Active Directory ADDS-Domain-Controller Gestion des identités pour UNIX

ADDS –Identity-Mgmt

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

121

Tableau 8-1 Rôles et services de rôle Windows Server 2008 Rôle

Service de rôle

ID d’installation

Serveur pour le service NIS (Network ADDS-NIS Information Services) Synchronisation des mots de passe

ADDS-Password-Sync

Outils d’administration

ADDS-IDMU-Tools

Services ADFS (Active Directory Federation Services) Service de fédération

ADFS -Federation

Proxy du service de fédération

ADFS-Proxy

Agents Web AD FS

ADFS-Web-Agents

Agent prenant en charge les revendications

ADFS-Claims

Agent basé sur les jetons Windows

ADFS-Windows-Token

Services AD LDS (Active Directory Lightweight Directory Services)

ADLDS

Services AD RMS (Active Directory Rights Management Services) Service de gestion des droits AD Prise en charge de la fédération des identités Serveur d’applications

Application-Server Fondation du serveur d’applications

AS-AppServerFoundation

Prise en charge du serveur Web (IIS)

AS-Web-Support

Accès réseau COM+

AS-Ent-Services

Partage de port TCP

AS-TCP-Port-Sharing

Prise en charge du service d’activation des processus Windows

AS-WAS-Support

Activation HTTP

AS-HTTP-Activation

Activation Message Queuing

AS-MSMQ-Activation

Activation TCP

AS-TCP-Activation

Activation des canaux nommés

AS-Named-Pipes

Transactions distribuées

AS-Dist-Transaction

122

Partie II

Installation et configuration

Tableau 8-1 Rôles et services de rôle Windows Server 2008 Rôle

Service de rôle

ID d’installation

Transactions distantes entrantes

AS-Incoming-Trans

Transactions distantes sortantes

AS-Outgoing-Trans

Transactions WS-Atomic

AS-WS-Atomic

Serveur DHCP

DHCP

Serveur DNS

DNS

Serveur de télécopie

Fax

Services de fichiers Serveur de fichiers

FS-FileServer

Système de fichiers distribués (DFS)

FS-DFS

Espaces de noms DFS

FS-DFS-Namespace

Réplication DFS

FS-DFS-Replication

Gestion de ressources du serveur de fichiers

FS-Resource-Manager

Services pour NFS

FS-NFS-Services

Service de recherche Windows

FS-Search-Service

Services de fichiers Windows Server 2003

FS-Win2003-Services

Service de réplication de fichiers

FS-Replication

Service d’indexation

FS-Indexing-Service

Hyper-V

Hyper-V

Services de stratégie et d’accès réseau

NPAS Serveur NPS (Network Policy Server)

NPAS-Policy-Server

Services de routage et d’accès à distance

NPAS-RRAS-Services

Service d’accès à distance

NPAS-RRAS

Routage

NPAS-Routing

Autorité HRA (Health Registration Authority)

NPAS-Health

HCAP (Host Credential Authorization Protocol)

NPAS-Host-Cred

Services d’impression

Print-Services Serveur d’impression

Print-Server

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

123

Tableau 8-1 Rôles et services de rôle Windows Server 2008 Rôle

Service de rôle

ID d’installation

Service LPD

Print-LPD-Service

Impression Internet

Print-Internet

Services Terminal Server

Terminal-Services Terminal Server

TS-Terminal-Server

Gestionnaire de licences TS

TS-Licensing

Session Broker TS

TS-Session-Broker

Passerelle TS

TS-Gateway

Accès Web TS

TS-Web-Access

Services UDDI Base de données des services UDDI Application Web des Services UDDI Serveur Web (IIS)

Web-Server Serveur Web Fonctionnalités HTTP communes

Web-WebServer Web-Common-Http

Contenu statique

Web-Static-Content

Document par défaut

Web-Default-Doc

Exploration de répertoire

Web-Dir-Browsing

Erreurs HTTP

Web-Http-Errors

Redirection HTTP

Web-Http-Redirect

Développement d’applications

Web-App-Dev

ASP.NET

Web-Asp-Net

Extensibilité .NET

Web-Net-Ext

ASP

Web-ASP

CGI

Web-CGI

Extensions ISAPI

Web-ISAPI-Ext

Filtres ISAPI

Web-ISAPI-Filter

Fichiers Include côté serveur

Web-Includes

Intégrité et diagnostics

Web-Health

Journalisation HTTP

Web-Http-Logging

Outils de journalisation

Web-Log-Libraries

Observateur de demandes

Web-Request-Monitor

Suivi

Web-Http-Tracing

124

Partie II

Installation et configuration

Tableau 8-1 Rôles et services de rôle Windows Server 2008 Rôle

Service de rôle

ID d’installation

Journalisation personnalisée

Web-Custom-Logging

Journal ODBC

Web-ODBC-Logging

Sécurité

Web-Security

Authentification de base

Web-Basic-Auth

Authentification Windows

Web-Windows-Auth

Authentification Digest

Web-Digest-Auth

Authentification du mappage de certificat client

Web-Client-Auth

Authentification de mappage de certificats clients d’IIS

Web-Cert-Auth

Autorisation URL

Web-Url-Auth

Filtrage des demandes

Web-Filtering

Restrictions IP et de domaine

Web-IP-Security

Performances

Web-Performance

Compression de contenu statique Web-Stat-Compression Compression de contenu dynamique Outils de gestion

Web-Dyn-Compression Web-Mgmt-Tools

Console de gestion d’IIS

Web-Mgmt-Console

Scripts et outils de gestion d’IIS

Web-Scripting-Tools

Service de gestion

Web-Mgmt-Service

IIS 6 Management Compatibility

Web-Mgmt-Compat

Compatibilité avec la métabase de données IIS 6

Web-Metabase

Compatibilité WMI d’IIS 6

Web-WMI

Outils de script IIS 6

Web-Lgcy-Scripting

Console de gestion IIS 6

Web-Lgcy-Mgmt-Console

Service de publication FTP

Web-Ftp-Publishing

Serveur FTP

Web-Ftp-Server

Console de gestion FTP

Web-Ftp-Mgmt-Console

Services de déploiement Windows

WDS Serveur de déploiement

WDS-Deployment

Serveur de transport

WDS-Transport

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

125

Les fonctionnalités Windows Server 2008 n’imposent pas d’installer un rôle spécifique. Elles montrent leur utilité dans de nombreuses configurations de rôles de serveurs. Elles comprennent une fonction générale, telle que Windows PowerShell, ainsi qu’une fonction plus précise mais pas spécifique au rôle, comme le Serveur iSNS (Internet Storage Name Server) ou Message Queuing. Le tableau 8-2 établit la liste des fonctionnalités disponibles dans Windows Server 2008. Tableau 8-2 Fonctionnalités Windows Server 2008 Fonctionnalité

ID d’installation

Fonctionnalités .NET Framework 3.0

NET-Framework

.NET Framework 3.0

NET-Framework-Core

Visionneuse XPS

NET-XPS-Viewer

Activation de Windows Communication Foundation

NET-Win-CFAC

Activation HTTP

NET-HTTP-Activation

Activation non-HTTP

NET-Non-HTTP-Activ

Chiffrement de lecteur BitLocker

BitLocker

Extensions du serveur BITS

BITS

Kit d’administration de Connection Manager

CMAK

Expérience utilisateur

Desktop-Experience

Clustering avec basculement

Failover-Clustering

Gestion des stratégies de groupe

GPMC

Client d’impression Internet

Internet-Print-Client

Serveur iSNS (Internet Storage Name Server)

ISNS

Moniteur de port LPR

LPR-Port-Monitor

Message Queuing

MSMQ

Services Message Queuing

MSMQ-Services

Serveur Message Queuing

MSMQ-Server

Intégration du service d’annuaire

MSMQ-Directory

Déclencheurs Message Queuing

MSMQ-Triggers

Prise en charge HTTP

MSMQ-HTTP-Support

Prise en charge de la multidiffusion

MSMQ-Multicasting

Service de routage

MSMQ-Routing

Prise en charge des clients Windows 2000

MSMQ-Win2000

Proxy DCOM Message Queuing

MSMQ-DCOM

126

Partie II

Installation et configuration

Tableau 8-2 Fonctionnalités Windows Server 2008 Fonctionnalité

ID d’installation

MPIO (Multipath I/O)

Multipath-IO

Équilibrage de la charge réseau

NLB

Protocole de résolution de noms d’homologues

PNRP

Expérience audio-vidéo haute qualité Windows

qWave

Assistance à distance

Remote-Assistance

Compression différentielle à distance

RDC

Outils d’administration de serveur distant

RSAT

Outils d’administration de rôles

RSAT-Role-Tools

Outils des services de certificats Active Directory

RSAT-ADCS

Outils d’autorité de certification

RSAT-ADCS-Mgmt

Outils des répondeurs en ligne

RSAT-OnlineResponder

Outils des services de domaine Active Directory

RSAT-ADDS

Outils de contrôleur de domaine Active Directory

RSAT-ADDC

Outils de Serveur pour NIS

RSAT-SNIS

Outils des services Ad LDS (Active Directory Lightweight Directory Services)

RSAT-ADLDS

Outils des services AD RMS (Active Directory Rights Management Services)

RSAT-RMS

Outils du serveur DHCP

RSAT-DHCP

Outils du serveur DNS

RSAT-DNS-Server

Outils du serveur de télécopie

RSAT-Fax

Outils de services de fichiers

RSAT-File-Services

Outils du système de fichiers DFS

RSAT-DFS-Mgmt-Con

Outils de Gestion de ressources du serveur de fichiers

RSAT-FSRM-Mgmt

Hyper-V

Hyper-V

Outils des services pour NFS

RSAT-NFS-Admin

Outils de la stratégie réseau et des services d’accès

RSAT-NPAS

Outils des services d’impression

RSAT-Print-Services

Outils des services Terminal Server

RSAT-TS

Outils du serveur Terminal Server

RSAT-TS-RemoteApp

Outils de la passerelle TS

RSAT-TS-Gateway

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

127

Tableau 8-2 Fonctionnalités Windows Server 2008 Fonctionnalité

ID d’installation

Outils des licences Terminal Server

RSAT-TS-Licensing

Outils des services UDDI

RSAT-UDDI

Outils du serveur Web (IIS)

RSAT-Web-Server

Outils des services de déploiement Windows

RSAT-WDS

Outils d’administration de fonctionnalités

RSAT-Feature-Tools

Outils de chiffrement de lecteur BitLocker

RSAT-BitLocker

Outils d’extensions du serveur BITS

RSAT-Bits-Server

Outils de clustering avec basculement

RSAT-Clustering

Outils d’équilibrage de la charge réseau

RSAT-NLB

Outils du serveur SMTP

RSAT-SMTP

Outils du serveur WINS

RSAT-WINS

Gestionnaire de stockage amovible

Removable-Storage

Proxy RPC sur HTTP

RPC-over-HTTP-Proxy

Services TCP/IP simplifiés

Simple-TCPIP

Serveur SMTP

SMTP-Server

Services SNMP

SNMP-Services

Service SNMP

SNMP-Service

Fournisseur WMI SNMP

SNMP-WMI-Provider

Gestionnaire de stockage pour réseau SAN

Storage-Mgr-SANS

Sous-système pour les applications UNIX

Subsystem-UNIXApps

Client Telnet

Telnet-Client

Serveur Telnet

Telnet-Server

Client TFTP

TFTP-Client

Base de données interne Windows

Windows-Internal-DB

Windows PowerShell

PowerShell

Service d’activation des processus Windows

WAS

Modèle de processus

WAS-Process-Model

Environnement .NET

WAS-NETEnvironment

API de configuration

WAS-Config-APIs

128

Partie II

Installation et configuration

Tableau 8-2 Fonctionnalités Windows Server 2008 Fonctionnalité

ID d’installation

Fonctionnalités de la Sauvegarde de Windows Server

Backup-Features

Utilitaire de sauvegarde de Windows Server

Backup

Outils en ligne de commande

Backup-Tools

Gestionnaire de ressources système Windows

WSRM

Serveur WINS

WINS-Server

Service de réseau local sans fil

Wireless-Networking

Comme vous pouvez le constater, les rôles, services de rôle et fonctionnalités disponibles sont très nombreux. Tous s’installent à partir de la console Gestionnaire de serveur ou d’une invite de commandes avec privilèges (via ServerManagerCmd.exe). Notez que le rôle Services de domaine Active Directory s’installe à partir du Gestionnaire de serveur, mais qu’il est inactif tant que vous n’exécutez pas l’outil en ligne de commandes Dcpromo.exe. Ce faisant, l’outil vérifie en premier lieu si le rôle est installé et si ce n’est pas le cas, il l’installe puis lance la promotion du serveur en contrôleur de domaine.

Ajouter et supprimer des rôles Dans Windows Server 2008, les rôles s’ajoutent et se suppriment à partir de la console Gestionnaire de serveur ou en ligne de commandes. Les deux méthodes effectuent la même tâche et suivent la même logique concernant le choix des services à installer. Il est toutefois beaucoup plus simple de se servir de l’interface graphique à cet effet ; ainsi, si vous n’installez pas de nombreux serveurs de configuration identique, nous vous conseillons fortement de faire appel au Gestionnaire de serveur. Il est très souvent préférable de travailler en ligne de commandes, mais il s’agit là de la seule exception où l’interface graphique est à solliciter.

En pratique Rôles : restriction inutile ou brillante amélioration ? Lorsque nous avons appris qu’il nous faudrait toujours faire appel au Gestionnaire de serveur pour installer des rôles, services de rôle et fonctionnalités, l’humeur fut maussade. En fait, Microsoft a reçu de nombreuses plaintes à ce sujet. Les fonctionnalités étaient divisées, il manquait une ligne de commandes, on ne pouvait installer qu’un rôle, service de rôle ou fonctionnalité à la fois. Il s’agissait pour nous tous d’une décision inutile et contre-productive de la part de Microsoft. On nous répondit d’être patients. Et il faut bien l’admettre, nous nous trompions. La procédure d’ajout et suppression de rôles, services de rôle et fonctionnalités par le biais du nouveau Gestionnaire de serveur dépasse de loin tout ce que nous pouvions imaginer. Non seulement il offre toujours le juste niveau minimal de services dépendants, mais il configure également automatiquement le Pare-feu Windows en tenant compte des bonnes exceptions. Et si vous installez des rôles avec le Gestionnaire de serveur, l’ajout de

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

129

services de rôle est un jeu d’enfants. De plus, on peut ajouter un groupe de rôles et de services de rôle simultanément. Exactement comme les fonctionnalités, ce qui simplifie considérablement l’installation d’un nouveau serveur. En revanche, si vous ajoutez plusieurs rôles ou fonctionnalités à la fois, il devient plus que probable d’avoir à redémarrer le serveur. Cela gêne certaines personnes. Il est en outre impossible d’ajouter des fonctionnalités en même temps que des rôles et des services de rôle. À nouveau, c’est un inconvénient, mais qui n’est pas dramatique. Il subsiste tout de même un problème. Si vous ajoutez des rôles et des fonctionnalités simultanément, le redémarrage est presque toujours évitable, mais pas en cas de suppression d’un rôle ou d’une fonctionnalité.

Ajouter un rôle Pour ajouter un rôle, on peut faire appel à la console graphique Gestionnaire de serveur ou à l’utilitaire en ligne de commandes ServerManagerCmd.exe.

Console Gestionnaire de serveur Voici comment ajouter un rôle à partir de la console Gestionnaire de serveur :

1. Ouvrez la console Gestionnaire de serveur. 2. Dans le menu Action, sélectionnez Ajouter des rôles pour afficher la page Avant de commencer de l’Assistant Ajout de rôles, illustré par la figure 8-1.

Figure 8-1 Page Avant de commencer de l’Assistant Ajout de rôles

130

Partie II

Installation et configuration

3. Lisez les indications mentionnées sur la page Avant de commencer, car ces conseils sont utiles et à mémoriser. Si vous avez lu la page, compris les indications et que vous ne voulez pas qu’elle s’ouvre à nouveau, cochez la case Ignorer cette page par défaut. 4. Cliquez sur Suivant pour ouvrir la page Sélectionnez des rôles de serveurs, comme le montre la figure 8-2.

Figure 8-2 Page Sélectionnez des rôles de serveurs de l’Assistant Ajout de rôles

5. Sélectionnez les rôles de serveurs à ajouter. Vous êtes libre d’en sélectionner plusieurs, mais cela vous obligera certainement à redémarrer avant la fin de l’installation. 6. Cliquez sur Suivant pour ouvrir la page du premier rôle à installer, comme le montre la figure 8-3 (si vous avez sélectionné Services Terminal Server à l’étape précédente). Cette page décrit le rôle à installer et comprend une section À noter, avec des mises en garde ou des conseils spécifiques au rôle en question. Vous trouvez également un lien vers une page Informations supplémentaires contenant des informations mises à jour sur le rôle en question.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

131

Figure 8-3 Page Services Terminal Server de l’Assistant Ajout de rôles

7. Une fois que vous avez lu la section À noter, cliquez sur Suivant pour ouvrir la page Sélectionner les services de rôle, illustrée par la figure 8-4.

Figure 8-4 Page Sélectionner les services de rôle de l’Assistant Ajout de rôles

132

Partie II

Installation et configuration

8. Sélectionnez les services de rôle à ajouter immédiatement. Si vous sélectionnez un service de rôle dépendant d’un autre rôle, service de rôle ou fonctionnalité, une boîte de dialogue s’ouvre pour vous informer que des services de rôle supplémentaires seront installés (voir figure 8-5).

Figure 8-5 Page Ajouter les services de rôle et les fonctionnalités requis pour Passerelle TS de l’Assistant Ajout de rôles

9. Cliquez sur Ajouter les services de rôle requis pour poursuivre et revenir à la page Sélectionner les services de rôle ou cliquez sur Annuler pour modifier la sélection des services de rôle. 10. Cliquez sur Suivant pour ouvrir la page suivante de l’Assistant Ajout de rôles. À partir de maintenant et jusqu’à l’aboutissement de l’assistant, les pages dépendront des rôles et services de rôle que vous avez choisis. 11. Une fois que l’Assistant Ajout de rôles possède toutes les informations nécessaires pour poursuivre, il ouvre la page Confirmer les sélections pour l’installation. Assurez-vous une dernière fois d’avoir sélectionné les rôles et services de rôle voulus et configuré tous les paramètres nécessaires pour votre environnement. Si tout est correct, cliquez sur Installer pour démarrer l’installation.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

133

12. À la fin de l’installation, la page Résultats de l’installation s’affiche, illustrée par la figure 8-6. Elle indique si l’installation impose un redémarrage ou mentionne les éventuels avertissements ou erreurs. Cliquez sur Fermer pour quitter l’assistant.

Figure 8-6 Page Résultats de l’installation

13. Si votre installation a nécessité un redémarrage, vous allez être invité à redémarrer le serveur. Faites-le maintenant car il vous est impossible d’installer autre chose lorsqu’un redémarrage est en attente. 14. Si votre installation nécessite un redémarrage, reconnectez-vous avec le même compte que celui utilisé pour ajouter le rôle. L’installation ne peut s’achever tant que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la configuration s’ouvre et termine l’installation des rôles et services de rôle sélectionnés, comme le montre la figure 8-7. Cliquez sur Fermer lorsque l’installation est terminée.

134

Partie II

Installation et configuration

Figure 8-7 Page Résultats de l’installation de l’Assistant Reprise de la configuration

Ligne de commandes Voici comment ajouter un rôle à partir de la ligne de commandes :

1. Démarrez une invite de commandes avec privilèges en cliquant du bouton droit sur Invite de commandes dans le menu Démarrer et en choisissant Exécuter en tant qu’administrateur. 2. Tapez ServerManagerCmd /? pour afficher la liste des options en ligne de commandes de la commande. 3. Pour installer le rôle Services Terminal Server avec le service de rôle Terminal Server, tapez la commande suivante : ServerManagerCmd –install Terminal-Services TS-Terminal-Server –restart

4. En incluant le paramètre en ligne de commandes –restart, le serveur redémarre automatiquement (sans avertissement ni décalage) si l’installation le requiert.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

135

Supprimer un rôle Pour supprimer un rôle, on peut faire appel à la console graphique Gestionnaire de serveur ou à l’utilitaire en ligne de commandes ServerManagerCmd.exe. Les deux fonctionnent à l’identique : ils suppriment uniquement le rôle explicitement sélectionné. Ils ne suppriment généralement pas de rôles ou de services de rôle ajoutés pendant l’installation initiale du rôle afin de prendre en charge le rôle que vous voulez supprimer, sauf si le rôle, le service de rôle ou la fonctionnalité nécessite cette suppression. Cela peut sembler confus. Nous allons donc vous présenter un exemple qui va tout clarifier : supposons que vous ayez installé le rôle Services Terminal Server ainsi que tous ses services de rôle. Vous avez également installé Services de stratégie et d’accès réseau et Serveur Web (IIS). Vous pouvez alors désinstaller l’ensemble du rôle Services Terminal Server et ni Services de stratégie et d’accès réseau, ni Serveur Web (IIS) ne seront supprimés. En revanche, si vous supprimez le rôle Serveur Web (IIS), la fonctionnalité Proxy RPC sur HTTP sera également supprimée, comme le montre la figure 8-8.

Figure 8-8 La suppression du rôle Serveur Web (IIS) impose de supprimer la fonctionnalité Proxy RPC sur HTTP

Console Gestionnaire de serveur Pour supprimer un rôle, la console Gestionnaire de serveur constitue une meilleure solution que la ligne de commandes. La console permet de visualiser les autres rôles et services de rôles qui sont installés, facilitant ainsi la suppression de tous les rôles et services de rôle qui sont inutiles mais encore installés.

136

Partie II

Installation et configuration

Voici comment supprimer un rôle à partir de la console Gestionnaire de serveur :

1. Ouvrez la console Gestionnaire de serveur. 2. Dans le menu Action, sélectionnez Supprimer des rôles pour ouvrir la page Avant de commencer de l’Assistant Suppression de rôle. 3. Lisez les indications mentionnées sur la page Avant de commencer, car ces conseils sont utiles et à mémoriser. Si vous avez lu la page, compris les indications et que vous ne voulez pas qu’elle s’ouvre à nouveau, cochez la case Ignorer cette page par défaut. 4. Cliquez sur Suivant pour ouvrir la page Supprimer des rôles sur le serveur, comme le montre la figure 8-9. Supprimez la coche des cases des rôles à supprimer.

Figure 8-9 Page Supprimer des rôles sur le serveur de l’Assistant Suppression de rôle

5. Si certaines fonctionnalités sont dépendantes, vous êtes invité à les supprimer également, comme indiqué précédemment à la figure 8-8. 6. Après avoir supprimé la coche des cases des rôles à supprimer, cliquez sur Suivant pour ouvrir la page Confirmer les sélections pour la suppression, illustrée par la figure 8-10. Cette page contient souvent des messages d’informations. Lisez attentivement toutes les implications de la suppression du ou des rôles.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

137

Figure 8-10 Page Confirmer les sélections pour la suppression de l’Assistant Suppression de rôle

Remarque Il est possible d’imprimer, d’envoyer par courrier électronique ou d’enregistrer les informations de la page Confirmer les sélections pour la suppression en cliquant sous la fenêtre d’informations.

7. Cliquez sur Supprimer pour démarrer le processus. 8. À la fin de la suppression, la page Résultats de la suppression s’affiche, illustrée par la figure 8-11. Si des rôles ou des fonctionnalités nécessitent un redémarrage, un message vous avertit qu’un redémarrage est en attente. Quasiment tous les rôles ou fonctionnalités nécessitent un redémarrage à leur suppression.

138

Partie II

Installation et configuration

Figure 8-11 Page Résultats de la suppression de l’Assistant Suppression de rôle

9. Cliquez sur Fermer, puis sur Oui en cas d’invitation à redémarrer. 10. Si votre suppression nécessite un redémarrage, reconnectez-vous avec le même compte que celui utilisé pour supprimer le rôle. La suppression ne peut s’achever tant que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la configuration s’ouvre et termine la suppression des rôles sélectionnés. Cliquez sur Fermer lorsque la suppression est terminée.

Ligne de commandes De manière générale, il n’est pas conseillé de supprimer un rôle avec la ligne de commandes. On ne visualise pas réellement ce qui se produit et le peu de cas où l’on doit supprimer un même rôle sur de nombreux serveurs rend l’automatisation de cette tâche inutile. Si toutefois vous en ressentez réellement le besoin, la syntaxe en ligne de commandes est exactement la même que pour ajouter un rôle. Pour supprimer un rôle à partir de la ligne de commandes, tapez la commande suivante : ServerManagerCmd –remove –restart

Pour connaître la valeur des rôles et des services de rôle, reportez-vous au tableau 8-1.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

139

Ajouter et supprimer des services de rôle Très souvent, on ajoute ou supprime des services de rôle en ajoutant ou en supprimant les rôles auxquels ils sont associés, mais il arrive fréquemment que l’on commence avec un ensemble de services de rôle pour un rôle particulier et que l’on réalise par la suite qu’il est nécessaire d’ajouter un service de rôle ou même d’en supprimer un s’il n’est plus utile. Le processus d’ajout et de suppression de services de rôle est très similaire à celui des rôles et la plupart des étapes sont identiques. L’outil en ligne de commandes est le même que celui que l’on exploite pour les rôles : ServerManagerCmd.exe.

Ajouter des services de rôle L’ajout d’un service de rôle impose d’installer le rôle de ce service. Il est impossible d’ajouter le service de rôle Service pour NFS si le rôle Services de fichiers n’est pas installé. On peut évidemment l’ajouter pendant le processus d’installation du rôle Services de fichiers. Pour ajouter un service de rôle, on fait appel à la ligne de commandes ou à la console graphique Gestionnaire de serveur. Voici comment ajouter le service de rôle Services pour NFS au rôle Services de fichiers :

1. Ouvrez la console Gestionnaire de serveur. 2. Dans le volet de gauche de la console, sélectionnez le rôle Services de fichiers, comme le montre la figure 8-12.

Figure 8-12 Console Gestionnaire de serveur, présentant le rôle Services de fichiers

140

Partie II

Installation et configuration

3. Dans le menu Action, sélectionnez Ajouter des services de rôle pour ouvrir la page Sélectionner les services de rôle, illustrée par la figure 8-13.

Figure 8-13 Page Sélectionner les services de rôle de l’Assistant Ajout des services de rôle

4. Cliquez sur Suivant pour ouvrir la page Confirmer les sélections pour l’installation. 5. Cliquez sur Installer pour démarrer l’installation. 6. À la fin de l’installation, la page Résultats de l’installation s’ouvre, comme le montre la figure 8-14. S’il n’est pas nécessaire de redémarrer, cliquez sur Fermer pour achever l’installation.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

141

Figure 8-14 Page Résultats de l’installation de l’Assistant Ajout des services de rôle

Pour effectuer la même installation du service de rôle Services pour NFS en ligne de commandes, tapez la commande suivante : Servermanagercmd –install FS-NFS-Services

Supprimer des services de rôle Il n’est pas nécessaire de supprimer un rôle pour supprimer l’un de ses services de rôle. Vous pouvez supprimer le service de rôle Services pour NFS sans affecter les autres services de rôle du rôle Services de fichiers. Pour supprimer des services de rôle, on fait appel à la ligne de commandes ou à la console graphique Gestionnaire de serveur. Comme pour les rôles, la ligne de commandes présente peu d’intérêt pour supprimer un service de rôle. Voici comment supprimer le service de rôle Services pour NFS du rôle Services de fichiers :

1. Ouvrez la console Gestionnaire de serveur. 2. Dans le volet de gauche de la console, sélectionnez le rôle Services de fichiers.

142

Partie II

Installation et configuration

3. Dans le menu Action, sélectionnez Supprimer des services de rôle pour ouvrir la page Sélectionner les services de rôle de l’Assistant Supprimer des services de rôle, illustrée par la figure 8-15.

Figure 8-15 Page Sélectionner les services de rôle de l’Assistant Supprimer des services de rôle

4. Supprimez la coche de la case Services pour NFS et cliquez sur Suivant pour ouvrir la page Confirmer les sélections pour la suppression. 5. Cliquez sur Supprimer pour démarrer le processus de suppression. À la fin de la suppression, la page Résultats de la suppression s’affiche, illustrée par la figure 8-16.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

143

Figure 8-16 Page Résultats de la suppression de l’Assistant Supprimer des services de rôle

6. Cliquez sur Fermer pour quitter l’assistant. Cliquez sur Oui pour redémarrer le serveur si vous y êtes invité. 7. Si votre suppression nécessite un redémarrage, reconnectez-vous avec le même compte que celui utilisé pour supprimer le service de rôle. La suppression ne peut s’achever tant que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la configuration s’ouvre et termine la suppression du service de rôle sélectionné. Cliquez sur Fermer lorsque la suppression est terminée. Pour effectuer la même suppression du service de rôle Services pour NFS en ligne de commandes, tapez la commande suivante : Servermanagercmd –remove FS-NFS-Services -restart

Ajouter et supprimer des fonctionnalités Pour ajouter et supprimer des fonctionnalités, on fait appel aux mêmes outils que ceux qui permettent de gérer les rôles et les services de rôle. En revanche, les fonctionnalités sont généralement indépendantes des rôles installés sur un serveur. L’une des premières choses à faire avec un serveur quelconque est d’installer certaines fonctionnalités de base qui sont très utiles ou, dans le cas de PowerShell, essentielles sur tous les serveurs. Il s’agit de PowerShell, Sous-système pour les applications UNIX et Client Telnet.

144

Partie II

Installation et configuration

Ajouter des fonctionnalités L’ajout d’une fonctionnalité à Windows Server 2008 ne nécessite généralement pas d’installer d’autres fonctionnalités ou rôles, sauf dans quelques cas : Message Queuing et Fonctionnalités .NET Framework 3.0, qui possèdent tous deux plusieurs fonctionnalités auxiliaires dépendantes. Voici comment installer les trois fonctionnalités nécessaires sur tous les serveurs :

1. Ouvrez la console Gestionnaire de serveur. 2. Dans le volet de gauche de la console, sélectionnez Fonctionnalités. 3. Dans le menu Action, sélectionnez Ajouter des fonctionnalités pour afficher la page Sélectionner des fonctionnalités de l’Assistant Ajout de fonctionnalités, illustré par la figure 8-17.

Figure 8-17 Page Sélectionner des fonctionnalités de l’Assistant Ajout de fonctionnalités

4. Sélectionnez les fonctionnalités à installer et cliquez sur Suivant pour démarrer le processus d’installation. 5. À la fin du processus, la page Résultats de l’installation s’affiche (voir figure 8-18). Si cette page indique qu’une ou plusieurs fonctionnalités sont en attente de redémarrage, redémarrez le serveur avant de poursuivre.

Chapitre 8

Installation des rôles de serveurs et des fonctionnalités

145

Figure 8-18 Page Résultats de l’installation de l’Assistant Ajout de fonctionnalités

6. Cliquez sur Fermer pour quitter l’assistant. Cliquez sur Oui pour redémarrer le serveur si vous y êtes invité. 7. Si votre installation nécessite un redémarrage, reconnectez-vous avec le même compte que celui utilisé pour ajouter les fonctionnalités. L’installation ne peut s’achever tant que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la configuration s’ouvre et termine l’installation des fonctionnalités sélectionnées. Cliquez sur Fermer lorsque l’installation est terminée. Pour installer ces mêmes fonctionnalités en ligne de commandes, tapez la commande suivante : servermanagercmd -install Telnet-Client PowerShell Subsystem-UNIX-Apps

Généralement, ces trois fonctionnalités s’installent sans imposer de redémarrage du serveur. Nous avons ajouté la ligne de commandes précédente à notre configuration standard pour garantir la disponibilité des outils nécessaires.

Supprimer des fonctionnalités La suppression d’une fonctionnalité de Windows Server 2008 n’affecte généralement pas les autres fonctionnalités ou rôles, sauf dans certains cas précis, comme Message Queuing ou Fonctionnalités .NET Framework 3.0, qui possèdent des fonctionnalités associées. Voici comment supprimer la fonctionnalité Client Telnet :

1. Ouvrez la console Gestionnaire de serveur.

146

Partie II

Installation et configuration

2. Dans le volet de gauche de la console, sélectionnez Fonctionnalités et cliquez sur la fonctionnalité à supprimer. 3. Dans le menu Action, sélectionnez Supprimer des fonctionnalités pour ouvrir la page Avant de commencer de l’Assistant Suppression de fonctionnalités. 4. Supprimez la coche de la case de la fonctionnalité à supprimer et cliquez sur Suivant pour démarrer le processus de suppression. 5. À la fin du processus, la page Résultats de la suppression s’affiche. Si cette page indique un redémarrage en attente, redémarrez le serveur avant de poursuivre. 6. Cliquez sur Fermer pour quitter l’assistant. Cliquez sur Oui pour redémarrer le serveur si vous y êtes invité. 7. Si votre suppression nécessite un redémarrage, reconnectez-vous avec le même compte que celui utilisé pour ajouter les fonctionnalités. La suppression ne peut s’achever tant que vous n’ouvrez pas à nouveau une session avec ce compte. L’Assistant Reprise de la configuration s’ouvre et termine la suppression des fonctionnalités sélectionnées. Cliquez sur Fermer lorsque l’assistant est terminé. Pour supprimer la fonctionnalité Client Telnet en ligne de commandes, tapez la commande suivante : servermanagercmd -remove Telnet-Client

Résumé Dans ce chapitre, nous avons analysé les procédures à suivre pour ajouter et supprimer des rôles, des services de rôle et des fonctionnalités dans Windows Server 2008. Dans le reste du livre, nous reviendrons sur ces étapes de base pour installer et configurer les fonctions nécessaires dans Windows Server 2008. Il existe cependant une exception à ce processus : l’option d’installation Server Core de Windows Server 2008. Server Core emploie différents outils et son sous-ensemble de rôles et de fonctionnalités est plus limité. Le prochain chapitre est consacré aux étapes nécessaires pour installer et configurer Server Core, ainsi qu’à l’élaboration de scripts destinés à faciliter ces tâches.

Chapitre 9

Installation et configuration de Server Core Avantages d’une installation Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Installer Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Gérer un ordinateur Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 L’évolution habituelle d’un système d’exploitation (ou d’une application, dans notre situation) comprend son développement et son intégration de nouvelles fonctionnalités, parfois bien plus que ce que l’on pensait au départ. Windows Server 2008 inverse la tendance en proposant une toute nouvelle option d’installation : Server Core. À l’installation de Windows Server 2008, quelle que soit son édition, vous avez la possibilité de choisir une installation complète ou uniquement la partie Server Core. Server Core offre le principal, avec peu ou pas d’interface graphique. La page d’ouverture de session a la même apparence graphique, mais ensuite, lorsque vous êtes connecté, vous ne voyez plus qu’une fenêtre d’invite de commandes, illustrée par la figure 9-1.

Figure 9-1 Bureau Windows Server 2008 Core

147

148

Partie II

Installation et configuration

Remarque Pour optimiser la lisibilité des captures d’écran dans ce chapitre et

dans le reste du livre, nous avons changé le modèle de couleur des fenêtres de l’invite de commandes pour obtenir du texte bleu sur un arrière-plan blanc.

Avantages d’une installation Server Core Toutes les éditions de Windows Server 2008 prennent en charge Server Core, sauf la Compute Cluster Edition. Cette installation réduite ne signifie pas que la licence est moins chère ; licence et média sont exactement les mêmes qu’avec l’installation complète de Windows Server 2008. Lors de l’installation, il suffit simplement de choisir l’édition à installer. Par conséquent, si cela ne vous fait pas économiser d’argent, si vous ne disposez pas d’un média particulier et si les fonctionnalités sont réduites, quel peut bien être l’intérêt d’opter pour Server Core au lieu du produit complet ? En réalité, cela se résume simplement en deux mots : sécurité et ressources. Penchons-nous sur ces deux concepts avant d’entrer dans le vif du sujet et de voir comment installer et configurer Server Core.

Sécurité Auparavant, chaque fois que l’on installait Windows Server, plus ou moins tout ce qui était disponible s’installait automatiquement et tous les services susceptibles d’être utiles étaient activés. L’objectif était de fournir une installation aussi simple que possible, ce qui semblait une bonne idée à l’époque. Malheureusement, nos ordinateurs ne fonctionnent plus dans un monde merveilleux et cette approche n’est plus ni sécurisée, ni raisonnable. Le nombre de services activés et donc la surface d’attaque offerte à des individus malveillants augmentent proportionnellement avec le nombre de services installés sur le serveur. Or, pour améliorer la sécurité, il est logique de limiter la surface d’attaque. Dans Server Core, Microsoft a supprimé tout le code managé ainsi que la totalité du .NET Framework. Cela réduit significativement le nombre de cibles d’attaque. Évidemment, cela limite également les possibilités. Et cela signifie que PowerShell n’est pas disponible, ce qui à notre sens est le plus grand inconvénient de Server Core, mais nous espérons qu’une prochaine version de Windows Server 2008 résoudra ce problème. L’installation par défaut de Server Core comporte moins de 40 services en exécution. Une installation Windows Server 2008 complète classique, avec un ou deux rôles activés, possède généralement au moins 60 services en exécution. Non seulement le nombre de services réduit limite la surface d’attaque potentielle à protéger, mais il diminue également le nombre de correctifs éventuellement nécessaires à un serveur, ce qui facilite sa maintenance.

Chapitre 9

Installation et configuration de Server Core

149

Ressources Le second avantage majeur de Server Core réside dans le nombre de ressources réduit du système d’exploitation de base. Si les exigences officielles d’installation de Windows Server 2008 sont identiques pour Server Core et une installation complète, tout est en réalité inférieur, sauf l’espace disque requis (uniquement 2 à 3 Go d’espace disque dur pour une installation Server Core en exécution). De plus, avec le sous-ensemble limité de tâches qu’il est possible d’effectuer, Server Core nous semble idéal pour exécuter ces tâches d’infrastructure universelles et qui nécessitent peu d’interaction par la suite : DHCP, DNS et, de plus en plus, la virtualisation. Si seulement PowerShell était disponible…

Installer Server Core La procédure d’installation de Windows Server 2008 Server Core est réellement identique à celle de la version graphique du serveur. Le moteur d’installation est le même et la seule différence se manifeste pendant l’installation, lorsqu’il faut choisir la version de Windows Server 2008 à installer, comme le montre la figure 9-2.

Figure 9-2 Pendant l’installation initiale, vous choisissez de manière définitive entre l’option complète et Server Core.

Une fois l’installation terminée, l’écran d’ouverture de session initiale s’affiche. Ouvrez une session en tant qu’Administrateur, sans mot de passe. Vous êtes alors invité à changer immédiatement de mot de passe, puis vous êtes connecté au Bureau (voir figure 9-1). Toute la configuration de départ s’effectue en ligne de commandes ; ainsi, une fois que vous avez configuré l’essentiel, vous disposez d’un accès à distance aux consoles de gestion.

150

Partie II

Installation et configuration

Avec un fichier unattend.xml, il est possible d’automatiser l’installation et la configuration initiales de votre installation Server Core. Pour de plus amples informations sur les paramètres et la syntaxe de unattend.xml, rendez-vous à l’adresse http://www.microsoft.com/ downloads/details.aspx?FamilyId=94BB6E34-D890-4932-81A5-5B50C657DE08&displaylang=fr.

Configuration Toutes les tâches de configuration de Server Core s’effectuent en ligne de commandes et toutes les tâches initiales doivent s’exécuter soit en ligne de commandes, soit dans le cadre du processus d’installation à l’aide d’un script unattend.xml. Une fois ces tâches effectuées, les consoles de gestion Windows habituelles deviennent accessibles pour gérer les paramètres supplémentaires. Malheureusement, il n’existe pas d’interprétateur en ligne de commandes unique pour exécuter les tâches, mais plutôt une collection de quelques-uns bien connus et appréciés, chacun présentant un comportement et une syntaxe différents.

Configuration initiale Les premières étapes à parcourir pour installer Server Core dépendent de votre futur usage de l’installation, mais voici selon nous les plus évidentes : ■ Définir une adresse IP fixe ; ■ Changer le nom du serveur pour refléter vos normes internes ; ■ Joindre le serveur à un domaine ; ■ Modifier la résolution par défaut de la console ; ■ Activer la gestion à distance via le Pare-feu Windows ; ■ Activer le Bureau à distance ; ■ Activer le serveur.

Nous allons reprendre toutes ces étapes et vous fournir quelques scripts basiques modifiables pour automatiser ces tâches dans votre environnement. Le tableau 9-1 présente les paramètres à exploiter lors de ce scénario d’installation. Tableau 9-1 Paramètres de la configuration initiale de Server Core (Exemple) Paramètre

Valeur

Adresse IP

192.168.51.4

Passerelle

192.168.51.1

Serveur DNS

192.168.51.2

Nom du serveur

Hp350-core-04

Domaine à rejoindre

monentreprise.com

Chapitre 9

Installation et configuration de Server Core

151

Tableau 9-1 Paramètres de la configuration initiale de Server Core (Exemple) Paramètre

Valeur

Résolution du Bureau par défaut

1 024x768

Gestion à distance

Activée pour le profil de domaine

Activation de Windows

Activer

Définir l’adresse IP Pour définir l’adresse IP du serveur, faites appel à l’outil en ligne de commandes netsh. Voici comment configurer TCP/IP :

1. À partir de la fenêtre de commandes, exécutez netsh pour obtenir le « nom » (numéro d’index) de la carte réseau. netsh interface ipv4 show interfaces

2. Le résultat devrait ressembler à ceci : C:\Users\administrator>netsh interface ipv4 show interfaces Idx --2 1

Mét --10 50

MTU ---------1500 4294967295

État ----------connected connected

Nom --------------------------Connexion au réseau local Loopback Pseudo-Interface 1

3. La valeur Idx de votre carte réseau (2 dans cet exemple) sera utilisée comme valeur du nom dans les futures commandes netsh. 4. Maintenant, avec la valeur Idx de l’étape 2, exécutez la commande netsh suivante : netsh interface ipv4 set address name="" source=static address= mask= gateway=

Remarque Les lignes de code précédentes, et des exemples suivants, ne constituent qu’une seule longue ligne de commandes, mais nous les avons découpées (et placé en retrait les lignes suivantes) du fait des restrictions de pages imprimées. L’outil netsh n’est pas seul à poser ce problème, la plupart des commandes que vous serez amené à exécuter avec Server Core sont longues et seront découpées dans ce chapitre.

5. Ensuite, spécifiez le serveur DNS de la carte, toujours avec netsh : netsh interface ipv4 add dnsserver name="" address= index=1

152

Partie II

Installation et configuration

6. Pour les serveurs DNS auxiliaires, répétez la commande de l’étape 4, en augmentant chaque fois la valeur d’index.

Renommer le serveur et joindre un domaine L’étape suivante de configuration initiale consiste à attribuer un nom au serveur et à le joindre à un domaine. Lors de la première installation de Windows Server 2008, un nom généré automatiquement est attribué au serveur et celui-ci est placé dans le groupe de travail WORKGROUP. Vous changerez cette configuration pour adapter le nom de l’ordinateur à la stratégie de noms de votre société et joindrez le serveur au domaine et à l’OU corrects. Ici, notre stratégie de noms se compose de trois parties : le modèle de serveur, le rôle fonctionnel et un numéro reflétant son adresse IP. Ainsi, l’ordinateur Server Core que nous installons dans ce chapitre s’appellera hp350-core-04, ce qui signifie qu’il s’agit d’un serveur Hewlett Packard ML 350 G5, qu’il exécute Server Core et que le dernier octet de son adresse IP est quatre. Votre convention de noms de serveur sera sans doute différente, mais seule la cohérence importe. Dans ce livre, notre domaine est monentreprise.com. Voici comment changer le nom du serveur et le joindre au domaine monentreprise.com :

1. À l’invite de commandes, servez-vous de la commande serveur :

netdom

pour renommer le

netdom renamecomputer %COMPUTERNAME% /newname:

2. Une fois le nom modifié, redémarrez le serveur. shutdown /t 0 /r

3. Après le redémarrage du serveur, ouvrez une session avec le compte Administrateur. 4. Utilisez à nouveau la commande netdom pour joindre le domaine. netdom join %COMPUTERNAME% /DOMAIN: /userd: /password:*

5. Vous allez être invité à taper le mot de passe du compte d’administrateur de domaine employé. Saisissez le mot de passe. Une fois que le serveur a rejoint le domaine, redémarrez-le une nouvelle fois. shutdown /t 0 /r

6. Après le redémarrage du serveur, reconnectez-vous avec le compte d’administrateur du domaine. Vous devrez cliquer sur Autre utilisateur car le serveur se connecte par défaut au compte d’administrateur local.

Chapitre 9

Installation et configuration de Server Core

153

À propos Automatiser la configuration initiale Si vous installez plusieurs ordinateurs Server Core, vous perdrez vite patience à les configurer à partir de l’invite de commandes. Vous avez le choix entre exploiter un fichier unattend.xml pour définir des options pendant l’installation ou faire appel à des scripts pour automatiser le processus. Les deux méthodes fonctionnent et chacune présente ses avantages, mais nous préférons au final faire appel aux scripts. Vous pouvez modifier les trois scripts suivants, également disponibles en téléchargement sur le site de Dunod à l’adresse www.dunod.fr, selon votre environnement pour automatiser les premières étapes (TCP/IP, nom du serveur et appartenance au domaine). Le premier script définit l’adresse IP, établit le serveur DNS et change le nom du serveur. echo off REM nomdefichier : initsetup1.cmd REM REM Configuration initiale pour une installation Server Core de Windows Server 2008. REM fichier de commande 1 de 3 REM REM Créé : 4 septembre 2007 REM ModHist: 5/9/07 – changés en variables (cpr) REM REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés. REM Vous pouvez utiliser librement ce script dans votre environnement, le modifier REM selon vos besoins. Mais il est interdit de le republier sans autorisation. REM REM REM REM REM REM

Premièrement, définissez une adresse IP fixe. Vous devrez connaître le numéro d’index de l’interface à définir, mais dans une installation Server Core par défaut, avec un seul NIC, l’index devrait être 2. Pour retrouver l’index, tapez: netsh interface ipv4 show interfaces

SETLOCAL REM Modifiez les valeurs ci-dessous selon vos besoins SET IPADD=192.168.51.4 SET IPMASK=255.255.255.0 SET IPGW=192.168.51.1 SET DNS1=192.168.51.2 SET NEWNAME=hp350-core-04 netsh interface ipv4 set address name="2" source=static address=%IPADD% mask=%IPMASK% gateway=%IPGW% REM Ensuite, définissez DNS pour pointer vers le serveur DNS pour monentreprise.com. REM 192.168.51.2 dans ce cas

154

Partie II

Installation et configuration

netsh interface ipv4 add dnsserver name="2" address=%DNS1% index=1 REM Maintenant, il faut changer le nom de l’ordinateur. Ceci fait, le serveur REM doit redémarrer et nous pourrons poursuivre avec le prochain groupe de commandes. REM Nous utilisons la commande /force pour éviter les invites netdom renamecomputer %COMPUTERNAME% /newname:%NEWNAME% /force @echo Si tout semble correct, redémarrez pause REM Maintenant, quittez le serveur et redémarrez. Inutile d’attendre. shutdown /t 0 /r

Le deuxième script sert à joindre effectivement le serveur au domaine. @echo off REM nomdefichier: initsetup2.cmd REM REM Configuration initiale pour une installation Server Core de Windows Server 2008. REM fichier de commande 2 de 3 REM REM Créé : 4 septembre 2007 REM ModHist: REM REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés. REM Vous pouvez utiliser librement ce script dans votre environnement, le modifier REM selon vos besoins. Mais il est interdit de le republier sans autorisation. SETLOCAL SET DOMAIN=monentreprise.com SET DOMADMIN=Administrator REM Rejoignez le domaine à l’aide de la commande netdom join. Invites de mot de passe REM du compte d’administrateur de domaine défini ci-dessus netdom join %COMPUTERNAME% /DOMAIN:%DOMAIN% /userd:%DOMADMIN% /password:* REM Maintenant, quittez le serveur et redémarrez. Inutile d’attendre et REM il n’y a rien d’autre à faire pour l’instant shutdown /t 0 /r

Enfin, exécutez le troisième script pour activer la gestion à distance et activer le serveur. echo off REM initsetup3.cmd REM REM Configuration initiale pour une installation Server Core de Windows Server 2008. REM fichier de commande 3 de 3 REM REM Créé : 4 septembre 2007 REM ModHist: REM

Chapitre 9

Installation et configuration de Server Core

155

REM Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés. REM Vous pouvez utiliser librement ce script dans votre environnement, le modifier REM selon vos besoins. Mais il est interdit de le republier sans autorisation. REM Utilisez netsh pour activer la gestion à distance à travers le pare-feu REM pour le profil du domaine. Il s’agit du minimum à autoriser à l’aide de consoles MMC REM pour travailler à partir d’autres ordinateurs du domaine. netsh advfirewall set domainprofile settings remotemanagement enable REM Autoriser le groupe Administration à distance netsh advfirewall firewall set rule group="Remote Administration" new enable=yes REM Autoriser le Bureau à distance REM (fonctionne aussi avec group="Remote Desktop" au lieu de name=) netsh advfirewall firewall set rule name="Remote Desktop (TCP-In)" new enable=yes REM Activer le Bureau à distance pour l’administration et autoriser REM les clients de niveau inférieur à se connecter cscript %windir%\system32\scregedit.wsf /AR 0 cscript %windir%\system32\scregedit.wsf /CS 0 REM Maintenant, exécutez le script d’activation REM Aucune sortie signifie qu’il a fonctionné Slmgr.vbs -ato

Définir la résolution d’affichage du Bureau Pour définir la résolution d’affichage du Bureau Server Core, vous devez éditer manuellement le registre. Pour ce faire, il existe un script que nous allons vous communiquer, mais il impose d’identifier correctement le GUID spécifique de votre carte graphique, ce qui ne constitue pas une tâche à automatiser. Par conséquent, pour modifier la résolution du Bureau Server Core, procédez comme suit :

1. Ouvrez regedit. 2. Localisez HKLM\System\CurrentControlSet\Control\Video. 3. Un ou plusieurs GUID sont listés sous Video. Sélectionnez celui qui correspond à votre carte graphique. Astuce : ils proposent chacun une description de périphérique sous la clé 0000 qui se révèle parfois utile. 4. Sous le GUID de votre carte graphique, sélectionnez la clé 0000 et ajoutez une valeur DWORD DefaultSettings.XResolution. Définissez la valeur à la résolution de l’axe x de votre choix. Pour une épaisseur de 1 024 pixels, choisissez 400 et une base hexadécimale, comme le montre la figure 9-3.

156

Partie II

Installation et configuration

Figure 9-3 Modification de la valeur de résolution d’affichage pour l’axe X

5. Ajoutez une valeur DWORD DefaultSettings.YResolution. Pour une hauteur de 768 pixels, choisissez 300 avec une base hexadécimale. Remarque Il arrive que ces clés existent déjà. Dans ce cas, il suffit de changer leur valeur.

6. Quittez l’éditeur de registre et fermez votre session comme suit : shutdown /l

7. Une fois que vous êtes reconnecté, les nouveaux paramètres d’affichage prennent effet.

Activer la gestion à distance Pour autoriser l’accès aux outils d’administration graphiques habituels, vous devez les activer de sorte qu’ils fonctionnent au travers du Pare-feu Windows. Pour ce faire, exécutez un autre jeu de commandes netsh. Les étapes qui suivent servent à activer l’administration à distance et le Bureau à distance :

1. À l’invite de commandes, exécutez la commande distance :

netsh

pour activer la gestion à

netsh advfirewall set domainprofile settings remotemanagement enable

2. Ensuite, activez le groupe Administration à distance des règles du pare-feu. netsh advfirewall firewall set rule group="Remote Administration" new enable=yes

3. Enfin, comme le Bureau à distance facilite le travail, activez-le également : netsh advfirewall firewall set rule name="Remote Desktop (TCP-In)" new enable=yes

Il est maintenant possible d’effectuer des tâches de gestion supplémentaires à l’aide des outils graphiques habituels à partir d’un autre serveur, tout en se connectant à l’ordinateur Server Core.

Chapitre 9

Installation et configuration de Server Core

157

Activer le serveur La dernière étape de configuration initiale de l’ordinateur Server Core consiste en son activation, laquelle nécessite un script Visual Basic, qui vous est fourni. Exécutez la commande suivante : Slmgr.vbs -ato

Remarque Toutes les commandes de configuration initiale du Server Core sont comprises dans les trois scripts de l’encar t À propos et sont également disponibles en téléchargement sur le site www.dunod.fr.

Installer des rôles L’option Server Core de Windows Server 2008 ne prend pas en charge tous les rôles et fonctionnalités de la version graphique complète, mais elle accepte la plupart des rôles d’infrastructure importants. Server Core montre son utilité en tant que serveur sur un site distant quand il s’agit d’activer des fonctionnalités de base dans un site à distance où personne n’est présent pour l’administrer. En combinant les rôles Serveur DHCP, Serveur DNS, Services de fichiers et Services d’impression au rôle Service de domaine Active Directory en lecture seule, on obtient une solution « tout en un » dans la succursale ; il suffit d’ajouter un périphérique d’accès à distance tel qu’un routeur VPN et tout est prêt. Le rôle Services de fichiers s’ajoute par défaut dans le cadre de l’installation Server Core, mais vous pouvez ajouter des services de rôle supplémentaires pour prendre en charge d’autres fonctionnalités. La commande qui sert à installer un rôle dans Server Core est Ocsetup.exe. Pour désinstaller un rôle, on fait appel à la même commande, mais avec le paramètre en ligne de commandes /uninstall. Voici la syntaxe complète de Ocsetup.exe : Ocsetup Ocsetup [/uninstall][/passive][/unattendfile:] [/quiet] [/log:][/norestart][/x:]

N’oubliez jamais que cette commande est assez stricte. Elle est sensible à la casse et échoue en cas de moindre erreur dans la casse du nom du composant. Voici un script qui permet d’installer les rôles pour cette solution, excepté le rôle du contrôleur de domaine : @REM @REM @REM @REM @REM @REM @REM @REM @REM @REM

nomdefichier: SetupBranch.cmd Fichier d’installation de rôles sur un serveur de succursale Créé : 5 septembre 2007 ModHist: Copyright 2007 Charlie Russel et Sharon Crawford. Tous droits réservés. Vous pouvez utiliser librement ce script dans votre environnement, le modifier selon vos besoins.

158

Partie II

Installation et configuration

@REM Mais il est interdit de le republier sans autorisation. @REM L’emploi de "start /w" avec ocsetup force ocsetup à attendre qu’il @RME se termine avant de passer à la tâche suivante. @REM Installer DNS et DHCP @echo Installation des rôles DNS et DHCP... start /w ocsetup DNS-Server-Core-Role start /w ocsetup DHCPServerCore @REM Installer maintenant le rôle Services de fichiers @echo Installation du rôle Services de fichiers... start /w ocsetup FRS-Infrastructure start /w ocsetup DFSN-Server start /w ocsetup DFSR-Infrastructure-ServerEdition @REM Décommentez ces deux lignes pour ajouter la prise en charge NFS @REM start /w ocsetup ServerForNFS-Base @REM start /w ocsetup ClientForNFS-Base @REM Installer le rôle Serveur d’impression @echo Installation du rôle serveur d’impression start /w ocsetup Printing-ServerCore-Role @REM Décommentez ensuite pour la prise en charge LPD @REM start /w ocsetup Printing-LPDPrintService

Remarque Il est impossible d’inclure la commande DCPromo dans le script cidessus car l’installation du rôle Serveur d’impression nécessite un redémarrage, lequel exclut DCPromo. On ne peut pas employer DCPromo de manière interactive pour créer un contrôleur de domaine – il faut créer un fichier unattend.txt pour l’y associer. Voici le fichier unattend.txt minimal de base : [DCInstall] InstallDNS = Yes ConfirmGC = yes CriticalReplicationOnly = No RebootOnCompletion = No ReplicationSourceDC = hp350-dc-02.monentreprise.com ParentDomainDNSName = monentreprise.com ReplicaOrNewDomain = ReadOnlyReplica ReplicaDomainDNSName = monentreprise.com SiteName=Default-First-Site-Name SafeModeAdminPassword = UserDomain = exemple UserName = Administrator Password =

Chapitre 9

Installation et configuration de Server Core

159

Important Les champs des mots de passe doivent être corrects ; ils seront automatiquement masqués dans le fichier pour des raisons de sécurité. Avec Server Core, vous devez spécifier une valeur ReplicationSourceDC. Définissez ReplicaOrNewDomain à la valeur indiquée ici—ReadOnlyReplica—pour créer un contrôleur de domaine en lecture seule.

Pour installer le rôle Contrôleur de domaine en lecture seule, procédez comme suit :

1. Faites appel au Bloc-notes ou à votre éditeur de texte ASCII favori (GVim fonctionne très bien dans Server Core) pour créer un fichier unattend.txt avec les paramètres nécessaires pour le domaine à rejoindre. Le nom de fichier spécifique du fichier unattend n’est pas important car vous le spécifiez dans la ligne de commandes. 2. Récupérez le nom de l’annuaire qui contient le fichier unattend. Si le serveur indique des redémarrages en attente, effectuez-les avant de promouvoir le serveur en contrôleur de domaine. 3. Exécutez DCPromo avec la syntaxe suivante : Dcpromo /unattend:

4. Si le fichier unattend ne comporte aucune erreur, DCPromo poursuit et promeut le serveur contrôleur de domaine en lecture seule, comme le montre la figure 9-4.

Figure 9-4 Servez-vous de DCPromo pour créer un contrôleur de domaine en lecture seule avec un fichier unattend.

Lister les rôles La commande Oclist.exe fournit la liste complète des rôles, services de rôle et fonctionnalités Server Core disponibles, ainsi que leur état en cours. Exécutez Oclist pour récupérer la liste exacte et sensible à la casse des fonctionnalités et des rôles que vous voulez installer.

160

Partie II

Installation et configuration

Gérer un ordinateur Server Core Chaque administrateur de système gère différemment son ordinateur Server Core. Aucun des outils graphiques avec lesquels vous êtes habitué à travailler n’est disponible sur le serveur. En revanche, une fois que vous avez configuré l’ordinateur Server Core pour prendre en charge la gestion à distance, comme décrit à la section « Configuration initiale », précédemment dans ce chapitre, il est possible de créer des consoles de gestion destinées à l’ordinateur Server Core, ce qui permet d’effectuer toutes les tâches à partir d’une console graphique. Informations supplémentaires Pour créer des consoles MMC personnalisées, reportez-vous au chapitre 14 du tome 1, « Gestion des tâches quotidiennes ».

Il existe quatre manières de gérer une installation Server Core :

1. Travailler localement avec une invite de commandes. 2. Exploiter le Bureau à distance. L’interprétateur du Bureau à distance possède la même fonctionnalité (une invite de commandes) qu’en étant connecté localement. 3. Exploiter à distance WinRS (Windows Remote Shell). 4. Travailler à distance avec un composant logiciel enfichable MMC à partir d’un ordinateur Windows Vista ou Windows Server 2008. Certaines tâches se révèlent quelque peu délicates dans Server Core ; aussi les effectue-t-on généralement exclusivement à partir de l’interface utilisateur graphique. Il est une tâche évidente qui consiste à changer le mot de passe du compte. Pour ce faire, faites appel à la commande net user *. Le tableau 9-2 regroupe quelques-unes des tâches susceptibles de poser problème, ainsi que leur solution. Tableau 9-2 Solutions des tâches courantes dans Server Core Tâche

Solution/Contournement

Activer les mises à jour automatiques

Cscript %windir%\system32\scregedit.wsf /AU [valeur] Où les valeurs sont : 1 – désactiver les mises à jour automatiques 4 – activer les mises à jour automatiques /v – afficher le paramètre en cours

Activer le Bureau à distance pour les administrateurs

Cscript %windir%\system32\scregedit.wsf /AR [valeur] Où les valeurs sont : 0 – activer le Bureau à distance 1 – désactiver le Bureau à distance /v – afficher le paramètre en cours

Chapitre 9

Installation et configuration de Server Core

161

Tableau 9-2 Solutions des tâches courantes dans Server Core Tâche

Solution/Contournement

Activer les clients Terminal Server à partir de versions de Windows antérieures à Windows Vista

Cscript %windir%\system32\scregedit.wsf /CS [valeur] Où les valeurs sont : 0 – activer les versions précédentes 1 – désactiver les versions précédentes /v – afficher le paramètre en cours

Autoriser la gestion à distance du Moniteur IPSec

Cscript %windir%\system32\scregedit.wsf /IM [valeur] Où les valeurs sont : 0 – désactiver la gestion à distance 1 – activer la gestion à distance /v – afficher le paramètre en cours

Configurer la priorité et l’importance des enregistrements DNS SRV

Cscript %windir%\system32\scregedit.wsf /DP [valeur] Où les valeurs de priorité DNS SRV sont : 0-65535. (Valeur recommandée = 200) /v – afficher le paramètre en cours Cscript %windir%\system32\scregedit.wsf /DW [valeur] Où les valeurs d’importance DNS SRV sont : 0-65535. (Valeur recommandée = 50) /v – afficher le paramètre en cours

Mettre à jour les mots de passe utilisateur

Net user [/domaine] *

Installer des fichiers .msi

Servez-vous des commutateurs /q ou /qb en ligne de commandes avec le nom de fichier .msi complet. /q correspond à silencieux (quiet), /qb également mais avec une interface utilisateur basique

Changer le fuseau horaire, la date ou l’heure

timedate.cpl

Changer les paramètres internationaux

intl.cpl

Exploiter la console Gestion des disques

À partir de la ligne de commandes de l’installation Server Core : Net start VDS Puis exécutez Gestion des disques à distance.

Récupérer les informations de version Windows

Winver n’est pas disponible. Faites appel à systeminfo.exe.

Obtenir de l’aide (les fichiers Aide et support Windows habituels ne sont pas consultables dans Server Core)

Cscript %windir%\system32\scregedit.wsf /cli

162

Partie II

Installation et configuration

Exploiter WinRS WinRS (Windows Remote Shell) permet d’exécuter à distance des commandes sur un ordinateur Server Core. Avant d’exécuter WinRS, il vous faut l’activer sur l’ordinateur cible. Pour ce faire, tapez la commande suivante : winrm quickconfig

Pour exécuter une commande à distance, employez la commande WinRS depuis un autre ordinateur en tapant la commande suivante : winrs –r:

Exploiter Terminal Services RemoteApp Il est judicieux de faire appel à la nouvelle fonctionnalité TS RemoteApp de Windows Server 2008 afin de publier une fenêtre Invite de commandes pour l’ordinateur Server Core directement sur son propre Bureau. Cette méthode est plus simple et plus directe et elle économise de la place sur l’écran, ce qui constitue toujours un avantage. Voici comment créer un package RDP à placer sur le Bureau :

1. Sur un serveur Windows Server 2008 muni du rôle Services Terminal Server, ouvrez le Gestionnaire RemoteApp TS, illustré par la figure 9-5.

Figure 9-5 Servez-vous du Gestionnaire RemoteApp TS pour ouvrir une fenêtre cmd.exe à distance.

2. Connectez-vous à l’ordinateur Server Core pour lequel vous élaborez un package RDP.

Chapitre 9

Installation et configuration de Server Core

163

3. Dans le volet Actions, cliquez sur Ajouter des programmes RemoteApp pour ouvrir l’Assistant RemoteApp. 4. Cliquez sur Suivant pour ouvrir la page Choisir les programmes à ajouter à la liste des programmes RemoteApp, illustrée par la figure 9-6.

Figure 9-6 Page Choisir les programmes à ajouter à la liste des programmes RemoteApp de l’Assistant RemoteApp

5. Cliquez sur Parcourir et recherchez \\\c$\windows\system32\cmd.exe. Cliquez sur Ouvrir. 6. Cliquez sur Suivant puis sur Terminer pour ajouter le programme distant et revenir au Gestionnaire RemoteApp TS. 7. Dans le volet des programmes RemoteApp, sélectionnez cmd.exe et cliquez sur Créer le fichier .rdp dans le volet Actions. 8. Cliquez sur Suivant et spécifiez tous les éventuels paramètres du package RDP. Notez l’emplacement d’enregistrement du package. 9. Cliquez sur Suivant à deux reprises puis sur Terminer pour créer le package RDP. 10. Copiez le package sur l’ordinateur où vous allez l’exploiter. Maintenant, pour ouvrir une fenêtre d’Invite de commandes directement sur l’ordinateur Server Core, il suffit de double-cliquer sur le package RDP créé et enregistré.

164

Partie II

Installation et configuration

Résumé Dans ce chapitre, nous avons rassemblé quelques étapes de base nécessaires à l’installation et à la configuration de la nouvelle option d’installation de Windows Server 2008. Celle-ci constitue une nouvelle manière de profiter de la puissance de Windows Server tout en conservant des niveaux élevés de sécurité et une gestion simplifiée. Et sans vouloir en faire trop de promotion, nous insistons sur le fait que Server Core constitue une avancée significative. Le chapitre suivant traite de la gestion et de la configuration des imprimantes à l’aide de la console Gestion de l’impression.

Chapitre 10

Gestion des imprimantes Planifier le déploiement d’imprimantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Créer un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Activer le suivi des emplacements des imprimantes . . . . . . . . . . . . . . . . . . . . . . . 169 Migrer des serveurs d’impression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Installer des imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Déployer des imprimantes via la Stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . 176 Gérer les tâches d’impression à partir de Windows . . . . . . . . . . . . . . . . . . . . . . . . 179 Gérer des imprimantes en ligne de commandes . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Définir les options de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Modifier les priorités de groupes et la disponibilité des imprimantes . . . . . . . . 182 Spécifier une page de séparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Modifier le spoulage d’impression par imprimante . . . . . . . . . . . . . . . . . . . . . . . . 186 Modifier le spoulage sur un serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . . . 187 Optimiser les performances du serveur d’impression . . . . . . . . . . . . . . . . . . . . . . 187 Gérer les pilotes d’imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Créer des pools d’imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Se préparer en cas d’échec du serveur d’impression . . . . . . . . . . . . . . . . . . . . . . . 190 Dépanner les imprimantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Alors que tout le monde rêve d’un bureau sans paperasse, ce jour ne semble pas prêt d’arriver. La consommation de papier dans les bureaux a décollé en 1999 et depuis, la quantité de déchets dans les corbeilles à papier ne cesse d’augmenter. On note une faible diminution en matière de courrier, car peu de personnes impriment leurs messages électroniques avant de les lire, mais le papier reste au centre de la majorité des opérations commerciales. Le coût des imprimantes de base a considérablement chuté, mais les sociétés investissent dans des imprimantes sophistiquées et très performantes, qui évitent de faire appel aux services d’un imprimeur professionnel. Ces imprimantes sont coûteuses à l’achat et à l’exploitation. Par conséquent, le partage d’imprimantes reste une fonction importante des

165

166

Partie II

Installation et configuration

réseaux d’entreprise. La mise en place d’une imprimante partagée pour plusieurs utilisateurs réduit les coûts et augmente la productivité, car on dirige le travail routinier vers les imprimantes dont le coût par page est faible, on planifie les projets d’impression volumineux pour les heures creuses et on limite l’accès aux imprimantes haut de gamme.

Planifier le déploiement d’imprimantes Lorsque vous planifiez le déploiement d’imprimantes et de serveurs d’impression, il convient d’établir des conventions pour nommer les imprimantes et les emplacements, de décider de mettre à niveau ou de migrer des serveurs d’impression existants et de se préparer aux problèmes d’impression. Bonnes pratiques Connectez si possible les imprimantes au ser veur d’impression via une connexion réseau. Les imprimantes réseau sont plus rapides et nécessitent moins de ressources sur le serveur d’impression que si elles sont branchées en local et vous pourrez les disposer partout où il est possible d’installer un câble réseau (ou une connexion sans fil).

Convention de dénomination pour les imprimantes Une convention de dénomination d’imprimantes efficace est essentielle pour que les utilisateurs identifient aisément les imprimantes du réseau. Voici les éléments à prendre en considération pour créer cette convention : ■ Le nom d’imprimante comprend jusqu’à 220 caractères, ce qui suffit en général

largement, quel que soit votre modèle. Évidemment, le nom doit être le plus court possible, mais sans aller à l’encontre de la clarté. ■ Le nom de partage est le nom que voient tous les clients quand ils explorent le réseau à

la recherche d’une imprimante, qu’ils font appel à l’Assistant Ajout d’imprimante ou qu’ils exécutent la commande Net Use. Il peut atteindre 80 caractères, mais à nouveau il est préférable qu’il soit court pour des raisons de lisibilité. Certaines applications anciennes ne peuvent pas imprimer sur des imprimantes avec des noms de partage complets (nom de l’ordinateur et nom du partage de l’imprimante combinés) excédant 31 caractères ou sur des serveurs d’impression où le nom de partage de l’imprimante par défaut dépasse 31 caractères. Les clients qui exécutent d’autres systèmes d’exploitation peuvent également rencontrer des problèmes avec les noms excédant 31 caractères ou contenant des espaces ou autres caractères spéciaux. Dans tous les cas, anciennes applications ou non, il est préférable que les noms soient courts. ■ L’accord des gestionnaires compétents est nécessaire avant de déployer une convention

de noms pour garantir la compatibilité.

Chapitre 10

Gestion des imprimantes

167

Convention de dénomination pour les emplacements Dans les petites organisations, il n’est pas difficile de retrouver des imprimantes ; vous vous levez et regardez autour de vous ou vous demandez à la personne assise à vos côtés. Dans les grandes organisations, les imprimantes ont des capacités différentes et elles sont souvent éparpillées. Dans ces circonstances, les utilisateurs doivent être en mesure de parcourir ou de rechercher des imprimantes dans Active Directory en fonction de critères particuliers, comme les fonctionnalités et l’emplacement des imprimantes. La forme des noms des emplacements est similaire à celle des noms de domaine ; ils emploient la syntaxe nom/nom/nom… Ils commencent par l’emplacement le plus général pour se spécifier progressivement. Par exemple, une multinationale pourrait utiliser la

structure de dénomination de la figure 10-1. Chaque nom partiel peut comprendre jusqu’à 32 caractères et contenir toutes sortes de caractères, exception faite du / qui sert de séparateur. Europe

Italie

Milan

Allemagne

Munich

Amérique du nord

Hamburg

Marketing

États-Unis

Seattle

Administration

Canada

Ottawa

Figure 10-1

Exemple de structure de dénomination d’emplacements

Tout comme les noms de domaine, le choix d’un modèle de noms d’emplacements d’imprimantes relève du politique, ce qui vous impose d’obtenir l’accord approprié. Définissez une convention simple et facile à comprendre pour les utilisateurs finaux ; après tout, il faut bien qu’ils puissent observer le nom de l’emplacement et répondre à cette éternelle question : « Où va sortir mon document ? ». Conception/StudioArt/ HPDesignJet5500 est un bon exemple de nom d’emplacement.

168

Partie II

Installation et configuration

Après avoir créé la convention de noms des emplacements d’imprimantes, activez le suivi des emplacements dans Active Directory, comme le décrit la section « Activer le suivi des emplacements d’imprimantes », plus loin dans ce chapitre. Si vous n’exploitez pas la fonctionnalité de suivi des emplacements d’imprimantes d’Active Directory, vous pouvez toujours intégrer aux imprimantes les informations sur leur emplacement, bien que cette approche présente certaines restrictions. Pour saisir ces informations, tapez le nom d’emplacement dans l’onglet Général de la boîte de dialogue Propriétés de l’imprimante. Soyez logique et attentif dans votre choix. Assurez-vous que tous les administrateurs emploient le même nom pour un emplacement particulier et cantonnezvous à des noms courts et simples à mémoriser : les utilisateurs ont besoin de connaître les noms d’emplacements exacts lorsqu’ils recherchent des imprimantes en cas d’indisponibilité des fonctions de recherche d’emplacement d’Active Directory.

Créer un serveur d’impression Le rôle Services d’impression s’installe sur n’importe quel serveur. Pour ce faire, ouvrez le Gestionnaire de serveur, sélectionnez Rôles dans l’arborescence, puis procédez comme suit :

1. Dans le volet des résultats, cliquez sur Ajouter des rôles. L’Assistant Ajout de rôles démarre. 2. Cliquez sur Suivant jusqu’à atteindre la page Sélectionner des rôles de serveurs (figure 10-2).

Figure 10-2 Sélectionnez le rôle Services d’impression.

Chapitre 10

Gestion des imprimantes

169

3. Sélectionnez Services d’impression et cliquez sur Suivant jusqu’à accéder à la page Résultats de l’installation (figure 10-3).

Figure 10-3 Le serveur d’impression est installé.

Activer le suivi des emplacements des imprimantes Pour exploiter le suivi des emplacements des imprimantes, le réseau doit remplir certaines conditions : ■ Le réseau doit reposer sur un modèle d’adressage IP qui reflète sa disposition physique. ■ La structure Active Directory doit contenir plusieurs sites ou plusieurs sous-réseaux. Si

vous ne disposez pas de plusieurs sous-réseaux IP, faites appel à la console Sites et services Active Directory pour créer des sous-réseaux à partir de plages d’adresses au sein d’un sous-réseau correspondant aux emplacements physiques. ■ Les ordinateurs clients doivent être en mesure d’interroger Active Directory. La

version 2 ou ultérieure du protocole LDAP (Lightweight Directory Access Protocol) est en effet indispensable sur ces ordinateurs. ■ Chaque site doit être sur un sous-réseau distinct. ■ Chaque sous-réseau auquel les clients accèdent doit avoir son propre objet Subnet

dans Active Directory. ■ Le réseau doit posséder une convention de nommage d’emplacements des

imprimantes.

170

Partie II

Installation et configuration

Autres informations Le chapitre 16 du tome 1, « Installation et configuration des services d’annuaire », explique comment installer les services d’annuaire et créer les sous-réseaux appropriés à l’entreprise. Bonnes pratiques Si vous prévoyez un volume d’impression important, conservez les serveurs d’impression et les imprimantes sur le même segment de réseau que celui des utilisateurs de l’imprimante. Vous minimisez ainsi l’impact sur les utilisateurs situés à d’autres endroits du réseau. Dans tous les cas, minimisez le parcours qu’une tâche d’impression aura à effectuer sur le réseau et qui va éloigner l’utilisateur de son imprimante par défaut. Pour faciliter la tâche des utilisateurs qui recherchent une imprimante par emplacement dans Active Directory, créez une convention de dénomination d’emplacements d’après les indications de la section « Créer une convention de dénomination pour les emplacements » de ce chapitre, puis procédez comme suit pour configurer le suivi des emplacements d’imprimantes :

1. Ouvrez Sites et services Active Directory à partir du Gestionnaire de serveur, du menu Outils d’administration ou en tapant dssite.msc dans la zone Rechercher du menu Démarrer. 2. Sous le nœud Sites, cliquez droit sur le premier site et choisissez Propriétés dans le menu contextuel. 3. Cliquez sur l’onglet Emplacement et tapez le nom d’emplacement du site, comme le montre la figure 10-4, ou cliquez sur Parcourir pour sélectionner l’emplacement dans l’arborescence de l’entreprise. 4. Recherchez l’emplacement dans l’arborescence de l’entreprise.

Figure 10-4 Spécifiez le nom d’emplacement d’un sous-réseau.

Chapitre 10

Gestion des imprimantes

171

5. Cliquez sur OK et répétez les étapes 2 et 3 pour chaque site et sous-réseau du réseau. 6. Créez un nouvel objet de stratégie de groupe qui s’applique à tous les ordinateurs sur lesquels vous activez le suivi des emplacements des imprimantes : ouvrez la console Gestion des stratégies de groupe à partir du Gestionnaire de serveur, du menu Outils d’administration ou en tapant gpmc.msc dans la zone Rechercher du menu Démarrer. Cliquez droit sur le nom de domaine et choisissez Créer un objet GPO dans ce domaine, et le lier ici. 7. Nommez le GPO et cliquez sur OK. Cliquez droit sur le GPO et choisissez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe. 8. Dans l’arborescence, sélectionnez Configuration ordinateur, Modèles d’administration, puis Imprimantes. 9. Double cliquez sur la stratégie Préparer le texte de recherche d’emplacement d’imprimante (voir figure 10-5), sélectionnez Activé, puis cliquez sur OK.

Figure 10-5 Activez le suivi des emplacements des imprimantes.

10. Fermez l’Éditeur de gestion des stratégies de groupe. 11. Ouvrez la console Gestion de l’impression ou le dossier Imprimantes et télécopieurs de votre serveur d’impression, cliquez droit sur une imprimante, choisissez Propriétés, puis saisissez son emplacement dans la zone de texte correspondante ou cliquez sur Parcourir pour sélectionner son emplacement dans l’arborescence de l’entreprise. Répétez cette

172

Partie II

Installation et configuration

procédure pour toutes les imprimantes d’Active Directory ou utilisez le script Prncnfg.vbs pour l’automatiser. Tapez cscript %WINDIR%\system32\prncnfg.vbs /? à l’invite de commandes pour obtenir des informations sur les références de la ligne de commandes. Remarque Apportez des précisions dans le champ Emplacement des imprimantes outre le simple emplacement du sous-réseau. Par exemple, ajoutez le numéro ou le nom de la salle.

12. Testez le suivi des emplacements des imprimantes en les recherchant dans Active Directory par emplacement à partir d’un ordinateur client.

Migrer des serveurs d’impression Si vous devez remplacer un ancien serveur d’impression ou combiner plusieurs serveurs, faites appel à l’Assistant Migration d’imprimante ou à l’outil en ligne de commandes Printbrm.exe. Il est possible d’exporter des files d’attente d’impression, des ports d’imprimantes et des moniteurs de langage, puis de les importer sur un autre serveur d’impression.

Exploiter l’Assistant Migration d’imprimante Voici comment exploiter l’Assistant Migration d’imprimante :

1. Dans le menu Outils d’administration, sélectionnez Gestion de l’impression. 2. Dans l’arborescence de la console, cliquez droit sur l’ordinateur contenant les files d’attente d’impression à exporter, puis choisissez Exporter les imprimantes vers un fichier. 3. Vérifiez la liste des fichiers à exporter et cliquez sur Suivant. 4. Sur la page Sélectionner l’emplacement du fichier, indiquez l’emplacement où enregistrer les paramètres de l’imprimante (voir figure 10-6) et cliquez sur Suivant pour enregistrer les paramètres. Cliquez sur Terminer à la fin de l’opération.

Chapitre 10

Gestion des imprimantes

173

Figure 10-6 Spécifiez l’emplacement où enregistrer les fichiers de l’imprimante.

5. Cliquez droit sur l’ordinateur sur lequel vous importez les imprimantes et choisissez Importer les imprimantes depuis un fichier. 6. Sur la page Sélectionner l’emplacement du fichier, indiquez l’emplacement du fichier des paramètres de l’imprimante et cliquez sur Suivant. Vérifiez les objets qui seront importés et cliquez sur Suivant. 7. Définissez les options d’importation de la page Sélectionner les options d’importation comme suit : ■ Mode d’importation Détermine les mesures à prendre si une file d’attente

d’impression existe déjà sur l’ordinateur cible. ■ Lister dans l’annuaire Détermine si les files d’attente importées doivent être

publiées dans les Services de domaine Active Directory. ■ Convertir les ports LPR en moniteurs de port standard Détermine si les ports

de l’imprimante LPR (Line Printer Remote) du fichier des paramètres de l’imprimante doivent être convertis en moniteur de port standard lors de l’importation des imprimantes.

8. Cliquez sur Suivant pour importer les paramètres de l’imprimante.

174

Partie II

Installation et configuration

Utiliser la ligne de commandes Il est plus aisé de migrer des serveurs d’impression en utilisant la ligne de commandes. Voici comment procéder :

1. Cliquez sur Démarrer, Tous les programmes, Accessoires, cliquez droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. 2. Tapez la commande suivante : CD %WINDIR%\System32\Spool\Tools Printbrm -s \\ -b -f .printerExport

3. Tapez la commande suivante : Printbrm -s \\ -r -f .printerExport

Voici la syntaxe de base de cette commande : Nom UNC de l’ordinateur source. Nom du fichier des paramètres de l’imprimante. Porte l’extension de fichier .printerExport ou .cab. Nom UNC de l’ordinateur de destination. Remarque Pour retrouver la syntaxe complète de cette commande, tapez printbrm /? à l’invite de commandes.

Installer des imprimantes L’installation d’une imprimante est une tâche ordinaire pour la plupart des utilisateurs d’ordinateurs ; si l’imprimante possède une connexion USB ou IEEE 1394 (Firewire), branchez-la au serveur et insérez le disque des pilotes. Pour installer une imprimante via une connexion réseau (la meilleure manière de connecter une imprimante), soit on ajoute une imprimante manuellement, comme le décrit cette section, soit on demande à la console Gestion de l’impression de détecter automatiquement toutes les imprimantes du même sousréseau en tant que serveur d’impression. Pour installer une imprimante réseau via un port imprimante TCP/IP standard, connectez l’imprimante au réseau et configurez-la en définissant ses paramètres TCP/IP. Si vous configurez l’imprimante de sorte qu’elle emploie DHCP, créez une réservation DHCP pour l’imprimante afin que son adresse ne varie pas, puis procédez comme suit :

1. Dans le menu Outils d’administration, ouvrez Gestion de l’impression. 2. Sélectionnez le serveur d’impression approprié, cliquez droit sur Imprimantes et choisissez Ajouter une imprimante.

Chapitre 10

Gestion des imprimantes

175

3. Sur la page Installation de l’imprimante, choisissez une méthode d’installation parmi les suivantes : Rechercher les imprimantes du réseau a. La fenêtre Recherche d’imprimante réseau s’ouvre et recherche des imprimantes. b. Au terme de la recherche, sélectionnez l’imprimante à installer et cliquez sur Suivant. Remarque Si vous ne retrouvez pas d’imprimante à l’aide de la fonction de recherche, optez pour l’une des autres méthodes d’installation de cette section. Ajouter une imprimante TCP/IP ou de services Web par adresse IP ou nom d’hôte a. Indiquez le nom du réseau ou l’adresse IP de l’imprimante. Cliquez sur Suivant ; l’assistant recherche alors le port. Ajouter une nouvelle imprimante via un port existant a. Sélectionnez un port existant dans la liste déroulante et cliquez sur Suivant. b. Désignez un pilote existant à employer ou sélectionnez Installer un nouveau pilote. Cliquez sur Suivant. Remarque Si vous choisissez d’installer un nouveau pilote, indiquez le fabricant et le modèle de l’imprimante, puis insérez le disque d’installation si nécessaire. c. Dans la boîte de dialogue Nom de l’imprimante et paramètres de partage, modifiez à votre guise le nom de l’imprimante et le nom du partage, ajoutez un emplacement et d’autres commentaires et choisissez de partager ou non l’imprimante sur l’annuaire. Cliquez sur Suivant. d. L’imprimante est prête à être installée. Vérifiez les paramètres et cliquez sur Suivant pour terminer l’installation. Créer un autre port et ajouter une nouvelle imprimante a. Sélectionnez le type de port à créer et cliquez sur Suivant. b. Saisissez le nom du port et cliquez sur OK. c. Choisissez d’employer un pilote existant ou d’en installer un nouveau. Cliquez sur Suivant. d. Dans la boîte de dialogue Nom de l’imprimante et paramètres de partage, modifiez à votre guise le nom de l’imprimante et le nom du partage, ajoutez un emplacement et d’autres commentaires et choisissez de partager ou non l’imprimante sur l’annuaire. Cliquez sur Suivant. e. L’imprimante est prête à être installée. Vérifiez les paramètres et cliquez sur Suivant pour terminer l’installation.

176

Partie II

Installation et configuration

Déployer des imprimantes via la Stratégie de groupe Il est possible de déployer automatiquement des imprimantes pour des utilisateurs ou des ordinateurs via la Stratégie de groupe. Cette technique d’installation est idéale lorsque les mêmes imprimantes servent à la plupart des ordinateurs ou utilisateurs, comme dans une salle de classe ou une succursale. Remarque Pour déployer des connexions d’imprimantes avec la Stratégie de groupe, votre environnement doit répondre à une exigence : le schéma des Services de domaine Active Director y doit exploiter la version de schéma Windows Server 2003 R2 ou ultérieure. Les ordinateurs clients Windows 2000, Windows XP ou Windows Server 2003 doivent faire appel à l’outil PushPrinterConnections.exe dans un script de démarrage (pour les connexions basées sur l’ordinateur) ou dans un script d’ouverture de session (pour les connexions basées sur l’utilisateur). Reportez-vous à la section « Ajouter PushPrinterConnections via la Stratégie de groupe », plus loin dans ce chapitre. Voici comment déployer automatiquement des imprimantes :

1. Dans le menu Outils d’administration, sélectionnez Gestion de l’impression. 2. Sous le serveur d’impression approprié, cliquez sur Imprimantes. 3. Dans le volet des résultats, cliquez droit sur l’imprimante à déployer, puis choisissez Déployer avec la stratégie de groupe. 4. Dans la boîte de dialogue Déployer avec la stratégie de groupe, cliquez sur Parcourir et choisissez un GPO où stocker les connexions d’imprimantes. Cliquez sur OK. 5. Indiquez si voulez déployer les connexions d’imprimantes pour les utilisateurs ou pour les ordinateurs : ■ Pour que le déploiement concerne des groupes d’utilisateurs de sorte qu’ils

puissent accéder aux imprimantes à partir de n’importe quel ordinateur sur lequel ils sont connectés, cochez la case Utilisateurs auxquels s’applique cet objet de stratégie de groupe (par utilisateur). ■ Pour que le déploiement concerne des groupes d’ordinateurs de sorte que tous

leurs utilisateurs puissent accéder aux imprimantes, cochez la case Ordinateurs auxquels s’applique cet objet de stratégie de groupe (par ordinateur).

6. Cliquez sur Ajouter. 7. Répétez les étapes 4 à 6 pour ajouter le paramètre de connexion de l’imprimante à un autre GPO si nécessaire. 8. Cliquez sur OK. Remarque Pour les connexions par utilisateur, Windows ajoute les connexions d’imprimante lorsque l’utilisateur ouvre une session. Pour les connexions par ordinateur, Windows n’ajoute les connexions d’imprimante que lorsque

Chapitre 10

Gestion des imprimantes

177

l’ordinateur client redémarre. Si vous supprimez les paramètres de connexion d’imprimante du GPO, PushPrinterConnections.exe supprime les imprimantes correspondantes de l’ordinateur client au prochain redémarrage ou ouverture de session d’utilisateur.

Ajouter PushPrinterConnections via la Stratégie de groupe Pour déployer des connexions sur des ordinateurs Windows XP, Windows 2000 ou Windows Server 2003, vous devez ajouter l’utilitaire PushPrinterConnections.exe à un script de démarrage d’ordinateur pour les connexions par ordinateur ou à un script d’ouverture de session d’utilisateur pour les connexions par utilisateur. La Stratégie de groupe constitue la manière la plus efficace d’y parvenir. Voici comment ajouter le fichier PushPrinterConnections.exe aux scripts de démarrage ou d’ouverture de session :

1. Dans le menu Outils d’administration, sélectionnez Gestion des stratégies de groupe. 2. Dans l’arborescence de la console, cliquez droit sur le domaine ou l’OU comprenant les comptes d’ordinateur ou utilisateur sur lesquels déployer l’utilitaire PushPrinterConnections.exe et choisissez Créer un objet GPO dans ce domaine, et le lier ici (voir figure 10-7). Saisissez le nom du nouveau GPO et cliquez sur OK.

Figure 10-7 Créez un nouveau GPO.

3. Cliquez droit sur le nouveau GPO et choisissez Modifier. 4. Dans l’Éditeur de gestion des stratégies de groupe, procédez comme suit : ■ Si les connexions de l’imprimante sont déployées par ordinateur, sélectionnez

Configuration ordinateur, Paramètres Windows, Scripts (démarrage/arrêt).

178

Partie II

Installation et configuration

■ Si les connexions de l’imprimante sont déployées par utilisateur, sélectionnez

Configuration utilisateur, Paramètres Windows, Scripts (ouverture/fermeture de session). Remarque Les ordinateurs clients Windows 2000 ne gèrent pas les connexions par ordinateur.

5. Cliquez droit sur Démarrage ou Ouverture de session et choisissez Propriétés. 6. Dans la boîte de dialogue Propriétés de Ouverture de session ou Démarrage, cliquez sur Afficher les fichiers pour ouvrir la fenêtre Startup ou Logon. 7. Copiez le fichier PushPrinterConnections.exe du dossier %WINDIR%\System32 dans la fenêtre Startup ou Logon. Vous ajoutez ainsi l’utilitaire au GPO, où il va se répliquer sur les autres contrôleurs de domaine avec le reste des paramètres de la Stratégie de groupe. 8. Dans la boîte de dialogue Propriétés de Ouverture de session ou Démarrage, cliquez sur Ajouter. La boîte de dialogue Ajout d’un script s’affiche. 9. Tapez PushPrinterConnections.exe dans le champ Nom du script. 10. Pour activer la journalisation des ordinateurs clients Windows Server 2003, Windows XP ou Windows 2000, tapez –log dans le champ Paramètres de scripts. Les fichiers journaux s’inscrivent dans le fichier %WINDIR%\temp\ppcMachine.log pour les connexions par ordinateur et dans %temp%\ppcUser.log pour les connexions par utilisateur sur l’ordinateur où la stratégie s’applique. 11. Cliquez sur OK dans la boîte de dialogue Ajout d’un script, puis à nouveau sur OK dans la boîte de dialogue Propriétés de Démarrage ou Ouverture de session. F a i t e s a p p e l à l a c o n s o l e G e s t i o n d e s t r a t é g i e d e g ro u p e p o u r l i e r l e G P O PushPrinterConnections.exe aux autres OU ou domaines.

Exclure les ordinateurs Windows Vista et Windows Server 2008 de PushPrinterConnections.exe Le fichier PushPrinterConnections.exe détecte automatiquement les ordinateurs Windows Vista et Windows Server 2008 et se ferme automatiquement ; il est donc plus prudent de déployer ce fichier dans des scripts d’ouverture de session ou de démarrage sur tous les ordinateurs clients de votre organisation. Si les ouvertures de session ou les démarrages des ordinateurs clients Windows Vista ou Windows Server 2008 prennent trop de temps, vous avez la possibilité d’exclure ces clients à l’aide de filtres WMI. Voici comment procéder :

1. Dans le menu Outils d’administration, ouvrez Gestion des stratégies de groupe. 2. Dans l’arborescence de la console, accédez au domaine, cliquez droit sur Filtres WMI et choisissez Nouveau.

Chapitre 10

Gestion des imprimantes

179

3. Tapez le nom et la description dans les champs appropriés, puis cliquez sur Ajouter. 4. La boîte de dialogue Requête WMI s’ouvre. Pour que le filtre sélectionne tous les ordinateurs clients exécutant des versions antérieures à Windows Vista, tapez la commande suivante dans la section Requête : Select * from Win32_OperatingSystem where BuildNumber < 6000

5. Cliquez sur OK dans la boîte de dialogue Requête WMI, puis sur Enregistrer dans la boîte de dialogue Nouveau filtre WMI. 6. Sélectionnez la stratégie de groupe contenant le fichier PushPrinterConnections.exe et dans la liste Filtre WMI, sélectionnez le filtre WMI que vous avez créé, puis cliquez sur OK.

Gérer les tâches d’impression à partir de Windows Pour gérer des tâches d’impression, ouvrez Gestion de l’impression à partir du menu Outils d’administration, puis suivez les instructions concernant la tâche appropriée dans la liste qui suit.

Arrêter temporairement des tâches d’impression Pour interrompre momentanément l’impression d’un document, cliquez droit sur l’imprimante appropriée et choisissez Ouvrir la file d’attente de l’imprimante. Cliquez droit sur le document et choisissez Suspendre dans le menu contextuel. Pour reprendre l’impression, cliquez droit sur le document et choisissez Reprendre. Pour interrompre momentanément l’impression de tous les documents, cliquez droit sur l’imprimante appropriée et choisissez Suspendre l’impression. Pour reprendre l’impression de tous les documents, cliquez droit sur l’imprimante et choisissez Reprendre l’impression.

Annuler des tâches d’impression Pour annuler une ou plusieurs tâches d’impression, cliquez droit sur l’imprimante appropriée et choisissez Ouvrir la file d’attente de l’imprimante. Cliquez droit sur la tâche à annuler et choisissez Annuler dans le menu contextuel. On peut aussi la sélectionner et appuyer sur la touche SUPPR. Pour annuler toutes les tâches d’impression de la file d’attente, sélectionnez Annuler tous les travaux dans le menu de l’imprimante.

Redémarrer une tâche d’impression Pour redémarrer une tâche d’impression (forcer l’impression du document à recommencer), cliquez droit sur le document et choisissez Redémarrage.

180

Partie II

Installation et configuration

Remarque Il arrive qu’une tâche d’impression se bloque dans la file d’attente et qu’il soit impossible de la supprimer. Dans ce cas, mettez l’imprimante hors tension, puis rallumez-la, ou arrêtez le service Spouleur d’impression du serveur d’impression et redémarrez-le.

Changer la priorité d’une tâche d’impression Pour changer la priorité ou la planification d’une tâche d’impression, cliquez droit sur la tâche, choisissez Propriétés, puis cliquez sur l’onglet Général. Ajustez la priorité du document à l’aide du curseur Priorité (voir figure 10-8), sachant que 1 correspond à la priorité la plus basse et 99 la plus élevée.

Figure 10-8 Définissez la priorité d’une tâche d’impression et l’heure d’impression.

Pour spécifier que le document doit être imprimé uniquement pendant une certaine période, sélectionnez l’option Seulement de sur la même page et choisissez la plage horaire pendant laquelle le document peut être imprimé. Remarque La fonctionnalité de planification est pratique si vos tâches

d’impression sont volumineuses mais que vous ne voulez pas mobiliser une imprimante lors des heures de travail chargées.

Déplacer des tâches d’impression Pour déplacer tous les documents d’une imprimante vers une autre imprimante en mesure d’exploiter le même pilote, cliquez droit sur l’imprimante, choisissez Propriétés, cliquez sur l’onglet Ports, sélectionnez le port sur lequel se trouve la seconde imprimante et supprimez la coche de la case adjacente au port d’origine.

Chapitre 10

Gestion des imprimantes

181

Remarque Une tâche d’impression qui a déjà démarré ne peut être déplacée. Pour ce faire, il faut la redémarrer.

Gérer des imprimantes en ligne de commandes Windows Server 2008 facilite grandement l’administration en ligne de commandes pour les administrateurs Windows. Pratiquement toutes les tâches d’administration s’effectuent en ligne de commandes, y compris les imprimantes. Pour bien démarrer, prenez connaissance de la liste de commandes et des scripts suivants : ■ Print Imprime le fichier texte spécifié avec l’imprimante spécifiée. ■ Lpr Imprime le fichier texte spécifié avec la file d’attente d’impression LPD spécifiée. ■ Net print Affiche les informations sur la file d’attente d’impression spécifiée ou la tâche

d’impression. Peut également suspendre, reprendre ou supprimer des tâches d’impression. ■ Lpq Affiche des informations sur la file d’attente d’impression LPD spécifiée. ■ Net start Démarre le service spécifié. Faites appel aux commandes Net start spooler et Net stop spooler

pour démarrer ou arrêter le service de spouleur.

Remarque Pour consulter la liste des paramètres, tapez la commande suivie directement de /? à l’invite de commandes ou tournez-vous vers le Centre d’aide et support de Windows Server 2008. ■ Cscript

%Windir%\System32\Prnmngr.vbs Ajoute, imprimantes d’un serveur d’impression Windows.

supprime

ou

liste

les

■ Cscript %Windir%\System32\Prnjobs.vbs Permet d’afficher et de gérer les tâches

d’impression des partages d’imprimantes d’un serveur d’impression Windows. ■ Cscript %Windir%\System32\Prncfg.vbs Permet d’afficher et de modifier les

paramètres des imprimantes d’un serveur d’impression Windows. ■ Cscript %Windir%\System32\Prnqctl.vbs Suspend ou reprend l’impression, vide la

file d’attente ou imprime des pages de test. ■ Cscript %Windir%\System32\Prnport.vbs Administre tout ce qui touche aux ports

des imprimantes. ■ Cscript %Windir%\System32\Prndrvr.vbs Ajoute, supprime ou liste les pilotes des

imprimantes d’un serveur d’impression Windows. Le chapitre 15 du tome 1, « Administration par les scripts », concerne l’usage des scripts dans le cadre de l’administration en ligne de commandes.

182

Partie II

Installation et configuration

Définir les options de sécurité Les options de sécurité entrent en jeu lorsque vous possédez plusieurs imprimantes dispersées et complètement différentes. Par exemple, il est peu souhaitable que n’importe qui se serve de l’imprimante dernier cri achetée pour le service graphique. Autrement dit, les paramètres de sécurité protègent les propriétés de l’imprimante ou de l’impression contre les modifications non autorisées. Pour définir les autorisations sur une imprimante, cliquez droit sur l’imprimante, choisissez Propriétés et sélectionnez l’onglet Sécurité pour attribuer des autorisations à des groupes d’utilisateurs. Cliquez sur Avancé pour contrôler davantage les autorisations ou activer l’audit. Les résultats des paramètres d’audit apparaissent dans le journal Sécurité. Une imprimante possède trois niveaux d’autorisations : Imprimer, Gestion des documents et Gestion d’imprimantes. En voici la définition : ■ Imprimer Les utilisateurs ou groupes se connectent à l’imprimante, impriment des

documents et suspendent, redémarrent ou suppriment leurs propres documents à partir de la file d’attente d’impression. Par défaut, Windows accorde cette autorisation aux membres du groupe Tout le monde. ■ Gestion des documents Les utilisateurs ou groupes détenant l’autorisation Gestion

des documents possèdent l’autorisation Imprimer et peuvent en parallèle modifier les paramètres de tous les documents dans la file d’attente d’impression et suspendre, redémarrer ou supprimer les documents de n’importe quel utilisateur à partir de la file d’attente. Windows accorde par défaut le niveau d’autorisation Gestion des documents au groupe Créateur Propriétaire. ■ Gestion des imprimantes Les utilisateurs ou groupes détenant l’autorisation Gestion

des imprimantes possèdent les autorisations Gestion des documents et Imprimer et ont la possibilité de modifier les propriétés des imprimantes, de supprimer des imprimantes, de modifier les autorisations relatives et de prendre possession des imprimantes. Le niveau d’autorisation Gestion des imprimantes équivaut à l’autorisation Contrôle total dans Windows NT. Windows accorde par défaut ce niveau d’autorisation aux opérateurs d’impression, aux opérateurs de serveur et aux administrateurs.

Modifier les priorités de groupes et la disponibilité des imprimantes Il est possible de configurer une imprimante de sorte que les tâches d’impression soumises par certains utilisateurs s’impriment avant celles d’autres utilisateurs ; vous donnez par exemple la priorité aux managers ou aux groupes soumis à des délais plus serrés. On peut aussi réserver une imprimante pour un usage exclusif par certains groupes pendant certaines périodes ; par exemple, réservez une imprimante hors des heures normales d’activité de

Chapitre 10

Gestion des imprimantes

183

manière à ce que les groupes que vous spécifiez puissent imprimer des tâches volumineuses et de priorité élevée. Pour contrôler la disponibilité ou la priorité des groupes, créez deux ou davantage d’imprimantes logiques pour une seule imprimante physique, attribuez à chaque imprimante logique une priorité différente et/ou rendez-les disponibles à des moments différents, puis accordez aux différents ensembles d’utilisateurs ou groupes l’autorisation d’imprimer sur chaque imprimante logique. Voici comment procéder :

1. Dans le menu Outils d’administration, ouvrez Gestion de l’impression. Accédez au serveur d’impression où créer l’imprimante logique, cliquez droit sur Imprimantes et choisissez Ajouter une imprimante. L’Assistant Installation de l’imprimante démarre. 2. Sélectionnez Ajouter une nouvelle imprimante via un port existant, choisissez le port qui accueille l’imprimante physique, puis cliquez sur Suivant. 3. Choisissez Utiliser un pilote d’imprimante existant sur l’ordinateur et sélectionnez le pilote dans la liste déroulante. Cliquez sur Suivant. 4. Attribuez à l’imprimante un nom qui décrit sa fonction ou son utilisateur. Cliquez sur Suivant à deux reprises et terminez le processus d’installation. 5. Dans Gestion de l’impression, cliquez droit sur la nouvelle imprimante et choisissez Propriétés. 6. Cliquez sur l’onglet Sécurité et attribuez les autorisations aux utilisateurs ou aux groupes qui bénéficieront d’un accès spécial à cette imprimante. 7. Cliquez sur l’onglet Avancé, illustré par la figure 10-9. Si l’imprimante logique ne doit être disponible qu’à certains moments, sélectionnez Disponible de et choisissez la période.

Figure 10-9 Onglet Avancé de la boîte de dialogue Propriétés d’une imprimante

184

Partie II

Installation et configuration

8. Pour changer la priorité des utilisateurs et des groupes qui se servent de cette imprimante logique, tapez un nombre dans le champ Priorité. La plage de priorité s’étend de 1, au plus bas, à 99, priorité la plus élevée. 9. Cliquez sur OK et répétez le processus pour toutes les autres imprimantes logiques que vous avez associées à l’imprimante.

Spécifier une page de séparation L’emploi d’une page de séparation avec les imprimantes fortement sollicitées évite les confusions entre les différentes tâches d’impression et permet de distinguer aisément une tâche par rapport à la suivante. Windows Server 2008 propose quatre pages de séparation par défaut situées dans le dossier %WINDIR%\System32 : ■ Pcl.sep Passe l’imprimante en mode PCL (Printer Control Language) puis imprime une

page de séparation ; ■ Pscript.sep Passe l’imprimante en mode PostScript et n’imprime pas de page de

séparation ; ■ Sysprint.sep Passe l’imprimante en mode PostScript et imprime une page de

séparation ; ■ Sysprintj.sep Passe l’imprimante en mode PostScript avec prise en charge des

caractères japonais et imprime une page de séparation. Si votre imprimante ne prend pas ces langages en charge, créez une page de séparation personnalisée, comme le décrit l’encart « Pages de séparation personnalisées », plus loin dans ce chapitre. Voici comment spécifier une page de séparation :

1. Dans la console Gestion de l’impression, cliquez droit sur l’imprimante à modifier et choisissez Propriétés. 2. Cliquer sur l’onglet Avancé. 3. Cliquez sur Page de séparation pour sélectionner une page à insérer entre les documents imprimés et aider à distinguer les tâches d’impression.

Pages de séparation personnalisées Pour créer une page de séparation personnalisée, créez un fichier texte avec le Bloc-notes ou un autre éditeur de texte, enregistrez-le avec l’extension de fichier .sep, puis créez votre page de séparation. Sur la première ligne, tapez le caractère d’échappement à employer (par exemple \), puis le texte à faire apparaître sur la page de séparation. Le tableau 10-1 présente les commandes qui s’emploient sur une page de séparation. L’exemple suivant montre une simple page de séparation où figurent le nom de l’utilisateur, le numéro de la tâche ainsi que la date et l’heure de la tâche d’impression en utilisant le caractère \ en tant que caractère d’échappement :

Chapitre 10

Gestion des imprimantes

185

\ \U\LNom Utilisateur : \N \U\LTâche : \I \U\LDate : \D \U\LHeure : \T \E

Tableau 10-1

Commandes de page de séparation

Commande

Fonction

\

Caractère d’échappement employé par l’interprétateur du fichier séparateur pour délimiter les commandes. Il peut s’agir de n’importe quel caractère, mais ce tableau emploie \ comme exemple.

\Hn

Envoie la séquence de contrôle n à l’imprimante. Reportez-vous au manuel de l’imprimante pour connaître la séquence de contrôle à employer avec votre appareil.

\Wn

Spécifie la largeur de la page de séparation, c’est-à-dire les limites au-delà desquelles Windows omet les caractères. La largeur par défaut est de 80 et peut atteindre 256.

\n

Saute le nombre de lignes que vous avez spécifié par n. Les numéros valides vont de 0 à 9, 0 agissant comme retour chariot, ce qui renvoie l’impression à la ligne suivante.

\Fpathname

Imprime le contenu du fichier spécifié par le nom du chemin d’accès directement à l’imprimante. Le fichier doit être fourni dans le langage approprié pour l’imprimante.

\L

Imprime tous les caractères qui suivent la commande \L jusqu’au prochain caractère d’échappement.

\N

Imprime le nom de l’utilisateur qui a soumis la tâche d’impression.

\I

Imprime le numéro de la tâche d’impression.

\D

Imprime la date d’impression de la tâche d’impression, selon le format de date employé par le serveur d’impression.

\T

Imprime l’heure d’impression de la tâche d’impression, selon le format d’heure employé par le serveur d’impression.

\U

Désactive l’impression en bloc de caractères dans le fichier séparateur jusqu’à ce qu’elle soit explicitement activée.

\B\S

Imprime des caractères dans un bloc de texte de largeur unique jusqu’à ce que l’interprétateur du fichier séparateur rencontre une commande \U.

\B\M

Imprime des caractères dans un bloc de texte de largeur double jusqu’à ce que l’interprétateur du fichier séparateur rencontre une commande \U.

\E

Éjecte la page en cours.

186

Partie II

Installation et configuration

Modifier le spoulage d’impression par imprimante Le spoulage d’impression, ou stockage de tâche d’impression sur le disque avant impression, est ce qui reflète au mieux les performances d’impression et la vitesse réelle d’impression aux utilisateurs. On peut changer le mode de fonctionnement du spoulage d’impression pour corriger les problèmes liés à l’impression ou conserver les documents imprimés dans la file d’attente de l’imprimante au cas où un utilisateur aurait à nouveau besoin de les imprimer. Pour changer les paramètres de spoule d’une imprimante, cliquez droit sur l’imprimante à modifier, choisissez Propriétés, puis exploitez les paramètres de l’onglet Avancé :

Spouler l’impression des documents pour qu’elle se termine plus rapidement Spoule les documents imprimés vers le serveur d’impression, libérant ainsi le client de manière à ce qu’il passe plus rapidement à d’autres tâches. ■ Pour réduire le temps nécessaire à l’impression d’un document, sélectionnez

Commencer l’impression immédiatement. ■ Pour garantir à l’imprimante la disponibilité de la totalité du document lorsque

l’impression débute, sélectionnez Commencer l’impression après le transfert de la dernière page dans le spouleur. Cette étape peut résoudre certains problèmes d’impression et permet d’imprimer les documents de priorité élevée avant ceux dont la priorité est plus basse.

Imprimer directement sur l’imprimante Désactive le spoulage, ce qui entraîne un pic de performances sur le serveur (même si cela peut résoudre certains problèmes d’impression).

Conserver les documents non conformes Garde en file d’attente les documents qui ne sont pas conformes aux paramètres de l’imprimante en cours (par exemple, les documents qui nécessitent une taille de papier particulière alors que l’imprimante contient déjà du papier à lettres). Les autres documents de la file d’attente ne sont pas affectés par les documents conservés.

Imprimer d’abord les documents présents dans le spouleur d’impression Imprime le document de priorité maximale qui est déjà dans le spouleur d’impression, avant les documents de priorité supérieure en cours de spoulage. Cette option accélère la production globale de l’imprimante en lui évitant d’attendre les documents à spouler.

Chapitre 10

Gestion des imprimantes

187

Conserver les documents imprimés Conserve une copie des tâches d’impression dans la file d’attente de l’imprimante au cas où des utilisateurs auraient besoin de les imprimer à nouveau. Dans ce cas, l’utilisateur soumet à nouveau le document directement de la file d’attente sans avoir à ordonner une seconde fois l’impression depuis l’application.

Modifier le spoulage sur un serveur d’impression Par défaut, tous les événements d’avertissement sont consignés dans le journal Événements de la page Services d’impression du Gestionnaire de serveur. Pour arrêter la journalisation de ces événements, procédez comme suit :

1. Ouvrez le Panneau de configuration et sélectionnez Imprimantes. 2. Cliquez droit sur un emplacement vide de la fenêtre. Sélectionnez Exécuter en tant qu’administrateur, puis Propriétés du serveur. 3. Cliquez sur l’onglet Avancé et supprimez la coche de la case Afficher les notifications d’informations concernant les imprimantes réseau (voir figure 10-10).

Figure 10-10 Onglet Avancé de la boîte de dialogue Propriétés de Serveur d’impression

4. Cliquez sur OK pour terminer.

Optimiser les performances du serveur d’impression Pour optimiser les performances, utilisez un réseau de disques ou de lecteurs rapides et dédiés uniquement au dossier de spoule d’imprimante et ne placez aucun fichier système

188

Partie II

Installation et configuration

essentiel, en particulier les fichiers d’échange, sur ce lecteur. Le partage de fichiers présente une priorité supérieure au partage d’imprimante ; attendez-vous donc à des performances réduites si vous exploitez les deux services sur un serveur. Assurez-vous de placer les serveurs d’impression sur le même segment de réseau que les utilisateurs et les imprimantes et vérifiez que le lecteur est assez étendu pour contenir tous les documents de la file d’attente. Si vous choisissez de conserver les documents imprimés, prévoyez un réseau de disques ou lecteurs étendu.

Déplacer le dossier du spoulage d’impression Par défaut, les tâches d’impression sont spoulées dans %WINDIR%\System32\ Spool\PRINTERS, mais cet emplacement n’est pas toujours idéal. Voici comment le changer :

1. Ouvrez le Panneau de configuration et sélectionnez Imprimantes. 2. Cliquez droit sur un emplacement vide de la fenêtre. Sélectionnez Exécuter en tant qu’administrateur, puis Propriétés du serveur. 3. Cliquez sur l’onglet Avancé et saisissez le nouvel emplacement du dossier du spouleur. Cliquez sur OK pour terminer.

Gérer les pilotes d’imprimante À l’installation d’une imprimante, Windows installe la version du pilote qui correspond à l’architecture du processeur employée par le serveur (x86, x64 ou Itanium). Pour se servir de l’imprimante d’un ordinateur client qui exploite une autre architecture de processeur que le serveur, il faut installer des pilotes supplémentaires. Par exemple, si le serveur exécute une version 32 bits de Windows mais que l’ordinateur client fonctionne avec Windows XP Professionnel Édition x64, vous devez installer des pilotes x64 sur le serveur pour toutes les imprimantes sur lesquelles l’ordinateur client devra imprimer. Il est possible qu’il soit également nécessaire de supprimer ou de réinstaller les pilotes problématiques ou de configurer un pool d’imprimantes où deux voire davantage d’imprimantes agissent comme une seule en vue d’optimiser la vitesse et la disponibilité. Voici comment installer des pilotes d’imprimante que Windows télécharge automatiquement sur un ordinateur client lorsqu’un utilisateur se connecte à l’imprimante :

1. Dans le menu Outils d’administration, ouvrez Gestion de l’impression. Dans la console, cliquez droit sur le dossier Pilotes du serveur approprié et choisissez Gérer les pilotes. 2. Servez-vous de l’onglet Pilotes de la boîte de dialogue Propriétés de Serveur d’impression pour gérer les pilotes : ■ Pour installer des pilotes, cliquez sur Ajouter et parcourez l’Assistant Ajout de

pilote d’imprimante pour installer les pilotes compatibles avec le système d’exploitation et l’architecture du processeur appropriés.

Chapitre 10

Gestion des imprimantes

189

■ Pour supprimer un pilote obsolète ou problématique, sélectionnez-le et cliquez

sur Supprimer. ■ Pour afficher les détails relatifs à un pilote d’imprimante, sélectionnez le pilote et

cliquez sur Propriétés. Remarque Lors de l’installation de nouveaux pilotes compatibles avec plusieurs versions de système d’exploitation et/ou architectures de processeur, utilisez des pilotes conçus pour fonctionner de concert, afin que les paramètres d’imprimantes que vous spécifiez sur le serveur d’impression puissent s’appliquer aux ordinateurs clients lorsqu’ils se connectent aux imprimantes. Certains fabricants d’imprimantes fournissent à cet effet des packs de pilotes pour plusieurs plates-formes.

Windows vérifie automatiquement les nouveaux pilotes Windows Server 2008 et Windows Vista téléchargent automatiquement les pilotes d’imprimante lorsqu’ils se connectent à un partage d’imprimante Windows. Les clients Windows XP, Windows 2003 et Windows 2000 recherchent automatiquement des versions mises à jour des pilotes d’imprimante au démarrage et téléchargent les versions les plus récentes du serveur d’impression, s’il en propose.

Créer des pools d’imprimantes Un pool d’imprimantes sert à traiter un gros volume d’impression à un emplacement unique, en particulier lorsque ce volume est constitué de documents de tailles diverses. Par exemple, quelqu’un qui imprime un mémo d’une page risque d’afficher son mécontentement si son document se retrouve dans la file d’attente derrière une tâche d’impression de plusieurs centaines pages. Si plusieurs imprimantes partagent un même pilote, vous pouvez les ajouter à un pool d’imprimantes, lequel apparaît par la suite aux utilisateurs comme une seule imprimante. L’avantage d’exploiter un pool d’imprimantes est que les clients impriment sur la seule imprimante logique du serveur d’impression, lequel envoie ensuite la tâche d’impression à la première imprimante disponible. Si une imprimante du pool est déconnectée, Windows envoie les tâches d’impression aux autres imprimantes du pool, ce qui optimise la productivité pour les utilisateurs. Les pools d’imprimantes simplifient également l’administration car vous gérez toutes les imprimantes du pool à partir d’une imprimante logique ; si vous modifiez les propriétés de l’unique imprimante logique, les modifications se répercutent sur toutes les imprimantes physiques du pool. Remarque Disposez les imprimantes physiques d’un pool d’imprimantes dans un petit périmètre afin de retrouver plus aisément sa tâche d’impression achevée.

190

Partie II

Installation et configuration

Voici comment installer un pool d’imprimantes :

1. Dans la console Gestion de l’impression, cliquez droit sur l’imprimante logique à placer dans le pool et choisissez Propriétés. 2. Cliquez sur l’onglet Ports. 3. Cochez la case Activer le pool d’imprimante. 4. Pour ajouter une imprimante au pool, sélectionnez le port auquel l’imprimante est connectée. Si l’imprimante est une imprimante réseau et que vous ne l’avez pas encore ajoutée au serveur, cliquez sur Ajouter un port pour ajouter un nouveau port d’imprimante TCP/ IP standard. Reportez-vous à la section « Installer des imprimantes », précédemment dans ce chapitre.

5. Pour modifier les paramètres d’essai de retransmission d’un port, sélectionnez le port et cliquez sur Configurer le port. Remarque Toutes les imprimantes d’un pool doivent être en mesure d’utiliser le même pilote d’imprimante—si vous ajoutez un pilote incompatible dans un pool d’imprimantes, certains documents pourraient ne pas s’imprimer correctement.

Se préparer en cas d’échec du serveur d’impression Si possible, il est intéressant de disposer d’un serveur d’impression auxiliaire destiné à sauvegarder le serveur principal. En cas d’échec du serveur principal, l’administrateur envoie des messages électroniques aux utilisateurs pour leur indiquer de choisir ServeurRéserve2 (par exemple) pour imprimer. Si cette option constitue la solution la plus simple pour l’administrateur, elle complique inévitablement la tâche de certains utilisateurs qui auront des difficultés à se connecter à une autre imprimante. Si vous avez planifié le serveur d’impression en heure creuse, il est possible de faire appel à la console Gestion de l’imprimante pour déployer les connexions d’imprimantes sur le serveur de sauvegarde et supprimer les connexions du serveur hors ligne. Créez un alias sur un serveur d’impression de sauvegarde de sorte que le serveur de sauvegarde apparaisse aux clients et non le serveur principal. Le serveur d’impression de sauvegarde doit se connecter aux mêmes imprimantes réseau que le serveur principal et employer les mêmes noms de partage. Faites appel à l’Assistant Migration d’imprimante pour copier la configuration du serveur principal vers le serveur de sauvegarde (voir la section « Exploiter l’Assistant Migration d’imprimante », précédemment dans ce chapitre). Voici comment faire alterner les utilisateurs :

1. Ouvrez l’éditeur de registre (Regedit.exe) et recherchez la clé de registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

2. Créez une nouvelle valeur de chaîne nommée OptionalNames avec le nom du serveur principal comme donnée.

Chapitre 10

Gestion des imprimantes

191

3. Créez une nouvelle valeur DWORD nommée DisableStrictNameChecking de valeur 1. Important La valeur de registre DisableStrictNameChecking permet à

quelqu’un du réseau interne d’employer le paramètre OptionalNames pour usurper l’identité d’un ordinateur ; la résolution de noms ne sera en revanche plus fiable, sauf si cette personne a également affecté le serveur DNS et/ou WINS.

4. Créez un enregistrement d’alias DNS (CNAME) qui mappe le nom DNS du serveur principal sur le nom DNS du serveur de sauvegarde. 5. Si vous exploitez WINS sur le réseau, créez une réservation DHCP pour le serveur d’impression de sauvegarde de sorte que son adresse IP ne change pas, puis créez un nouveau mappage statique dans WINS pour mapper le nom NetBIOS du serveur d’impression principal sur l’adresse IP du serveur d’impression de sauvegarde. Reportez-vous au chapitre 18 du tome 1, « Administration de TCP/IP », pour en savoir plus sur l’administration de WINS, DHCP et DNS. 6. Redémarrez le serveur. 7. Pour rétablir le serveur d’impression principal en ligne, supprimez les nouvelles valeurs de registre, l’alias DNS et l’enregistrement WINS, puis redémarrez le serveur. Remarque Si une imprimante échoue sur le serveur d’impression mais pas le serveur lui-même, il est très simple de diriger les utilisateurs vers une autre imprimante qui utilise le même pilote. Les imprimantes récentes issues du même type de modèles fonctionnent souvent avec le même pilote. Pour ce faire, cliquez droit sur l’imprimante, choisissez Propriétés, cliquez sur l’onglet Ports et sélectionnez le port de l’imprimante vers lequel rediriger les utilisateurs de l’imprimante défaillante. Il peut s’agir d’un port local, d’un port réseau ou d’un partage d’imprimante sur un autre serveur d’impression. Il est aussi possible de créer un pool d’imprimantes pour automatiser le basculement d’une imprimante vers une autre utilisant le même pilote. Si votre réseau requiert un niveau très élevé de performances d’impression et de fiabilité, installez un cluster de serveur d’impression. Vous augmentez ainsi la capacité et réalisez un basculement automatique au cas où un serveur ne répondrait plus. Le clustering est expliqué en détails au chapitre 21 du tome 1, « Clusters ».

Dépanner les imprimantes À l’instar des autres types de problème, le dépannage des problèmes d’impression consiste en premier lieu à isoler et à identifier le problème, puis à déterminer les mesures à prendre pour le résoudre. Cette section est destinée à vous aider à diagnostiquer les problèmes d’impression, à localiser le sous-système d’impression où se produit l’erreur et donne quelques indications spécifiques qui facilitent la résolution du problème.

192

Partie II

Installation et configuration

Côté serveur Voici les catégories qui regroupent les principaux problèmes d’impression :

Problèmes physiques Inclut les problèmes relatifs à l’imprimante et aux connexions : bourrage papier, manque d’encre ou de toner, etc.

Problèmes du serveur d’impression Inclut les problèmes relatifs aux pilotes d’imprimante, aux niveaux d’autorisations et à l’état du logiciel.

Problèmes de connectivité réseau Comprend les échecs de communication entre les serveurs et les clients, ce qui affecte les paramètres réseau ou les protocoles. Ces problèmes sont à dépanner sur le client ou sur le serveur, selon l’endroit où le problème de connectivité s’est produit.

Problèmes de clients Comprend les problèmes relatifs aux pilotes d’imprimante, aux autorisations et aux applications. Déterminez si possible la catégorie du problème avant d’entrer dans les détails. De nombreux problèmes se règlent au niveau du serveur, ce qui évite d’avoir à se rendre physiquement sur l’ordinateur client. Cela se révèle particulièrement utile si l’ordinateur et l’imprimante sont disposés à plusieurs étages ou bâtiments de votre bureau. Essayez plusieurs alternatives jusqu’à isoler les problèmes aussi précisément que possible, puis prenez les mesures courantes pour résoudre le problème. Si vous savez déjà d’où vient le problème, rendez-vous directement au titre de la section qui vous concerne et poursuivez. Informations supplémentaires Si vous ne parvenez pas à résoudre les problèmes à l’aide des informations de cette section, consultez la Base de connaissances Microsoft du site Web de Microsoft, à l’adresse http://support.microsoft.com/?ln=FR.

Mauvaise impression du document Si un document s’imprime mais qu’il n’apparaît pas net ou présente un autre défaut, cela signifie qu’un problème de compatibilité a lieu entre le client, le pilote d’imprimante et l’imprimante. Assurez-vous que le client exploite le bon pilote d’imprimante client et que le serveur emploie le bon pilote d’imprimante. Si le client exécute une version x64 de

Chapitre 10

Gestion des imprimantes

193

Windows, obtenez une version x64 native du pilote d’imprimante correspondant au modèle d’imprimante que vous exploitez et non un pilote destiné à un modèle similaire. Installez une imprimante logique dupliquée pour savoir si le pilote d’imprimante est corrompu. Si le problème persiste, modifiez les paramètres du spoule sur le pilote client. Si plusieurs clients rencontrent le même problème, changez le pilote d’imprimante du serveur. En particulier, changez les options de l’onglet Avancé de la boîte de dialogue Propriétés de l’imprimante (la section « Modifier le spoulage d’impression par imprimante » contient une procédure plus détaillée) : ■ Pour garantir à l’imprimante la disponibilité de la totalité du document lorsque

l’impression débute, sélectionnez l’option Commencer l’impression après le transfert de la dernière page dans le spouleur. ■ Si vous rencontrez encore des problèmes d’impression, choisissez l’option Imprimer

directement sur l’imprimante pour désactiver le spoulage. De cette manière, vous réduisez les performances du serveur. ■ Supprimez la coche de la case Activer les fonctionnalités d’impression avancées sur le

serveur d’impression pour désactiver le spoulage des métafichiers, lequel désactive certaines options d’imprimante comme l’ordre des pages, l’impression de brochures et les pages par feuille (si disponible avec l’imprimante). Remarque Si l’imprimante possède plusieurs bacs de modèles différents, adaptez

le modèle au bac de sorte que les documents de ce modèle s’impriment toujours correctement. Sous le titre Affectation d’un modèle à un bac, sélectionnez chaque bac et choisissez le modèle contenu par le bac. Si l’imprimante prend en charge la protection de page et qu’elle dispose d’au moins 1 Mo de mémoire optionnelle, cliquez sur l’onglet Paramètres du périphérique et activez cette option pour garantir le résultat de l’impression de pages complexes. Si vous activez cette option, l’imprimante crée chaque page en mémoire avant de commencer l’impression.

Échec de l’impression du document Si le document ne s’imprime pas du tout, testez ces étapes de dépannage l’une après l’autre : ■ Si une erreur indique que le pilote d’imprimante approprié n’est pas disponible en

téléchargement, sur le serveur d’impression installez les pilotes d’imprimante qui correspondent au système d’exploitation et à l’architecture du processeur de l’ordinateur client. Reportez-vous à la section « Gérer les pilotes d’imprimante », précédemment dans ce chapitre. ■ Une erreur indiquant que le pilote d’imprimante est indisponible peut désigner un

problème de connectivité réseau ou indiquer que l’utilisateur ne dispose pas des autorisations Imprimer sur l’imprimante. Reportez-vous à la section « Définir les options de sécurité », précédemment dans ce chapitre. ■ Si le nombre d’accès disque est important et que le document ne s’imprime pas, vérifiez

que le lecteur comportant le dossier de spoule du client contient assez d’espace libre

194

Partie II

Installation et configuration

pour le document spoulé. Reportez-vous à la section « Modifier le spoulage d’impression par imprimante », précédemment dans ce chapitre. ■ Déterminez s’il est possible de voir et de connecter le serveur d’impression dans le

réseau. Copiez un fichier sur le serveur d’impression pour savoir si vous pouvez accéder au serveur. En général, si on ne peut pas accéder au serveur d’impression, il n’est pas possible d’accéder aux imprimantes connectées. ■ Imprimez un document test à partir du Bloc-notes Microsoft. Si vous pouvez imprimer

avec le Bloc-notes, cela signifie que les pilotes d’imprimante sont valides et que c’est probablement l’application qui pose problème. ■ Si vous ne pouvez pas imprimer avec le Bloc-notes, essayez d’imprimer à partir de la

ligne de commandes en tapant la commande echo test> [nom port port imprimante est le nom de partage de l’imprimante réseau.

imprimante],

où nom

Échec de l’impression à partir d’une application spécifique Certaines applications rencontrent des problèmes d’impression dans Windows. Voici quelques problèmes susceptibles de se produire : ■ Lors de la configuration d’une imprimante dans une application, un message d’erreur

« Accès refusé » s’affiche si vous ne disposez pas des privilèges nécessaires pour modifier la configuration de l’imprimante. Pour changer les paramètres avancés de l’imprimante, il vous faut bénéficier des autorisations Gestion des imprimantes. ■ Si un programme MS-DOS n’imprime pas, fermez-le. Certains programmes MS-DOS

imposent d’être fermés pour imprimer. En outre, exécutez la commande net use pour mapper un port local sur l’imprimante partagée. Pour de plus amples informations, lisez l’article 314499 de la Base de connaissances Microsoft à l’adresse http://support.microsoft.com/kb/314499. Informations supplémentaires Si vous rencontrez d’autres problèmes, consultez le fichier Printers.t xt du CD-ROM d’installation du système d’exploitation client s’il s’agit d’un système Windows 2003, Windows XP ou Windows 2000. N’hésitez pas à consulter également la Base de connaissances Microsoft à l’adresse http://support.microsoft.com/?ln=FR.

Documents bloqués à supprimer Si des documents ne s’impriment pas ou que vous ne parvenez pas en supprimer de la file d’attente, il est possible que le spouleur d’impression soit bloqué. Cela affecte également les services de télécopie que le serveur exécute. Voici comment redémarrer le service Spouleur d’impression :

1. Démarrez le Gestionnaire de serveur. Dans l’arborescence de la console, sélectionnez Configuration, puis Services. 2. Dans le volet de droite, cliquez droit sur Spouleur d’impression, puis sélectionnez Redémarrer.

Chapitre 10

Gestion des imprimantes

195

3. Pour spécifier un processus de récupération à exécuter en cas d’échec du service Spouleur d’impression, double cliquez sur Spouleur d’impression et sélectionnez l’onglet Récupération. Cliquez sur la mesure à prendre en cas de Première défaillance, Deuxième défaillance et Défaillances suivantes, puis cliquez sur OK. 4. Pour visualiser les services (comme l’appel de procédure distante) dont dépend le spouleur d’impression, double cliquez sur le service Spouleur d’impression, puis cliquez sur l’onglet Dépendances. Cet onglet présente également les services qui dépendent du spouleur d’impression pour fonctionner correctement. Remarque Pour redémarrer le spouleur d’impression à l’invite de commandes, tapez net stop "print spooler" puis net start "print spooler".

Vérifier l’état du serveur d’impression Vérifiez l’état du serveur d’impression à distance. Pour ce faire, aidez-vous de la liste suivante : ■ Recherchez les documents bloqués ou les messages d’erreur dans la file d’attente ou sur

la page Web de configuration de l’imprimante (si disponible). Si l’imprimante manque de papier ou de toner ou en cas de bourrage papier, un message d’erreur y figure souvent. ■ Assurez-vous que le lecteur contenant le dossier du spouleur dispose de suffisamment

d’espace libre. ■ Si des documents ne s’impriment pas nettement, cela signifie peut-être que

l’imprimante emploie un mauvais type de données (EMF ou raw). Essayez avec le type de données raw pour voir si le problème est corrigé. Dans la boîte de dialogue Propriétés de l’imprimante, supprimez la coche de la case Activer les fonctionnalités d’impression avancées de l’onglet Avancé. Reportez-vous à la section « Modifier le spoulage d’impression par imprimante », précédemment dans ce chapitre. ■ Regardez si des documents sont en cours d’impression. Si la file d’attente ne comporte

aucun document, imprimez un document ou une page de test depuis le serveur d’impression pour vérifier si le serveur d’impression imprime correctement. ■ Si certains documents de la file d’attente ne s’impriment pas et qu’il vous est impossible

de les supprimer, il se peut que le spouleur d’impression soit bloqué. Redémarrez le service Spouleur d’impression pour voir si cela corrige le problème. Ajoutez une autre imprimante logique (pilote d’imprimante) pour l’imprimante afin d’exclure la possibilité d’un pilote d’imprimante corrompu. Remarque Pour éviter que des documents dont la langue est particulière s’impriment lentement, installez sur les serveurs d’impression les polices de toutes les langues que les clients vont employer. Pour ce faire, copiez les polices dans le dossier %WINDIR%\Fonts du serveur d’impression et ouvrez le dossier Fonts (ou redémarrez le serveur).

196

Partie II

Installation et configuration

Côté client Si le problème ne se situe pas côté serveur, poursuivez votre recherche sur l’ordinateur client et l’imprimante.

Imprimer depuis l’ordinateur client problématique Imprimez depuis l’ordinateur client et prenez note des messages d’erreur. Ces messages délivrent souvent l’origine du problème ou donnent au moins quelques indices. Si le document s’imprime correctement, il s’agit peut-être simplement d’une erreur de l’utilisateur. Sinon, le problème peut concerner un programme en particulier ou une incompatibilité avec le pilote d’imprimante.

Contrôler l’imprimante Si vous avez exclu les clients et le serveur comme étant la source du problème, mais qu’il est toujours impossible d’imprimer un document, recherchez également du côté de l’imprimante. Suspendez la file d’attente et contrôlez l’imprimante. Rapporte-t-elle un message d’erreur ? Cela se produit en cas de bourrage papier, si l’imprimante manque de toner ou si elle requiert une petite séance d’entretien. Assurez-vous que le voyant lumineux correspondant à l’état prêt ou en ligne est allumé, que le câble de l’imprimante et le câble réseau sont bien branchés et que le voyant lumineux en regard du port réseau est allumé (le cas échéant). S’il est toujours impossible d’imprimer, imprimez une page de test directement depuis l’imprimante. La plupart des imprimantes prend en charge cette fonction. Si la page de test s’imprime, configurez un autre serveur d’impression avec l’imprimante. Si vous parvenez à imprimer depuis un serveur d’impression différent, cela signifie que le problème provient du serveur d’impression d’origine. Exploitez le programme Ping.exe pour récupérer l’adresse IP de l’imprimante.

Résumé Presque tous les réseaux nécessitent des services d’impression détaillés et fiables. À part une défaillance du réseau ou la perte de l’accès à l’Internet, rien n’est plus angoissant et frustrant que l’impossibilité d’imprimer. Il est aussi essentiel de répondre aux besoins d’impression actuels que de préparer les extensions et les changements pour concevoir une stratégie d’impression durable. Le chapitre qui suit est consacré à un autre domaine fondamental : la gestion des comptes utilisateur et de groupe.

Chapitre 11

Gestion des utilisateurs et des groupes Généralités sur les groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Planifier les unités d’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Planifier une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Mettre une stratégie de groupe en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Gérer les groupes par défaut et les droits utilisateur . . . . . . . . . . . . . . . . . . . . . . . 208 Créer des comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Gérer les comptes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Dossiers de base. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Profils utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Les réseaux deviennent si omniprésents qu’ils sont supposés un fait accompli. Ce n’est qu’en son absence que l’on remarque la présence du réseau. Et dans ce cas, la panique qui en découle s’entend de loin. En effet, un réseau a pour tâche principale de fournir aux utilisateurs tous les outils dont ils ont besoin et d’éliminer tout élément qui pourrait retarder leur progression. Les utilisateurs doivent accéder à des fichiers, à des répertoires, à des applications, à des imprimantes et à des connexions Internet, dans le cadre de leur travail. Ce dont ils n’ont pas besoin, c’est d’avoir des problèmes pour utiliser ce qui leur est réellement nécessaire. L’administrateur a des besoins supplémentaires. Par exemple, il doit cacher aux utilisateurs ce qu’ils ne doivent pas savoir afin de protéger le réseau des utilisateurs malveillants ou dangereux, et de les protéger contre eux-mêmes. Toute cette organisation repose sur la création de groupes, de comptes utilisateur et de stratégies de groupe.

Généralités sur les groupes Les groupes, sous Windows Server 2008, sont des objets des Services de domaine Active Directory (AD DS) ou des objets locaux, lesquels contiennent des utilisateurs, des contacts, des ordinateurs ou d’autres groupes. En général, un groupe contient des comptes utilisateur. Les groupes simplifient l’administration : au lieu d’affecter des droits et des autorisations à chaque utilisateur individuel, l’administrateur les affecte à des groupes. 197

198

Partie II

Installation et configuration

Windows Server 2008 gère deux types de groupes : les groupes de sécurité et les groupes de distribution. Presque tous les groupes employés par Windows Server 2008 sont des groupes de sécurité, car ce sont les seuls groupes par le biais desquels sont affectés les privilèges. Chaque groupe de sécurité dispose d’une étendue de groupe, qui définit la façon dont les autorisations sont affectées à ses membres. Les programmes capables d’interroger Active Directory peuvent utiliser les groupes de sécurité à des fins n’ayant rien à voir avec la sécurité, par exemple pour envoyer des messages à un groupe d’utilisateurs. Les groupes de distribution ne disposent pas de fonctionnalités de sécurité, et l’on ne peut pas leur affecter de privilèges. Plusieurs sections de ce chapitre sont consacrées aux droits des utilisateurs et à la manière de les définir et de les affecter aux groupes. Le chapitre 12 du tome 1, « Gestion des ressources de fichiers », complète ces sections par une étude des autorisations et de la manière de les octroyer.

Affecter des étendues de groupe Lors de la création d’un groupe, celui-ci se voit affecter une étendue qui définit les modalités d’affectation des autorisations. Les trois types d’étendues (globale, locale de domaine et universelle) seront étudiés dans les sections qui suivent.

Étendue globale Un groupe ayant une étendue globale est global en ce sens que l’on peut lui accorder des autorisations pour des ressources situées dans tous les domaines. Toutefois, les membres de ce groupe peuvent uniquement être issus du domaine dans lequel il a été créé. Dans cette acception, le groupe n’est pas global. Les groupes globaux conviennent aux objets de l’annuaire qui nécessitent une maintenance régulière, par exemple pour les comptes utilisateur et d’ordinateur. Un groupe global, qui peut être membre d’un groupe universel ou d’un groupe local de n’importe quel domaine, peut contenir les membres suivants : ■ D’autres groupes globaux du même domaine ; ■ Des comptes individuels issus du même domaine.

Étendue de domaine local Un groupe de domaine local est l’inverse d’un groupe global : ses membres peuvent être issus de n’importe quel domaine, mais ils bénéficient uniquement d’autorisations sur les ressources du domaine dans lequel le groupe a été créé. Les membres d’un groupe local de domaine ont un besoin commun d’accéder à certaines ressources d’un certain domaine. Un groupe de domaine local peut avoir les membres suivants : ■ D’autres groupes de domaine locaux dans le même domaine ; ■ Des groupes globaux issus de n’importe quel domaine ; ■ Des groupes universels issus de n’importe quel domaine ;

Chapitre 11

Gestion des utilisateurs et des groupes

199

■ Des comptes individuels issus de n’importe quel domaine ; ■ Un mélange des éléments ci-dessus.

Étendue universelle Un groupe de sécurité universel peut contenir des membres provenant de tous les domaines et se voir doter d’autorisations sur les ressources de tous les domaines. Voici les membres que peut avoir un groupe universel : ■ D’autres groupes universels ; ■ Des groupes globaux ; ■ Des comptes individuels.

Consolidez les groupes répartis sur plusieurs domaines en vous servant de groupes d’étendue universelle. Pour ce faire, ajoutez les comptes aux groupes d’étendue globale et imbriquez-les dans des groupes d’étendue universelle. Il ne faut pas abuser des groupes universels, car ils risquent de dégrader les performances du réseau, comme l’explique l’encart « Impact des groupes sur les performances du réseau ».

Impact des groupes sur les performances du réseau Il est d’autant plus important de planifier les groupes que leur organisation risque d’impacter négativement les performances du réseau. Quand un utilisateur ouvre une session sur le réseau, le contrôleur du domaine détermine à quels groupes appartient l’utilisateur et affecte à ce dernier un jeton de sécurité qui énumère les ID de tous ces groupes, en plus de l’ID de l’utilisateur. Plus il y a de groupes contenant l’utilisateur, plus longues sont la création du jeton et l’ouverture de la session. En outre, une fois constitué, le jeton de sécurité est envoyé à tous les ordinateurs auxquels accède l’utilisateur. L’ordinateur cible compare tous les ID de sécurité du jeton aux autorisations concernant toutes les ressources partagées de cet ordinateur. La comparaison entre un grand nombre d’utilisateurs et un grand nombre de ressources partagées (dont des répertoires individuels) risque de consommer pas mal de bande passante et de temps processeur. Une solution consiste à limiter le nombre de membres dans les groupes de sécurité. Utilisez des groupes de distribution pour les catégories d’utilisateurs qui n’ont pas besoin de privilèges spécifiques. Les groupes universels ont un impact spécial sur les performances, car ils sont inscrits, avec leurs membres, dans le catalogue global. Toute modification des membres d’un groupe universel se propage vers tous les serveurs de catalogue global de l’arborescence des domaines, ce qui augmente le trafic de réplication sur le réseau. Les groupes globaux ou les groupes locaux de domaine figurent aussi dans le catalogue global, mais pas leurs membres. Une bonne solution consiste donc à placer, dans les groupes universels, essentiellement des groupes globaux.

200

Partie II

Installation et configuration

Planifier les unités d’organisation Les unités d’organisation (OU, Organizational Units) sont, comme le nom l’indique, des outils pour organiser les collections d’objets dans un domaine. Une OU peut contenir n’importe quelle collection d’objets Active Directory comme des imprimantes, des ordinateurs, des groupes, ainsi que d’autres OU. Dans le passé, un domaine qui devenait trop compliqué était généralement éclaté en plusieurs domaines. Les OU constituent une alternative à cette pratique en créant une sousstructure très souple d’emploi. Les OU sont organisées de façon hiérarchique dans un domaine et le contrôle administratif peut être délégué au niveau d’une simple OU ou de toute une sous-arborescence d’OU. Une OU est la plus petite entité pour laquelle vous pouvez déléguer le contrôle administratif. Elle peut être modifiée, déplacée, renommée et même supprimée. Enfin, une OU ne requiert pas de contrôleur de domaine associé, contrairement au domaine.

Unités organisationnelles ou nouveau domaine ? Il n’existe pas de règle bien définie pour décider si un réseau en expansion doit être divisé en domaines séparés ou en nouvelles OU. Dans la liste ci-dessous, si au moins un élément s’applique, la création de plusieurs domaines pourrait constituer une bonne solution : ■ Une administration décentralisée est nécessaire. ■ Le réseau englobe des départements concurrents ou des joint ventures. ■ Des parties du réseau sont séparées par des liens très lents (modems analogiques

par exemple) ce qui crée des problèmes lors des réplications. Si les liens sont simplement lents, vous pouvez employer plusieurs sites au sein d’un même domaine ; la réplication sera moins fréquente. ■ Différentes stratégies de comptes sont nécessaires, or elles s’appliquent au niveau

du domaine. Dans ce cas, des domaines différents s’imposent. La liste suivante décrit des situations où l’emploi des OU est préférable : ■ Il est nécessaire de mettre en place une administration localisée et/ou de proximité. ■ La structure de l’entreprise impose le classement des objets réseau dans des

conteneurs séparés. ■ La structure que vous souhaitez mettre en place évoluera prochainement.

Comme vous le constatez, lorsque la situation demande une structure souple, les OU constituent une bonne réponse. Les OU ne sont que des conteneurs. Elles n’impliquent pas la notion d’appartenance ou d’entités de sécurité. Les droits et les autorisations sont accordés aux utilisateurs via l’appartenance aux groupes. Lorsque les groupes sont construits, utilisez des OU ou

Chapitre 11

Gestion des utilisateurs et des groupes

201

organisez des objets de groupes et assignez les paramètres de stratégie de groupe. L’emploi de la stratégie de groupe est traité au chapitre 13 du tome 1.

Créer des unités d’organisation Il est simple de créer des OU. Elles apparaissent ensuite comme des dossiers dans une structure de domaine. Voici comment procéder :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Cliquez droit sur le domaine, sélectionnez Nouveau puis Unité d’organisation. La boîte de dialogue de la figure 11-1 apparaît.

Figure 11-1 Création d’une nouvelle unité d’organisation

3. Dans la boîte de dialogue Unité d’organisation, tapez le nom de l’OU et cliquez sur OK. Remarque Par défaut, la case Protéger le conteneur contre une suppression accidentelle est cochée. Cette option actualise le descripteur de sécurité de l’objet et éventuellement de son parent, ce qui empêche les administrateurs et les utilisateurs de ce domaine et contrôleur de domaine de supprimer cet objet. Elle ne protège néanmoins pas contre une suppression accidentelle d’une sousarborescence contenant l’objet protégé. Aussi, pour optimiser la protection, activez ce paramètre pour tous les conteneurs d’objets protégés jusqu’au contexte de nommage du domaine.

Déplacer des unités d’organisation L’un des aspects les plus intéressants d’une OU est qu’elle peut être déplacée d’un conteneur à un autre ou même d’un domaine à un autre. Voici comment déplacer une OU :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory.

202

Partie II

Installation et configuration

2. Cliquez droit sur l’OU et choisissez Déplacer dans le menu contextuel. 3. Dans la boîte de dialogue du même nom, sélectionnez le nouvel emplacement de l’OU et cliquez sur OK. Important Dans Windows Server 2008, il est simple de déplacer des OU, mais si l’on déplace des OU liés à des objets de stratégie de groupe, des conséquences inattendues peuvent se produire. Réfléchissez attentivement aux conséquences du déplacement de l’OU sur la topologie globale de la Stratégie de groupe et vérifiez son comportement après le déplacement.

Supprimer des unités d’organisation Il est facile de supprimer une OU. Toutefois, faites attention car en supprimant une OU, vous supprimez aussi son contenu. Il est donc facile d’effacer toutes les ressources et les comptes utilisateur contenus dans une OU l’on travaille dans la précipitation. Voici comment supprimer une OU :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Cliquez droit sur l’OU et choisissez Supprimer. 3. Cliquez deux fois sur OK pour confirmer la suppression.

Planifier une stratégie de groupe Si l’on examine un réseau et les différents types de groupe et que l’on décompose ensuite les besoins spécifiques, on se trouve souvent confronté à une sorte d’infernal puzzle logique : Claire vit dans une maison bleue, Hélène collectionne les timbres, Charles conduit un break et Joël mange du fromage. Qui a les cheveux rouges ? Quoi qu’il en soit, comme dans bien d’autres aspects de l’administration réseau, la planification est essentielle.

Déterminer les noms des groupes Lors de la planification des groupes, optez pour un schéma de dénomination adapté à votre entreprise. Tenez compte de deux facteurs : ■ Les noms de groupes doivent être parlants. Ainsi, les administrateurs consultant

Active Directory n’auront pas à se casser la tête pour deviner ce que recouvre tel ou tel nom de groupe. ■ Les groupes comparables doivent porter des noms similaires. Si chaque domaine

contient un groupe de techniciens, prenez des noms du genre TechEurope, TechAmNord et TechAsie.

Chapitre 11

Gestion des utilisateurs et des groupes

203

Groupes globaux et de domaine local Développez une stratégie concernant l’utilisation des différents groupes. Par exemple, vous décidez que les utilisateurs ayant des responsabilités similaires doivent appartenir à un même groupe global. Vous ajoutez donc les comptes utilisateur de tous les techniciens PAO à un groupe global nommé Graphistes. De même, vous créerez d’autres groupes globaux pour les utilisateurs ayant des besoins communs. Identifiez ensuite les ressources auxquelles doivent accéder les utilisateurs et créez des groupes de domaine local pour ces ressources. Si, par exemple, vous disposez de plusieurs imprimantes couleurs et traceurs utilisés par des services bien précis, vous pouvez créer un groupe de domaine local nommé Impris&Traceurs. Il faut ensuite déterminer quels sont les groupes globaux qui devront accéder aux ressources identifiées. Dans notre exemple, on ajoute le groupe global Graphistes au groupe de domaine local Impris&Traceurs, en compagnie d’autres groupes globaux devant accéder aux imprimantes et aux traceurs. On affecte l’autorisation d’utiliser les ressources de Impris&Traceurs au groupe de domaine local Impris&Traceurs. Souvenez-vous que les groupes globaux risquent de compliquer l’administration dans un contexte à domaines multiples. Les groupes globaux, issus de domaines différents, doivent se voir affecter individuellement leurs autorisations. En outre, le fait d’affecter des utilisateurs à un groupe de domaine local puis d’accorder des autorisations au groupe ne permet pas à ses membres d’accéder aux ressources extérieures au domaine.

Groupes universels Si vous exploitez les groupes universels, retenez ceci : ■ Évitez de placer des comptes utilisateur dans les groupes universels, afin de réduire le

trafic de réplication. ■ Placez, dans les groupes universels, des groupes globaux provenant de plusieurs

domaines, afin que les membres puissent accéder aux ressources de plusieurs domaines. ■ Un groupe universel peut appartenir à un groupe de domaine local ou à un autre

groupe universel, mais pas à un groupe global.

Mettre une stratégie de groupe en œuvre Une fois la stratégie planifiée et testée dans toutes sortes de cas de figure, commencez à mettre en place la structure.

204

Partie II

Installation et configuration

Créer des groupes Servez-vous de la console Utilisateurs et ordinateurs Active Directory pour créer et supprimer des groupes. Créez vos groupes dans le conteneur Users ou dans une OU que vous aurez créée à seule fin d’y placer des groupes. Voici comment créer un groupe :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Développez le domaine dans lequel créer le groupe. 3. Cliquez droit sur le conteneur, pointez sur Nouveau et choisissez Groupe dans le menu contextuel pour ouvrir la boîte de dialogue de la figure 11-2.

Figure 11-2 Création d’un nouveau groupe

4. Complétez les informations demandées : ■ Le nom du groupe doit être unique dans le domaine. ■ Le nom de groupe tel qu’il apparaît aux systèmes d’exploitation antérieurs à

Windows 2000 est complété automatiquement. Ces systèmes d’exploitation ne sont plus pris en charge, mais peuvent toujours exister en cas de situation d’héritage. ■ Dans la section Étendue de groupe, choisissez Domaine local, Globale ou

Universelle. ■ Dans la section Type de groupe, choisissez Sécurité ou Distribution.

5. Lorsque vous avez terminé, cliquez sur OK. Le nouveau groupe apparaît dans l’OU sélectionnée. Vous devrez éventuellement patienter quelques minutes que le groupe se réplique sur le catalogue global avant d’ajouter des membres.

Chapitre 11

Gestion des utilisateurs et des groupes

205

Remarque Il n’est pas possible d’appliquer des stratégies de groupe aux groupes directement créés dans le conteneur Users (le comportement par défaut). En faisant appel aux OU et en y gérant les groupes, on optimise le contrôle sur la Stratégie de groupe appliquée.

Supprimer des groupes Quand un groupe devient superflu, supprimez-le sans plus tarder. En effet, un groupe inutilisé présente toujours un risque pour la sécurité, puisqu’il est particulièrement simple d’octroyer accidentellement des autorisations. Chaque groupe, comme chaque utilisateur, possède un identificateur de sécurité (SID) unique. Cet identificateur définit l’identité du groupe, ainsi que ses autorisations. Une fois un groupe détruit, son ID est supprimé et ne pourra pas être réutilisé. Si vous supprimez un groupe puis le recréez ultérieurement, vous devrez donc redéfinir ses membres et ses privilèges. Pour supprimer un groupe, cliquez droit sur son nom dans Utilisateurs et ordinateurs Active Directory et sélectionnez Supprimer. La suppression d’un groupe ne détruit que le groupe lui-même et ses autorisations, pas les membres du groupe.

Ajouter des utilisateurs à un groupe Une fois le groupe créé, on lui ajoute des membres. Comme précédemment mentionné dans ce chapitre, un groupe peut contenir des utilisateurs, des contacts, d’autres groupes et des ordinateurs. Voici comment ajouter des membres à un groupe :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Dans l’arborescence, cliquez droit sur le conteneur qui contient les objets à ajouter au groupe. 3. Sélectionnez les comptes à ajouter (servez-vous des touches MAJ et CTRL pour sélectionner plusieurs comptes). 4. Cliquez droit sur votre sélection et choisissez Ajouter à un groupe dans le menu contextuel. Dans la boîte de dialogue Sélectionnez Groupes, utilisez Sélectionnez le type de cet objet et À partir de cet emplacement pour restreindre la recherche. 5. Saisissez le nom du groupe et cliquez sur Vérifier les noms puis sur OK. Vous pouvez aussi envisager l’ajout d’utilisateurs à un groupe sous un autre angle en suivant ces étapes :

1. Cliquez droit sur un nom de groupe et choisissez Propriétés. 2. Cliquez sur l’onglet Membres puis sur Ajouter. Vérifiez que les champs Sélectionnez le type de cet objet et À partir de cet emplacement pointent vers les bons emplacements.

206

Partie II

Installation et configuration

3. Cliquez sur Avancé puis sur Rechercher. Tous les membres potentiels apparaissent. 4. Sélectionnez les comptes à ajouter et cliquez sur OK. Remarque Un contact est un compte dépourvu d’autorisations de sécurité, qui sert surtout à représenter des utilisateurs extérieurs pour les besoins de la messagerie. Un contact ne permet pas d’ouvrir de session sur le réseau.

Modifier l’étendue d’un groupe À l’usage, il se peut que vous deviez modifier l’étendue d’un groupe. Par exemple, vous voulez transformer un groupe global en groupe universel de façon à pouvoir y ajouter des utilisateurs provenant d’un autre domaine. Sachez, toutefois, que l’on ne peut pas faire n’importe quoi à ce niveau et que, parfois, il faudra supprimer le groupe et en créer un nouveau. Pour modifier l’étendue d’un groupe, cliquez droit sur le nom du groupe dans Utilisateurs et ordinateurs Active Directory, puis choisissez Propriétés dans le menu contextuel. Effectuez les modifications nécessaires dans l’onglet Général, puis cliquez sur OK quand vous aurez terminé. Voici les règles en matière de modification d’étendue : ■ Un groupe global peut devenir universel s’il n’est pas déjà membre d’un autre groupe

global. ■ Un groupe de domaine local peut devenir universel s’il ne contient pas déjà d’autres

groupes de domaine local. ■ Un groupe universel peut être converti en groupe global, dès lors qu’aucun groupe

universel n’en est membre.

Créer des groupes locaux Un groupe local est un ensemble de comptes utilisateur situés sur un même ordinateur. Les comptes utilisateur doivent être locaux sur l’ordinateur et les membres d’un groupe local ne peuvent bénéficier que des autorisations portant sur des ressources locales à l’ordinateur concerné. On peut créer des groupes locaux sur tout ordinateur Windows Server 2000 ou ultérieur, exception faite des contrôleurs de domaine. En général, on n’utilise pas (ou très peu) de groupes locaux sur un ordinateur appartenant à un domaine. Les groupes locaux n’apparaissent pas dans AD DS, de sorte que vous devez les administrer à part sur chaque ordinateur concerné. Ils peuvent être créés au niveau de la console ou à distance. Créer un groupe local au niveau de la console

1. Dans le menu Démarrer, cliquez droit sur Ordinateur et choisissez Gérer dans le menu contextuel.

Chapitre 11

Gestion des utilisateurs et des groupes

207

2. Dans l’arborescence, développez Outils système puis Utilisateurs et groupes locaux. 3. Cliquez droit sur le dossier Groupes et choisissez nouveau groupe dans le menu contextuel. 4. Dans la boîte de dialogue, tapez le nom du groupe et éventuellement une description. 5. Cliquez sur Ajouter pour ajouter des membres au groupe. Il est possible d’ajouter des membres ultérieurement. 6. Lorsque vous avez terminé, cliquez sur Créer. Le nouveau groupe figure désormais dans la liste des groupes du volet de droite. Créer un groupe local à distance

1. Cliquez sur Démarrer, puis sur Exécuter. Tapez mmc /a et cliquez sur OK. 2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable. 3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables (figure 11-3), sélectionnez Utilisateurs et groupes locaux et cliquez sur Ajouter.

Figure 11-3 Sélection du composant logiciel enfichable Utilisateurs et groupes locaux

4. Dans la boîte de dialogue Choix de l’ordinateur de destination, sélectionnez Un autre ordinateur et tapez le nom ou l’adresse IP de l’ordinateur. Cliquez sur Terminer et sur OK. 5. Dans l’arborescence, sélectionnez Utilisateurs et groupes locaux. Cliquez droit sur Groupes et sélectionnez Nouveau groupe. 6. Créez le groupe.

208

Partie II

Installation et configuration

Gérer les groupes par défaut et les droits utilisateur Lorsque l’on crée un domaine Active Directory hébergeant plusieurs contrôleurs de domaine Windows Server 2008, les groupes par défaut sont automatiquement créés dans les conteneurs Users et Builtin. La majorité de ces groupes bénéficie également de droits automatiquement octroyés aux membres du groupe. L’étendue des groupes par défaut du conteneur Builtin est Local intégré. Il est impossible de modifier leur étendue ou leur type. Le conteneur Users contient des groupes définis avec l’étendue Globale et l’étendue Domaine local. Il est possible de déplacer les groupes de ces conteneurs vers d’autres groupes et OU au sein du domaine, mais pas vers d’autres domaines.

Groupes locaux intégrés Les serveurs membres, les serveurs autonomes Windows 2000 Server (Service Pack 3 ou ultérieur), Windows 2000 Professionnel (Service Pack 3 ou ultérieur) ou Windows XP Professionnel (Service Pack 1 ou ultérieur) possèdent des groupes locaux prédéfinis permettant d’effectuer certaines tâches sur l’ordinateur local. Les groupes spécifiques diffèrent légèrement d’un ordinateur à un autre. Le tableau 11-1 énumère les groupes locaux prédéfinis par défaut sur un serveur Windows Server 2008 qui n’est pas contrôleur de domaine. Tableau 11-1

Groupes locaux par défaut

Groupe local

Description

Administrateurs

Ses membres peuvent effectuer toutes les tâches administratives sur l’ordinateur. Le compte Administrateur par défaut, créé lors de l’installation du système d’exploitation, est un membre de ce groupe. Quand un serveur (pas un contrôleur de domaine) ou un client Windows Vista, Windows XP Professionnel ou Windows 2000 Professionnel adhère à un domaine, le groupe Admins du domaine (voir tableau 11-3) devient membre de ce groupe.

Opérateurs de sauvegarde

Ses membres peuvent ouvrir une session sur l’ordinateur, faire des sauvegardes et des restaurations, et arrêter l’ordinateur. Ils ne peuvent pas modifier les paramètres de sécurité, mais peuvent les contourner pour la sauvegarde et la restauration. Par défaut, ce groupe n’accueille aucun membre.

Opérateurs de chiffrement

Ses membres peuvent effectuer des opérations de chiffrement. Il ne contient pas de membre par défaut.

Lecteurs des journaux d’événements

Ses membres peuvent lire des journaux d’événements provenant de l’ordinateur local. Il ne contient pas de membre par défaut.

Invités

Ses membres peuvent uniquement effectuer des tâches ou exploiter des ressources pour lesquelles un administrateur leur a octroyé des droits. Le compte invité est par défaut membre de ce groupe.

Chapitre 11

Gestion des utilisateurs et des groupes

209

Tableau 11-1 Groupes locaux par défaut Groupe local

Description

Utilisateurs du modèle COM distribué

Ses membres peuvent démarrer, activer et exploiter les objets DCOM sur cet ordinateur. Il ne contient pas de membre par défaut.

IIS_IUSRS

Employé par Internet Information Services.

Opérateurs de configuration réseau

Ses membres peuvent modifier les paramètres TCP/IP, ainsi que renouveler et libérer des adresses. Il ne contient pas de membre par défaut.

Utilisateurs de l’Analyseur de performances

Ses membres peuvent surveiller les compteurs de performance d’un serveur spécifique localement ou à distance. Il ne contient pas de membre par défaut.

Utilisateurs du journal de performances

Ses membres peuvent administrer les journaux, les compteurs et les alertes de performances sur un serveur spécifique, localement ou à distance. Il ne contient pas de membre par défaut.

Utilisateurs avec pouvoir

Ce groupe est uniquement inclus à des fins de rétrocompatibilité, mais par défaut, ses membres ne bénéficient pas de plus de droits ou d’autorisations que les comptes utilisateur standards. Si vous devez conserver ce groupe avec les droits et autorisations présents dans les précédentes versions de Windows, appliquez un modèle de sécurité octroyant ses droits et autorisations.

Opérateurs d’impression

Ses membres peuvent gérer les imprimantes et les file d’attente d’impression sur un serveur spécifique. Il ne contient pas de membre par défaut.

Utilisateurs du Bureau à distance

Ses membres sont autorisés à se connecter à distance. Il ne contient pas de membre par défaut.

Réplicateur

N’ajoutez pas de comptes utilisateur appartenant à de vrais utilisateurs à ce groupe. Si nécessaire, ajouter un compte utilisateur « factice » à ce groupe pour vous permettre d’ouvrir une session sur les Services de réplication d’un contrôleur de domaine et gérer la réplication des fichiers et de répertoires.

Utilisateurs

Ses membres peuvent ouvrir une session sur l’ordinateur, accéder au réseau, enregistrer des documents et éteindre l’ordinateur. Ils ne peuvent pas installer de programme ou modifier le système. Lorsque un serveur membre Windows 2000 Professionnel ou Windows XP Professionnel joint un domaine, le groupe Utilisateurs du domaine est ajouté à ce groupe. Les groupes Utilisateurs authentifiés et Interactif sont également membres de ce groupe. En conséquence, tous les comptes utilisateur sont automatiquement membres du groupe Utilisateurs.

Remarque Si vous ne souhaitez pas que les membres du groupe Utilisateurs du

domaine accèdent à une station de travail ou un serveur membre spécifique, supprimez le groupe Utilisateurs du domaine du groupe local Utilisateurs. De même, si vous ne voulez pas que les membres du groupe Admins du domaine administrent une station de travail ou un serveur membre spécifique, supprimez le groupe Admins du domaine du groupe local Administrateurs.

210

Partie II

Installation et configuration

Groupes de domaine local prédéfinis Les groupes de domaine local par défaut octroient aux utilisateurs des droits et des autorisations prédéfinis, permettant aux utilisateurs et les groupes globaux que vous y ajoutez, d’effectuer certaines tâches sur les contrôleurs de domaines et sur les services de domaine Active Directory. Le tableau 11-2 liste les groupes de domaine local par défaut les plus courants. Tableau 11-2

Groupes de domaine local par défaut fréquemment employés

Groupe de domaine local

Description

Opérateurs de compte

Ses membres peuvent créer, supprimer et gérer des comptes utilisateur et des groupes. Ils ne peuvent pas modifier les groupes Administrateurs, Admins du domaine, contrôleurs de domaines ni l’un des groupes d’opérateurs. Ses membres peuvent se connecter localement sur un contrôleur de domaine et l’arrêter. Il ne contient pas de membre par défaut.

Administrateurs

Ses membres disposent automatiquement de tous les droits et autorisations sur tous les contrôleurs de domaines et sur le domaine lui-même. Le compte Administrateur, le groupe Administrateurs de l’entreprise et le groupe Admins du domaine sont membres de ce groupe.

Groupe de réplication dont le mot de passe RODC est autorisé

Les membres de ce groupe peuvent répliquer leurs mots de passe sur un contrôleur de domaine en lecture seule (RODC, Read Only Domain Controller). Il ne contient pas de membre par défaut. Ce groupe apparaît dans l’OU Builtin lorsque l’on a créé un RODC dans le domaine.

Opérateurs de sauvegarde

Ses membres peuvent effectuer des sauvegardes et des restaurations sur tous les contrôleurs de domaine, y ouvrir une session et les arrêter. Il ne contient pas de membre par défaut et ses appartenances doivent être octroyées avec prudence. Ce groupe est différent du groupe local par défaut Opérateurs de sauvegarde.

Accès DCOM service de certificats

Ses membres peuvent publier des certificats pour des utilisateurs et des ordinateurs. Il ne contient pas de membre par défaut.

Opérateurs de chiffrement

Ses membres peuvent effectuer des opérations de chiffrement. Il ne contient pas de membre par défaut.

Groupe de réplication dont le mot de passe RODC est refusé

Les membres de ce groupe ne peuvent pas répliquer leurs mots de passe sur un contrôleur de domaine en lecture seule. Ses membres par défaut sont Éditeurs de certificats, Admins du domaine, Contrôleurs de domaines, Administrateurs de l’entreprise, Propriétaires créateurs de la stratégie de groupe, Contrôleurs de domaine en lecture seule et Administrateurs du schéma. Ce groupe apparaît dans l’OU Builtin lorsque l’on a créé un RODC dans le domaine.

Chapitre 11

Gestion des utilisateurs et des groupes

211

Tableau 11-2 Groupes de domaine local par défaut fréquemment employés Groupe de domaine local

Description

Utilisateurs du modèle COM distribué

Ses membres peuvent démarrer, activer et exploiter des objets COM distribués. Il ne contient pas de membre par défaut.

Lecteurs des journaux d’événements

Ses membres peuvent lire des journaux d’événements provenant d’un ordinateur local. Il ne contient pas de membre par défaut.

Invités

Par défaut, ses membres bénéficient du même accès que les membres du groupe Utilisateurs, à l’exception du compte Invité, qui est plus restreint. Les groupes Invités et Invités du domaine en sont membres par défaut.

IIS_IUSRS

Groupe prédéfinis employé par Internet Information Services.

Générateurs d’approbations de forêt entrante (apparaît uniquement sur le domaine racine d’une forêt)

Ses membres peuvent autoriser une approbation de forêt entrante pour permettre aux utilisateurs d’une autre forêt d’accéder aux ressources de la forêt d’accueil. Il ne contient pas de membre par défaut.

Opérateurs de configuration réseau

Ses membres peuvent modifier les paramètres TCP/IP et renouveler ou libérer des adresses sur des contrôleurs de domaine. Il ne contient pas de membre par défaut.

Utilisateurs de l’Analyseur de performances

Ses membres peuvent surveiller les compteurs de performance sur les contrôleurs de domaine localement ou à partir de clients distants, sans être Administrateurs ou membres du groupe Utilisateurs du journal de performances. Il ne contient pas de membre par défaut.

Utilisateurs du journal de performances

Ses membres peuvent gérer les journaux de performance, les compteurs et les alertes sur les contrôleurs de domaine, localement ou à distance, sans être Administrateurs. Il ne contient pas de membre par défaut.

Accès compatible pré-Windows 2000

Assure la rétrocompatibilité pour les ordinateurs Windows NT 4. Ajoutez des utilisateurs à ce groupe seulement s’ils utilisent Windows NT 4. Il ne contient pas de membre par défaut.

Opérateurs d’impression

Ses membres peuvent administrer tous les aspects du fonctionnement et de la configuration des imprimantes du domaine. Il ne contient pas de membre par défaut.

Utilisateurs du Bureau à distance

Ses membres peuvent se connecter à distance sur les contrôleurs de domaine. Il ne contient pas de membre par défaut.

Réplicateur

Prend en charge la réplication des fichiers.

Opérateurs de serveur

Ses membres peuvent effectuer la plupart des tâches administratives sur les contrôleurs de domaine, mais ils ne peuvent pas modifier les options de sécurité. Il ne contient pas de membre par défaut.

212

Partie II Tableau 11-2

Installation et configuration Groupes de domaine local par défaut fréquemment employés

Groupe de domaine local

Description

Serveurs de licences des services Terminal Server

Ses membres peuvent actualiser les comptes utilisateur dans Active Directory pour suivre Terminal Server et générer des rapports, par utilisateur. Il ne contient pas de membre par défaut.

Utilisateurs

Ses membres peuvent ouvrir une session sur l’ordinateur, accéder au réseau, enregistrer des documents et éteindre l’ordinateur. Ils ne peuvent pas installer de programme ou modifier le système. Les utilisateurs authentifiés et les Utilisateurs du domaine en sont membres par défaut.

Accès autorisation Windows

Ses membres ont accès à l’attribut calculé tokenGroupsGlobalAndUniversal sur les objets Utilisateur.

Remarque Sous Windows NT, tous les utilisateurs du domaine sont membres du

groupe Tout le monde. Ce groupe, qui est géré par le système d’exploitation, apparaît sur tous les réseaux contenant des serveurs Windows NT. Sous Windows 2000 et ultérieur, le groupe équivalent s’appelle Utilisateurs authentifiés. Contrairement à Tout le monde, Utilisateurs authentifiés ne contient ni utilisateurs anonymes ni invités. Le groupe Tout le monde survit sous la forme d’une identité spéciale. Vous ne le voyez pas quand vous administrez les groupes, et vous ne pouvez pas le placer dans un groupe. Quand un utilisateur ouvre une session sur le réseau, il est automatiquement ajouté à Tout le monde. Vous ne pouvez ni afficher ni modifier les membres des identités spéciales, lesquelles comprennent également les groupes Réseau et Interactif.

Groupes globaux prédéfinis Les groupes globaux par défaut recouvrent les types de comptes utilisateur les plus courants. Par défaut, ces groupes n’ont pas de privilèges intrinsèques ; c’est à l’administrateur d’affecter les privilèges aux groupes. En revanche, ces groupes reçoivent automatiquement certains membres et l’on peut ajouter d’autres membres, selon ses besoins en matière d’affectation de privilèges. On octroie les droits directement aux groupes ou on les ajoute indirectement en plaçant les groupes globaux prédéfinis dans des groupes de domaine local. Le tableau 1-3 énumère les groupes globaux prédéfinis les plus fréquemment employés. Tableau 11-3

Groupes globaux par défaut fréquemment employés

Groupe global

Description

DnsUpdateProxy (installé avec DNS)

Les membres sont des clients DNS qui peuvent fournir des mises à jour DNS dynamiques au nom d’autres clients. Il ne contient pas de membre par défaut.

Admins du domaine

Ce groupe est automatiquement membre du groupe de domaine local Administrateurs, ce qui fait que ses membres peuvent effectuer des tâches administratives sur tous les ordinateurs du domaine. Ce groupe est automatiquement membre du groupe Administrateurs et du Groupe de réplication dont le mot de passe RODC est refusé. Par défaut, le compte Administrateur est membre de ce groupe.

Chapitre 11

Gestion des utilisateurs et des groupes

213

Tableau 11-3 Groupes globaux par défaut fréquemment employés Groupe global

Description

Ordinateurs du domaine

Tous les contrôleurs et toutes les stations du domaine en sont membres.

Contrôleurs de domaine

Tous les contrôleurs du domaine en sont membres. Ce groupe est automatiquement membre du Groupe de réplication dont le mot de passe RODC est refusé.

Invités du domaine

Par défaut, le compte Invité est membre de ce groupe qui, de son côté, est automatiquement membre du groupe de domaine local Invités.

Utilisateurs du domaine

Le compte Administrateur et tous les comptes utilisateur sont membres de ce groupe qui, de son côté, est automatiquement membre du groupe de domaine local Utilisateurs.

Propriétaires créateurs de la stratégie de groupe

Ses membres peuvent créer et modifier la stratégie de groupe du domaine. Le compte Administrateur est un membre par défaut de ce groupe qui est lui-même automatiquement membre du Groupe de réplication dont le mot de passe RODC est refusé.

Remarque Si certains utilisateurs doivent bénéficier de moins de droits et/ou d’autorisations que la moyenne des utilisateurs, ajoutez-les au groupe Invités du domaine et retirez-les du groupe Utilisateurs du domaine.

Définir les droits utilisateur Ce que les utilisateurs peuvent ou ne peuvent pas faire dépend des droits et des autorisations qui leur ont été accordés. Les droits concernent, généralement, le système dans sa globalité. Par exemple, la capacité de sauvegarder des fichiers ou d’ouvrir une session sur un serveur est un droit que l’administrateur donne ou reprend. On peut les octroyer de manière individuelle mais, le plus souvent, on les assigne à des groupes, auxquels on ajoute ensuite des utilisateurs en fonction des droits dont ils ont besoin. Les autorisations indiquent les accès dont peut bénéficier un utilisateur (ou un groupe) sur certains objets tels que fichiers, répertoires et imprimantes. Par exemple, la question de savoir si un utilisateur peut lire tel ou tel répertoire ou accéder à telle ou telle imprimante est une autorisation. Nous verrons les autorisations plus loin dans ce chapitre. Les droits, quant à eux, se divisent en deux types : privilèges et droits d’ouverture de session. Les privilèges incluent, par exemple, la possibilité d’exécuter des audits de sécurité ou de forcer l’arrêt du système depuis un autre ordinateur (ce qui n’entre pas, évidemment, dans le cadre du travail de l’utilisateur ordinaire). Les droits d’ouverture de session concernent la capacité de se connecter à un ordinateur. Les groupes par défaut de Windows Server 2008 bénéficient automatiquement des droits, mais il est possible d’octroyer des droits à des utilisateurs individuels ou à des groupes. Mieux vaut les affecter aux groupes afin de simplifier l’administration. En effet, si l’on définit ou retire les droits à un utilisateur par le biais des groupes, il suffit d’ôter celui-ci du groupe concerné. Les tableaux 11-4 et 11-5

214

Partie II

Installation et configuration

énumèrent les droits d’ouverture de session et les privilèges, ainsi que les groupes auxquels ils sont affectés par défaut. Tableau 11-4

Droits d’ouverture de session octroyés aux groupes par défaut Groupes bénéficiant de Groupes bénéficiant de ce droit sur les contrôleurs ce droit sur les stations de domaine de travail et les serveurs

Nom

Description

Accéder à cet ordinateur à partir du réseau

Permet de se connecter à l’ordinateur via le réseau

Administrateurs, Utilisateurs Administrateurs, authentifiés, Tout le monde, Opérateurs de sauvegarde, Accès compatible préUtilisateurs, Tout le monde Windows 2000, Contrôleurs de domaine de l’entreprise

Autoriser l’ouverture d’une session locale

Permet d’ouvrir une session interactive sur l’ordinateur

Administrateurs, Opérateurs de compte, Opérateurs de sauvegarde, Opérateurs d’impression, Opérateurs de serveur

Administrateurs, Opérateurs de sauvegarde, Utilisateurs

Autoriser l’ouverture d’une session par les services Terminal Server

Permet d’ouvrir une session en tant que client des services Terminal Server

Administrateurs

Administrateurs, Utilisateurs du Bureau à distance

Tableau 11-5

Privilèges octroyés aux groupes par défaut Groupes auxquels ce privilège est octroyé par défaut

Privilège

Description

Agir en tant que partie du système d’exploitation

Aucun Permet à un processus d’être authentifié comme n’importe quel utilisateur. Un processus nécessitant ce privilège doit employer le compte Système local qui inclut déjà ce privilège.

Ajouter des stations de travail au domaine

Permet à un utilisateur d’ajouter des stations à un domaine existant.

Utilisateurs authentifiés sur les contrôleurs de domaine

Ajuster les Permet à un utilisateur de définir la Administrateurs, Service local et quotas de quantité maximale de mémoire qu’un Service réseau mémoire pour processus peut utiliser. un processus

Chapitre 11

Gestion des utilisateurs et des groupes

215

Tableau 11-5 Privilèges octroyés aux groupes par défaut Groupes auxquels ce privilège est octroyé par défaut

Privilège

Description

Arrêter le système

Arrête l’ordinateur local.

Administrateurs, Opérateurs de sauvegarde, Opérateurs d’impression et Opérateurs de serveur sur les contrôleurs de domaine. Administrateurs et Opérateurs de sauvegarde sur les serveurs membres. Administrateurs, Opérateurs de sauvegarde et Utilisateurs sur les stations de travail

Augmenter la priorité de planification

Permet l’utilisation du Gestionnaire des tâches pour modifier la priorité de planification d’un processus.

Administrateurs

Charger et décharger les pilotes de périphériques

Installe et supprime les pilotes de périphériques Plug and Play.

Administrateurs et Opérateurs d’impression sur les contrôleurs de domaine, Administrateurs sur les autres ordinateurs.

Contourner la Permet à un utilisateur de parcourir vérification de directement les arborescences parcours (structures de dossiers), même s’il ne bénéficie pas des autorisations d’accès aux répertoires parcourus.

Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sur les contrôleurs de domaine. Sur les serveurs et les stations de travail : Administrateurs, Opérateurs de sauvegarde, Utilisateurs, Tout le monde, Service local, Service réseau

Créer des objets globaux

Permet la création d’objets globaux dans une session Terminal Server.

Administrateurs, Service, Service local, Service réseau

Créer un fichier d’échange

Permet la création et la modification d’un fichier d’échange.

Administrateurs

Déboguer les programmes

Permet à un utilisateur d’associer un débogueur à un processus.

Administrateurs

Emprunter Autorise un compte à emprunter l’identité d’un l’identité d’un autre compte. client après l’authentificati on

Administrateurs

Forcer l’arrêt à Autorise l’arrêt d’un ordinateur à partir d’un partir d’un emplacement distant sur système le réseau. distant

Administrateurs et Opérateurs de serveur sur les contrôleurs de domaine, Administrateurs sur les serveurs membres et les stations de travail

216

Partie II Tableau 11-5

Installation et configuration Privilèges octroyés aux groupes par défaut

Privilège

Description

Groupes auxquels ce privilège est octroyé par défaut

Administrateurs Gérer le Permet à un utilisateur de spécifier journal d’audit les options d’audit, d’afficher et de et de sécurité vider le journal de sécurité dans l’Observateur d’événements. Auditer l’accès au service d’annuaire doit être activé pour réaliser l’audit de l’accès aux objets. Les Administrateurs peuvent toujours afficher et vider le journal de sécurité. Modifier l’heure système

Permet de définir l’horloge système interne de l’ordinateur.

Administrateurs et Opérateurs de serveur sur les contrôleurs de domaine, Administrateurs sur les serveurs et les stations de travail, Service local.

Permet la configuration de RAM non Administrateurs Modifier les volatile sur des ordinateurs qui valeurs de l’environneme prennent en charge cette fonction. nt du microprogram me Performance système du profil

Permet l’échantillonnage des performances du système.

Permet à un utilisateur de définir le Permettre à l’ordinateur et paramètre Approuvé pour délégation sur un objet. aux comptes d’utilisateurs d’être approuvés pour la délégation

Administrateurs

Administrateurs sur les contrôleurs de domaine, non attribué sur les serveurs membres et les stations de travail

Prendre possession de fichiers ou d’autres objets

Permet à un utilisateur de prendre Administrateurs possession de tout objet de sécurité, dont les fichiers et les dossiers, les imprimantes, les clés de registre et les processus.

Processus unique du profil

Permet l’échantillonnage des performances d’un processus.

Administrateurs. Sur les serveurs membres et les stations de travail : Administrateurs et Utilisateurs.

Restaurer les fichiers et les répertoires

Permet de restaurer les fichiers et les dossiers sur un système. Surpasse les autorisations spécifiques appliquées aux fichiers ou dossiers.

Administrateurs, Opérateurs de sauvegarde et Opérateurs de serveur sur les contrôleurs de domaine. Administrateurs et Opérateurs de sauvegarde sur les stations de travail et les serveurs.

Chapitre 11

Gestion des utilisateurs et des groupes

217

Tableau 11-5 Privilèges octroyés aux groupes par défaut Privilège

Description

Retirer l’ordinateur de la station d’accueil

Permet de retirer un ordinateur portable d’une station d’accueil avec la fonction Éjecter l’ordinateur du menu Démarrer.

Groupes auxquels ce privilège est octroyé par défaut Administrateurs et Utilisateurs

Sauvegarder Autorise la sauvegarde du système. Administrateurs, Opérateurs de les fichiers et Surpasse les autorisations spécifiques serveurs (sur les contrôleurs de les répertoires appliquées à un fichier ou un dossier. domaine), Opérateurs de sauvegarde Synchroniser les données du service d’annuaire

Permet à un utilisateur d’initier une synchronisation d’Active Directory

Aucun

Affecter des droits utilisateur à un groupe Pour assigner ou retirer des droits au niveau d’un domaine, le plus simple est de passer par la Stratégie de groupe. Supposons qu’un groupe d’utilisateurs doit pouvoir ouvrir des sessions locales sur les serveurs Windows Server 2008, mais vous ne voulez pas que ces utilisateurs soient membres de l’un des groupes possédant par défaut ce droit. Une solution consiste à créer un groupe appelé, par exemple, Droits Ouverture de session, à ajouter les utilisateurs à ce groupe, puis à octroyer au groupe le droit d’ouvrir des sessions locales. Voici comment affecter un droit à un groupe :

1. Dans les Outils d’administration, démarrez Gestion des stratégies de groupe. 2. Développez le nom de domaine. Cliquez droit sur Objets de stratégie de groupe et sélectionnez Nouveau dans le menu contextuel. 3. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom de la nouvelle stratégie, comme le montre 11-4, et cliquez sur OK.

Figure 11-4 Création d’un nouvel objet GPO

4. Cliquez droit sur l’objet de stratégie de groupe et sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe. 5. Développez les nœuds Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies locales et Attribution des droits utilisateur. 6. Dans le volet des détails, double cliquez sur Autoriser l’ouverture de session locale.

218

Partie II

Installation et configuration

7. Cochez la case Définir ces paramètres de stratégie et cliquez sur Ajouter un utilisateur ou un groupe. 8. Tapez le nom du groupe auquel accorder ce droit (ou cliquez sur Parcourir pour le localiser). Cliquez sur OK. Vous devrez également ajouter un compte ou un groupe administratif. 9. Cliquez sur OK et fermez l’Éditeur de gestion des stratégies de groupe. Servez-vous du même processus pour supprimer des droits et cliquez sur Supprimer au lieu d’Ajouter un utilisateur ou un groupe à l’étape 7. Cette méthode permet également d’accorder des droits à un utilisateur individuel.

Affecter des droits localement Vous pouvez affecter ou supprimer des droits localement, sachant qu’une stratégie définie au niveau du domaine a priorité sur une stratégie locale. Voici comment assigner une stratégie localement :

1. Dans les Outils d’administration, sélectionnez Stratégie de sécurité locale. 2. Sous Paramètres de sécurité, cliquez sur Stratégies locales, puis sur Attribution des droits utilisateur. 3. Dans le volet des détails, double cliquez sur la stratégie à affecter pour ouvrir la fenêtre Propriétés de la stratégie. 4. Cliquez sur Ajouter un utilisateur ou un groupe pour choisir un utilisateur ou un groupe dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes. Vérifiez que les champs Types d’objets et Emplacements pointent vers les emplacements appropriés. Cliquez sur Avancé puis sur Rechercher. Tous les membres potentiels apparaissent. 5. Sélectionnez les comptes à ajouter et cliquez sur OK. Si les boutons Ajouter un utilisateur ou un groupe et Supprimer ne sont pas accessibles dans la fenêtre Propriétés, cela signifie que la stratégie a été définie au niveau du domaine et qu’elle ne peut pas être modifiée au niveau local.

Créer des comptes utilisateur Toute personne voulant accéder au réseau doit posséder un compte utilisateur, lequel permet : ■ D’authentifier l’identité de la personne se connectant au réseau ; ■ De contrôler les accès aux ressources du domaine ; ■ D’auditer les actions faites via le compte.

Sur un contrôleur de domaine, Windows Server 2008 ne crée que deux comptes prédéfinis : le compte Administrateur, bénéficiant de tous les droits et de toutes les autorisations, et le

Chapitre 11

Gestion des utilisateurs et des groupes

219

compte Invité, bénéficiant de droits restreints. L’administrateur crée tous les autres comptes, lesquels sont des comptes de domaine (valides par défaut sur tout le domaine) ou des comptes locaux (valides uniquement sur l’ordinateur où ils sont créés).

Nommer les comptes utilisateur Dans Services de domaine Active Directory, chaque compte utilisateur possède un nom d’entité qui se compose de deux parties : le nom de l’entité de sécurité et le suffixe de l’entité. Pour les comptes Windows NT existants, l’entité de sécurité est, par défaut, le nom utilisé pour la connexion au domaine Windows NT. Pour ce qui concerne les nouveaux comptes Windows Server 2008, c’est un administrateur qui affecte le nom de l’entité de sécurité. Le suffixe par défaut de l’entité correspond au nom DNS du domaine racine. Ainsi, l’utilisateur nommé EdouardP dans un domaine Windows NT aura un nom d’entité du genre [email protected] dans Windows 2000 et ultérieur.

Options des comptes Pour simplifier le processus de création des comptes, planifiez-en le paramétrage. Voici les paramètres de compte à considérer : ■ Horaires d’accès. Par défaut, un utilisateur peut ouvrir une session à toute heure du jour

ou de la nuit. Pour des raisons de sécurité, il est préférable de limiter les accès à tout ou partie des utilisateurs, à certaines heures de la journée ou à certains jours de la semaine. ■ Se connecter à. Par défaut, les utilisateurs peuvent ouvrir une session sur toutes les

stations. Pour des raisons de sécurité, vous pouvez imposer que les ouvertures de session se fassent uniquement sur un ou plusieurs ordinateurs spécifiés. ■ Date d’expiration. Vous pouvez définir une date d’expiration pour un compte. Il va

sans dire que cette option est très judicieuse lorsqu’elle concerne des salariés temporaires (vous prendrez des dates d’expiration qui coïncident avec la fin de leurs contrats). Il existe bien d’autres options pour les comptes utilisateur et nous les détaillerons à la section « Configurer les propriétés d’un compte utilisateur », plus loin dans ce chapitre. Les trois options que nous venons de mentionner sont celles que l’on applique le plus souvent à la majorité des utilisateurs.

En pratique Établir une convention de dénomination Créez des entités de sécurité en suivant une convention de dénomination cohérente, de façon que les utilisateurs et vous-même puissiez mémoriser les noms et les retrouver dans des listes. Voici quelques possibilités : ■ Prénom plus initiale du nom. Par exemple, MichelG et SuzonM. En cas de

doublons, vous pouvez ajouter des numéros (MichelG1 et MichelG2) ou des lettres supplémentaires (IngridMat et IngridMur).

220

Partie II

Installation et configuration

■ Prénom plus un nombre. Par exemple, David112 et David113. Cette approche

peut être problématique, en particulier pour les personnes dont le prénom apparaît souvent dans la population. Même l’utilisateur risque de ne pas se rappeler son nom. ■ Initiale du prénom plus nom. Par exemple, MRicci. En cas de doublons, vous

pouvez utiliser, par exemple, MiRicci et MaRicci ou MRicci1 et MRicci2. ■ Nom plus une initiale. Cette convention est utile sur les grands réseaux. En cas

de doublons, vous pouvez ajouter quelques lettres ; par exemple, DupontLo et DupontLa. Quelle que soit la solution retenue, elle doit pouvoir s’adapter aux utilisateurs tant existants qu’à venir. Que le prochain salarié s’appelle M’Ba ou Coupé de Kermartin de Tregastel, vous devez pouvoir le faire entrer dans le schéma de dénomination général.

Mots de passe Tous les utilisateurs doivent avoir des mots de passe bien choisis et en changer périodiquement. Définissez les mots de passe en vous inspirant des conseils donnés dans l’encadré « Du bon choix des mots de passe ». Configurez les comptes pour qu’ils soient bloqués en cas de saisie de mots de passe invalides (autorisez trois tentatives, par exemple, pour tenir compte des fautes de frappe).

En pratique Du bon choix des mots de passe Un bon mot de passe possède les caractéristiques suivantes : ■ Ce n’est pas une permutation des caractères du nom de l’utilisateur (même le

pirate le plus idiot y pense !). ■ Il contient au moins deux caractères alphabétiques et un caractère non

alphabétique. ■ Il est composé d’au moins huit caractères. ■ Ce n’est pas le nom de l’utilisateur, ni celui de sa belle-mère ou de son canari ; ce

ne sont pas, non plus, les initiales de l’utilisateur ou de ses enfants ; ce n’est pas une date de naissance ou toute autre donnée personnelle (numéro de téléphone, numéro minéralogique de l’auto, etc.). Parmi les bons mots de passe, citons par exemple l’acronyme alphanumérique d’une suite de mots qui a un sens pour l’utilisateur, mais pas pour les autres. Cela rend le mot de passe facile à mémoriser pour l’utilisateur et difficile à deviner pour autrui. On peut aussi utiliser une « phrase de passe », autrement dit une phrase entière, avec espaces et ponctuation. Faites comprendre aux utilisateurs l’intérêt des mots de passe et de leur confidentialité, mais donnez vous-même l’exemple : vérifiez que le mot de passe que vous vous êtes

Chapitre 11

Gestion des utilisateurs et des groupes

221

choisi pour l’administration est un bon mot de passe et changez-en souvent. Vous éviterez ainsi que quelqu’un ne s’introduise dans votre système et sème la panique dans votre domaine réservé. Si des utilisateurs accèdent au réseau depuis un site distant ou leur domicile, il faudra peut-être prévoir d’autres mesures de sécurité en plus de l’authentification des mots de passe au niveau du domaine.

Créer un compte utilisateur de domaine Vous pouvez créer un compte utilisateur de domaine dans l’OU par défaut Users, mais vous pouvez aussi créer une autre OU destinée à les héberger. Pour ajouter un compte utilisateur de domaine, procédez de la manière suivante :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Cliquez droit sur le conteneur dans lequel créer le compte, choisissez Nouveau puis Utilisateur dans le menu contextuel. 3. Tapez le nom et le prénom de l’utilisateur, comme le montre la figure 11-5. La zone de texte Nom complet se remplit automatiquement. Le nom complet doit être unique dans l’OU où vous créez le compte.

Figure 11-5 Création d’un nouvel utilisateur

4. Indiquez le nom d’ouverture de session basé sur la convention de dénomination choisie. Ce nom doit être unique dans Active Directory. Le nom d’ouverture de session pré-Windows 2000 se complète automatiquement. Ce nom servira à ouvrir des sessions à partir des ordinateurs Windows antérieur à Windows 2000, par exemple Windows NT. Cliquez sur Suivant. 5. Tapez un mot de passe et définissez les stratégies de mot de passe. Cliquez sur Suivant. Une page de confirmation s’affiche.

222

Partie II

Installation et configuration

6. Si les détails du compte sont corrects, cliquez sur Terminer. Sinon, cliquez sur Précédent et apportez les corrections. À ce stade, le nouveau compte utilisateur est ajouté à l’OU avec des paramètres par défaut. Comme il est peu probable que ces paramètres par défaut vous conviennent, vous devrez les modifier. Tel sera l’objet de la section « Configurer les propriétés d’un compte utilisateur », plus loin dans ce chapitre.

Créer un compte utilisateur local Un compte local ne peut pas accéder au domaine, mais uniquement aux ressources de l’ordinateur où il est créé et utilisé. Voici comment créer un compte local sur un client Windows Vista :

1. Dans le menu Démarrer, cliquez droit sur Ordinateur et choisissez Gérer dans le menu contextuel. 2. Dans l’arborescence, sélectionnez Utilisateurs et groupes locaux. Cliquez droit sur Utilisateurs et choisissez Nouveau dans le menu contextuel. 3. Dans la boîte de dialogue Nouvel utilisateur, fournissez le nom d’utilisateur, le nom complet et une description. 4. Tapez un mot de passe et définissez les stratégies de mot de passe. Cliquez sur Créer. À ce stade, le nouveau compte utilisateur est créé avec des paramètres par défaut. Les comptes locaux peuvent appartenir à des groupes créés localement (sur cet ordinateur). Remarque Pour créer un compte utilisateur local sur un ordinateur Windows

XP, ser vez-vous de la procédure ci avant, mais à l’étape 1, dans le menu Démarrer, cliquez droit sur Poste de travail.

Configurer les propriétés d’un compte utilisateur La boîte de dialogue des propriétés d’un compte utilisateur du domaine peut accueillir jusqu’à 13 onglets, selon la configuration du domaine. Le tableau 11-6 détaille ces onglets. Toutes les données saisies dans la boîte de dialogue des propriétés peuvent servir de critères de recherche dans Active Directory. Par exemple, vous pouvez trouver le numéro de téléphone ou le service d’un utilisateur en faisant une recherche sur le nom de cet utilisateur. Voici comment configurer les propriétés d’un compte utilisateur de domaine :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Ouvrez l’OU contenant le compte utilisateur du domaine concerné. 3. Double cliquez sur le compte utilisateur pour ouvrir la boîte de dialogue Propriétés. 4. Cliquez sur l’onglet des propriétés à définir. Effectuez les modifications de votre choix et cliquez sur OK lorsque vous avez terminé.

Chapitre 11

Gestion des utilisateurs et des groupes

223

Tableau 11-6 Onglets de la boîte de dialogue Propriétés d’un compte utilisateur de domaine Onglet

Description

Général

Nom et prénom, description, bureau, numéro de téléphone, adresse de messagerie et page web de l’utilisateur.

Adresse

Adresse physique de l’utilisateur.

Compte

Nom d’ouverture de session, horaires d’accès, options de mot de passe et date d’expiration du compte.

Profil

Chemin d’accès du profil utilisateur, chemin d’accès du script d’ouverture de session, chemin d’accès du répertoire personnel de l’utilisateur et toute connexion automatique à des lecteurs réseau.

Téléphones

Numéros de téléphone complémentaires (radiomessagerie, téléphone mobile, téléphone IP, etc.).

Organisation

Fonction service, société, gestionnaire et collaborateurs directs de l’utilisateur.

Contrôle à distance

Configure le degré avec lequel un administrateur peut voir ou contrôler les sessions Terminal Services de l’utilisateur.

Profil des services Terminal Server

Profil des services Terminal Server de l’utilisateur.

COM+

Appartenance de l’utilisateur dans les groupes de partitions COM+.

Membre de

Appartenances de l’utilisateur.

Appel entrant

Accès réseau par numérotation de l’utilisateur.

Environnement

Paramètres de l’environnement des services Terminal Server de l’utilisateur.

Sessions

Paramètres de connexion et de déconnexion des services Terminal Server.

Remarque Dans le menu Affichage d’Utilisateurs et ordinateurs Active Directory, sélectionnez Fonctionnalités avancées pour afficher d’autres onglets, comme Certificats publiés, Objet et Sécurité.

Tester les comptes utilisateur À mesure que vous développez les différents types de comptes utilisateur, testez-les. Créez un compte factice auquel vous appliquez les appartenances et les restrictions que vous prévoyez d’employer. Ouvrez ensuite une session sur un poste client et voyez si le compte produit les résultats escomptés : ■ Testez les restrictions d’horaires d’accès et de mots de passe en essayant de les contourner. ■ Testez les répertoires personnels et les profils (traités à la section « Répertoires de

base », plus loin dans ce chapitre) pour vérifier où ils sont réellement créés. ■ Testez les profils itinérants en ouvrant des sessions depuis divers ordinateurs.

224

Partie II

Installation et configuration

■ Testez les appartenances de groupes en effectuant des tâches qu’elles sont censées

permettre (ou interdire), par exemple en essayant d’ouvrir une session sur un serveur. Il est préférable de découvrir un paramètre mal configuré dans un environnement de test. Testez les paramètres de la Stratégie de groupe en vous servant du Jeu de stratégie résultant, décrit au chapitre 13 du tome 1.

Gérer les comptes utilisateur La gestion des comptes utilisateur, surtout sur les grands réseaux, est un processus permanent d’ajouts, de suppressions et de modifications. Ces tâches ne sont guère difficiles, mais sont gourmandes de votre précieux temps, mieux vaut donc les gérer avec minutie.

Localiser un compte utilisateur Sur les petits réseaux, rien de plus simple que de localiser un utilisateur grâce à Utilisateurs et ordinateurs Active Directory. Sur de grands réseaux, des techniques plus élaborées s’imposent. Pour localiser un compte utilisateur, ouvrez Utilisateurs et ordinateurs Active Directory et, dans la barre d’outils, cliquez sur l’icône Rechercher.

Dans la boîte de dialogue Rechercher Utilisateurs, contacts et groupes, cliquez sur la flèche de la liste déroulante Rechercher. Notez que cette boîte de dialogue permet également de localiser des ordinateurs, des imprimantes, des dossiers partagés, des OU, etc., comme le montre la figure 11-6.

Figure 11-6 L’outil de recherche autorise des recherches spécifiques.

Chapitre 11

Gestion des utilisateurs et des groupes

225

Dans la zone Dans, sélectionnez l’étendue de la recherche. Tapez tout ou partie du nom et cliquez sur Rechercher. Une recherche sur une partie du nom retourne tous les utilisateurs, contacts et groupes dont le nom contient cette chaîne. Choisissez une autre option dans la liste Rechercher et les paramètres possibles s’adaptent. Par exemple, si vous sélectionnez Requêtes communes, la boîte de dialogue vous propose immédiatement de rechercher les comptes désactivés ou les comptes ayant un mot de passe expiré. Pour une recherche encore plus précise, cliquez sur l’onglet Avancé (qui n’apparaît que pour certains choix dans la liste déroulante). La liste déroulante Champ vous propose de préciser n’importe quelle information d’un enregistrement d’utilisateur, de contact, de groupe ou de tout autre objet. La figure 11-7 montre une recherche pour une imprimante qui saurait imprimer en recto verso, au format A4, avec une résolution de 600 dpi au minimum, à raison de quatre pages par minute au minimum.

Figure 11-7 Localisation d’une imprimante dans Active Directory possédant des critères spécifiques

Désactiver et activer un compte utilisateur Il est possible de désactiver un compte utilisateur de domaine pour un certain temps, sans le supprimer définitivement. Pour cela, localisez le compte de l’utilisateur, cliquez droit sur le nom de l’utilisateur, puis choisissez Désactiver le compte (figure 11-8).

226

Partie II

Installation et configuration

Figure 11-8 Désactivation d’un compte utilisateur

Une boîte de message signale alors que l’objet a été désactivé. Pour réactiver un compte, suivez la même procédure mais en choisissant Activer le compte.

Supprimer un compte utilisateur Chaque compte utilisateur du domaine est associé à un SID unique qui n’est jamais réutilisé. En d’autres termes, un compte supprimé l’est définitivement. Si vous supprimez, par exemple et par mégarde, le compte de Jérémy et que vous voulez par la suite le recréer, vous devrez non seulement recréer le compte mais redéfinir aussi les autorisations, les paramètres, les appartenances de groupes, ainsi que toutes les autres propriétés associées au compte utilisateur d’origine. En conséquence, mieux vaut commencer par désactiver un compte et ne le supprimer que lorsqu’on est certain qu’il ne sert plus à rien. Dans la mesure où il faut supprimer de temps en temps des comptes, voici la manœuvre la plus adéquate : localisez le compte de l’utilisateur. Cliquez droit sur son nom et choisissez Supprimer. Active Directory vous demande de confirmer la suppression. Cliquez sur Oui pour supprimer le compte.

Déplacer un compte utilisateur Pour transférer un compte utilisateur d’un conteneur à un autre, localisez le compte dans Active Directory, cliquez droit sur le compte utilisateur et choisissez Déplacer. Sélectionnez le conteneur de destination et cliquez sur OK. Vous pouvez aussi faire glisser le compte vers le nouveau conteneur. Pour sélectionner plusieurs comptes utilisateur à déplacer simultanément, servez-vous des touches CTRL et MAJ.

Chapitre 11

Gestion des utilisateurs et des groupes

227

Renommer un compte utilisateur Si vous devez renommer un compte, par exemple, si vous avez configuré les paramètres d’un compte pour un poste spécifique de l’entreprise et que ce poste échoit à une autre personne, vous pouvez modifier le prénom, le nom et le nom d’ouverture de session du compte. Voici comment renommer un compte :

1. Localisez le compte utilisateur existant. Cliquez droit sur son nom et choisissez Renommer dans le menu contextuel (vous pouvez aussi cliquer deux fois). 2. Appuyez sur la touche SUPPR, puis ENTRÉE pour ouvrir la boîte de modification du nom de l’utilisateur. 3. Procédez aux modifications et cliquez sur OK. Le nom du compte change, mais toutes les autorisations et autres paramètres restent tels quels. Il faut aussi modifier toutes les autres données personnelles de la boîte de dialogue des propriétés du compte. S’il existe un répertoire de base, il ne sera pas renommé et il faut en créer un pour le nouvel utilisateur.

Réinitialiser le mot de passe Un mot de passe n’est efficace que s’il est difficile à deviner. L’inconvénient de ce type de mot de passe est que l’on risque de l’oublier. Si l’utilisateur ne se souvient plus de son mot de passe, vous pouvez le réinitialiser. La meilleure stratégie consiste à créer un mot de passe simple et à obliger l’utilisateur à redéfinir son mot de passe lors de la première ouverture de session. Voici comment réinitialiser un mot de passe :

1. Localisez le compte utilisateur dont vous voulez réinitialiser le mot de passe. 2. Cliquez droit sur le nom du compte et choisissez Réinitialiser le mot de passe dans le menu contextuel. 3. Dans la boîte de dialogue du même nom, illustrée par la figure 11-9, saisissez deux fois le nouveau mot de passe. Si vous effectuez la modification parce que l’utilisateur a oublié son mot de passe et qu’il a tenté plusieurs fois d’ouvrir une session, vous devrez éventuellement supprimer la coche de la case Déverrouiller le compte de l’utilisateur. Cliquez sur OK pour appliquer les changements.

Figure 11-9 Réinitialisation d’un mot de passe utilisateur

228

Partie II

Installation et configuration

Déverrouiller un compte utilisateur Si l’utilisateur enfreint une stratégie de groupe, en excédant par exemple le nombre maximal de tentatives d’ouverture de session échouées ou en ne parvenant pas à modifier un mot de passe expiré, les Services de domaine Active Directory verrouillent le compte. Un compte verrouillé ne peut plus servir pour ouvrir de session. Voici comment déverrouiller un compte utilisateur :

1. Localisez le compte verrouillé dans Utilisateurs et ordinateurs Active Directory. Cliquez droit sur le compte et choisissez Propriétés. 2. Cliquez sur l’onglet Compte. 3. Supprimez la coche de la case Le compte est verrouillé. Cliquez sur OK. Par défaut, la Stratégie de groupe ne verrouille pas les comptes en cas de tentatives ratées d’ouverture de session. On définit ce paramètre pour des raisons de sécurité. Pour de plus amples informations sur la Stratégie de groupe, reportez-vous au chapitre 13 du tome 1. Remarque Pour apprendre comment déléguer le droit de déverrouiller les comptes verrouillés, repor tez-vous au chapitre 14, « Gestion des tâches quotidiennes ».

Dossiers de base Le dossier de base de l’utilisateur lui permet d’entreposer ses documents. Placer les répertoires personnels sur un serveur de fichiers du réseau offre plusieurs avantages : ■ Centralisation de la sauvegarde des documents des utilisateurs ; ■ Les utilisateurs accèdent à leurs répertoires personnels depuis n’importe quel poste

client ; ■ Les dossiers de base sont accessibles à tous les systèmes d’exploitation Microsoft (y

compris les clients MS-DOS et les clients Windows, antérieurs à Windows 2000). Le contenu des dossiers de base ne faisant pas partie des profils utilisateur, il n’affecte pas le trafic engendré par les ouvertures de session (il est possible de créer un dossier de base sur un ordinateur client, mais on perd ainsi l’essentiel de son objectif).

Créer des dossiers de base sur un serveur Voici comment créer un dossier de base sur un serveur de fichiers réseau :

1. Sur le serveur, créer un nouveau dossier qui accueillera les dossiers de base et appelezle Dossiers de base. Cliquez droit sur le nouveau dossier et choisissez Propriétés dans le menu contextuel.

Chapitre 11

Gestion des utilisateurs et des groupes

229

2. Cliquez sur l’onglet Partage, puis sur le bouton Partager. 3. Dans la boîte de dialogue Partage de fichiers, tapez Utilisateurs, comme le montre la figure 11-10, et cliquez sur Ajouter.

Figure 11-10 Partage du dossier Dossiers de base avec le groupe Utilisateurs

4. Dans la liste Niveau d’autorisation de l’entrée Utilisateurs, sélectionnez Copropriétaire et cliquez sur Partager. Remarque Stockez les dossiers de base sur une partition NTFS. Les dossiers de base créés sur une par tition FAT ne peuvent être protégés que par des autorisations de niveau partage, définies pour chaque utilisateur.

Donner accès aux dossiers de base aux utilisateurs Pour proposer un dossier de base à un utilisateur, ajoutez le chemin d’accès du dossier dans les propriétés du compte utilisateur. Voici comment donner accès à un dossier de base :

1. Dans Utilisateurs et ordinateurs Active Directory, localisez le compte utilisateur. Cliquez droit sur le nom d’utilisateur et choisissez Propriétés dans le menu contextuel. 2. Cliquez sur l’onglet Profil. Dans la section Dossier de base, sélectionnez Connecter et indiquez la lettre de lecteur à utiliser pour se connecter au serveur de fichiers. 3. Dans la zone À, indiquez le nom UNC de la connexion, par exemple, \\nom_serveur\dossier_partagé\nom_connexion_utilisateur. Si vous utilisez la variable %username%, comme dans la figure 11-11, le dossier de base sera créé avec le nom d’ouverture de session de l’utilisateur.

230

Partie II

Installation et configuration

Figure 11-11 Spécification du dossier de base

Profils utilisateurs Un profil est un environnement spécifiquement conçu pour un utilisateur. Il contient les paramètres du bureau et des applications de l’utilisateur. Tout utilisateur possède un profil, qu’il soit créé par l’administrateur ou créé par défaut lors de l’ouverture de session de l’utilisateur sur un ordinateur. Les profils présentent un certain nombre d’avantages : ■ Plusieurs utilisateurs peuvent utiliser le même ordinateur, les paramètres de chaque

utilisateur étant restaurés chaque fois qu’il ouvre une session. ■ Toute modification apportée au bureau par un utilisateur n’affecte pas les autres

utilisateurs. ■ Si les profils sont stockés sur un serveur, ils suivent les utilisateurs sur n’importe quel

ordinateur Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP Professionnel ou Windows 2000 du réseau. Du point de vue de l’administrateur, le profil est un outil précieux qui permet de créer des profils par défaut pour tous les utilisateurs du réseau ou de créer des profils adaptés aux différents services ou postes de l’entreprise. Il est également possible de créer des profils obligatoires qui permettent aux utilisateurs de modifier la configuration du bureau alors qu’ils ont ouvert une session, sans que celle-ci soit enregistrée lors de la fermeture de la

Chapitre 11

Gestion des utilisateurs et des groupes

231

session. Un profil obligatoire présente toujours la même apparence chaque fois qu’un utilisateur ouvre une session. Voici les types de profils : ■ Profil local. Profil créé sur un ordinateur quand un utilisateur ouvre une session. Ce

profil est spécifique à un utilisateur, local à cet ordinateur et stocké sur le disque dur de celle-ci. ■ Profil itinérant. Profil créé par un administrateur et stocké sur un serveur. Ce profil

suit l’utilisateur concerné sur tout ordinateur du réseau exécutant Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP Professionnel ou Windows 2000. ■ Profil obligatoire. Profil itinérant qui ne peut être modifié que par un administrateur.

En pratique Contenu d’un profil Tous les profils sont, au départ, des duplicatas du profil Default User installé sur chaque ordinateur Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP Professionnel ou Windows 2000. Les données du registre relatives à Default User se trouvent dans le fichier Ntuser.dat, contenu dans le profil Default User. Chaque profil Windows Server 2008 et Windows Vista contient les dossiers suivants : ■ Contacts Contient les contacts configurés par l’utilisateur. ■ Bureau Contient les paramètres de bureau personnalisés par l’utilisateur. ■ Documents Documents de l’utilisateur. ■ Téléchargement Fichiers téléchargés. ■ Favoris Favoris sélectionnés par l’utilisateur sur Internet Explorer. ■ Liens Raccourcis vers les dossiers Documents, Musique, Images, Public, Modifié

récemment et Recherches. ■ Musique Fichiers de musique stockés. ■ Images Images stockées. ■ Parties enregistrées Parties incomplètes qui ont été enregistrées. ■ Recherches Recherches récentes et enregistrées. ■ Vidéos Vidéos stockées.

Au sein de chaque profil Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP Professionnel ou Windows 2000, se trouvent les dossiers suivants : ■ Bureau Fichiers, dossiers, raccourcis et apparence du bureau. ■ Favoris Raccourcis vers les emplacements favoris, en particulier les sites web. ■ Paramètres locaux Données d’application, historique et fichiers temporaires. ■ Documents partagés Documents de l’utilisateur et Images, contenant les fichiers

images de l’utilisateur.

232

Partie II

Installation et configuration

Selon le système d’exploitation, on trouve également les dossiers suivants : ■ AppData Paramètres spécifiques à un programme, déterminés par l’éditeur du

programme, plus les paramètres spécifiques à l’utilisateur. ■ Cookies Messages envoyés à un navigateur web par un serveur web et stockés en

local pour suivre les informations et préférences de l’utilisateur. ■ Voisinage réseau Raccourcis vers les éléments de Favoris réseau. ■ Voisinage d’impression Raccourcis vers les éléments du dossier Imprimantes. ■ Récent Raccourcis vers les dossiers et fichiers récemment accédés. ■ SendTo Éléments du menu Envoyer vers. ■ Menu Démarrer Éléments du menu Démarrer de l’utilisateur. ■ Modèles Modèles pour les applications.

Par défaut, seuls certains dossiers sont visibles dans l’Explorateur Windows. Les autres sont masqués. Pour les afficher, DNS le menu Outils de l’explorateur, sélectionnez Options des dossiers. Cliquez sur l’onglet Affichage et sélectionnez l’option Afficher les fichiers et dossiers cachés.

Profils locaux Les profils locaux sont créés sur les ordinateurs lorsque les utilisateurs ouvrent des sessions. Sur un ordinateur Windows NT 4 mis à niveau, le profil est stocké dans le dossier Profiles du répertoire système. Sur les ordinateurs Windows Server 2008 et Windows Vista, les profils locaux se trouvent dans le dossier Utilisateurs du lecteur C:\, comme le montre la figure 11-12. Sur un ordinateur Windows Server 2003, Windows XP Professionnel, Windows 2000 Server ou Windows 2000 Professionnel, le profil de l’utilisateur est stocké dans le dossier Documents and Settings.

Figure 11-12 Le profil utilisateur est configuré à la première ouverture de session.

Chapitre 11

Gestion des utilisateurs et des groupes

233

Lors de la première ouverture de session d’un utilisateur sur l’ordinateur local, Windows crée un dossier de profil pour cet utilisateur, puis y copie le contenu du dossier Default User. Toutes les modifications apportées au bureau par l’utilisateur sont enregistrées dans son profil quand celui-ci ferme la session. Si l’utilisateur possède un compte local sur l’ordinateur ainsi qu’un compte de domaine et ouvre des sessions tantôt avec l’un ou l’autre de ces deux comptes, il aura deux dossiers de profil sur l’ordinateur local, à savoir un pour les ouvertures de session sur le domaine et un autre pour les ouvertures de session locales. Le profil local apparaît avec le nom d’ouverture de session. Le profil de domaine est affiché avec le nom d’ouverture de session, complété par le nom du domaine.

Profils itinérants Les profils itinérants constituent un avantage certain pour les utilisateurs qui travaillent régulièrement sur plusieurs ordinateurs. Le profil itinérant est stocké sur un serveur et, après validation de l’ouverture de session par le service d’annuaire, dupliqué sur le poste local. L’utilisateur retrouve ainsi le même bureau, la même configuration d’applications et les mêmes paramètres, sur tout ordinateur Windows Server 2003, Windows 2000, Windows XP Professionnel ou Windows NT 4. Lorsque l’utilisateur ouvre une session sur un ordinateur Windows Vista ou Windows Server 2008, un profil itinérant distant se crée. Voici comment cela fonctionne : on spécifie un emplacement sur un serveur pour les profils et on crée un dossier partagé pour chaque utilisateur qui doit disposer un profil itinérant. Dans la boîte de dialogue des propriétés de l’utilisateur, on saisit le chemin d’accès à ce dossier. La prochaine fois que l’utilisateur ouvre une session sur l’ordinateur, son profil est téléchargé du serveur vers le poste local. Quand l’utilisateur ferme la session, le profil est enregistré en local et sur le serveur. Spécifier le chemin du profil de l’utilisateur suffit pour transformer un profil local en profil itinérant disponible sur tout le domaine. Quand l’utilisateur ouvre une nouvelle session, le profil situé sur le serveur est comparé au profil local et c’est la version la plus récente qui est alors chargée pour l’utilisateur. Si le serveur est inaccessible, c’est le profil local qui est utilisé. Si le serveur est inaccessible et que c’est la première ouverture de session de l’utilisateur sur l’ordinateur, il y a création d’un profil local via duplication du profil Default User. Si le profil n’est pas téléchargé sur le poste local en raison de problèmes relatifs au serveur, le profil itinérant n’est pas actualisé lorsque l’utilisateur ferme la session. Remarque Placez les profils sur un ser veur membre plutôt que sur un contrôleur de domaine. Vous accélérez ainsi l’authentification et évitez l’utilisation du temps processeur et de la bande passante du contrôleur de domaine pour télécharger les profils. Placez aussi les profils sur un serveur régulièrement sauvegardé, pour disposer de copies à jour des profils itinérants.

234

Partie II

Installation et configuration

Configurer les profils itinérants Il est simple de configurer les profils itinérants, il suffit de choisir un emplacement sur un serveur et de procéder ensuite de la manière suivante :

1. Créez un dossier partagé pour les profils sur le serveur. Partagez le dossier avec les groupes ou les OU qui contiendront des profils itinérants. 2. Sur l’onglet Profil de la boîte de dialogue des propriétés de l’utilisateur, tapez le chemin du profil de l’utilisateur, par exemple \\serveur\Profils\%username%. La figure 11-13 montre un exemple de chemin d’accès d’un profil itinérant. Si vous utilisez la variable %username%, Windows Server 2008 remplace automatiquement la variable par le nom du compte utilisateur.

Figure 11-13 Configuration d’un chemin d’accès pour un profil itinérant

Après avoir créé le dossier du profil partagé sur un serveur et fourni le chemin d’accès du profil dans le compte utilisateur, le profil itinérant est activé. La configuration du bureau de l’utilisateur est copiée et stockée sur le serveur et reste accessible à l’utilisateur à partir de n’importe quel ordinateur. Pour simplifier la vie des utilisateurs et de l’administrateur, le mieux, toutefois, est d’affecter aux usagers des profils personnalisés avec des raccourcis, des connexions réseau et un menu Démarrer préconfigurés. Pour ce faire, il vous faut créer des profils personnalisés.

Chapitre 11

Gestion des utilisateurs et des groupes

235

Créer des profils itinérants personnalisés Le processus de création d’un profil itinérant personnalisé est simple, mais comporte plusieurs phases :

1. Créez un compte utilisateur avec un nom descriptif, comme Commerciaux ou Responsables Agence, qui servira uniquement de modèle pour créer des profils personnalisés. 2. Ouvrez une session sous l’identité de ce compte, puis configurez les paramètres de bureau (applications, raccourcis, apparence, connexions réseau, imprimantes, etc.). 3. Fermez la session. Windows Server 2008 crée un profil utilisateur dans le répertoire racine du système, dans le dossier Documents and Settings. 4. Ouvrez une session sous une identité administrative. Localisez les comptes auxquels vous voulez affecter le profil itinérant personnalisé. 5. Pour chaque compte, cliquez sur l’onglet Profil et dans la zone Chemin du profil, tapez \\nom_serveur\dossier_profil\%username%. Cliquez sur OK. 6. Dans le Panneau de configuration, sélectionnez Système. 7. Sous Tâches, cliquez sur Paramètres systèmes avancés puis, dans la section Profil des utilisateurs, cliquez sur Paramètres. Sélectionnez le compte modèle et cliquez sur Copier dans. 8. Dans la boîte de dialogue, saisissez le chemin d’accès du dossier des profils sur le serveur, comme \\nom_serveur\dossier_profils_itinérants\%username%. Servez-vous cette fois du vrai nom du profil itinérant sans quoi le profil sera stocké sous le nom de la personne ayant ouvert la session. 9. Dans la section Autorisé à utiliser, cliquez sur Modifier pour donner aux utilisateurs l’autorisation d’utiliser le profil. Cliquez sur OK pour copier le modèle de profil.

Profils obligatoires Après vous être donné la peine de créer des profils personnalisés, vous en ferez sans doute des profils obligatoires. Pour rendre un profil obligatoire, il suffit de renommer le fichier caché Ntuser.dat en Ntuser.man. Remarque Si vous ne voyez pas le fichier Ntuser dans le dossier de profil de l’utilisateur, dans le menu Organiser, choisissez Options des dossiers et de recherche et cliquez sur l’onglet Affichage. Dans la zone Paramètres avancés, sélectionnez l’option Afficher les fichiers et dossiers cachés.

236

Partie II

Installation et configuration

Affecter un script d’ouverture de session à un profil utilisateur Vous pouvez assigner des scripts d’ouverture de session, par le biais des profils ou de la Stratégie de groupe (la stratégie de groupe est traitée au chapitre 10 du tome 1). Voici comment affecter un script à un profil :

1. Dans le menu Outils d’administration, choisissez Utilisateurs et ordinateurs Active Directory. 2. Dans l’arborescence, cliquez sur le conteneur approprié. Cliquez droit sur le compte utilisateur et choisissez Propriétés. 3. Cliquez sur l’onglet Profil et tapez le nom du script d’ouverture de session dans la zone Script d’ouverture de session. 4. Lorsque vous avez terminé, cliquez sur OK. Windows Server 2008 recherche toujours les scripts d’ouverture de session au même emplacement : sur le contrôleur de domaine d’authentification, sur le chemin d’accès %SystemRoot%\SYSVOL\sysvol\nom_domaine\scripts. Inutile donc de saisir le chemin d’accès du script d’ouverture de session, son nom suffit. Si vous utilisez des dossiers placés dans le dossier Scripts, insérez cette partie du chemin d’accès dans le chemin d’accès du script d’ouverture de session. Le tableau 11-7 donne les variables spéciales, susceptibles d’être utilisées pour la création des scripts d’ouverture de session, sachant que vous pouvez aussi créer les scripts en VBScript et JScript. Si vous avez déployé Windows PowerShell dans l’environnement, vous pouvez également vous servir de scripts PowerShell. La réplication des scripts d’ouverture de session sur tous les contrôleurs du domaine est automatique sur les serveurs Windows 2000 et ultérieurs. Tableau 11-7

Variables des scripts d’ouverture de session

Variable

Description

%homedrive%

Lettre du lecteur contenant le dossier de base de l’utilisateur sur la station de travail locale de l’utilisateur.

%homepath%

Chemin d’accès complet du dossier de base de l’utilisateur.

%os%

Système d’exploitation de l’utilisateur.

%processor_architecture%

Type du processeur sur la station de travail de l’utilisateur.

%processor_level%

Niveau de processeur sur la station de travail de l’utilisateur.

%userdomain%

Domaine où est défini le compte de l’utilisateur.

%username%

Nom du compte utilisateur.

Chapitre 11

Gestion des utilisateurs et des groupes

237

L’écriture et l’utilisation de scripts sont traitées au chapitre 15 du tome 1, « Administration par les scripts ». Pour de plus amples informations sur l’écriture de script et des exemples de scripts, consultez le site TechNet à l’adresse http://www.microsoft.com/technet/scriptcenter/ default.mspx.

Résumé On mesure le bon fonctionnement d’un réseau grâce à la disponibilité de certaines informations et ressources et par la restriction et la protection appliquées aux autres. Windows Server 2008 offre à l’administrateur réseau des outils et fonctionnalités qui lui permettent de satisfaire les besoins des utilisateurs, tout en protégeant les informations sensibles stockées sur ou passant par le réseau. Ce chapitre a exploré les options à la disposition de l’administrateur pour configurer les groupes, l’étendue des groupes et les comptes utilisateur avec Windows Server 2008. Le prochain chapitre traite de la gestion des ressources de fichiers, comme les partages, les autorisations et la collaboration.

Chapitre 12

Gestion des ressources de fichiers Autorisations de partage et autorisations de fichiers . . . . . . . . . . . . . . . . . . . . . . 240 Autorisations NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Dossiers partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Système de fichiers distribués . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Dans la plupart des réseaux, les utilisateurs possèdent leurs propres fichiers, qu’ils stockent localement ou sur un serveur, mais il est rare qu’un réseau ne comporte pas au moins quelques fichiers et dossiers partagés. Dans Windows Server 2008, le partage de ressources de fichiers existe sous quatre formes. Votre choix dépend des éléments à partager et du nombre d’utilisateurs disposant d’un accès au partage. ■ Dossiers partagés Il s’agit essentiellement des dossiers partagés avec lesquels nous

avons l’habitude de travailler. Ce partage a néanmoins subi un changement significatif depuis Windows Server 2003 SP1. Par défaut, le groupe Tout le monde dispose d’une autorisation Lecture seule sur le partage d’un dossier. De plus, depuis Windows Server 2003, ce groupe n’inclut plus les utilisateurs anonymes. ■ Dossiers partagés Active Directory Tous les dossiers partagés publiés dans Active

Directory. Pour créer un dossier partagé Active Directory, le dossier sous-jacent doit préalablement être partagé sur l’ordinateur hôte. ■ Dossiers DFS Masque les complexités sous-jacentes du réseau et des emplacements de

fichiers pour simplifier la présentation des ressources de fichiers aux utilisateurs. ■ Dossiers partagés NFS Depuis Windows Server 2003 R2, Services Microsoft pour

NFS est un composant de Windows, qui comprend le serveur NFS et le client NFS, ainsi que les différents utilitaires de prise en charge, dont le serveur de mappage de noms d’utilisateurs. Les Services pour NFS sont analysés au chapitre 6 du tome 2, « Interopérabilité ».

239

240

Partie II

Installation et configuration

Autorisations de partage et autorisations de fichiers Deux types d’autorisations s’appliquent avec n’importe quel dossier partagé : celles qui régissent le partage réel et celles qui sont imposées par le système de fichiers sous-jacent. Ces autorisations sont soustractives : la plus restrictive l’emporte. La gestion simultanée des autorisations sur le partage et le système de fichiers mène souvent à la confusion et il est difficile de suivre les détails relatifs. Dans la plupart des cas, on contrôle l’accès à l’aide des autorisations de fichiers NTFS sous-jacentes et on définit les autorisations de partage à Contrôle total pour tout le monde s’il s’agit de partage classique. Les autorisations de fichiers NTFS accroissent la précision et le contrôle sur le niveau exact d’accès accordé. Cependant, il est parfois utile de restreindre une autorisation de partage. Dans ce cas, indiquez dans le nom de partage que celui-ci est restreint. Remarque Pour mettre en œuvre le contrôle d’accès basé sur NFS des

systèmes de fichiers UNIX, accordez des autorisations à des ordinateurs clients et groupes spécifiques à l’aide de noms de réseaux.

Autorisations de partage Un partage peut impliquer un volume complet ou une simple arborescence de dossier. Si un volume ou un dossier n’est pas partagé sur le réseau, les utilisateurs ne peuvent ni le voir, ni y accéder. Par défaut, le groupe Tout le monde dispose d’un accès en lecture à tous les fichiers du dossier, à tous les sous-dossiers de ce dossier et ainsi de suite, en supposant que les utilisateurs bénéficient des autorisations du système de fichiers appropriées. Une fois qu’un volume ou un dossier est partagé, il est possible d’ajouter ou de supprimer des restrictions sous la forme d’autorisations de partage. Ces autorisations s’appliquent uniquement au niveau du lecteur ou du dossier, et non au niveau du fichier, et elles se limitent à autoriser ou à refuser les accès Contrôle total, Lecture et Modifier, comme l’indique le tableau 12-1. Tableau 12-1

Autorisations de partage

Partage

Type d’autorisation

Lecture

Autorise la visualisation de noms de fichiers et de sous-dossiers, de données de fichiers et l’exécution de programmes.

Modifier

Accorde les autorisations Lecture et permet en outre d’ajouter des fichiers et des sous-répertoires dans le dossier partagé, de modifier les données de fichiers et de supprimer des fichiers et des sous-répertoires.

Contrôle total Accorde toutes les autorisations Modifier et permet en outre de modifier les autorisations de fichiers et de prendre possession des fichiers (volumes NTFS uniquement).

Les autorisations de partage déterminent l’accès maximal possible sur le réseau. Elles n’affectent pas un utilisateur qui ouvre une session localement ou un utilisateur des Services Terminal Server.

Chapitre 12

Gestion des ressources de fichiers

241

Autorisations de fichiers Contrairement aux autorisations de partage, les autorisations de fichiers régissent l’accès des utilisateurs, indépendamment de leur origine. Les utilisateurs locaux, des Services Terminal Server et du réseau bénéficient tous du même traitement. Comme les systèmes de fichiers FAT et FAT32 ne permettent pas de restreindre l’accès à des fichiers, il est important de n’exploiter que le système de fichiers NTFS. Celui-ci emploie les listes de contrôle d’accès (ACL, Access Control Lists) pour limiter l’accès aux ressources. Les autorisations NTFS s’appliquent aux fichiers et aux dossiers et peuvent s’étendre à tout le réseau ou rester locales. Sur un volume NTFS, il est possible de définir des autorisations jusqu’au niveau des fichiers. Cela signifie que pour n’importe quel fichier, vous pouvez accorder des accès différents à des utilisateurs individuels. Essayez toujours de simplifier au maximum les autorisations que vous attribuez. Définissez le moins d’autorisations possible. Attribuez-les à des groupes et non à des individus. Ne définissez pas d’autorisations fichier par fichier, sauf si vous n’avez pas le choix. La gestion des autorisations est une tâche qui s’organise minutieusement, car elle mobilise un temps précieux.

À propos Contrôle de compte d’utilisateur Depuis au moins dix ans, nous ne cessons de mettre en garde les administrateurs pour qu’ils arrêtent de faire n’importe quoi avec le compte Administrateur. Nous leur disons d’exploiter ce compte uniquement en cas de nécessité. Il est préférable d’employer un compte utilisateur standard. Évidemment, aucun n’y a prêté attention et voilà le résultat : Contrôle de compte d’utilisateur. Le Contrôle de compte d’utilisateur est une nouvelle fonctionnalité de sécurité introduite avec Windows Vista. Elle repose sur la théorie de sécurité des moindres privilèges : les utilisateurs doivent bénéficier du strict minimum de privilèges nécessaires pour effectuer leurs tâches. Si vous pensez que cela va à l’encontre de notre consigne de simplification des autorisations, détrompez-vous. Les partages et les autorisations demeurent la seule manière d’autoriser ou de restreindre l’accès aux fichiers et aux dossiers. Le Contrôle de compte d’utilisateur réduit l’exposition du système d’exploitation en imposant à tous les utilisateurs de travailler en mode utilisateur standard, en empêchant au maximum les utilisateurs d’apporter des modifications susceptibles de déstabiliser leur ordinateur ou d’exposer le réseau aux virus par l’intermédiaire de logiciels malveillants non détectés ayant infecté leur ordinateur. Problèmes de la mise en œuvre du Contrôle de compte *d’utilisateur Avant Windows Vista, Windows reposait sur un modèle d’usage, à savoir l’un des droits d’administration supposés. Les développeurs de logiciels supposaient que leur programme pourrait accéder et modifier n’importe quel fichier, clé de registre ou paramètre du système d’exploitation. Même quand Windows NT a introduit la sécurité

242

Partie II

Installation et configuration

et la différenciation entre l’attribution de l’accès aux comptes utilisateurs standard et administrateur, les utilisateurs étaient orientés vers un processus d’installation qui les incitait à employer le compte Administrateur prédéfini ou un compte membre du groupe Administrateurs. D’autre part, même les utilisateurs standards ont parfois besoin d’effectuer des tâches qui nécessitent des droits d’administrateur, comme l’installation d’un logiciel et l’ouverture de ports du pare-feu. La solution apportée par le Contrôle de compte d’utilisateur est d’exiger moins fréquemment les droits d’administrateur, d’autoriser les anciennes applications à s’exécuter avec des droits d’utilisateur standard, de faciliter l’accès aux droits d’administrateur des utilisateurs standards en cas de besoin et d’autoriser les utilisateurs administrateurs à travailler comme s’ils étaient des utilisateurs standards. Pour obtenir davantage d’informations sur le fonctionnement du Contrôle de compte d’utilisateur, reportez-vous à l’adresse http://technet.microsoft.com/fr-fr/windowsvista/ aa906021.aspx.

Autorisations NTFS Comme nous l’avons mentionné précédemment, l’attribution d’autorisations à des fichiers et à des dossiers est une possibilité sous-jacente du système de fichiers NTFS. Lorsque vous exploitez des fichiers et des dossiers sur NTFS, vous devez comprendre le fonctionnement des autorisations et en quoi elles diffèrent selon qu’elles s’appliquent à un fichier ou au dossier qui contient le fichier.

Signification des autorisations Les autorisations NTFS contrôlent l’accès local et distant. D’autre part, les autorisations de partage s’appliquent uniquement aux partages réseau et ne restreignent pas l’accès des utilisateurs locaux (ou des Services Terminal Server) de l’ordinateur sur lequel vous avez défini les autorisations. Windows Server 2008 propose un panel d’autorisations de dossiers standards qui combinent les types d’accès spécifiques. Les autorisations individuelles sont Contrôle total, Modifier, Lecture et exécution, Afficher le contenu du dossier, Lecture et Écriture. Chacune d’elles consiste en un groupe d’autorisations spéciales. Le tableau 12-2 présente les autorisations spéciales et les autorisations standards auxquelles elles s’appliquent. Tableau 12-2 Autorisation spéciale

Autorisations spéciales applicables aux dossiers Contrôle total

Parcours du dossier/ Oui exécuter le fichier

Modifier

Lecture et exécution

Afficher le contenu du dossier

Lecture

Écriture

Oui

Oui

Oui

Non

Non

Chapitre 12

Gestion des ressources de fichiers

243

Tableau 12-2 Autorisations spéciales applicables aux dossiers

Modifier

Lecture et exécution

Afficher le contenu du dossier

Lecture

Écriture

Oui

Oui

Oui

Oui

Oui

Non

Oui

Oui

Oui

Oui

Oui

Non

Lecture des attributs Oui étendus

Oui

Oui

Oui

Oui

Non

Création de fichier/ écriture de données

Oui

Oui

Non

Non

Non

Oui

Création de dossier/ Oui ajout de données

Oui

Non

Non

Non

Oui

Attributs d’écriture

Oui

Oui

Non

Non

Non

Oui

Écriture d’attributs étendus

Oui

Oui

Non

Non

Non

Oui

Suppression de sous-dossier et fichier

Oui

Non

Non

Non

Non

Non

Suppression

Oui

Oui

Non

Non

Non

Non

Autorisations de lecture

Oui

Oui

Oui

Oui

Oui

Oui

Modifier les autorisations

Oui

Non

Non

Non

Non

Non

Appropriation

Oui

Non

Non

Non

Non

Non

Synchroniser

Oui

Oui

Oui

Oui

Oui

Oui

Autorisation spéciale

Contrôle total

Liste du dossier/ lecture de données Attributs de lecture

Remarque Ces paramètres sont identiques depuis Windows Server 2003. Lecture et exécution et Afficher le contenu du dossier semblent présenter les mêmes autorisations, mais la différence apparaît dans l’héritage de ces autorisations. L’autorisation Lecture et exécution s’hérite par les fichiers et les dossiers et elle est toujours présente lorsque vous affichez les autorisations du fichier ou du dossier. Afficher le contenu du dossier s’hérite uniquement par les dossiers et n’apparaît que si l’on affiche les autorisations du dossier. Les autorisations de fichiers standards sont Contrôle total, Modifier, Lecture et exécution, Lecture et Écriture. À l’instar des autorisations de dossiers, chacune de ces autorisations contrôle un ensemble d’autorisations spéciales. Le tableau 12-3 rassemble les autorisations spéciales associées aux autorisations standards.

244

Partie II Tableau 12-3

Installation et configuration Autorisations spéciales applicables aux fichiers Contrôle total

Modifier

Lecture et exécution

Lecture

Écriture

Parcours du dossier/ exécuter le fichier

Oui

Oui

Oui

Non

Non

Liste du dossier/ lecture de données

Oui

Oui

Oui

Oui

Non

Attributs de lecture

Oui

Oui

Oui

Oui

Non

Lecture des attributs étendus

Oui

Oui

Oui

Oui

Non

Création de fichier/ écriture de données

Oui

Oui

Non

Non

Oui

Création de dossier/ écriture de données

Oui

Oui

Non

Non

Oui

Création de dossier/ ajout de données

Oui

Oui

Non

Non

Oui

Attributs d’écriture

Oui

Oui

Non

Non

Oui

Écriture d’attributs étendus

Oui

Oui

Non

Non

Oui

Suppression de sous-dossier et fichier

Oui

Non

Non

Non

Non

Suppression

Oui

Oui

Non

Non

Non

Autorisations de lecture Oui

Oui

Oui

Oui

Oui

Modifier les autorisations

Oui

Non

Non

Non

Non

Appropriation

Oui

Non

Non

Non

Non

Autorisation spéciale

Remarque Ces paramètres sont identiques depuis Windows Server 2003. Important Les groupes ou utilisateurs bénéficiant du Contrôle total sur un dossier ont la possibilité de supprimer tous les fichiers et sous-dossiers, quelles que soient les autorisations définies sur les fichiers ou sous-réper toires individuels. N’importe quel utilisateur ou groupe qui dispose de l’autorisation Appropriation peut devenir propriétaire du fichier ou du dossier, puis modifier les autorisations et supprimer des fichiers ou des arborescences complètes de sousdossiers, quelles que soient les autorisations qui étaient en vigueur avant que cet utilisateur ou groupe ne devienne propriétaire.

Chapitre 12

Gestion des ressources de fichiers

245

Fonctionnement des autorisations Si vous ne touchez à rien, les fichiers et les dossiers contenus dans un dossier partagé ont les mêmes autorisations que le partage et peuvent être assignées aux entités suivantes : ■ Groupes et utilisateurs individuels de ce domaine ; ■ Groupes globaux, groupes universels et utilisateurs individuels des domaines

approuvés par ce domaine ; ■ Identités spéciales, comme Tout le monde et Utilisateurs authentifiés.

Résumons les règles importantes qui régissent les autorisations : ■ Par défaut, un dossier hérite des autorisations de son dossier parent. Les fichiers

héritent des autorisations du dossier qui les accueille. ■ Les utilisateurs peuvent accéder à un dossier ou à un fichier à condition d’en avoir

l’autorisation ou d’appartenir à un groupe qui possède cette autorisation. ■ Les autorisations se cumulent, mais l’autorisation Refuser supplante toutes les autres.

Par exemple, si le groupe Ingénierie dispose de l’accès Lecture sur un dossier, que le groupe Projet bénéficie de l’autorisation Modifier sur le même dossier et qu’Alexandre est membre des deux groupes, ce dernier dispose du niveau le plus élevé d’autorisation, à savoir Modifier. Cependant, si l’autorisation du groupe Ingénierie est explicitement modifiée en Refuser, Alexandre verra son accès refusé au dossier en dépit de son appartenance au groupe Projet, malgré son niveau maximal d’accès. ■ Les autorisations explicites ont priorité sur les autorisations héritées. L’autorisation

Refuser héritée n’empêche pas l’accès si un objet possède une autorisation Autoriser explicite. ■ L’utilisateur qui crée un fichier ou un dossier en est propriétaire et peut définir des

autorisations pour contrôler son accès. ■ Un administrateur peut s’approprier n’importe quel fichier ou dossier.

Héritage Pour compliquer un peu les choses, il existe deux types d’autorisations : explicites et héritées. Les autorisations explicites sont définies sur les fichiers ou les dossiers que vous créez. Les autorisations héritées sont celles qu’un objet enfant récupère d’un objet parent. Par défaut, lorsque vous créez un fichier ou un sous-dossier, il hérite des autorisations du dossier parent. Si les cases Autoriser et Refuser sont grisées lorsque vous affichez les autorisations d’un objet, les autorisations sont héritées. Si vous souhaitez que les objets enfants n’héritent pas des autorisations du parent, bloquez l’héritage au niveau du parent ou de l’enfant. Le niveau où vous bloquez l’héritage est important. Bloquez l’héritage au niveau du parent et aucun sous-dossier n’hérite d’autorisations. Bloquez sélectivement au niveau de l’enfant et seulement certains dossiers hériteront d’autorisations.

246

Partie II

Installation et configuration

Voici comment modifier les autorisations héritées :

1. Cliquez droit sur le dossier et choisissez Propriétés. 2. Cliquez sur l’onglet Sécurité, puis Avancé. 3. Dans l’onglet Autorisations de la boîte de dialogue Paramètres de sécurité avancés pour, sélectionnez l’autorisation à modifier et cliquez sur Modifier. 4. Supprimez la coche de la case Inclure les autorisations pouvant être héritées du parent de cet objet. Vous avez alors la possibilité de copier les autorisations existantes sur l’objet ou de supprimer toutes les autorisations héritées (voir figure 12-1). L’objet ne va plus hériter des autorisations de l’objet parent et vous pourrez modifier les autorisations ou supprimer des utilisateurs ou des groupes de la liste Autorisations.

Figure 12-1 Supprimez des autorisations héritées.

On modifie également des autorisations héritées en modifiant les autorisations du dossier parent ou en sélectionnant explicitement l’autorisation contraire – Autoriser ou Refuser – pour annuler l’autorisation héritée. La figure 12-2 illustre un dossier avec des autorisations héritées et non héritées.

Figure 12-2 Les autorisations de ce dossier sont un mélange d’autorisations héritées et explicites.

Chapitre 12

Gestion des ressources de fichiers

247

Configurer les autorisations de dossiers Définissez toutes les autorisations du dossier d’un volume NTFS avant de le partager. Lorsque vous définissez les autorisations d’accès à un dossier, vous paramétrez aussi les autorisations des fichiers et des sous-répertoires qui se trouvent dans ce dossier ou qui y seront placés. Pour définir des autorisations, il vous faut effectuer quelques actions : ■ Pour attribuer des autorisations à un dossier, cliquez droit sur le dossier et choisissez

Propriétés dans le menu contextuel. Cliquez ensuite sur l’onglet Sécurité. ■ Pour supprimer un utilisateur ou un groupe de la liste, cliquez sur Modifier.

Sélectionnez le groupe ou le nom d’utilisateur et cliquez sur Supprimer. ■ Pour ajouter un utilisateur ou un groupe à la liste, cliquez sur Modifier, puis sur Ajouter. La

boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes s’affiche. Tapez le nom de l’objet ou cliquez sur Avancé. Assurez-vous que le type d’objet et son emplacement sont corrects. Cliquez sur Avancé, puis sur Rechercher pour afficher une liste de tous les objets existants du type sélectionné (voir figure 12-3). Sélectionnez ceux de votre choix (appuyez sur CTRL+cliquez pour sélectionner plusieurs objets) et cliquez sur OK.

Figure 12-3 Retrouvez tous les objets sélectionnés à l’emplacement spécifié.

Attribuer des autorisations aux fichiers Les autorisations des fichiers individuels s’attribuent de la même manière que celles des dossiers. Toutefois, tenez compte des considérations suivantes : ■ Accordez des autorisations aux groupes plutôt qu’aux utilisateurs.

248

Partie II

Installation et configuration

■ Créez des groupes de domaine et attribuez-leur les autorisations au lieu d’assigner

directement des autorisations à des groupes locaux.

Configurer des autorisations spéciales Dans certains cas, vous devrez modifier, définir ou supprimer les autorisations spéciales d’un fichier ou d’un dossier. Voici comment accéder aux autorisations spéciales :

1. Cliquez droit sur le fichier ou le dossier et choisissez Propriétés dans le menu contextuel. 2. Cliquez sur l’onglet Sécurité. ■ Pour ajouter un utilisateur ou un groupe, cliquez sur Modifier, puis sur Ajouter.

Tapez le nom de l’objet ou cliquez sur les boutons Avancé puis Ajouter pour afficher la liste de tous les objets des catégories spécifiées. ■ Pour afficher ou modifier des autorisations spéciales existantes, cliquez sur

Modifier. Sélectionnez le nom du groupe ou de l’utilisateur dont vous voulez voir les autorisations. ■ Pour supprimer des autorisations spéciales, cliquez sur Avancé. Dans la boîte de

dialogue Paramètres de sécurité avancés pour, cliquez sur Modifier. Sélectionnez le nom de l’utilisateur ou du groupe et cliquez sur Modifier. Cochez la case Refuser en regard de l’autorisation spéciale héritée à supprimer. Pour les autres autorisations, il suffit de supprimer la coche de la case Autoriser.

3. Dans la liste déroulante Appliquer de la boîte de dialogue Entrée d’autorisation pour de la figure 12-4, choisissez où appliquer les autorisations. Le champ Appliquer n’est disponible qu’avec les dossiers.

Figure 12-4 Choisissez où appliquer les autorisations.

Chapitre 12

Gestion des ressources de fichiers

249

4. Si les autorisations ne doivent pas être héritées, cochez la case Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur. 5. Cliquez sur OK pour fermer la boîte de dialogue. Important La case Appliquer ces autorisations uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur a des effets et une portée considérables. Le tableau 12-4 énumère les conséquences de la case cochée et le tableau 12-5 celles de la case non cochée.

Tableau 12-4 Résultat lorsque la case Appliquer ces autorisations uniquement au conteneur est sélectionnée Sélection dans la zone S’applique à Ce dossier seulement

S’applique aux S’applique au sous-dossiers dossier en du dossier en cours ? cours ? X

Ce dossier, les X sous-dossiers et les fichiers

X

Ce dossier et les sousdossiers

X

X

Ce dossier et les fichiers

X

X

X

Les sousdossiers et les fichiers seulement

X

Les sousdossiers seulement

X

Fichiers seulement

S’applique aux fichiers du dossier en cours ?

X

X

S’applique aux sousdossiers suivants ?

S’applique aux fichiers des sous-dossiers suivants ?

250

Partie II

Installation et configuration

Tableau 12-5 Résultat lorsque la case Appliquer ces autorisations uniquement au conteneur n’est pas sélectionnée Sélection dans la zone S’applique à Ce dossier seulement

S’applique aux S’applique S’applique sous-dossiers aux fichiers S’applique aux au dossier du dossier en du dossier sous-dossiers en cours ? cours ? en cours ? suivants ?

S’applique aux fichiers des sous-dossiers suivants ?

X

Ce dossier, les X sous-dossiers et les fichiers

X

Ce dossier et les sousdossiers

X

X

Ce dossier et les fichiers

X

X

X

X

X

Les sousdossiers et les fichiers seulement

X

Les sousdossiers seulement

X

Fichiers seulement

X

X

X X

X

X

X

X

Notion de propriété et son fonctionnement Tout objet d’un volume NTFS ou d’Active Directory a un propriétaire. Par défaut, le propriétaire est celui qui a créé le fichier ou le dossier. Il contrôle les autorisations définies sur l’objet et les bénéficiaires des autorisations. Même si son accès est refusé, il peut toujours modifier les autorisations sur un objet. La seule manière de lui retirer cette possibilité est de modifier la propriété. Voici comment modifier la propriété d’un objet : ■ Un administrateur peut s’approprier un objet. Le groupe Administrateurs possède le

droit d’utilisateur Prendre possession de fichiers ou d’autres objets. ■ Tout utilisateur ou groupe bénéficiant de l’autorisation Appropriation sur l’objet peut

modifier la propriété de l’objet.

Chapitre 12

Gestion des ressources de fichiers

251

■ Tout utilisateur ou groupe bénéficiant du droit d’utilisateur Restaurer les fichiers et les

répertoires peut modifier la propriété de l’objet. ■ Le propriétaire peut transférer la propriété à un autre utilisateur.

Remarque Ces trois dernières méthodes ne fonctionnent que si le Contrôle de compte d’utilisateur est désactivé ou si l’utilisateur possède des informations d’identification d’administrateur.

Prendre possession d’un objet Pour s’approprier un objet, vous devez au préalable ouvrir une session en tant qu’Administrateur, utilisateur avec l’autorisation Appropriation ou utilisateur avec le droit d’utilisateur Restaurer les fichiers et les répertoires. Voici alors comment procéder :

1. Cliquez droit sur l’objet et choisissez Propriétés dans le menu contextuel. Cliquez sur l’onglet Sécurité. 2. Cliquez sur Avancé, puis sur l’onglet Propriétaire. Cliquez sur Modifier. ■ Pour attribuer la possession à un utilisateur ou un groupe qui ne figure pas dans

la liste, cliquez sur Autres utilisateurs ou groupes. Dans le champ Entrez le nom de l’objet à sélectionner, tapez le nom de l’utilisateur ou du groupe, cliquez sur Vérifier les noms, puis sur OK. ■ Pour attribuer la possession à un utilisateur ou à un groupe de la liste, cliquez sur

le nouveau propriétaire.

3. Pour changer le propriétaire de tous les sous-conteneurs et objets de l’arborescence, cochez la case Remplacer le propriétaire des sous-conteneurs et des objets.

Transférer la propriété Voici comment le propriétaire d’un objet transfère sa propriété :

1. Cliquez droit sur l’objet et choisissez Propriétés. Cliquez sur l’onglet Sécurité. 2. Cliquez sur Avancé, puis sur l’onglet Propriétaire. Cliquez sur Modifier. 3. Si le nouveau propriétaire proposé apparaît dans la liste Sélectionner un nouveau propriétaire, sélectionnez son nom et cliquez sur OK. Sinon, cliquez sur Autres utilisateurs ou groupes pour ouvrir la boîte de dialogue Sélectionnez utilisateur, Ordinateur ou groupe. 4. Localisez le nouveau propriétaire et cliquez sur OK. 5. Sélectionnez le nouveau propriétaire dans la liste correspondante (figure 12-5) et cliquez sur OK.

252

Partie II

Installation et configuration

Figure 12-5 Sélectionnez un nouveau propriétaire.

Autorisations de partage Comme nous l’avons précisé, il est généralement préférable d’appliquer des autorisations de fichiers NTFS plutôt que des autorisations de partage pour contrôler l’accès aux ressources partagées du réseau. Les autorisations de partage procurent un contrôle moindre sur les autorisations spécifiques qui sont accordées et elles sont moins sécurisées que celles du système de fichiers, car elles s’appliquent uniquement aux utilisateurs qui se connectent au réseau. Cependant, cette règle comporte quelques exceptions. Par exemple, vous souhaitez autoriser tous les utilisateurs authentifiés à accéder au volume d’un sous-dossier particulier mais en n’autorisant qu’un groupe spécifique à accéder au répertoire racine. Vous créez alors deux partages de fichiers : un au niveau du sous-dossier, sans sécurité de partage (Contrôle total pour Tout le monde) et un au niveau de la racine, avec la sécurité du partage pour autoriser uniquement l’accès au groupe spécifié. Il est également judicieux de masquer les partages de fichiers en ajoutant le caractère dollar ($) à la fin du nom de partage. Ainsi, n’importe quel utilisateur peut se connecter au partage, à condition qu’il connaisse le nom de partage. Une fois que l’utilisateur est connecté, il est encore soumis aux autorisations de sécurité NTFS, mais cette approche est intéressante si l’on souhaite stocker des outils avancés et autoriser l’administrateur à y accéder à partir d’un système ou compte utilisateur d’un utilisateur. La sécurité des fichiers ne constitue pas réellement un problème ; il faut juste faire en sorte que les utilisateurs ne sèment pas la pagaille dans les fichiers.

Chapitre 12

Gestion des ressources de fichiers

253

Dossiers partagés Dans Windows Server 2008, il existe plusieurs manières de configurer et d’administrer les dossiers partagés : cliquer droit sur un dossier dans l’Explorateur Windows et choisir Partager dans le menu contextuel, faire appel à l’outil Gestion du partage et du stockage du menu Outils d’administration ou travailler en ligne de commandes. Chaque approche présente ses avantages, mais la ligne de commandes reste idéale pour créer ou modifier rapidement un partage. Il est préférable d’opter pour Gestion du partage et du stockage si l’on souhaite davantage de fonctions de gestion à un seul emplacement.

Gestion du partage et du stockage La console Gestion du partage et du stockage centralise la gestion des dossiers et des volumes partagés sur le réseau. Elle se trouve dans le menu Outils d’administration. L’Assistant Configuration d’un dossier partagé permet de partager aisément un dossier ou un volume et de lui attribuer toutes les propriétés nécessaires. Voici comment procéder :

1. Ouvrez la console Gestion du partage et du stockage à partir du menu Outils d’administration. 2. Dans le volet Actions, sélectionnez Prévoir le partage. 3. Saisissez l’emplacement du dossier ou cliquez sur Parcourir pour le localiser, comme le montre la figure 12-6. Cliquez sur Suivant.

Figure 12-6 Identifiez le nom et l’emplacement du partage proposé.

254

Partie II

Installation et configuration

4. Sur la page Autorisations NTFS, modifiez à votre guise les autorisations NTFS du dossier. Cliquez sur Suivant. 5. Sur la page Protocoles du partage, choisissez le protocole employé par les utilisateurs pour accéder au partage. Si NFS n’est pas installé sur l’ordinateur, le protocole par défaut est SMB (Server Message Block), un protocole natif Windows utilisé pour les partages depuis Windows NT. Cliquez sur Suivant. 6. La page Paramètres SMB indique le nombre maximal d’utilisateurs, l’énumération basée sur l’accès et les paramètres hors connexion du dossier. Cliquez sur Avancé pour y apporter une modification. Cliquez sur Suivant. 7. Sur la page Autorisations SMB, sélectionnez les autorisations de partage de votre choix et cliquez sur Suivant. 8. Sur la page Publication de l’espace de noms DFS, choisissez de publier ou non le partage sur un espace de noms DFS. L’emploi et la création d’espace de noms DFS sont décrits plus loin dans ce chapitre. Cliquez sur Suivant. 9. Sur la page Revoir les paramètres et créer le partage, vérifiez les paramètres. Cliquez sur Précédent pour modifier les paramètres. Si tout est correct, cliquez sur Créer. La console Gestion du partage et du stockage permet également de modifier des autorisations de dossier existantes, de visionner les connexions à un dossier et de déconnecter un utilisateur si nécessaire. Sélectionnez le dossier partagé dans la liste des partages et cliquez sur l’action de votre choix dans le volet Actions.

Supprimer un partage de dossier Pour cesser de partager un dossier, vous pouvez vous servir de la console Gestion du partage et du stockage. Il suffit de sélectionner le partage et de cliquer droit dessus pour choisir Cesser de partager. Sinon, à l’invite de commandes, tapez la commande suivante : net share /delete

Avec l’invite de commandes, il n’est même pas nécessaire de confirmer l’action. Soyez en revanche attentif si vous supprimez un partage, car vous pourriez déconnecter tous les fichiers ouverts sur lesquels des utilisateurs travaillent et entraîner la perte de données.

Partages spéciaux Outre les partages créés par un utilisateur ou un administrateur, le système crée quelques partages spéciaux qui ne doivent être ni modifiés, ni supprimés. Il s’agit des partages administratifs : le partage ADMIN$ et les partages cachés de chaque volume de disque dur (C$, D$, E$, etc.). Ces partages permettent aux administrateurs de se connecter aux lecteurs qui, autrement, ne seraient pas partagés. Ils sont invisibles par défaut et seuls les administrateurs peuvent s’y connecter. Les partages spéciaux sont créés dans le cadre de l’installation du système d’exploitation. La configuration de l’ordinateur détermine si tout ou partie des partages spéciaux suivants sont présents (aucun ne doit être modifié ou supprimé) :

Chapitre 12

Gestion des ressources de fichiers

255

■ ADMIN$ Exploité lors de l’administration à distance d’un ordinateur. Le chemin

d’accès correspond toujours à l’emplacement du dossier qui contient Windows (à savoir la racine système). Seuls les groupes Administrateurs, Opérateurs de sauvegarde et Opérateurs de serveur ont accès à ce partage. ■ lettrelecteur$ Dossier racine du lecteur nommé. Seuls les groupes Administrateurs,

Opérateurs de sauvegarde et Opérateurs de serveur ont accès à ces partages sur les serveurs Windows. Sur les ordinateurs Windows XP Professionnel, Windows 2000 Professionnel et Windows Vista, seuls les groupes Administrateurs et Opérateurs de sauvegarde ont accès à ces partages. ■ IPC$ Exploité lors de l’administration à distance et pour consulter les ressources

partagées. Ce partage est essentiel à la communication et ne peut être supprimé. ■ NETLOGON Utilisé pour traiter les requêtes d’ouverture de session au domaine. À ne

pas supprimer. ■ SYSVOL Requis sur tous les contrôleurs de domaine. À ne pas supprimer. ■ PRINT$ Ressource qui prend en charge les imprimantes partagées.

Pour vous connecter à un lecteur non partagé d’un autre ordinateur, vous devez ouvrir une session avec un compte bénéficiant des droits nécessaires. Servez-vous de la barre d’adresse de n’importe quelle fenêtre et tapez l’adresse selon la syntaxe suivante : \\nom_ordinateur\[lettrelecteur]$

Pour vous connecter au dossier racine système (celui sur lequel Windows est installé) d’un autre ordinateur, employez la syntaxe suivante : \\nom_ordinateur\admin$

Remarque L’ajout d’un signe dollar ($) à la fin d’un nom de partage dissimule le partage à tous les utilisateurs. Pour accéder à un partage caché, vous devez le spécifier explicitement ; il est impossible de parcourir le réseau à la recherche du partage.

Ligne de commandes : Net Share Pour les férus de la ligne de commandes, il n’existe rien de mieux que net share pour gérer les partages réseau. Voici sa syntaxe : NET SHARE nompartage nompartage=drive:path [/GRANT:user,[READ | CHANGE | FULL]] [/USERS:number | /UNLIMITED] [/REMARK:"texte"] [/CACHE:Manual | Documents| Programs | None ] Nompartage [/USERS:number | /UNLIMITED] [/REMARK:"texte"] [/CACHE:Manual | Documents | Programs | None] {nompartage | nompériphérique | lecteur:cheminaccès} /DELETE

256

Partie II

Installation et configuration

Il suffit de taper net share sans paramètre à l’invite de commandes pour obtenir la liste des dossiers actuellement partagés. Tapez net share pour voir les paramètres en vigueur sur le nom de partage. Il existe deux autres commandes net bien pratiques pour gérer les partages : net view et net session. La première retourne la liste des ordinateurs du réseau ou les ressources disponibles sur un ordinateur particulier et la seconde les sessions de l’ordinateur en cours ou les détails d’une session avec un ordinateur particulier. En voici les syntaxes : NET VIEW [\\nomordinateur [/CACHE] | /DOMAIN[:nomdomaine]] NET VIEW /NETWORK:NW [\\nomordinateur] NET SESSION [\\nomordinateur] [/DELETE]

Remarque Les commandes net fonctionnent avec les noms NetBIOS et les

adresses IP et lorsque l’utilisateur est spécifié, elles peuvent employer les formats DOMAINE\Utilisateur et d’adresse électronique, ce qui en fait des outils très flexibles et pratiques.

Publier des partages dans Active Directory Il est possible de publier des partages de fichiers de manière relativement permanente dans Active Directory, facilitant ainsi la tâche aux utilisateurs qui les recherchent dans un réseau de grande envergure. Voici comment procéder :

1. Ouvrez Utilisateurs et ordinateurs Active Directory à partir du menu Outils d’administration. 2. Cliquez droit sur le domaine où publier le partage, choisissez Nouveau, puis sélectionnez Dossier partagé dans le menu contextuel. 3. Dans la boîte de dialogue Nouvel objet, tapez le nom du dossier partagé, ainsi que son chemin d’accès réseau, comme le montre la figure 12-7.

Figure 12-7 Publiez un dossier partagé dans Active Directory.

4. Cliquez sur OK lorsque vous avez terminé.

Chapitre 12

Gestion des ressources de fichiers

257

Système de fichiers distribués Grâce au Système de fichiers distribués (DFS, Distributed File System), les administrateurs regroupent des dossiers partagés situés sur différents serveurs et les présentent aux utilisateurs en tant qu’arborescence virtuelle de dossiers, appelée espace de noms. Un espace de noms comporte de nombreux avantages, dont la disponibilité accrue des données, le partage de la charge réseau et la migration simplifiée des données. Réplication DFS permet aux administrateurs de répliquer des dossiers sans consommer beaucoup de bande passante à l’aide de l’algorithme de compression RDC (Remote Differential Compression, compression différentielle à distance) qui réplique uniquement les blocs modifiés d’un fichier. Les services Espaces de noms DFS et Réplication DFS servent plusieurs objectifs : ■ Organiser un grand nombre de partages de fichiers dispersés sur plusieurs serveurs

dans un espace de noms contigu afin que les utilisateurs retrouvent les fichiers dont ils ont besoin ; ■ Améliorer la disponibilité et les performances des partages de fichiers, en particulier

dans les environnements de réseau comportant plusieurs sites, où les espaces de noms DFS sont en mesure de rediriger les utilisateurs vers le serveur disponible le plus proche ; ■ Mettre en cache les données dans une succursale afin que les utilisateurs puissent

accéder aux fichiers d’un serveur de fichiers local, lequel se réplique ensuite sur un serveur de fichiers central via une connexion WAN ; ■ Centraliser la sauvegarde des succursales en répliquant toutes les données de la

succursale sur un serveur central sauvegardé régulièrement ; ■ Conserver au moins deux partages de fichiers synchronisés sur des liens LAN ou WAN.

Remarque DFS crée un environnement de collaboration avec peu de

dépendance où la réplication DFS réplique les données entre plusieurs serveurs. Cependant, Réplication DFS n’offre pas la possibilité de « vérifier » les fichiers ou de répliquer des fichiers en cours d’utilisation, comme les bases de données à utilisateurs multiples. Par conséquent, exploitez Windows SharePoint Services dans les environnements où les utilisateurs tentent régulièrement de modifier le même fichier simultanément à des endroits différents.

Terminologie DFS La plus grande part de la terminologie DFS est très spécifique à l’environnement DFS. Mémorisez bien les concepts qui suivent pour éviter les potentielles futures confusions. ■ Espace de noms Affichage virtuel des dossiers partagés. Même si les dossiers se

trouvent dans différents emplacements, ils apparaissent à l’utilisateur sous forme d’une arborescence unique.

258

Partie II

Installation et configuration

■ Serveur d’espaces de noms Héberge un espace de noms. Il peut être serveur membre

ou contrôleur de domaine. ■ Racine de l’espace de noms Dossier partagé qui sert de racine à un espace de noms

particulier. Comme DFS est un système de fichiers virtuel, la racine de l’espace de noms peut correspondre à n’importe quel dossier partagé sur une partition NTFS. ■ Dossiers Les dossiers d’un espace de noms DFS approfondissent la structure d’une

hiérarchie ou contiennent des cibles de dossiers qui se mappent sur les partages. ■ Cible de dossier Chemin d’accès UNC d’un dossier partagé ou d’un autre espace de

noms associé à un dossier d’un espace de noms. La cible de dossier stocke les données et le contenu. Remarque Les dossiers peuvent contenir des cibles de dossiers ou d’autres dossiers, mais pas les deux au même niveau de la hiérarchie. Les clients DFS choisissent automatiquement une cible de dossier dans leur site, si disponible, ce qui réduit l’utilisation du réseau intersite. Si plusieurs cibles sont disponibles dans le site du client, chaque client en sélectionne une de manière aléatoire, répartissant ainsi la charge de manière égale sur tous les serveurs disponibles. Si une cible n’est plus disponible, le client s’en remet automatiquement à une autre, processus que l’on appelle basculement du client. Lorsque la cible d’origine se rétablit, le client la récupère automatiquement si le serveur d’espaces de noms et le client prennent en charge cette fonctionnalité. Les cibles fournissent donc une tolérance de pannes, un équilibrage de charge réseau et la connaissance du site. Réplication DFS assure en outre la synchronisation continue des cibles de dossier.

Types d’espaces de noms Il existe deux types d’espaces de noms DFS : autonomes et basés sur le domaine. Un espace de noms autonome (comme \\srv1\public) stocke toutes les informations sur l’espace de noms dans le registre du serveur d’espaces de noms et non dans Active Directory. Tout serveur Windows 2000 Server ou ultérieur peut héberger un espace de noms autonome, qu’il appartienne à un domaine ou non (même si les serveurs Windows Server 2003 et Windows 2000 Server ne prennent pas en charge les fonctionnalités des espaces de noms DFS). Les espaces de noms autonomes hébergent davantage de dossiers (jusqu’à 50 000 dossiers avec cibles) que les espaces de noms de domaine (jusqu’à 5 000 dossiers avec cibles), mais la seule manière d’obtenir une redondance pour une racine d’espace de noms autonome est de faire appel à un cluster de serveurs. Il est impossible d’employer plusieurs serveurs d’espaces de noms pour héberger un espace de noms autonome, contrairement à l’espace de noms de domaine. Cependant, on peut répliquer des dossiers d’un espace de noms autonome tant que tous les membres de la réplication appartiennent à la même forêt Active Directory. Les racines d’espaces de noms de domaine (comme \\monentreprise.com\public) diffèrent des racines d’espaces de noms autonomes en plusieurs points. Premièrement, vous devez héberger les racines d’espaces de noms de domaine sur un serveur membre ou un contrôleur

Chapitre 12

Gestion des ressources de fichiers

259

de domaine d’un domaine Active Directory. Deuxièmement, les racines d’espaces de noms de domaine publient automatiquement la topologie DFS dans Active Directory. Cet arrangement fournit une tolérance de pannes et optimise les performances du réseau en dirigeant les clients vers la cible la plus proche. Choisissez un espace de noms autonome si le réseau n’exploite pas Active Directory, si l’espace de noms contient plus de 5 000 dossiers avec cibles ou si vous voulez héberger l’espace de noms sur un cluster de serveurs. Sinon, préférez un espace de noms de domaine si vous comptez exploiter plusieurs serveurs d’espaces de noms pour la redondance et tirer profit d’Active Directory pour les références clients qui connaissent le site. Il reste possible de combiner les deux ; par exemple, créez un espace de noms de domaine qui comprend une racine autonome en tant que dossier. Avant de créer des espaces de noms, concevez leur hiérarchie à l’image de la structure du domaine de l’organisation. Reportez-vous à cet effet au chapitre 3 du tome 1, « Planification de l’espace de noms et des domaines ». Créez une structure d’espace de noms logique, simple d’utilisation (pour l’utilisateur final !) et qui correspond à celle de l’organisation, puis impliquez toutes les parties prenantes dans le projet pour conclure la conception. Engagez quelques utilisateurs représentatifs de l’organisation afin de connaître leur avis sur la conception de l’espace de noms et de tirer profit de leur retour. Le tableau 12-6 contient des indications sur les serveurs d’espaces de noms. Tableau 12-6 Indications sur les serveurs d’espaces de noms Serveur hébergeant des espaces de noms autonomes

Serveur hébergeant des espaces de noms de domaine

Seuls les serveurs Windows Server 2008 prennent en charge l’énumération basée sur l’accès pour les espaces de noms autonomes ou de domaine (en mode Windows Server 2008).

Seuls les serveurs Windows Server 2008 hébergent des espaces de noms de domaine en mode Windows Server 2008.

Volume NTFS requis.

Volume NTFS requis.

Contrôleur de domaine ou serveur membre.

Contrôleur de domaine ou serveur membre du domaine dans lequel l’espace de noms est configuré.

Peut être hébergé par un cluster de basculement pour améliorer la disponibilité.

Peut employer plusieurs serveurs d’espaces de noms pour améliorer la disponibilité. L’espace de noms ne peut être une ressource en cluster d’un cluster de basculement. Cependant, il est possible de placer l’espace de noms sur un serveur qui fonctionne également comme un nœud dans un cluster de basculement si vous configurez l’espace de noms de manière à exploiter uniquement des ressources locales sur ce serveur.

260

Partie II

Installation et configuration

Configuration minimale sur le serveur d’espaces de noms Un serveur d’espaces de noms est un contrôleur de domaine ou un serveur membre qui héberge un espace de noms. Le nombre d’espaces de noms qu’il est possible d’héberger dépend du système d’exploitation du serveur de l’espace de noms. Les serveurs suivants peuvent héberger plusieurs espaces de noms : ■ Windows Server 2008, Édition Enterprise ■ Windows Server 2008, Édition Datacenter ■ Windows Server 2003 R2, Édition Enterprise ■ Windows Server 2003 R2, Édition Datacenter ■ Windows Server 2003, Édition Enterprise ■ Windows Server 2003, Édition Datacenter

Les serveurs équipés des systèmes d’exploitation suivants n’hébergent qu’un seul espace de noms : ■ Windows Server 2008, Édition Standard ■ Windows Server 2003 R2, Édition Standard ■ Windows Server 2003, Édition Web ■ Windows Server 2003, Édition Standard ■ Toute version de Windows 2000 Server

Configuration minimale sur le client de l’espace de noms Pour accéder à la structure de dossiers DFS, il vous faut un client DFS. Les utilisateurs accèdent aux partages de fichiers qui appartiennent à un espace de noms DFS sans client DFS, mais ils ne bénéficient d’aucune des fonctionnalités DFS, telles que les espaces de noms hiérarchiques, les cibles de dossier multiples et les références clients qui connaissent le site. Les systèmes d’exploitation qui suivent prennent complètement en charge les espaces de noms DFS, dont le basculement de client vers la cible de dossier préférée : ■ Windows Server 2008 ■ Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate ■ Windows Server 2003 R2 ■ Windows Storage Server 2003 R2 ■ Windows Server 2003 SP2 ou SP1 et le correctif du basculement de client Windows

Server 2003 ■ Windows XP Professionnel SP3 ou SP2 et le correctif du basculement de client

Windows XP Les correctifs de basculement de client sont décrits dans l’article 898900 de la Base de connaissances Microsoft à l’adresse http://support.microsoft.com/kb/898900.

Chapitre 12

Gestion des ressources de fichiers

261

Les utilisateurs qui exécutent les systèmes d’exploitation suivants ont accès aux espaces de noms, mais si une cible de dossier n’est plus disponible et qu’elle redevient accessible à nouveau, l’ordinateur ne va pas revenir vers la cible de dossier préférée : ■ Windows Storage Server 2003 ■ Windows XP Professionnel ■ Windows PE (Preinstallation Environment), lequel peut accéder aux espaces de noms

autonomes, mais pas à ceux qui sont basés sur le domaine ■ Windows 2000 Server ■ Windows 2000 Professionnel ■ Windows NT Server 4.0 avec Service Pack 6a ■ Windows NT Workstation 4.0 avec Service Pack 6a

Pour profiter au maximum des avantages du système de fichiers distribués, les clients qui prennent en charge le basculement sont privilégiés.

Réplication DFS Avant de déployer Réplication DFS, vérifiez que toutes les tâches suivantes ont été effectuées : ■ Étendre (ou mettre à jour) le schéma des Services de domaine Active Directory pour

inclure les additions de schéma Windows Server 2003 R2 ou Windows Server 2008. Remarque Le chapitre 2 du tome 1, « Présentation des ser vices

d’annuaire », contient une description du schéma et son fonctionnement. Pour de plus amples informations sur l’extension du schéma des Services de domaine Active Directory, reportez-vous à l’adresse http://msdn.microsoft.com/en-us/library/ms676900.aspx. ■ Placez les dossiers répliqués pour les clusters de basculement dans l’emplacement de

stockage d’un nœud. Le service Réplication DFS ne va pas se coordonner avec les composants du cluster ni basculer vers un autre nœud. ■ Installez le rôle Services de fichiers avec le service de rôle Réplication DFS sur tous les

serveurs qui vont agir comme membres d’un groupe de réplication. ■ Assurez-vous que tous les membres du groupe de réplication exécutent Windows

Server 2008 ou Windows Server 2003 R2. ■ Installez Gestion du système de fichiers distribués DFS sur un serveur pour gérer la

réplication. Ce serveur ne peut pas exécuter l’installation Server Core du système Windows Server 2008. ■ Assurez-vous que tous les serveurs d’un groupe de réplication se situent dans la même

forêt. Il est impossible d’activer la réplication sur des serveurs de forêts différentes. ■ Stockez les dossiers répliqués sur des volumes NTFS. ■ Vérifiez que votre logiciel antivirus est compatible avec Réplication DFS.

262

Partie II

Installation et configuration

Service de réplication de fichiers Le Service de réplication de fichiers, introduit avec Windows Server 2000, réplique les fichiers et les dossiers stockés dans des dossiers DFS ou dans le dossier SYSVOL des contrôleurs de domaine. Dans Windows Server 2008, il est devenu un service de rôle facultatif du rôle de serveur Services de fichiers. Il réplique le contenu sur les autres serveurs qui exploitent ce même service et non Réplication DFS. Réplication DFS remplace le Service de réplication de fichiers pour la réplication des dossiers DFS sur les serveurs Windows Server 2003 R2 ou Windows Server 2008. Dans les domaines qui s’exécutent à un niveau fonctionnel de domaine Windows Server 2008, Réplication DFS remplace également le Service de réplication de fichiers pour le dossier SYSVOL. Ni Réplication DFS, ni le Service de réplication de fichiers n’assurent la vérification ou la fusion. Si plusieurs utilisateurs modifient simultanément le même fichier sur différents serveurs, Réplication DFS fait appel à une méthode de résolution de conflits qui conserve la copie du fichier la plus récente (ou le premier créateur s’il s’agit de dossiers). Réplication DFS déplace les autres copies vers un dossier de fichiers en conflit et supprimés du serveur « perdant » mais ne réplique pas ce dossier par défaut, contrairement au Service de réplication de fichiers ; par conséquent, le dossier demeure sur le serveur local. Pour éviter les conflits, exploitez Windows SharePoint Services lorsque des utilisateurs distants ont besoin de travailler sur les mêmes fichiers simultanément (Windows SharePoint Services permet aux utilisateurs de vérifier les fichiers). À l’instar du Service de réplication de fichiers, Réplication DFS est un moteur de réplication multimaître qui détecte les modifications d’un fichier en surveillant le journal de l’USN (Update Sequence Number) et en répliquant le fichier modifié dès sa fermeture. Contrairement au Service de réplication de fichiers, Réplication DFS exploite un protocole version vector exchange pour déterminer les parties du fichier qui ont changé, puis il fait appel à la compression différentielle à distance pour répliquer uniquement les blocs modifiés du fichier supérieurs à 64 Ko. Voilà pourquoi Réplication DFS est bien plus efficace que le Service de réplication de fichiers, ce qui est très important lorsque la réplication a lieu sur des serveurs par le biais d’un lien WAN. Réplication DFS ne réplique pas les fichiers qui exploitent le chiffrement EFS.

Topologies de réplication Réplication DFS exploite plusieurs topologies : Hub and Spoke, Maille pleine et Personnaliser. Elles sont déjà bien connues de la plupart des administrateurs réseau, mais en voici tout de même un bref résumé : ■ Hub and Spoke Également appelée topologie en étoile. Chaque serveur se réplique sur

un serveur central, ce qui réduit l’exploitation des liens WAN. Cette topologie est similaire à un réseau Ethernet qui emploie un concentrateur (hub) ou un commutateur comme centre du réseau. Choisissez cette topologie pour réduire l’usage du réseau lorsque le groupe de réplication compte plus de 10 membres ou lorsque les membres du groupe de réplication se trouvent dans un site connecté via un lien WAN.

Chapitre 12

Gestion des ressources de fichiers

263

■ Maille pleine Tous les serveurs se répliquent sur les autres serveurs. Optez pour cette

topologie si le groupe de réplication compte moins de 10 serveurs et que tous les liens présentent des coûts assez bas (en termes de performances ou financiers) pour permettre à chaque serveur de se répliquer sur tous les autres serveurs. Cette topologie réduit le temps nécessaire pour répercuter les modifications sur tous les membres du groupe de réplication et améliore la fiabilité en répliquant sur tous les membres du groupe de réplication, mais elle augmente également le trafic réseau. ■ Personnaliser Cette topologie permet de spécifier manuellement les connexions de

réplication.

Installer Gestion du système de fichiers distribués DFS Pour gérer un espace de noms DFS et Réplication DFS, vous devez préalablement installer la console Gestion du système de fichiers distribués DFS. Ouvrez le Gestionnaire de serveur et installez le rôle Services de fichiers sur le serveur. Ensuite, procédez comme suit :

1. Dans le Gestionnaire de serveur, sélectionnez Rôles. 2. Sélectionnez Services de fichiers et cliquez sur Ajouter des services de rôle pour ouvrir l’Assistant Ajouter des services de rôle. 3. Sélectionnez Système de fichiers distribués (DFS), comme le montre la figure 12-8, puis cliquez sur Suivant.

Figure 12-8 Sélectionnez les services de fichiers à installer.

264

Partie II

Installation et configuration

4. Sur la page Créer un espace de noms DFS, sélectionnez Construire un espace de noms maintenant et indiquez un nom. Vous pouvez aussi choisir de créer l’espace de noms ultérieurement. Cliquez sur Suivant. 5. Sur la page Sélectionnez un type d’espace de noms, sélectionnez le type d’espace de noms que vous créez. 6. Sur la page Configurer l’espace de noms, cliquez sur Ajouter pour ajouter des dossiers à l’espace de noms. Au cours de cette étape, illustrée par la figure 12-9, il est possible de rechercher des cibles de dossiers et de les placer dans les dossiers choisis.

Figure 12-9 Ajoutez un dossier à l’espace de noms.

7. Une fois que vous avez ajouté les partages à l’espace de noms, cliquez sur Suivant. 8. Vérifiez vos paramètres et cliquez sur Installer.

Créer ou ouvrir une racine d’espace de noms Pour exploiter Espaces de noms DFS, la première étape consiste à créer un espace de noms ou à ouvrir une racine d’espace de noms existante. Si vous avez créé une racine d’espace de noms en installant Gestion du système de fichiers distribués DFS, vous y accédez de la manière suivante ; sinon, créez-en une nouvelle :

1. Démarrez la console Gestion du système de fichiers distribués DFS à partir du menu Outils d’administration. Sélectionnez le nœud Espaces de noms. 2. Pour ouvrir une racine d’espace de noms existante, cliquez droit sur Espaces de noms et choisissez Ajouter des espaces de noms à afficher. Pour créer une nouvelle racine d’espace de noms, cliquez droit sur Espaces de noms et choisissez Nouvel espace de noms. L’Assistant Nouvel espace de noms s’affiche. 3. Sur la page Serveur d’espaces de noms, tapez le nom du serveur qui va héberger la racine d’espace de noms, puis cliquez sur Suivant. Si le service Système de fichiers distribués est désactivé, cliquez sur Oui dans la boîte de dialogue d’avertissement pour démarrer le service et définir son paramètre de démarrage à Automatique.

Chapitre 12

Gestion des ressources de fichiers

265

4. Sur la page Nom et paramètres de l’espace de noms, tapez le nom à attribuer à la racine de l’espace de noms. Ce nom apparaît comme nom de partage aux utilisateurs (par exemple \\monentreprise.com\public). L’Assistant Nouvel espace de noms crée la racine d’espace de noms dans le dossier %SYSTEMDRIVE%:\DFSRoots\nom et accorde à tous les utilisateurs les autorisations en lecture seule. Pour modifier ces paramètres, cliquez sur Modifier les paramètres. Cliquez sur Suivant. 5. Sur la page Type d’espace de noms, illustrée par la figure 12-10, choisissez de créer un espace de noms de domaine ou un espace de noms autonome : ■ Sélectionnez Espace de noms de domaine pour stocker l’espace de noms sur

plusieurs serveurs dans Active Directory. \\monentreprise.com\public est un exemple d’espace de noms de domaine. ■ Sélectionnez l’option Espace de noms autonome pour créer l’espace de noms sur

un seul serveur ou sur un cluster de serveurs. \\srv1\public est un exemple d’espace de noms autonome. Cliquez sur Suivant.

Figure 12-10 Choisissez le type d’espace de noms.

6. Sur la page Revoir les paramètres et créer l’espace de noms, cliquez sur Créer. L’Assistant Nouvel espace de noms crée la racine de l’espace de noms. Corrigez les éventuelles erreurs à l’aide du bouton Précédent et cliquez sur Fermer.

266

Partie II

Installation et configuration

Pour créer un espace de noms à l’invite de commandes, servez-vous des commandes Dfsutil /Addftroot ou Dfsutil /Addstdroot. Par exemple, voici comment créer le même espace de noms que celui de la figure 12-10 :

1. Ouvrez la fenêtre Invite de commandes. Démarrez le service Système de fichiers distribués et définissez son démarrage à Automatique si nécessaire en tapant les commandes suivantes : Sc Start Dfs Sc Config Dfs Start= Auto

2. Créez le partage de dossier et de fichier de la racine d’espace de noms en tapant : Md E:\Public Net Share Public=E:\Public

3. Créez la racine d’espace de noms de domaine en tapant : Dfsutil /Addftroot /Server:Srv1 /Share:Public

Ajouter des serveurs d’espaces de noms La racine d’espace de noms constitue la partie la plus importante de l’espace de noms. Sans elle, les clients ne peuvent pas accéder aux dossiers DFS. Ainsi, la première étape de la création d’un espace de noms à tolérance de pannes consiste à ajouter des serveurs d’espaces de noms à la racine de l’espace de noms. Si possible, ajoutez au moins un serveur d’espaces de noms sur chaque site où les utilisateurs doivent accéder à l’espace de noms DFS.

1. Dans la console Gestion du système de fichiers distribués DFS, cliquez droit sur la racine d’espace de noms de domaine à répliquer, puis choisissez Ajouter un serveur d’espaces de noms. 2. Dans la boîte de dialogue Ajouter un serveur d’espaces de noms, tapez le chemin d’accès au serveur d’espaces de noms et cliquez sur OK. Windows crée la racine d’espace de noms sur le serveur cible dans le dossier %SYSTEMDRIVE%:\DFSRoots\ nom et accorde à tous les utilisateurs les autorisations en lecture seule. Pour modifier ces paramètres, cliquez sur Modifier les paramètres. 3. Si le service Système de fichiers distribués est désactivé, cliquez sur Oui dans la boîte de dialogue d’avertissement pour démarrer le service et définir son paramètre de démarrage à Automatique. 4. Pour ajouter un serveur d’espaces de noms à l’invite de commandes, créez le dossier partagé approprié, vérifiez que le service Système de fichiers distribués est démarré et que son démarrage est défini à Automatique, puis servez-vous de la commande Dfsutil /Addftroot. Par exemple, ouvrez une invite de commandes et tapez Dfsutil /Addftroot /Server:Srv2/Share:Public.

Chapitre 12

Gestion des ressources de fichiers

267

Ajouter des dossiers DFS Les dossiers DFS permettent aux utilisateurs de naviguer de la racine d’espace de noms vers les autres partages de fichiers du réseau sans laisser la structure de l’espace de noms DFS. Voici comment créer un dossier DFS :

1. Cliquez droit sur la racine d’espace de noms où ajouter un dossier, puis choisissez Nouveau dossier. La boîte de dialogue Nouveau dossier de la figure 12-11 s’affiche.

Figure 12-11 Créez un nouveau dossier.

2. Tapez le nom du dossier dans le champ Nom. Pour créer un dossier contenant d’autres dossiers DFS, cliquez sur OK sans ajouter de dossiers cibles. Vous créez ainsi une couche de structure pour l’espace de noms. 3. Pour ajouter des dossiers cibles, cliquez sur Ajouter et tapez le chemin d’accès UNC ou DNS du dossier partagé ou cliquez sur Parcourir pour rechercher le dossier partagé. 4. Ajoutez toutes les cibles de dossiers supplémentaires et cliquez sur OK. Si vous avez plusieurs cibles de dossiers, cliquez sur Oui dans la boîte de dialogue Réplication pour créer un groupe de réplication associé aux cibles de dossiers ou choisissez Non pour configurer un groupe de réplication ultérieurement (ou pas du tout). Si vous cliquez sur Oui, l’Assistant Réplication de dossier s’affiche avec quelques paramètres déjà définis. Pour en savoir plus, reportez-vous à la section « Créer un groupe de réplication », plus loin dans ce chapitre. Pour créer un dossier DFS à l’invite de commandes, créez les partages de fichiers appropriés, puis servez-vous de la commande Dfscmd /Map. Il est impossible d’ajouter de dossiers DFS sans cible de dossiers en ligne de commandes. Par exemple, ouvrez la fenêtre Invite de commandes et tapez les commandes suivantes : Dfscmd /Map \\monentreprise.com\Public\Software \\Dc1\Software Dfscmd /Add \\monentreprise.com\Public\Software \\Srv2\Software

268

Partie II

Installation et configuration

Remarque Pour publier un dossier DFS ou une racine d’espace de noms dans Active Directory de manière à ce que les utilisateurs retrouvent le dossier ou l’espace de noms lorsqu’ils parcourent Active Directory à la recherche de dossiers partagés, cliquez droit sur le conteneur approprié dans la console Utilisateurs et ordinateurs Active Directory, choisissez Nouveau, Dossier partagé, puis tapez le chemin d’accès de l’espace de noms ou du dossier DFS dans le champ Chemin réseau.

Modifier les paramètres avancés Les paramètres définis par défaut dans Gestion du système de fichiers distribués DFS conviennent à la plupart des installations, mais s’il vous faut modifier des paramètres d’espace de noms avancés, tels que l’ordre des références, changer la manière dont les serveurs d’espaces de noms interrogent les contrôleurs de domaine pour les métadonnées DFS ou déléguer des autorisations de gestion du système de fichiers distribués, servez-vous des informations des sections suivantes.

Modifier les paramètres des références de l’espace de noms Pour modifier la durée du cache, l’ordre dans lequel les contrôleurs de domaine ou les serveurs d’espaces de noms réfèrent les clients aux serveurs d’espaces de noms et aux cibles de dossiers ou les paramètres de basculement d’un espace de noms complet, cliquez droit sur une racine ou un dossier d’espace de noms, choisissez Propriétés, puis cliquez sur l’onglet Références (voir figure 12-12).

Figure 12-12 Onglet Références de la boîte de dialogue Propriétés d’un espace de noms

Terminez le processus en définissant les paramètres suivants : ■ Dans le champ Durée du cache, indiquez la durée pendant laquelle les clients doivent

mettre en cache les références avant d’interroger les contrôleurs de domaine ou le serveur d’espaces de noms pour une nouvelle référence.

Chapitre 12

Gestion des ressources de fichiers

269

■ Dans le champ Méthode de classement, choisissez la manière dont les contrôleurs de

domaine et les serveurs d’espaces de noms renvoient les cibles de dossiers et les serveurs d’espaces de noms aux clients. ■ Sélectionnez l’option Restauration automatique des clients sur les cibles préférées pour

qu’un client bascule vers son serveur préféré lorsqu’il se rétablit. Le serveur préféré dépend du site et des paramètres de classement des références personnalisés que vous spécifiez sur les cibles de dossiers. Ce paramètre est pris en charge par les clients Windows XP Service Pack 2 et le correctif de basculement de client Windows XP ultérieur au Service Pack 2, Windows Server 2003 Service Pack 1 et le correctif de basculement de client Windows Server 2003 et Windows Server 2003 R2. Lisez l’article 898900 de la Base de connaissances à l’adresse http://support.microsoft.com/kb/ 898900/ pour obtenir davantage d’informations sur ce correctif.

Remplacer les paramètres des références de dossiers individuels Les dossiers DFS héritent des paramètres de références de la racine de l’espace de noms, sauf si vous les remplacez spécifiquement. Pour ce faire, cliquez droit sur le dossier approprié, choisissez Propriétés, cliquez sur l’onglet Références, puis spécifiez les paramètres à remplacer. Pour définir explicitement une seule cible de dossier comme cible préférée ou définir la cible de dossier comme cible de dernier recours, sélectionnez le dossier dans l’arborescence de la console. Cliquez droit sur une cible de dossier dans le volet des résultats et choisissez Propriétés dans le menu contextuel. Cliquez sur l’onglet Avancée, cochez la case Remplacer l’ordre des références, puis spécifiez la priorité du dossier cible.

Déléguer des autorisations de gestion Gestion du système de fichiers distribués DFS définit les autorisations sur l’objet espace de noms dans Active Directory ou dans le registre du serveur d’espaces de noms (si l’espace de noms est autonome). Pour changer les possibilités des utilisateurs en matière de tâches d’administration courantes, servez-vous de la liste suivante : ■ Créer et gérer les espaces de noms Pour afficher, ajouter ou supprimer des groupes

en mesure de gérer des espaces de noms, cliquez droit sur le nœud Espaces de noms, choisissez Déléguer les autorisations de gestion, puis servez-vous de la boîte de dialogue Déléguer les autorisations de gestion. ■ Gérer des espaces de noms individuels et des groupes de réplication Pour afficher

les groupes autorisés à gérer un espace de noms ou un groupe de réplication, sélectionnez l’espace de noms ou le groupe de réplication et cliquez sur l’onglet Délégation. Pour retirer des autorisations de gestion à un groupe, cliquez droit sur le groupe et choisissez Supprimer. Pour accorder à un groupe des autorisations de gestion relatives à l’espace de noms, cliquez droit sur l’espace de noms, choisissez Déléguer les autorisations de gestion, tapez le nom du groupe dans la boîte de dialogue Sélectionnez Utilisateurs ou Groupes, puis cliquez sur OK.

270

Partie II

Installation et configuration

■ Créer et gérer les groupes de réplication Pour afficher, ajouter ou supprimer des

groupes autorisés à gérer la réplication, cliquez droit sur le nœud Réplication, choisissez Déléguer les autorisations de gestion, puis servez-vous de la boîte de dialogue Déléguer les autorisations de gestion.

Modifier les paramètres d’interrogation de l’espace de noms Pour changer la manière dont les serveurs d’espaces de noms interrogent les contrôleurs de domaine afin d’obtenir les dernières métadonnées d’espace de noms de domaine, cliquez droit sur l’espace de noms approprié, choisissez Propriétés, cliquez sur l’onglet Avancée, puis choisissez l’une des méthodes d’interrogation suivantes : ■ Optimiser pour la cohérence Interroge l’émulateur du contrôleur de domaine

principal (PDC) pour obtenir de nouvelles données sur l’espace de noms toutes les heures et à chaque modification de l’espace de noms. Choisissez cette option lorsque le réseau compte au maximum 16 serveurs d’espaces de noms afin de minimiser le temps nécessaire pour répercuter les modifications de l’espace de noms sur tous les serveurs d’espaces de noms. Il s’agit du paramètre par défaut. ■ Optimiser pour l’évolutivité Interroge toutes les heures le contrôleur de domaine le

plus proche pour obtenir des informations sur les modifications de l’espace de noms. Choisissez cette méthode lorsque le réseau contient plus de 16 serveurs d’espaces de noms afin de réduire la charge sur l’émulateur PDC. Cependant, cette option augmente le temps nécessaire pour répercuter les modifications de l’espace de noms sur tous les serveurs d’espaces de noms. Les serveurs Windows 2000 Server ne prennent pas en charge ce paramètre et utilisent toujours la méthode Optimiser pour la cohérence. Pour activer la méthode Optimiser pour la cohérence à l’invite de commandes, exécutez la commande Dfsutil /Rootscalability. Par exemple, ouvrez une invite de commandes, puis tapez Dfsutil /Root:monentreprise.com\Public /Rootscalability /Enable.

Sauvegarder et restaurer les cibles de dossiers DFS La base de données Espaces de noms DFS du Système de fichiers distribués basé sur le domaine est stockée dans Active Directory. Il est donc possible de la sauvegarder et de la restaurer à l’aide de méthodes de sauvegarde associées à Active Directory. Pour sauvegarder la liste des cibles de dossiers d’une racine d’espace de noms autonome, tapez le texte suivant à l’invite de commandes (remplacez NomServeur et EspaceDeNoms par le nom du serveur et celui de la racine d’espace de noms appropriés) : DFScmd /View \\NomServeur\EspaceDeNoms /Batch >DFS_backup.bat

Pour restaurer cette structure DFS, recréez l’espace de noms DFS et exécutez le fichier batch que vous avez créé. Remarque En plus de sauvegarder la topologie DFS, sauvegardez très régulièrement le contenu des partages de fichiers. Vérifiez toujours la sauvegarde

Chapitre 12

Gestion des ressources de fichiers

271

a va n t t o u t e a c t i o n c ri t i q u e . S e r v e z - v o u s d e l a c o m m a n d e D f s ra d m i n Replicationgroup pour exporter les paramètres Réplication DFS comme les membres du groupe de réplication et les connexions.

Exploiter Réplication DFS Un système de fichiers simple d’utilisation, à tolérance de pannes et ultra performant a peu d’intérêt si les données auxquelles vous voulez accéder sont indisponibles ou obsolètes. Pour garantir la disponibilité des fichiers aux utilisateurs si un serveur se déconnecte, créez des cibles de dossier supplémentaires (comme décrit précédemment dans ce chapitre) et exploitez Réplication DFS pour assurer leur synchronisation. Réplication DFS sert également à synchroniser les dossiers qui n’appartiennent pas à un espace de noms DFS pour répliquer par exemple des données d’une succursale sur un serveur du siège que vous sauvegardez régulièrement et efficacement.

Créer un groupe de réplication Un groupe de réplication se compose de plusieurs serveurs qui participent à la réplication. Ces groupes définissent la topologie de réplication employée par les membres de la réplication. Voici comment créer un groupe de réplication :

1. Cliquez sur Démarrer, Outils d’administration, puis Gestion du système de fichiers distribués DFS. 2. Dans l’arborescence de la console, cliquez droit sur le nœud Réplication, puis cliquez sur Nouveau groupe de réplication. 3. Suivez les instructions de l’Assistant Nouveau groupe de réplication.

Résolution des conflits lors de la réplication initiale Si d’autres membres du groupe de réplication possèdent des données dans les dossiers répliqués, lors de la réplication initiale, Windows entreprend plusieurs actions : ■ Si un fichier identique existe déjà sur le serveur cible (tout serveur autre que le

membre principal), le membre principal ne réplique pas le fichier. ■ Si un fichier existe déjà sur un serveur cible mais qu’il n’est pas identique à la version

du membre principal, Windows déplace le fichier sur le serveur cible dans le dossier local des fichiers en conflit et supprimés, puis réplique la version du fichier du membre principal, même si ce fichier est antérieur à la version du serveur cible. ■ Si un fichier existe sur un serveur cible qui n'est pas présent sur le membre

principal, Windows ne le réplique pas lors de la réplication initiale, mais au cours des réplications suivantes sur les autres membres, y compris le membre principal. Après la réplication initiale, le rôle de membre principal disparaît et la réplication devient multimaître. Abstenez-vous de supprimer, de renommer ou de déplacer des fichiers du membre principal ou de n’importe quel membre qui a déjà procédé à la

272

Partie II

Installation et configuration

réplication tant que la réplication initiale n’est pas achevée (recherchez l’événement 4104 dans le journal Réplication DFS). Les fichiers supprimés, renommés ou déplacés risquent de réapparaître s’ils existaient sur une cible pas encore répliquée.

Répliquer un dossier DFS Voici comment créer un dossier répliqué dans un nouveau groupe de réplication qui réplique un dossier DFS :

1. Sous le nœud Espaces de noms de Gestion du système de fichiers distribués DFS, cliquez droit sur le dossier approprié et choisissez Répliquer un dossier. L’Assistant Réplication de dossier apparaît. 2. Sur la page Nom du groupe de réplication et du dossier répliqué, confirmez le nom du groupe de réplication et du dossier répliqué. Le nom du groupe de réplication doit être unique dans le domaine. Pour travailler avec un groupe de réplication existant, suivez les instructions des sections suivantes. 3. Sur la page Éligibilité de la réplication, vérifiez les dossiers cibles à répliquer. Cliquez sur Suivant. 4. Sur la page Membre principal, sélectionnez le serveur contenant les données à employer comme source de la réplication initiale. 5. Sur la page Sélection de topologie, choisissez l’une des topologies de réplication suivantes : ■ Hub and Spoke Les serveurs spoke se répliquent sur un ou deux serveurs

concentrateurs centraux. Les serveurs concentrateurs se répliquent sur tous les autres serveurs concentrateurs à l’aide de la topologie à maille pleine, ainsi que sur les serveurs spoke désignés. Cette topologie est appropriée dans les environnements de réseau de grande envergure et dans les environnements comportant plusieurs succursales. Elle requiert un minimum de trois membres. ■ Maille pleine Tous les serveurs se répliquent sur les autres serveurs. Optez pour

cette topologie si le groupe de réplication compte moins de 10 serveurs et que tous les liens présentent des coûts assez bas (en termes de performances ou financiers) pour permettre à chaque serveur de se répliquer sur tous les autres serveurs et non pas sur un serveur concentrateur central. ■ Aucune topologie Cette option ne spécifie pas de topologie et reporte la

réplication jusqu’à ce que vous spécifiiez manuellement une topologie de réplication. Pour la spécifier après avoir créé le groupe de réplication, cliquez droit sur le groupe de réplication dans le composant logiciel enfichable Gestion du système de fichiers distribués DFS et choisissez Nouvelle topologie.

6. Sur la page Membres concentrateurs, qui s’affiche si vous avez choisi la topologie Hub and Spoke, indiquez les serveurs concentrateurs.

Chapitre 12

Gestion des ressources de fichiers

273

7. Sur la page Connexions Hub and Spoke, qui s’affiche si vous avez choisi la topologie Hub and Spoke, vérifiez que l’assistant liste les serveurs spoke appropriés. Pour changer le serveur concentrateur requis sur lequel un membre spoke se réplique en priorité ou changer le membre concentrateur optionnel sur lequel un membre spoke se réplique si le membre concentrateur requis est indisponible, sélectionnez le serveur spoke, cliquez sur Modifier, puis spécifiez le concentrateur requis et le concentrateur optionnel. 8. Sur la page Planification du groupe de réplication et bande passante, choisissez le moment de réplication et la quantité maximale de bande passante à attribuer à Réplication DFS. 9. Pour personnaliser la planification, choisissez Répliquer pendant les jours et heures spécifiés, puis cliquez sur Modifier la planification. Vous avez le choix entre l’heure UTC (Coordinated Universal Time, Temps Universel Coordonné) ou l’heure locale du serveur récepteur. 10. Sur la page Vérifier les paramètres et créer le groupe de réplication, vérifiez les paramètres et cliquez sur Créer. Corrigez les éventuelles erreurs et cliquez sur Fermer. Windows réplique alors la topologie et les paramètres de réplication sur tous les contrôleurs de domaine. Un membre du groupe de réplication interroge régulièrement son contrôleur de domaine le plus proche (par défaut, les membres du groupe de réplication procèdent à une interrogation sommaire toutes les 5 minutes à propos des objets Subscription sous le conteneur de l’ordinateur local et à une interrogation complète toutes les heures). Il reçoit les paramètres une fois que Windows a mis à jour le contrôleur de domaine. Pour changer l’intervalle d’interrogation de réplication, exécutez la commande Dfsrdiag. Pour répliquer un dossier DFS à l’invite de commandes, servez-vous de la commande Dfsradmin. Par exemple, ouvrez la fenêtre Invite de commandes et suivez cette procédure :

1. Créez un dossier pour le dossier intermédiaire DFS (Staging) en tapant les commandes suivantes sur chaque membre du groupe de réplication : Md E:\Documents\DfsrPrivate\Staging Attrib +H /S /D E:\Documents\DfsrPrivate

Remarque Servez-vous de la commande Dfsradmin Bulk ou d’un fichier batch pour exécuter une liste de commandes à partir d’un fichier texte. Vous retrouverez des exemples sur le site Web de Dunod à l’adresse www.dunod.fr.

2. Créez un nouveau groupe de réplication : Dfsradmin Replicationgroup New /Rgname:monentreprise.com\Public\Documents

3. Ajoutez des membres au groupe de réplication : Dfsradmin Member New /Rgname:monentreprise.com\Public\Documents /Memname:Dc1 /Force Dfsradmin Member New /Rgname:monenterprise.com\Public\Documents /Memname:Srv1 /Force

274

Partie II

Installation et configuration

4. Créez un nouveau dossier répliqué : Dfsradmin Replicatedfolder New /Rgname:monentreprise.com\Public\Documents/ Rfname:Documents /Replicatedfolderdfspath:\\monentreprise.com\Public\Documents /Force

5. Ajoutez des membres au dossier répliqué : Dfsradmin Membership Set /Rgname:monentreprise.com\Public\Documents / Rfname:Documents /Memname:Dc1 /Membershiplocalpath:E:\Documents /Membershipstagingpath:E:\Documents\Dfsrprivate\Staging / Isprimary:True /Membershipenabled:True /Force Dfsradmin Membership Set /Rgname:monentreprise.com\Public\Documents / Rfname:Documents /Memname:Srv1 /Membershiplocalpath:E:\Documents\ /Membershipstagingpath:E:\Documents\Dfsrprivate\Staging /Membershipenabled:True /Force

6. Créez des connexions de réplication : Dfsradmin Connection New /Rgname:monentreprise.com\Public\Documents /Connectionsendingmembername:Dc1 / Connectionreceivingmembername:Srv1 /Connectionenabled:True Dfsradmin Connection New /Rgname:monentreprise.com\Public\Documents /Connectionsendingmembername:Srv1 / Connectionreceivingmembername:Dc1 /Connectionenabled:True

Créer un groupe de réplication de succursale Pour créer un groupe de réplication qui procède à la réplication d’un seul serveur de succursale sur un seul serveur concentrateur, procédez comme suit :

1. Dans la console Gestion du système de fichiers distribués DFS, cliquez droit sur Réplication et choisissez Nouveau groupe de réplication. L’Assistant Nouveau groupe de réplication s’affiche. Remarque Il est plus rapide de créer des dossiers répliqués au sein d’un groupe de réplication existant que de créer un nouveau groupe de réplication pour chaque dossier répliqué, car le groupe de réplication applique automatiquement ses paramètres de planification, de topologie et de bande passante au nouveau dossier répliqué.

2. Sur la page Type de groupe de réplication, choisissez Groupe de réplication pour la collecte de données. 3. Sur la page Nom et domaine, tapez un nom à attribuer au groupe de réplication et unique dans le domaine, spécifiez dans quel domaine héberger le groupe et tapez si besoin une description du groupe de réplication.

Chapitre 12

Gestion des ressources de fichiers

275

4. Sur la page Serveur de succursale, saisissez le nom du serveur de succursale contenant les données à répliquer sur le serveur concentrateur. 5. Sur la page Dossiers répliqués, cliquez sur Ajouter, puis dans la boîte de dialogue Ajouter un dossier à répliquer, indiquez le dossier local du serveur de succursale à répliquer sur le serveur concentrateur. Lorsque vous avez terminé, cliquez sur OK. 6. Sur la page Serveur concentrateur, qui apparaît si vous avez choisi Groupe de réplication pour la collecte de données, saisissez le nom du serveur concentrateur qui sert de cible de réplication pour les dossiers répliqués. 7. Sur la page Dossier cible sur le serveur concentrateur, indiquez le dossier local du serveur concentrateur où placer les données répliquées du serveur de succursale. Ce dossier se situe généralement dans un dossier ou un volume que vous sauvegardez régulièrement. 8. Sur la page Planification du groupe de réplication et bande passante, choisissez le moment de réplication et la quantité maximale de bande passante à attribuer à Réplication DFS. Pour personnaliser la planification, choisissez Répliquer pendant les jours et heures spécifiés, puis cliquez sur Modifier la planification. Vous avez le choix entre l’heure UTC ou l’heure locale du serveur récepteur. 9. Sur la page Vérifier les paramètres et créer le groupe de réplication, vérifiez les paramètres et cliquez sur Créer. Corrigez les éventuelles erreurs et cliquez sur Fermer. Windows réplique alors la topologie et les paramètres de réplication sur tous les contrôleurs de domaine. Un membre du groupe de réplication interroge régulièrement son contrôleur de domaine le plus proche (par défaut, les membres du groupe de réplication procèdent à une interrogation sommaire toutes les 5 minutes à propos des objets Subscription sous le conteneur de l’ordinateur local et à une interrogation complète toutes les heures). Il reçoit les paramètres une fois que Windows a mis à jour le contrôleur de domaine. Pour changer l’intervalle d’interrogation de réplication, exécutez la commande Dfsrdiag. Pour répliquer un groupe de réplication à l’invite de commandes, servez-vous de la commande Dfsradmin. Par exemple, ouvrez la fenêtre Invite de commandes et suivez cette procédure :

1. Créez un dossier pour le dossier intermédiaire DFS en tapant les commandes suivantes sur chaque membre du groupe de réplication : Md C:\Données\Utilitaires\Dfsrprivate\Staging Attrib +H /S /D C:\Data\Utilitaires\Dfsrprivate

Remarque Servez-vous de la commande Dfsradmin Bulk ou d’un fichier batch pour exécuter une liste de commandes à partir d’un fichier texte. Vous retrouverez des exemples sur le site Web de Dunod à l’adresse www.dunod.fr.

2. Créez un nouveau groupe de réplication : Dfsradmin Replicationgroup New /Rgname:Utilitaires

276

Partie II

Installation et configuration

3. Ajoutez des membres au groupe de réplication : Dfsradmin Member New /Rgname:Utilitaires /Memname:Dc1 Dfsradmin Member New /Rgname:Utilitaires /Memname:Srv1

4. Créez un nouveau dossier répliqué : Dfsradmin Replicatedfolder New /Rgname:Utilitaires /Rfname:Utilitaires

5. Ajoutez des membres au dossier répliqué : Dfsradmin Membership Set /Rgname:Utilitaires /Rfname:Utilitaires / Memname:Dc1 /Membershiplocalpath:C:\Data\Utilitaires /Membershipstagingpath:C:\Data\Utilitaires\Dfsrprivate\Staging / Isprimary:True /Membershipenabled:True /Force Dfsradmin Membership Set /Rgname:Utilitaires /Rfname:Utilitaires / Memname:Srv1 /Membershiplocalpath:C:\Données\Utilitaires /Membershipstagingpath:C:\Données\Utilitaires\Dfsrprivate\Staging /Membershipenabled:True /Force

6. Créez des connexions de réplication : Dfsradmin Connection New /Rgname:Utilitaires / Connectionsendingmembername:Dc1 /Connectionreceivingmembername:Srv1 /Connectionenabled:True Dfsradmin Connection New /Rgname:Utilitaires / Connectionsendingmembername:Srv1 /Connectionreceivingmembername:Dc1 /Connectionenabled:True

Remarque Il est possible d’amorcer un membre de la succursale en sauvegardant le dossier répliqué sur le membre principal et de le restaurer sur un serveur cible avant de mettre en place la réplication. Vous réduisez ainsi la quantité de données que Windows doit envoyer sur une connexion WAN lors de la réplication initiale.

Créer un groupe de réplication multi-usage Pour créer un groupe de réplication qui réplique un nombre illimité de serveurs sur un nombre illimité d’autres serveurs, procédez comme suit :

1. Dans la console Gestion du système de fichiers distribués DFS, cliquez droit sur Réplication et choisissez Nouveau groupe de réplication. L’Assistant Nouveau groupe de réplication s’affiche. 2. Sur la page Type de groupe de réplication, choisissez Groupe de réplication multiusage. 3. Sur la page Nom et domaine, tapez un nom à attribuer au groupe de réplication et unique dans le domaine, spécifiez dans quel domaine héberger le groupe et tapez si besoin une description du groupe de réplication.

Chapitre 12

Gestion des ressources de fichiers

277

4. Sur la page Membres du groupe de réplication, ajoutez les serveurs sur lesquels répliquer le contenu. 5. Sur la page Sélection de topologie, choisissez une technologie de réplication. 6. Sur la page Membres concentrateurs, qui s’affiche si vous avez choisi la topologie Hub and Spoke, indiquez les serveurs concentrateurs. 7. Sur la page Connexions Hub and Spoke, qui s’affiche si vous avez choisi la topologie Hub and Spoke, vérifiez que l’assistant liste les serveurs spoke appropriés. Pour changer le serveur concentrateur requis sur lequel un membre spoke se réplique en priorité ou changer le membre concentrateur optionnel sur lequel un membre spoke se réplique si le membre concentrateur requis est indisponible, sélectionnez le serveur spoke, cliquez sur Modifier, puis spécifiez le concentrateur requis et le concentrateur optionnel. 8. Sur la page Planification du groupe de réplication et bande passante, choisissez le moment de réplication et la quantité maximale de bande passante à attribuer à Réplication DFS. Pour personnaliser la planification, choisissez Répliquer pendant les jours et heures spécifiés, puis cliquez sur Modifier la planification. Vous avez le choix entre l’heure UTC ou l’heure locale du serveur récepteur. 9. Sur la page Membre principal, sélectionnez le serveur contenant les données à employer comme source de la réplication initiale. 10. Sur la page Dossiers à répliquer, cliquez sur Ajouter et spécifiez le dossier à répliquer. Lorsque vous avez terminé, cliquez sur OK. 11. Sur la page suivante, sélectionnez un membre de la réplication à faire intervenir dans la réplication du dossier spécifié, cliquez sur Modifier et dans la boîte de dialogue, activez la réplication et spécifiez le dossier local du serveur cible où placer les données répliquées du serveur concentrateur. Répétez cette étape pour tous les dossiers répliqués qui figurent sur la page Dossiers à répliquer. 12. Sur la page Vérifier les paramètres et créer le groupe de réplication, vérifiez les paramètres et cliquez sur Créer. Corrigez les éventuelles erreurs et cliquez sur Fermer. Windows réplique alors la topologie et les paramètres de réplication sur tous les contrôleurs de domaine. Un membre du groupe de réplication interroge régulièrement son contrôleur de domaine le plus proche (par défaut, les membres du groupe de réplication procèdent à une interrogation sommaire toutes les 5 minutes à propos des objets Subscription sous le conteneur de l’ordinateur local et à une interrogation complète toutes les heures). Il reçoit les paramètres une fois que Windows a mis à jour le contrôleur de domaine. Pour changer l’intervalle d’interrogation de réplication, exécutez la commande Dfsrdiag. Remarque Pour créer un groupe de réplication multi-usage en ligne de commandes, reportez-vous à la section « Créer un groupe de réplication de succursale », précédemment dans ce chapitre ; les deux procédures sont identiques.

278

Partie II

Installation et configuration

Gérer les groupes de réplication Sélectionnez un groupe de réplication, puis servez-vous des onglets Appartenances, Connexions, Dossiers répliqués et Délégation de la console Gestion du système de fichiers distribués DFS pour gérer le groupe de réplication. Les sections qui suivent vous accompagnent pour procéder à cette gestion. Remarque Cliquez sur un en-tête de colonne pour changer le classement des éléments. Pour ajouter ou supprimer des colonnes, cliquez droit sur un en-tête de colonne et choisissez Ajouter/Supprimer des colonnes.

Les options de l’onglet Appartenances permettent d’afficher et de gérer les serveurs membres pour chaque dossier répliqué : ■ Pour désactiver un membre du groupe de réplication, cliquez droit sur le membre et

choisissez Désactiver. Désactivez les membres qui n’ont pas besoin de répliquer de dossier spécifique. Ne désactivez pas les membres pour les réactiver peu après, car cela génère environ 1 Ko de trafic de réplication par fichier du dossier répliqué et annule toutes les modifications du membre désactivé. Reportez-vous à l’encart « Résolution des conflits lors de la réplication initiale ». ■ Pour supprimer un membre du groupe de réplication, cliquez dessus du bouton droit

et choisissez Supprimer. ■ Pour ajouter un serveur membre qui participe à la réplication, cliquez droit sur le

groupe de réplication dans la console, choisissez Nouveau membre, puis parcourez l’assistant pour spécifier le chemin d’accès local des dossiers répliqués, les connexions et la planification. ■ Pour changer la taille des dossiers intermédiaires ou des dossiers de fichiers en conflit

et supprimés ou pour désactiver la conservation des fichiers supprimés, cliquez droit sur le membre, choisissez Propriétés, cliquez sur l’onglet Avancée, puis définissez les options de quotas. Le dossier des fichiers en conflit et supprimés stocke les fichiers « perdants » que Windows supprime lorsqu’il tombe sur deux versions du même fichier lors de la réplication, les derniers fichiers supprimés du dossier répliqué et les données de réplication sur les files d’attente du dossier intermédiaire. Remarque Par défaut, la taille de chaque dossier intermédiaire est de

4 096 Mo, mais en augmentant sa taille, vous pouvez améliorer les performances des membres du groupe de réplication qui travaillent avec de nombreux partenaires de réplication ou qui contiennent des fichiers volumineux ou variables. Recherchez l’ID d’événement 4208 dans le journal d’événements de la réplication DFS ; si cet événement apparaît plusieurs fois en une heure, augmentez la taille du dossier intermédiaire de 20 % jusqu’à ce que l’événement n’apparaisse plus aussi fréquemment.

■ Pour créer un rapport indiquant l’état de santé de la réplication ainsi que l’efficacité de

la compression différentielle à distance, cliquez droit sur le groupe de réplication,

Chapitre 12

Gestion des ressources de fichiers

279

choisissez Créer un rapport de diagnostic, puis parcourez l’assistant pour créer le rapport (voir l’exemple de rapport de la figure 12-13).

Figure 12-13 Exemple d’un rapport de santé ■ Pour vérifier la topologie de réplication, cliquez droit sur le groupe de réplication et

choisissez Vérifier la topologie. ■ L’onglet Connexions présente toutes les connexions de réplication à gérer. Pour ajouter

une nouvelle connexion de réplication entre deux membres d’un groupe de réplication, cliquez droit sur le groupe de réplication et choisissez Nouvelle connexion. Dans la boîte de dialogue Nouvelle connexion, spécifiez le membre expéditeur, le membre récepteur, la planification et choisissez entre une connexion de réplication unidirectionnelle ou bidirectionnelle. ■ Définissez les options de l’onglet Dossiers répliqués pour afficher et gérer tous les

dossiers répliqués : ■ Pour ajouter un nouveau dossier répliqué au groupe de réplication, dans la

console Gestion du système de fichiers distribués DFS, cliquez droit sur le groupe de réplication, puis parcourez l’assistant pour spécifier le membre principal et les dossiers locaux à répliquer.

280

Partie II

Installation et configuration

■ Pour exclure certains types de fichiers ou sous-dossiers de la réplication, cliquez

sur l’onglet Dossiers répliqués, cliquez droit sur le dossier répliqué, choisissez Propriétés, puis dans l’onglet Général, définissez les options relatives aux filtres des fichiers et des sous-dossiers. ■ Pour partager un dossier répliqué sur le réseau et ajouter si besoin le dossier à un

espace de noms DFS, cliquez droit sur le dossier répliqué, choisissez Partager et publier dans l’espace de noms, puis parcourez l’Assistant Partage et publication d’un dossier répliqué. Remarque La compression différentielle à distance augmente l’utilisation du processeur sur le serveur ; il est donc conseillé de la désactiver sur les serveurs équipés de processeurs lents et dans les environnements qui répliquent uniquement le nouveau contenu ou les fichiers inférieurs à 64 Ko. Pour désactiver la compression différentielle à distance sur une connexion, cliquez sur l’onglet Connexions, cliquez droit sur le membre, choisissez Propriétés, puis supprimez la coche de la case Utiliser la compression différentielle à distance (RPC). Vous pouvez aussi changer la taille minimale occupée par la compression différentielle à distance (64 Mo par défaut) à l’aide de la commande Dfsradmin ConnectionSet. Surveillez les statistiques relatives à la compression différentielle à distance et l’utilisation du processeur avant et après l’avoir désactivé pour vérifier que vous réduisez assez l’utilisation du processeur pour garantir le trafic réseau augmenté. ■ L’onglet Délégation présente les autorisations d’administration que vous pouvez gérer.

Reportez-vous à la section « Déléguer des autorisations de gestion » de ce chapitre pour en savoir plus sur l’onglet Délégation. Remarque Pour changer l’intervalle d’interrogation de réplication, lequel détermine la fréquence à laquelle un serveur recherche les fichiers mis à jour, faites appel à la commande Dfsrdiag.

Résumé Windows Server 2008 propose de nombreuses manières de gérer les ressources de fichiers, de les sécuriser et de les rendre accessibles. Au chapitre suivant, nous allons nous consacrer à la création et à la gestion des stratégies de groupe.

Chapitre 13

Stratégie de groupe Nouveautés de Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Composants de la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Objets de la stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Déléguer des autorisations sur les GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Désactiver une branche de GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Actualiser la Stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Sauvegarder un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Restaurer un objet de stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Restreindre la redirection des dossiers avec la Stratégie de groupe . . . . . . . . . . 339 Utiliser le Jeu de stratégie résultant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 La tâche d’un administrateur réseau se complexifie avec le temps. On attend de lui qu’il remette et entretienne des configurations de bureau personnalisées pour les utilisateurs itinérants, les employés de l’informatique et autres personnels affectés à des tâches définies, comme la saisie des données. Il doit régulièrement modifier les images du système d’exploitation standard, remettre avec promptitude les paramètres de sécurité et les mises à jour aux ordinateurs et périphériques. Il doit rendre les nouveaux utilisateurs rapidement productifs sans formation coûteuse. En cas de panne d’un ordinateur, il doit restaurer le service avec un minimum de perte de données et d’interruption. La Stratégie de groupe réduit la perte de productivité engendrée par les suspects habituels : les utilisateurs qui suppriment accidentellement des fichiers de configuration système, déplacent des fichiers essentiels ou introduisent par inadvertance un virus sur le réseau. En outre, elle accroît la productivité en permettant aux utilisateurs de trouver rapidement les éléments dont ils ont besoin pour travailler. L’administrateur limite les éléments de l’environnement de bureau de l’utilisateur, en précisant les programmes disponibles, ceux qui apparaissent sur le bureau et en choisissant les options accessibles depuis le menu Démarrer.

281

282

Partie II

Installation et configuration

Nouveautés de Server 2008 Les deux principaux changements de la Stratégie de groupe Windows Server 2008 sont les objets de stratégie de groupe Starter et les extensions de préférences de la Stratégie de groupe. L’interface profite également de quelques modifications mineures. Dans ce chapitre, nous étudierons les fondamentaux de la Stratégie de groupe et détaillerons plus particulièrement les GPO Starter et les extensions clientes.

Composants de la Stratégie de groupe La Stratégie de groupe se compose des éléments configurables suivants : ■ Paramètres de sécurité Configurent la sécurité pour les utilisateurs, les ordinateurs et

les domaines. ■ Scripts Spécifient les scripts relatifs au démarrage et à l’arrêt de l’ordinateur, ainsi que

les événements d’ouverture et de fermeture de session. ■ Préférences Configurent les paramètres non applicables pour les utilisateurs et les

ordinateurs. ■ Redirection des dossiers Place les dossiers spéciaux comme Documents ou les

dossiers d’application spécifiés sur le réseau. ■ Paramètres logiciels Affecte les applications aux utilisateurs (reportez-vous au

chapitre 7 du tome 2, « Gestion des logiciels », pour de plus amples informations sur la publication logicielle sur le réseau).

Objets de la stratégie de groupe On appelle objet de stratégie de groupe (GPO, Group Policy Object) une collection de paramètres de sécurité. Un GPO contient des stratégies qui affectent les ordinateurs et les utilisateurs. Parmi les stratégies relatives à l’ordinateur, citons les paramètres de l’application, les applications affectées et les scripts de démarrage et d’arrêt de l’ordinateur. Les stratégies utilisateur définissent les paramètres de l’application, la redirection des dossiers, les applications affectées et publiées, les scripts d’ouverture et de fermeture de session, ainsi que les paramètres de sécurité. En cas de conflit entre stratégies, les paramètres de l’ordinateur sont généralement prioritaires sur ceux de l’utilisateur. Les GPO sont stockés au niveau du domaine et sont associés à un objet Active Directory : site, domaine ou unité organisationnelle (OU, organizational unit). On peut appliquer un ou plusieurs GPO à un site, un domaine ou une OU, de même qu’il est possible de lier un GPO à plusieurs sites, domaines ou OU.

Chapitre 13

Stratégie de groupe

283

Important Lier des GPO entre domaines réduit significativement les performances du réseau.

Ordre de mise en œuvre Les stratégies de groupe sont traitées dans l’ordre suivant :

1. GPO local. 2. GPO liés au site, dans l’ordre précisé par l’administrateur. Reportez-vous au dossier Objets de stratégie de groupe liés dans la console Gestion des stratégies de groupe. Le GPO dont l’ordre de liaison est le plus faible est traité en dernier et possède donc la priorité la plus élevée. 3. Les GPO du domaine dans l’ordre précisé par l’administrateur. Le GPO dont l’ordre de liaison est le plus faible est traité en dernier et possède donc la priorité la plus élevée. 4. Les GPO d’unités d’organisation, de l’OU la plus grande à la plus petite (OU parent à enfant). Dans cet ordre, le dernier à écrire gagne. Si plusieurs GPO appliquent des paramètres contradictoires, le GPO ayant la priorité la plus élevée l’emporte.

Ordre d’héritage De manière générale, les paramètres de stratégie de groupe se passent des conteneurs parents aux conteneurs enfants. Autrement dit, une stratégie appliquée à un conteneur parent s’applique à tous les conteneurs enfants, y compris les utilisateurs et les ordinateurs, situés sous le conteneur parent, dans l’arborescence hiérarchique Active Directory. Cependant, si l’on affecte spécifiquement une stratégie de groupe à un conteneur enfant qui contredit celle du conteneur parent, la stratégie du conteneur enfant surpasse celle du parent. Si les deux stratégies ne sont pas contradictoires, elles sont toutes deux mises en œuvre. Par exemple, si la stratégie d’un conteneur parent appelle le raccourci d’une application sur le bureau d’un utilisateur et que la stratégie du conteneur enfant appelle le raccourci d’une autre application, les deux apparaissent. Les paramètres de stratégie désactivés s’héritent désactivés. Les paramètres de stratégie qui ne sont pas configurés dans le conteneur parent ne sont pas hérités.

Surpasser l’héritage Plusieurs options modifient le traitement de l’héritage. L’une des options empêche les conteneurs enfants de surpasser n’importe quel paramètre de stratégie défini dans un GPO de niveau supérieur. Dans la console Gestion des stratégies de groupe, on appelle cette option appliquer le lien GPO. Elle n’est pas définie par défaut et doit être activée pour chaque GPO où elle est souhaitée.

284

Partie II

Installation et configuration

Appliquer un lien GPO Pour appliquer un lien GPO, ouvrez la console Gestion des stratégies de groupe et procédez comme suit :

1. Sélectionnez le GPO dans l’arborescence. 2. Sur l’onglet Étendue, cliquez droit sur le lien et sélectionnez Appliqué dans le menu contextuel pour activer ou désactiver l’application du lien. 3. Cliquez sur OK.

Bloquer l’héritage L’autre option qui modifie le traitement de l’héritage consiste à le bloquer. Lorsque l’on sélectionne cette option, le conteneur enfant n’hérite aucune stratégie de ses conteneurs parents. En cas de conflit entre ces deux options, l’option Appliqué/Pas de surpassement est toujours prioritaire. Autrement dit, Appliqué/Pas de surpassement est une propriété de lien, Bloquer l’héritage est une propriété de conteneur et Appliqué est prioritaire sur Bloquer l’héritage. Pour bloquer l’héritage, procédez de la manière suivante :

1. Démarrez la console Gestion des stratégies de groupe. 2. Dans l’arborescence, localisez le domaine ou l’OU dont vous voulez bloquer l’héritage. 3. Cliquez droit sur le domaine ou l’OU et choisissez Bloquer l’héritage. Important Les autorisations explicites sont prioritaires sont les autorisations

héritées, même un Refuser hérité. Aussi, si vous octroyez explicitement l’accès à un objet, le Refuser hérité n’empêchera pas l’accès.

Créer un objet de stratégie de groupe La création d’un domaine Active Directory entraîne la création de la stratégie de domaine par défaut (Default Domain Policy) et de la stratégie des contrôleurs de domaine par défaut (Default Domain Controllers Policy). En général, pour simplifier l’administration et la modélisation de la stratégie, il est préférable de mettre en œuvre plusieurs GPO avec peu de paramètres que peu de GPO chacun soumis à de nombreux paramètres. Voici comment créer un GPO :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le dossier Objets de stratégie de groupe du domaine auquel le nouveau GPO va s’appliquer. Sélectionnez Nouveau dans le menu contextuel. 3. Dans la boîte de dialogue Nouvel objet GPO, saisissez le nom du GPO et cliquez sur OK.

Modifier un objet de stratégie de groupe Voici comment modifier un GPO existant :

1. Démarrez la console Gestion des stratégies de groupe.

Chapitre 13

Stratégie de groupe

285

2. Développez le dossier Objets de stratégie de groupe sous le domaine dans lequel se trouve la stratégie. 3. Cliquez droit sur la stratégie et sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe. 4. Développez Stratégies sous Configuration ordinateur ou Configuration utilisateur et modifiez les paramètres. Important Il est de bonne pratique de ne pas modifier les stratégies Default

Domain Policy et Default Domain Controllers Policy, à deux exceptions près : il faut configurer les paramètres de stratégie de compte dans Default Domain Policy et les paramètres des applications se trouvant sur des contrôleurs de domaine dont on doit modifier la stratégie d’audit ou les droits utilisateur dans Default Domain Controllers Policy.

Supprimer un objet de stratégie de groupe Voici comment supprimer un GPO :

1. Démarrez la console Gestion des stratégies de groupe. 2. Dans l’arborescence, développez le dossier Objets de stratégie de groupe de la forêt et du domaine qui contient le GPO à supprimer. 3. Cliquez droit sur le GPO et choisissez Supprimer dans le menu contextuel. 4. Dans le message de confirmation de la suppression, illustré par la figure 13-1, cliquez sur Oui.

Figure 13-1 Confirmation de la suppression du GPO

Lorsque vous supprimez un GPO, la console Gestion des stratégies de groupe tente de supprimer tous les liens vers ce GPO dans le domaine. Si vous ne bénéficiez pas des autorisations suffisantes pour supprimer un lien, le GPO sera supprimé, mais pas le lien. Le lien vers un GPO supprimé apparaît comme $$$Introuvable dans la console Gestion des stratégies de groupe. Pour supprimer un tel lien, vous devez bénéficier de l’autorisation sur le site, le domaine ou l’OU qui le contient.

Localiser un objet de stratégie de groupe Voici comment localiser un GPO :

1. Démarrez la console Gestion des stratégies de groupe. 2. Double cliquez sur la forêt qui contient le domaine dans lequel effectuer la recherche.

286

Partie II

Installation et configuration

3. Cliquez droit sur le domaine et choisissez Rechercher dans le menu contextuel. 4. Dans la boîte de dialogue Rechercher des objets de stratégie de groupe, illustrée par la figure 13-2, choisissez où effectuer la recherche et ajoutez autant de critères que possible. 5. Cliquez sur Ajouter.

Figure 13-2 Recherche d’un GPO

6. Cliquez sur Rechercher.

GPO Starter Un GPO Starter dérive d’un GPO et permet de stocker un certain nombre de modèles d’administration dans un même objet. Les GPO Starter sont faciles à importer et à exporter, ce qui les rend parfaits pour la distribution.

Créer un GPO Starter Il n’est rien de plus simple que de créer un GPO Starter :

1. Démarrez la console Gestion des stratégies de groupe. 2. Localisez le dossier Objets GPO Starter sous le domaine où le GPO doit être créé. 3. Cliquez droit sur le dossier Objets GPO Starter et choisissez Nouveau dans le menu contextuel.

Chapitre 13

Stratégie de groupe

287

4. Dans la boîte de dialogue Nouvel objet GPO Starter, saisissez le nom du GPO Starter et optionnellement un commentaire. 5. Cliquez sur OK.

Modifier un GPO Starter Aucun des paramètres des modèles d’administration contenus dans les GPO Starter n’est configuré. Voici comment configurer les paramètres d’un GPO Starter :

1. Démarrez la console Gestion des stratégies de groupe. 2. Localisez le dossier Objets GPO Starter. 3. Dans le volet Détails, cliquez droit sur le GPO Starter à modifier et sélectionnez Modifier dans le menu contextuel. Le GPO Starter s’ouvre dans l’Éditeur d’objet de stratégie de groupe Starter de la stratégie de groupe. 4. Sous Configuration ordinateur ou Configuration utilisateur, développez Modèles d’administration et configurez les paramètres.

Créer un nouveau GPO à partir d’un GPO Starter Lorsque l’on crée un nouveau GPO à partir d’un GPO Starter, le nouveau GPO contient tous les paramètres de stratégie du modèle d’administration, ainsi que leurs valeurs telles que définies dans le GPO Starter. Voici comment utiliser un GPO Starter comme point de départ pour un nouveau GPO :

1. Démarrez la console Gestion des stratégies de groupe. 2. Développez le dossier Objets GPO Starter. 3. Cliquez droit sur le GPO Starter à utiliser et choisissez Nouvel objet GPO créé à partir de l’objet GPO Starter. 4. Dans la boîte de dialogue Nouvel objet GPO, saisissez le nom du GPO et cliquez sur OK.

Générer un rapport des paramètres du GPO Starter Au lieu de parcourir de nombreuses pages de paramètres, il est possible de générer un rapport des paramètres d’un GPO Starter. Pour cela :

1. Démarrez la console Gestion des stratégies de groupe. 2. Développez le dossier Objets GPO Starter. 3. Cliquez droit sur le GPO Starter pour lequel vous voulez afficher un rapport. Sélectionnez Enregistrer le rapport dans le menu contextuel. 4. Dans la boîte de dialogue Enregistrer le rapport sur les objets GPO Starter, sélectionnez l’emplacement du rapport. Acceptez le nom du rapport ou tapez-en un nouveau. Cliquez sur Enregistrer. Vous pouvez ouvrir le rapport enregistré pour l’afficher ou l’imprimer.

288

Partie II

Installation et configuration

Importer et exporter un GPO Starter Pour exploiter un GPO Starter dans un autre environnement, on l’exporte en l’enregistrant en tant que fichier cabinet. Après l’avoir transféré dans un autre environnement, on l’importe en chargeant le fichier cabinet. Voici comment exporter un GPO Starter :

1. Démarrez la console Gestion des stratégies de groupe. 2. Développez le dossier Objets GPO Starter. 3. Dans le volet Contenu, sélectionnez le GPO à exporter et cliquez sur Enregistrer en tant que fichier CAB. 4. Dans la boîte de dialogue Enregistrer l’objet GPO Starter dans un fichier CAB, sélectionnez l’emplacement du fichier. Cliquez sur Enregistrer. Pour importer un GPO Starter, inversez le processus précédent :

1. Démarrez la console Gestion des stratégies de groupe. 2. Développez le dossier Objets GPO Starter. 3. Cliquez sur Charger le fichier CAB puis sur Rechercher le fichier CAB. 4. Localisez le fichier à importer. Cliquez sur son nom puis sur Ouvrir. 5. Cliquez sur OK pour achever le processus d’importation.

Préférences de la Stratégie de groupe Les préférences de la Stratégie de groupe constituent une nouveauté de Windows Server 2008. Elles simplifient la configuration, le déploiement et la gestion du système d’exploitation et des paramètres d’applications que l’on ne peut pas gérer par le biais de la Stratégie de groupe, comme les lecteurs mappés, les tâches planifiées et les paramètres du menu Démarrer. Pour configurer ces paramètres, les préférences de la Stratégie de groupe constituent souvent une meilleure alternative aux scripts d’ouverture de session. On les génère dans la console Gestion des stratégies de groupe. Les réseaux possèdent généralement deux types de paramètres : les paramètres obligatoires (Stratégie de groupe) et les paramètres optionnels (préférences). Les utilisateurs ne peuvent pas modifier les premiers, alors qu’ils ont la possibilité de changer les deuxièmes. En déployant spécifiquement les préférences, on crée des configurations plus adaptées à l’organisation que les paramètres par défaut du système d’exploitation. Pour déployer les préférences, on fait ensuite appel aux scripts d’ouverture de session ou aux profils utilisateur par défaut.

Chapitre 13

Stratégie de groupe

289

Quelles sont les différences entre les préférences de la Stratégie de groupe et la Stratégie de groupe ? La principale différence repose sur le fait que la Stratégie de groupe est obligatoire et que les préférences ne le sont pas. Il existe toutefois d’autres différences détaillées dans le tableau 13-1. Tableau 13-1 Paramètres/Préférences de la stratégie de groupe Paramètres de la Stratégie de groupe

Préférences de la Stratégie de groupe

Les paramètres sont obligatoires.

Les préférences ne sont pas obligatoires.

L’interface utilisateur est désactivée.

L’interface utilisateur n’est pas désactivée.

L’ajout de paramètres à la stratégie exige une prise en charge applicative et la construction de modèle d’administration.

Les éléments de préférences des fichiers et les paramètres de registre sont faciles à créer.

Nécessite des applications compatibles avec Prennent en charge les applications non la Stratégie de groupe. compatibles avec la Stratégie de groupe. Le filtrage est fondé sur WMI et demande d’écrire des requêtes WMI.

Prennent en charge le ciblage d’éléments.

Une autre interface utilisateur est proposée Exploitent une interface utilisateur familière pour la plupart des paramètres de stratégie. et conviviale pour configurer la plupart des paramètres.

La figure 13-3 est un arbre décisionnel permettant de choisir entre les paramètres de la Stratégie de groupe et les préférences de la stratégie de groupe.

Imposer le paramètre et désactiver l’interface utilisateur ? Non

Oui

L’utilisateur peut-il modifier définitivement ce paramètre ?

Sensible à la Stratégie de groupe ? Oui

Oui Non

Utiliser la Stratégie de groupe

Figure 13-3

Non Utiliser les préférences de la Stratégie de groupe et désactiver les options Appliquer une fois

Utiliser les préférences de la Stratégie de groupe et activer les options Appliquer une fois

Choisir entre les paramètres et les préférences de la Stratégie de groupe

290

Partie II

Installation et configuration

Extensions clientes Il n’est pas utile d’installer des services pour créer des GPO contenant les préférences de la stratégie de groupe. Pour déployer les préférences sur des ordinateurs clients, vous devez installer une CSE (client-side extension) des préférences de stratégie. Vous pouvez télécharger la CSE à partir du site www.microsoft.com/downloads/. Elle prend en charge les versions Windows suivantes : Windows XP avec SP2 Windows Vista Windows Server 2003 avec SP1 Windows Server 2008 inclut déjà la CSE. Pour afficher les préférences de la stratégie de groupe, démarrez la Gestion des stratégies de groupe à partir des Outils d’administration et procédez de la manière suivante :

1. Localisez le domaine. Cliquez droit sur Default Domain Controllers Policy et choisissez Modifier dans le menu contextuel. 2. Sous Configuration ordinateur, développez Préférences, Paramètres Windows et Paramètres du Panneau de configuration. 3. Sous Configuration utilisateur, développez Préférences, Paramètres Windows et Paramètres du Panneau de configuration. Comme le montre la figure 13-4, les listes Configuration ordinateur et Configuration utilisateur sont très similaires. Cependant, si certains noms sont identiques, les propriétés diffèrent. Les préférences suivantes ne se retrouvent que dans l’une des configurations : Applications, Mappage de lecteurs, Paramètres Internet et Menu Démarrer sous Configuration utilisateur ; Partages réseau et Options réseau sous Configuration ordinateur.

Chapitre 13

Figure 13-4

Stratégie de groupe

291

Extensions des préférences de la stratégie de groupe

Utiliser les préférences de la stratégie de groupe pour Windows À l’instar des paramètres de la stratégie de groupe, les préférences sont presque configurables à l’infini. Dans les prochaines sections, nous étudierons une sélection des extensions les plus courantes, en commençant par les paramètres Windows.

Mappages de lecteurs Le paramètre Mappages de lecteurs permet de créer, d’actualiser et de supprimer des lecteurs mappés et leurs propriétés. Voici comment créer un Lecteur mappé :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Paramètres Windows. Cliquez droit sur le nœud Mappages de lecteurs, pointez sur Nouveau et choisissez Lecteur mappé.

292

Partie II

Installation et configuration

4. Dans la boîte de dialogue Propriétés de Nouveau lecteur, sélectionnez l’une des actions suivantes à réaliser par la Stratégie de groupe, comme le montre la figure 13-5. ■ Créer Crée un nouveau lecteur mappé. ■ Remplacer Supprime un lecteur mappé existant et en crée un nouveau. ■ Mettre à jour Modifie des paramètres spécifiques d’un lecteur mappé existant. ■ Supprimer Supprime un lecteur mappé.

Figure 13-5 Création d’un nouveau lecteur mappé

5. Saisissez les paramètres du lecteur, décrits dans le tableau 13-2. 6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-2

Paramètres de Lecteur mappé

Nom du paramètre

Action

Description

Emplacement

Créer, Remplacer ou Mettre à jour

Pour créer ou remplacer un lecteur mappé existant, saisissez un chemin d’accès UNC complet. Pour modifier un mappage de lecteur existant, laissez le champ vide. Sachez que ce champ accepte également les variables de traitement. Appuyez sur F3 pour afficher les variables acceptées.

Reconnecter

Créer, Remplacer ou Mettre à jour

Cochez cette option pour enregistrer le lecteur mappé dans les paramètres de l’utilisateur et s’y reconnecter au cours des prochaines ouvertures de session.

Chapitre 13

Stratégie de groupe

293

Tableau 13-2 Paramètres de Lecteur mappé Nom du paramètre

Action

Description

Libeller en tant que

Créer, Remplacer ou Mettre à jour

Permet d’attribuer un intitulé descriptif. Ce champ accepte également les variables de traitement. Appuyez sur F3 pour afficher la liste.

Lettre de lecteur

Créer, Remplacer ou Mettre à jour

Pour affecter la première lettre de lecteur disponible, sélectionnez Utiliser le premier disponible en commençant à et choisissez une lettre de lecteur. Pour affecter une lettre de lecteur spécifique, sélectionnez Utiliser et choisissez une lettre de lecteur.

Lettre de lecteur

Mettre à jour

Pour modifier un mappage de lecteur existant, sélectionnez Existant et choisissez la lettre de lecteur.

Lettre de lecteur

Supprimer

Pour supprimer tous les mappages de lecteurs, sélectionnez Supprimer tout en commençant à et sélectionnez la première lettre de lecteur. Pour supprimer un mappage spécifique, sélectionnez Supprimer et choisissez la lettre de lecteur.

Se connecter en tant que

Créer, Remplacer ou Mettre à jour

Pour mapper un lecteur en se servant des informations d’identification d’une autre personne que celle ayant actuellement ouvert la session, tapez le nom et le mot de passe à employer.

Masquer/Afficher ce lecteur

Créer, Remplacer ou Mettre à jour

Pour empêcher l’affichage du lecteur dans l’Explorateur Windows, sélectionnez Masquer ce lecteur. Pour autoriser l’affichage, sélectionnez Afficher ce lecteur. Ces paramètres sont prioritaires sur le paramètre Masquer/Afficher Tous les lecteurs.

Environnement L’extension Environnement permet de créer de nouvelles variables environnementales et de modifier celles qui existent. Voici comment créer un nouvel élément de préférence Variable d’environnement :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. 4. Cliquez droit sur le nœud Environnement, pointez sur Nouveau et choisissez Variable d’environnement.

294

Partie II

Installation et configuration

5. Dans la boîte de dialogue Propriétés de Nouveau Environnement, sélectionnez une action à effectuer par la Stratégie de groupe. 6. Saisissez les paramètres de la variable environnementale que la Stratégie de groupe doit configurer ou supprimer. Le tableau 13-3 décrit ces paramètres. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 8. Cliquez sur OK. Tableau 13-3

Paramètres de Variables d’environnement

Nom du paramètre

Description

Variable utilisateur

Sous Configuration utilisateur, la variable affecte chaque utilisateur indépendamment. Sous Configuration ordinateur, la variable affecte uniquement l’utilisateur par défaut de l’ordinateur.

Variable système

La variable affecte Tous les utilisateurs de l’ordinateur.

Nom

Saisissez le nom de la variable. Pour sélectionner PATH, ne remplissez pas le champ Nom.

PATH

Cochez cette option pour créer ou remplacer la valeur de la variable PATH. Cette option est uniquement disponible lorsque l’option Variable système est sélectionnée.

Valeur

Si PATH est sélectionné, tapez une liste de chemins d’accès à des dossiers, délimitée par des points virgules. Si Partiel est sélectionné, tapez un segment de la variable PATH en omettant les points virgules.

Partiel

Uniquement disponible si Variable système et PATH sont sélectionnés. Si l’action choisie est Créer, la valeur spécifiée sera ajoutée à la variable PATH. Si vous avez choisi Remplacer ou Mettre à jour, la partie spécifiée de la variable PATH sera remplacée. Si vous avez choisi Supprimer, le segment spécifié sera supprimé de la variable PATH existante.

Fichiers Avec l’extension Fichiers, vous copiez, remplacez, supprimez ou modifiez les attributs des fichiers. L’extension prend en charge les caractères génériques dans les chemins d’accès et les variables environnementales. Avant de configurer une préférence de fichier, examinez le comportement de chaque type d’action et paramètre du tableau 13-4. Voici comment créer un nouvel élément de préférence Fichier :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel.

Chapitre 13

Stratégie de groupe

295

3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. 4. Cliquez droit sur Fichiers, pointez sur Nouveau et sélectionnez Fichier. 5. Dans la boîte de dialogue Propriétés de Nouveau Fichier, sélectionnez l’une des actions suivantes dans la liste déroulante : ■ Créer Copie un ou plusieurs fichiers d’une source vers une destination et

configure ensuite les attributs du fichier pour les ordinateurs ou les utilisateurs. ■ Supprimer Supprime un ou plusieurs fichiers. ■ Remplacer Écrase les fichiers de l’emplacement de destination par les fichiers de

remplacement. Si les fichiers n’existent pas au niveau de la destination, l’action remplace les copies de l’emplacement source vers la destination. ■ Mettre à jour Modifie les attributs d’un fichier existant.

6. Saisissez les paramètres du fichier, décrits dans le tableau 13-4. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-4 Paramètres de Fichiers Paramètre

Action

Description

Fichier(s) source

Créer, Remplacer ou Mettre à jour

Saisissez l’emplacement à partir duquel copier le fichier source. Le champ peut accueillir des variables. Vous pouvez employer un lecteur local ou mappé ou un chemin d’accès UNC complet.

Fichier de destination

Créer, Remplacer ou Mettre à jour et le champ Fichier(s) source (y compris les caractères génériques)

Saisissez l’emplacement où copier les fichiers ou celui des fichiers à remplacer. Vous pouvez employer un lecteur local ou mappé (du point de vue du client) ou un chemin d’accès UNC complet.

Supprimer le ou les fichier(s)

Supprimer

Saisissez le chemin d’accès au(x) fichier(s) du point de vue du client. Le champ peut accueillir des caractères génériques.

Supprimer les erreurs sur les actions de fichiers individuels

Remplacer, Mettre à jour ou Supprimer

Sélectionnez cette option pour autoriser le transfert de plusieurs fichiers pendant l’opération de remplacement, de suppression ou de mise à jour, même si le transfert échoue pour un ou plusieurs fichiers.

Attributs

Créer, Remplacer ou Mettre à jour

Sélectionnez les attributs du ou des fichiers transférés. Si nécessaire pour compléter une opération, l’attribut Lecture seule sera réinitialisé.

296

Partie II

Installation et configuration

Dossiers L’extension Dossiers est similaire à l’extension Fichiers. Vous créez, remplacez, mettez à jour, supprimez et même nettoyez les dossiers des ordinateurs cibles. À l’instar de l’extension Fichiers, l’extension Dossiers prend en charge les variables environnementales, mais elle n’autorise pas les caractères génériques dans les chemins d’accès aux dossiers. Avant de configurer une préférence de dossier, examinez le comportement de chaque type d’action et paramètre du tableau 13-5. Voici comment créer un nouvel élément de préférence Dossier :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. 4. Cliquez droit sur Dossiers, pointez sur Nouveau et sélectionnez Dossier. 5. Dans la boîte de dialogue Propriétés de Nouveau Dossier, sélectionnez l’une des actions suivantes dans la liste déroulante : ■ Créer Crée un nouveau dossier pour les utilisateurs ou les ordinateurs. ■ Remplacer Supprime le contenu d’un dossier existant et écrase les paramètres

associés à ce dossier. Si le dossier n’existe pas, Remplacer crée un nouveau dossier. ■ Mettre à jour Modifie un dossier existant. ■ Supprimer Supprime un dossier.

6. Saisissez les paramètres du dossier, décrits dans le tableau 13-5. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-5 Paramètre

Paramètres de Dossiers Action

Description

Chemin d’accès Créer, Remplacer, Mettre à jour ou Supprimer

Saisissez le chemin d’accès au dossier du point de vue du client. N’utilisez pas de guillemets ou de barre oblique de fin. Le champ peut accueillir des variables.

Attributs

Sélectionnez les attributs du dossier.

Créer, Remplacer ou Mettre à jour

Chapitre 13

Stratégie de groupe

297

Tableau 13-5 Paramètres de Dossiers Paramètre

Action

Description

Options

Remplacer ou Supprimer

Supprimer ce dossier (s’il a été vidé) : sélectionnez cette option pour supprimer le dossier sur ce chemin d’accès s’il est vide. Supprimer de manière récursive Tous les sousdossiers (s’ils sont vidés) : si vous sélectionnez cette option, le plus bas niveau des dossiers (s’ils sont vidés) sera supprimé, puis les dossiers parents, jusqu’à atteindre le dossier du champ Chemin d’accès. Cette option prend effet après que l’option Supprimer Tous les fichiers du ou des dossiers a été traitée. Supprimer Tous les fichiers du ou des dossiers : sélectionnez cette option pour supprimer Tous les fichiers autorisés à être supprimés du dossier. Si vous sélectionnez aussi Supprimer de manière récursive Tous les sousdossiers, Tous les fichiers autorisés à être supprimés dans Tous les sous-dossiers seront également supprimés. Autoriser la suppression des fichiers/dossiers en lecture seule : sélectionnez cette option pour désactiver l’attribut Lecture seule des fichiers et dossiers à supprimer. Ignorer les erreurs pour les fichiers/dossiers qui ne peuvent pas être supprimés : si vous ne cochez pas cette option, vous verrez une erreur lorsque l’élément dossier tentera de supprimer un dossier qui n’est pas vide ou pour lequel l’utilisateur n’a pas d’autorisation.

Fichiers .ini La préférence Fichiers .ini permet d’ajouter, de remplacer ou de supprimer des sections ou des propriétés dans les fichiers des paramètres de configuration (.ini) ou des informations de configuration (.inf). Chaque section d’un fichier .ini ou .inf prend la forme suivante : [SectionName] PropertyName1=PropertyValue1 PropertyName2=PropertyValue2

Avant de configurer une préférence de fichier .ini, examinez le comportement de chaque type d’action et paramètre du tableau 13-6. Voici comment créer un nouvel élément de préférence Fichier .ini :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. 4. Cliquez droit sur Fichiers .ini, pointez sur Nouveau et sélectionnez Fichier .ini.

298

Partie II

Installation et configuration

5. Dans la liste déroulante Action, choisissez l’une des options suivantes : ■ Créer Ajoute et configure une propriété pour un fichier .ini ou .inf. Si le fichier

n’existe pas, il est créé. ■ Remplacer Remplace une propriété dans un fichier .ini ou .inf. Si la propriété

n’existe pas, l’action Remplacer la crée. ■ Mettre à jour Même action que Remplacer. ■ Supprimer Supprime une section ou une propriété d’un fichier .ini ou .inf ou

supprime entièrement le fichier.

6. Saisissez les paramètres de configuration, décrits dans le tableau 13-6. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-6

Paramètres de Fichier .ini et .inf

Paramètre

Action

Description

Chemin d’accès du fichier

Toutes

Saisissez le chemin d’accès, du point de vue du client, vers le fichier .ini ou .inf. N’utilisez pas de guillemets. Si le fichier ou les dossiers parents n’existent pas, ils sont créés.

Nom de la section

Toutes

Saisissez le nom de la section à configurer. Laissez ce champ vide pour supprimer tout le fichier.

Nom de la propriété

Toutes

Saisissez le nom de la propriété à configurer. Si vous supprimez toute la section ou tout le fichier, laissez ce champ vide.

Valeur de la propriété

Créer, Remplacer ou Mettre à jour

Saisissez une valeur pour la propriété. Vous pouvez utiliser des guillemets, mais ils sont généralement supprimés lorsque l’application ou le système d’exploitation lit la valeur. Si vous laissez ce champ vide, la propriété aura une valeur vide lue comme si la propriété n’existait pas.

Partages réseau L’extension Partages réseau permet de gérer les partages réseau sur plusieurs ordinateurs ciblés (reportez-vous à la section « Configurer un élément de ciblage », plus loin dans ce chapitre). Cette extension permet d’entreprendre les actions suivantes : ■ Créer et configurer un partage ; ■ Remplacer un partage et modifier ainsi son chemin d’accès de dossier ; ■ Supprimer un partage ; ■ Modifier les propriétés d’un partage.

Chapitre 13

Stratégie de groupe

299

Voici comment créer un nouvel élément de préférence Partage réseau :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur, Préférences et Paramètres Windows. 4. Cliquez droit sur Partages réseau, pointez sur Nouveau et sélectionnez Partage réseau. 5. Dans la boîte de dialogue Propriétés de Nouveau Partage réseau, sélectionnez une action dans la liste déroulante : ■ Créer Crée un nouveau partage. ■ Remplacer Supprime et remplace un partage. Si le partage n’existe pas,

Remplacer en crée un nouveau. ■ Mettre à jour Modifie un partage. Ce paramètre actualise uniquement les

paramètres définis. Si le partage n’existe pas, Mettre à jour en crée un nouveau. ■ Supprimer Supprime un partage des ordinateurs.

6. Saisissez les paramètres de partage réseau que la Stratégie de groupe doit configurer ou supprimer. Le tableau 13-7 décrit ces paramètres. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-7 Paramètres de Partage réseau Paramètre

Action

Description

Nom du partage

Créer, Remplacer, Mettre à jour ou Supprimer

Saisissez le chemin d’accès d’un dossier existant vers lequel le partage va pointer. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ. Le champ Chemin du dossier n’est pas accessible si vous avez choisi Mettre à jour ou Supprimer et que vous utilisez des modificateurs d’actions.

Chemin du dossier

Créer, Remplacer, Mettre à jour ou Supprimer

Saisissez le nom du partage. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ. Le champ Nom du partage n’est pas accessible si vous avez choisi Mettre à jour ou Supprimer et que vous utilisez des modificateurs d’actions.

Commentaire

Créer, Remplacer ou Mettre à jour

Saisissez le texte à afficher dans le champ Commentaire du partage. Si vous actualisez un partage et laissez ce champ vide, le commentaire existant ne change pas. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

300

Partie II

Installation et configuration

Tableau 13-7

Paramètres de Partage réseau

Paramètre

Action

Description

Modificateurs d’action

Mettre à jour ou Supprimer

Mettre à jour/Supprimer les partages normaux : actualise ou supprime Tous les partages excepté les partages cachés (les partages dont les noms se terminent par $) et les partages spéciaux (SYSVOL et NETLOGON). Mettre à jour/Supprimer Tous les partages cachés non administratifs : actualise ou supprime les partages masqués excepté les partages de lettre de lecteur administratifs, ADMIN$, FAX$, IPC$ et PRINT$. Mettre à jour/Supprimer Tous les partages de lecteurs administratifs : actualise ou supprime Tous les partages administratifs (les partages dont les noms se terminent par $).

Nombre maximal Créer, d’utilisateurs Remplacer ou Mettre à jour

Aucune modification : ne modifie pas le nombre maximal autorisé lors de la mise à jour du partage. Si vous créez ou remplacez un partage, cette option définit le nombre d’utilisateurs au maximum autorisé. Nombre maximal autorisé : sélectionnez cette option pour ne pas limiter le nombre d’utilisateurs. Autoriser ce nombre d’utilisateurs : sélectionnez cette option pour configurer un nombre spécifique d’utilisateurs autorisés.

Énumération selon accès

Aucune modification : la visibilité des partages dans un dossier ne change pas. Activer : les dossiers du partage sont uniquement visibles aux utilisateurs avec un accès en lecture. Désactiver : les dossiers du partage sont visibles par tous les utilisateurs.

Créer, Remplacer ou Mettre à jour

Remarque Pour générer le point de partage, le dossier à partager doit déjà

exister sur les ordinateurs auxquels le GPO s’applique. Lorsque l’on supprime un partage, le point de partage menant au dossier est supprimé, mais le dossier et son contenu ne le sont pas. Reportez-vous à la section sur l’extension de la préférence Dossiers, précédemment dans ce chapitre, pour créer ou supprimer des dossiers avec la Stratégie de groupe.

Registre L’extension de préférence Registre permet de copier des paramètres de registre sur un ordinateur et de les appliquer à d’autres ordinateurs. Elle permet également de gérer les valeurs et les clés de registre. Voici comment créer et gérer des éléments de préférence Élément Registre :

1. Démarrez la console Gestion des stratégies de groupe.

Chapitre 13

Stratégie de groupe

301

2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. 4. Cliquez droit sur Registre, pointez sur Nouveau et sélectionnez Élément Registre. 5. Dans la boîte de dialogue Propriétés de Nouveau Registre, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle clé ou valeur de registre pour les utilisateurs ou les

ordinateurs. ■ Remplacer Supprime une valeur ou une clé de registre et la remplace.

Remplacer écrase tous les paramètres existants de la clé ou de la valeur. Si la clé ou la valeur de registre n’existe pas, l’action Remplacer en crée une nouvelle. ■ Mettre à jour Modifie les paramètres d’une clé ou d’une valeur de registre

existante. L’action Mettre à jour modifie uniquement les paramètres définis dans l’élément. Si la clé ou la valeur de registre n’existe pas, l’action Mettre à jour en crée une nouvelle. ■ Supprimer Supprime la clé ou la valeur de registre et toutes les sous-clés ou valeurs.

6. Saisissez les paramètres du registre, décrits dans le tableau 13-8. 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-8 Paramètres de Élément Registre Paramètre

Action

Description

Chemin d’accès de la clé

Toutes

Cliquez sur le bouton Parcourir pour localiser la valeur ou la clé sur laquelle agir. Si vous utilisez le bouton Parcourir, les champs Ruche, Chemin d’accès de la clé et Par défaut sont complétés automatiquement. Dans le cas contraire, saisissez le chemin d’accès sans le nom de la ruche, caractère de suite ou barre oblique. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Ruche

Toutes

Sélectionnez la ruche si vous ne localisez pas la clé ou la valeur avec le bouton Parcourir.

Nom de la valeur

Toutes

Cochez Par défaut pour configurer la valeur par défaut ou tapez le nom de la valeur à configurer. Pour configurer uniquement une clé, laissez ce champ vide. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Type de valeur

Créer, Si vous avez saisi un nom de valeur, sélectionnez son type. Si Remplacer ou vous configurez uniquement une clé, laissez ce champ vide. Mettre à jour

Données de valeur

Créer, Si vous avez saisi un type de valeur, tapez les données de la Remplacer ou valeur du registre. Mettre à jour

302

Partie II

Installation et configuration

Créer plusieurs éléments de registre Il est possible de créer plusieurs éléments de préférence du registre et de les classer dans un dossier qui imite la structure du registre. Voici comment créer plusieurs préférences du registre :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. 4. Cliquez droit sur Registre, pointez sur Nouveau et sélectionnez Assistant Registre. 5. Dans la boîte de dialogue Explorateur de Registre, sélectionnez l’ordinateur source. Cliquez sur Suivant. 6. Parcourez le registre et cochez la case de chaque clé ou valeur à partir de laquelle vous voulez créer un élément de préférence du registre, comme le montre la figure 13-6. Cochez la case d’une clé uniquement si vous voulez créer un élément de registre pour cette clé. Pour créer un élément de registre pour une valeur d’une clé, cochez la case de la valeur.

Figure 13-6 Sélection de plusieurs éléments du registre

7. Cliquez sur Terminer. Les paramètres sélectionnés apparaissent comme éléments de préférence dans la collection Valeurs de l’Assistant Registre. 8. Dans l’arborescence de la console, cliquez droit sur la collection Valeurs de l’Assistant Registre et sélectionnez Renommer. Saisissez un nom descriptif. Vous pouvez modifier un paramètre d’une collection en suivant la procédure décrite dans la section sur le registre.

Chapitre 13

Stratégie de groupe

303

Raccourcis En créant un élément de préférence Raccourci, vous créez un raccourci pour un fichier, un dossier, un ordinateur, une imprimante, une page web, en fait tous les objets vers lesquels un raccourci classique peut pointer, et l’appliquer via la Stratégie de groupe. Les éléments Raccourci possèdent de nombreux paramètres : examinez-les attentivement. Voici comment créer un nouvel élément de préférence Raccourci :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres Windows. Important Si un chemin d’accès de la configuration contient un lecteur

m a p p é , l ’ é l é m e n t d e p ré f é re n c e R a c c o u rc i d o i t s e t ro u v e r s o u s Configuration utilisateur. De même, vérifiez que la lettre de lecteur existe avant de traiter l’élément Raccourci et sélectionnez Exécuter dans le contexte de sécurité de l’utilisateur connecté, sur l’onglet Commun.

4. Cliquez droit sur Raccourcis, pointez sur Nouveau et sélectionnez Raccourci. 5. Dans la boîte de dialogue Propriétés de Nouveau Raccourci, sélectionnez une action dans la liste déroulante : ■ Créer Crée un nouveau raccourci pour les utilisateurs ou les ordinateurs. ■ Supprimer Supprime un raccourci et le recrée. Si le raccourci n’existe pas,

Remplacer en crée un nouveau. ■ Mettre à jour Actualise uniquement les paramètres définis dans l’élément de

préférence. Si le raccourci n’existe pas, Mettre à jour en crée un nouveau. ■ Supprimer Supprime un raccourci pour les utilisateurs ou les ordinateurs.

6. Saisissez les paramètres du raccourci, décrits dans le tableau 13-9. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », plus loin dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-9 Paramètres de Raccourci Paramètre

Action

Description

Nom

Toutes

Saisissez le nom du raccourci. Si vous remplacez, actualisez ou supprimez un raccourci, le nom doit correspondre à celui du raccourci existant. Ce champ accepte également les variables de traitement. Appuyez sur F3 pour afficher la liste des variables acceptées.

304

Partie II

Installation et configuration

Tableau 13-9

Paramètres de Raccourci

Paramètre

Action

Description

Type de cible

Toutes

Sélectionnez le type de cible dans la liste déroulante.

Emplacement

Toutes

Dans la liste déroulante, sélectionnez l’emplacement où doit apparaître le raccourci. Tout emplacement autre que Tous les utilisateurs s’applique à l’utilisateur ayant actuellement ouvert une session. Pour placer un raccourci dans un sous-dossier de l’emplacement, saisissez le chemin d’accès dans le champ Nom, suivi du nom d’affichage (par exemple, pour placer un raccourci dont le nom d’affichage est Références dans le sous-dossier Outils du menu Démarrer, tapez Outils\Références dans le champ Nom et sélectionnez Menu Démarrer comme Emplacement).

Chemin d’accès cible

Créer, Remplacer ou Mettre à jour un Objet du système de fichiers ciblé

Saisissez un chemin d’accès local ou UNC ou une lettre de lecteur vers lesquels pointe le raccourci. Ce champ accepte également les variables de traitement. Appuyez sur F3 pour afficher la liste des variables acceptées.

URL cible

Créer, Remplacer ou Mettre à jour une URL ciblée

Saisissez l’URL vers laquelle pointe le raccourci. Ce champ accepte également les variables de traitement. Appuyez sur F3 pour afficher la liste des variables acceptées.

Objet cible

Créer, Remplacer ou Mettre à jour un Objet de l’environnement ciblé

Cliquez sur le bouton Parcourir et sélectionnez un objet de l’environnement vers lequel pointe le raccourci.

Arguments

Créer, Remplacer ou Saisissez les arguments à employer lors de Mettre à jour un l’ouverture de l’objet cible. Objet du système de fichiers ciblé

Démarrer dans

Créer, Remplacer ou Mettre à jour un Objet du système de fichiers ciblé

Saisissez le chemin d’accès au dossier qui contient les fichiers requis par le dossier ou cliquez sur le bouton Parcourir pour le localiser. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Touche de raccourci

Créer, Remplacer ou Mettre à jour

Indiquez le raccourci clavier. Pour supprimer un raccourci clavier, cliquez dans le champ et appuyez sur la touche SUPPR.

Exécuter

Créer, Remplacer ou Dans la liste déroulante, choisissez la taille de la Mettre à jour un fenêtre à ouvrir. Objet du système de fichiers ciblé

Chapitre 13

Stratégie de groupe

305

Tableau 13-9 Paramètres de Raccourci Paramètre

Action

Description

Commentaire

Créer, Remplacer ou Mettre à jour un Objet du système de fichiers ou un Objet de l’environnement ciblé

Tapez le texte de l’infobulle qui s’affiche lorsque le pointeur de la souris s’arrête sur le raccourci. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Chemin d’accès du Créer, Remplacer ou fichier d’icône et Mettre à jour Index d’icône

Pour sélectionner une icône autre que le type par défaut, cliquez sur le bouton Parcourir et faites votre choix. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Configurer les options communes Tous les éléments de préférences de la stratégie de groupe possèdent un onglet Commun et nombre d’éléments partagent des options communes, dont les suivantes : ■ Arrêter le traitement des éléments de cette extension si une erreur survient. Il est

possible de configurer plusieurs éléments par extension. Si vous cochez cette option, tout échec d’élément arrête le traitement des éléments restants. Remarque Les éléments de préférence sont traités à partir de la fin de la liste vers le début. Si vous cochez cette option, le traitement des éléments traités avant l’élément problématique se poursuit. Cette option arrête uniquement les éléments qui suivent l’élément en échec. ■ Exécuter dans le contexte de sécurité de l’utilisateur connecté (option de

stratégie utilisateur). Par défaut, les préférences utilisateur sont traitées dans le

contexte de sécurité du compte SYSTEM. Cochez cette option pour traiter les éléments de préférence dans le contexte de sécurité de l’utilisateur ayant ouvert une session. L’extension de préférence peut ainsi accéder aux ressources en tant qu’utilisateur et non comme ordinateur. Cette option peut faire la différence lorsque l’on fait appel à des lecteurs mappés et d’autres ressources réseau. ■ Supprimer l’élément lorsqu’il n’est plus appliqué. Par défaut, la Stratégie de groupe

ne supprime pas les préférences lorsque l’on supprime le GPO de l’utilisateur ou de l’ordinateur. Si vous cochez cette option, l’élément est supprimé en même temps que le GPO. ■ Appliquer une fois et ne pas réappliquer. Le résultat des éléments de préférence sont

réécrits chaque fois que l’on actualise la Stratégie de groupe, soit toutes les 90 minutes par défaut. Si vous cochez cette option, les préférences s’appliquent une fois pour l’ordinateur, quel que soit le nombre d’utilisateurs qui partagent l’ordinateur. Dans la Configuration utilisateur, si cette option est cochée, l’élément s’applique une fois sur chaque ordinateur sur lequel l’utilisateur ouvre une session.

306

Partie II

Installation et configuration

■ Ciblage au niveau de l’élément. Utilisez le ciblage au niveau de l’élément pour

appliquer des éléments de préférence à des utilisateurs ou des ordinateurs individuels. Il est possible d’inclure plusieurs éléments, chacun adapté aux utilisateurs ou ordinateurs sélectionnés et chacun ciblé pour appliquer les paramètres uniquement aux utilisateurs ou ordinateurs appropriés.

Utiliser les préférences de la stratégie de groupe pour le Panneau de configuration Outre la catégorie Windows, il est possible de configurer les paramètres de préférence suivants pour le Panneau de configuration.

Sources de données Servez-vous de l’élément de préférence Sources de données pour configurer des sources de données ODBC (Open Database Connectivity) et stocker des informations relatives à la manière dont les utilisateurs et les ordinateurs peuvent se connecter à un fournisseur de données. Voici comment créer un élément de préférence Source de données :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Sources de données, pointez sur Nouveau et sélectionnez Source de données. 5. Dans la boîte de dialogue Propriétés de Nouveau Source de données, sélectionnez une action dans la liste déroulante : ■ Créer Crée un nouveau nom de source de données pour l’utilisateur ou

l’ordinateur. Si la source de données existe, ne la modifiez pas. ■ Remplacer Supprime et remplace le nom de la source de données. L’action

Remplacer écrase tous les paramètres existants du nom de la source de données. Si le nom de la source de données n’existe pas, l’action Remplacer en crée un nouveau. ■ Mettre à jour Modifie les paramètres d’un nom de source de données existant.

Les seuls paramètres modifiés sont ceux définis dans l’élément de préférence. Si le nom de la source de données n’existe pas, Mettre à jour en crée un nouveau. ■ Supprimer Supprime un nom de source de données existant.

6. Saisissez les paramètres de l’élément source de données, décrits dans le tableau 13-10.

Chapitre 13

Stratégie de groupe

307

7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-10 Paramètres de Source de données Paramètre

Action

Description

Source de données Toutes de l’utilisateur ou système

Sélectionnez Source de données de l’utilisateur pour rendre l’élément visible uniquement aux utilisateurs qui reçoivent l’élément. Sélectionnez Source de données système pour rendre la source de données accessible à Tous les utilisateurs de l’ordinateur.

Nom de source de données (DSN)

Toutes

Saisissez le nom qui identifie la source de données. Cliquez sur le bouton parcourir pour afficher une liste des noms de sources de données sur l’ordinateur en cours. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Pilote

Toutes

Tapez le nom du pilote ODBC employé pour se connecter au fournisseur de données. Cliquez sur le bouton Parcourir pour afficher une liste de pilotes ODBC.

Description

Créer, Remplacer ou Mettre à jour

Tapez une description de la source de données. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Nom d’utilisateur

Créer, Remplacer ou Mettre à jour

Saisissez le nom d’utilisateur servant à se connecter à la source de données.

Mot de passe et Confirmer le mot de passe

Créer, Remplacer ou Mettre à jour

Saisissez le mot de passe servant à se connecter au fournisseur de données.

Attributs

Créer, Remplacer ou Mettre à jour

Cliquez sur Ajouter pour créer de nouveaux attributs. Cliquez sur Supprimer ou Modifier pour les supprimer ou les modifier.

Périphériques Servez-vous de l’élément de préférence Périphériques pour centraliser l’activation ou la désactivation de types spécifiques de matériel pour les utilisateurs ou les ordinateurs. Vous pouvez configurer une classe entière de périphériques comme les ports (COM et LPT) ou restreindre la sélection à un type particulier de périphérique comme les ports de communication (COM2). Voici comment configurer un élément de préférence Périphérique :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel.

308

Partie II

Installation et configuration

3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Périphériques, pointez sur Nouveau et sélectionnez Périphérique. 5. Dans la liste déroulante de la boîte de dialogue Propriétés de Nouveau Périphérique, choisissez Utiliser ce périphérique (activé) ou Ne pas utiliser ce périphérique (désactivé). 6. Saisissez les paramètres du périphérique, décrits dans le tableau 13-11. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-11 Paramètres de Périphérique Paramètre

Action

Description

Classe de périphérique

Activé ou désactivé

Cliquez sur le bouton Parcourir pour activer ou désactiver la classe de périphérique ainsi que le type, si nécessaire.

Type de périphérique

Activé ou désactivé

Si un périphérique est sélectionné, il apparaît dans ce champ.

Options des dossiers L’extension de préférence Options des dossiers sous Panneau de configuration permet de configurer les éléments de préférence Dossier, Fichier et Ouvrir avec.

Créer un élément Options des dossiers Windows XP Les éléments Options des dossiers Windows XP s’appliquent uniquement aux ordinateurs Windows Server 2003 et Windows XP. Voici comment créer un nouvel élément Options des dossiers Windows XP :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Options des dossiers (Windows XP). 5. Dans la boîte de dialogue Propriétés de Nouveau Options des dossiers (Windows XP), illustrée par la figure 13-7, sélectionnez les options des dossiers que doit construire la Stratégie de groupe.

Chapitre 13

Stratégie de groupe

309

Figure 13-7 Sélection des options d’un nouveau dossier

6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Configurer un élément Options des dossiers Windows Vista Les options des dossiers Windows Vista s’appliquent uniquement aux ordinateurs Windows Server 2008 et Windows Vista. Voici comment créer un nouvel élément Options de dossier Windows Vista :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Options des dossiers (Windows Vista). 5. Dans la boîte de dialogue Propriétés de Nouveau Options des dossiers (Windows Vista), sélectionnez les options des dossiers que doit construire la Stratégie de groupe. 6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

310

Partie II

Installation et configuration

Configurer un élément Ouvrir avec La préférence Ouvrir avec est une association de fichier configurée. Voici comment créer un élément de préférence Ouvrir avec :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Ouvrir avec. 5. Dans la boîte de dialogue Propriétés de Nouveau Ouvrir avec, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle association Ouvrir avec. Si l’extension de fichier de

l’élément Ouvrir avec existe déjà dans le profil utilisateur, la nouvelle association n’est pas créée. ■ Remplacer Supprime et recrée une association Ouvrir avec. L’action Remplacer

écrase tous les paramètres existants de l’association Ouvrir avec. Si l’association n’existe pas, Remplacer en crée une nouvelle. ■ Mettre à jour Modifie une association Ouvrir avec existante. Seuls les

paramètres définis dans l’élément de préférence sont actualisés. Si l’association n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime une association Ouvrir avec existante.

6. Saisissez les paramètres de l’association Ouvrir avec. Le tableau 13-12 décrit les paramètres disponibles. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-12 Paramètres de Ouvrir avec Paramètre

Action

Description

Extension de fichier

Toutes

Saisissez l’extension de fichier (sans point) à associer à l’application spécifiée. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Programme associé

Créer, Remplacer Saisissez le nom de l’application, y compris son chemin ou Mettre à jour d’accès, à associer à l’extension de fichier.

Par défaut

Créer, Remplacer Cochez cette option pour faire de l’association entre ou Mettre à jour l’extension et l’application le paramètre par défaut.

Chapitre 13

Stratégie de groupe

311

Configurer un élément Type de fichier L’élément de préférence Type de fichier permet de gérer et de créer des extensions de fichiers associées à des types de fichiers particuliers. Voici comment créer un élément de préférence Type de fichier :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Type de fichier. 5. Dans la boîte de dialogue Propriétés de Nouveau Type de fichier, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle association de type de fichier. ■ Remplacer Supprime et recrée une association de type de fichier. L’action

Remplacer écrase tous les paramètres existants de l’association de type de fichier. Si n’en existe aucune, Remplace en crée une nouvelle. ■ Mettre à jour Modifie une association de type de fichier existante. Mettre à jour

actualise uniquement les paramètres définis dans l’élément de préférence. Si l’association n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime l’association de type de fichier spécifiée.

6. Saisissez les paramètres du type de fichier, décrits dans le tableau 13-13. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-13 Paramètres de l’association Type de fichier Paramètre

Action

Description

Extension du fichier

Toutes

Saisissez l’extension à associer à l’application.

Classe associée

Créer, Remplacer ou Mettre à jour

Dans la liste déroulante, sélectionnez la classe enregistrée à associée au type de fichier. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

312

Partie II

Installation et configuration

Tableau 13-13 Paramètres de l’association Type de fichier Paramètre

Action

Description

Configurer les paramètres de classe

Créer, Remplacer ou Mettre à jour

Sélectionnez pour configurer les paramètres de classes avancés. Chemin d’accès aux fichiers d’icônes : pour associer une icône particulière au type de fichier, cliquez sur le bouton Parcourir et localisez l’emplacement de l’icône. Le champ Index de l’icône sera automatiquement complété. Actions : cliquez sur Nouveau pour associer des applications à ce type de fichier.

Paramètres Internet La préférence Paramètres Internet propose plusieurs manières de configurer les paramètres Internet, parmi lesquelles : ■ Définir une configuration initiale en permettant aux utilisateurs d’effectuer des

modifications ; ■ Configurer certains paramètres en autorisant les utilisateurs à en modifier d’autres.

Créer un élément Internet Explorer 7 L’élément Internet Explorer ne permet pas d’effectuer un choix d’actions, puisqu’il ne peut pas être créé, supprimé ou remplacé, mais uniquement actualisé. Voici comment créer un nouvel élément de préférence Internet Explorer 7 :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Paramètres Internet, pointez sur Nouveau et choisissez Internet Explorer 7. 5. Dans la boîte de dialogue Propriétés de Nouveau Internet Explorer 7, illustrée par la figure 13-8, saisissez les options que doit configurer la Stratégie de groupe.

Chapitre 13

Stratégie de groupe

313

Figure 13-8 Configuration des options pour Internet Explorer 7

6. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres ne sont pas configurables par le biais d’un élément de préférence et ne sont pas disponibles (pour de plus amples informations sur l’onglet Commun, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Créer un élément Internet Explorer 5 ou 6 L’élément Internet Explorer ne permet pas d’effectuer un choix d’actions, puisqu’il ne peut pas être créé, supprimé ou remplacé, mais uniquement actualisé. Voici comment créer un nouvel élément de préférence Internet Explorer 5 ou 6 :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Paramètres Internet, pointez sur Nouveau et choisissez Internet Explorer 5 et 6. 5. Dans la boîte de dialogue Propriétés de Nouveau Internet Explorer 5 et 6, illustrée par la figure 13-9, saisissez les options que doit configurer la Stratégie de groupe.

314

Partie II

Installation et configuration

Figure 13-9 Configuration des options pour Internet Explorer 5 et 6

6. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres ne sont pas configurables par le biais d’un élément de préférence et ne sont pas disponibles (pour de plus amples informations sur l’onglet Commun, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Utilisateurs et groupes locaux L’élément Groupe local centralise la création et la gestion des groupes locaux, ainsi que la modification des appartenances de groupes. L’élément Utilisateur local permet de créer et de gérer les utilisateurs locaux et de modifier les mots de passe de l’utilisateur local.

Créer un élément Utilisateur local Voici comment créer un nouvel élément de préférence Utilisateur local :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Utilisateurs et groupes locaux, pointez sur Nouveau et choisissez Utilisateur local.

Chapitre 13

Stratégie de groupe

315

5. Dans la boîte de dialogue Propriétés de Nouveau Utilisateur local, sélectionnez une action dans la liste déroulante : ■ Créer Crée un nouvel utilisateur local sur l’ordinateur local. ■ Remplacer Supprime et recrée un utilisateur local portant le même nom sur

l’ordinateur local. Remplacer écrase tous les paramètres de l’utilisateur existant. Si l’utilisateur local n’existe pas, Remplacer en crée un nouveau. L’action Remplacer affecte un nouveau SID à l’utilisateur, ce qui peut modifier l’accès de l’utilisateur aux ressources. ■ Mettre à jour Renomme un utilisateur ou modifie ses paramètres. Seuls les

paramètres définis dans l’élément de préférence sont affectés. Si l’utilisateur local n’existe pas, Mettre à jour en crée un nouveau. L’action Mettre à jour ne modifie pas le SID de l’utilisateur. ■ Supprimer Supprime un utilisateur local.

6. Saisissez les paramètres de l’élément Utilisateur local, décrits dans le tableau 13-14. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-14 Paramètres de Utilisateur local Paramètre

Action

Description

Nom d’utilisateur

Toutes

Saisissez le nom de l’utilisateur ciblé. Si l’utilisateur n’existe pas, un nouvel utilisateur sera créé. Si l’utilisateur existe, il sera la cible de l’action sélectionnée.

Renommer en

Mettre à jour

Saisissez le nouveau nom de l’utilisateur local.

Nom complet

Créer, Remplacer ou Mettre à jour

Saisissez le nom complet de l’utilisateur local. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Description

Créer, Remplacer ou Mettre à jour

Saisissez une description de l’utilisateur local. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Mot de passe et Confirmer le mot de passe

Créer, Remplacer ou Mettre à jour

Tapez le mot de passe. Ce dernier est crypté lors de l’enregistrement de l’élément de préférence. Il est décrypté par l’extension Utilisateur local côté client.

316

Partie II

Installation et configuration

Tableau 13-14 Paramètres de Utilisateur local Paramètre

Action

Description

L’utilisateur doit changer le mot de passe à la prochaine ouverture de sessions, L’utilisateur ne peut pas changer de mot de passe, Le mot de passe n’expire jamais

Créer, Remplacer ou Mettre à jour

Cochez l’option de gestion du mot de passe.

Le compte est désactivé

Créer, Remplacer ou Mettre à jour

Cochez cette casse si le compte utilisateur doit être désactivé.

Le compte n’expire jamais

Créer, Remplacer ou Mettre à jour

Utilisez ce paramètre si vous ne voulez pas que le compte expire. Si la durée de vie d’un compte est définie, supprimez la coche et choisissez une date d’expiration dans la liste Le compte expire le.

Créer un élément Groupe local Voici comment créer un nouvel élément de préférence Groupe local :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Utilisateurs et groupes locaux, pointez sur Nouveau et choisissez Groupe local. 5. Dans la boîte de dialogue Propriétés de Nouveau Groupe local, sélectionnez une action dans la liste déroulante : ■ Créer Crée un nouveau groupe local sur l’ordinateur local. ■ Remplacer Supprime et recrée un groupe local portant le même nom sur

l’ordinateur local. Remplacer écrase tous les paramètres du groupe existant. Si le groupe local n’existe pas, Remplacer en crée un nouveau. L’action Remplacer affecte un nouveau SID au groupe, ce qui peut modifier l’accès du groupe aux ressources. ■ Mettre à jour Renomme un groupe ou modifie ses paramètres. Seuls les

paramètres définis dans l’élément de préférence sont affectés. Si le groupe local n’existe pas, Mettre à jour en crée un nouveau. L’action Mettre à jour ne modifie pas le SID du groupe. ■ Supprimer Supprime un groupe local.

6. Saisissez les paramètres de l’élément Groupe local, décrits dans le tableau 13-15.

Chapitre 13

Stratégie de groupe

317

7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-15 Paramètres de Groupe local Paramètre

Action

Description

Nom du groupe Toutes

Saisissez le nom du groupe ciblé. Si le groupe n’existe pas, Remplacer en crée un nouveau.

Renommer en

Mettre à jour

Saisissez le nouveau nom du groupe local.

Description

Créer, Remplacer ou Mettre à jour

Saisissez une description du groupe local. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Ajouter l’utilisateur actuel

Créer, Remplacer ou Mettre à jour

Sélectionnez cette option pour inclure l’utilisateur ayant actuellement ouvert une session comme membre de ce groupe. Cette option est uniquement disponible si l’élément est créé sous Configuration utilisateur.

Supprimer l’utilisateur actuel

Créer, Remplacer ou Mettre à jour

Sélectionnez cette option pour retirer l’utilisateur ayant actuellement ouvert une session des appartenances de ce groupe. Cette option est uniquement disponible si l’élément est créé sous Configuration utilisateur.

Ne pas configurer l’utilisateur actuel

Créer, Remplacer ou Mettre à jour

Sélectionnez cette option pour ne pas ajouter ou supprimer de ce groupe l’utilisateur ayant actuellement ouvert une session.

Supprimer les utilisateurs

Créer, Remplacer ou Mettre à jour

Supprime tous les comptes utilisateur de ce groupe.

Supprimer les groupes

Créer, Remplacer ou Mettre à jour

Supprime tous les comptes de groupes du groupe local.

Ajouter

Créer, Remplacer ou Mettre à jour

Ajoute des utilisateurs ou des groupes aux membres du groupe local.

Supprimer

Créer, Remplacer ou Mettre à jour

Sélectionnez un nom de la liste des membres et cliquez sur Supprimer pour supprimer ce membre de la liste.

Modifier

Créer, Remplacer ou Mettre à jour

Sélectionnez un nom de la liste des membres et cliquez sur Modifier pour modifier ce membre.

Options réseau Cet élément régit la configuration des connexions VPN et des connexions d’accès réseau à distance.

318

Partie II

Installation et configuration

Créer un nouvel élément Connexion VPN Voici comment configurer un élément de préférence Connexion VPN :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Options réseau, pointez sur Nouveau et sélectionnez Connexion VPN. 5. Dans la boîte de dialogue Propriétés de Nouveau VPN, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle connexion VPN. ■ Remplacer Supprime et recrée une connexion VPN. Remplacer écrase tous les

paramètres existants de la connexion existante. Si la connexion n’existe pas, Remplacer en crée une nouvelle. ■ Mettre à jour Renomme ou modifie une connexion existante. Seuls les

paramètres de l’élément sont mis à jour. Les autres paramètres ne changent pas. Si la connexion n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime une connexion.

6. Saisissez les paramètres VPN, décrits dans le tableau 13-16. 7. Cliquez sur l’onglet Options pour choisir les paramètres de numérotation et de rappel. 8. Cliquez sur l’onglet Sécurité pour définir les paramètres de sécurité par défaut et avancés de la connexion VPN. 9. Cliquez sur l’onglet Mise en réseau pour choisir le type de la connexion VPN. 10. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 11. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-16 Paramètres de VPN Paramètre

Action

Description

Connexion utilisateur

Toutes

Sélectionnez cette option pour rendre la connexion visible uniquement pour l’utilisateur auquel s’applique l’élément (ou supprimer une connexion uniquement visible par l’utilisateur).

Connexion de tous les utilisateurs

Toutes

Sélectionnez cette option pour rendre la connexion visible uniquement pour tous les utilisateurs de l’ordinateur (ou supprimer une connexion uniquement visible par tous les utilisateurs).

Chapitre 13

Stratégie de groupe

319

Tableau 13-16 Paramètres de VPN Nom de la connexion

Toutes

Saisissez le nom de la connexion.

Paramètre

Action

Description

Adresse IP ou Utiliser le nom DNS

Créer, Remplacer ou Mettre à jour

Tapez l’adresse IP de l’ordinateur distant ou cochez la case Utiliser un nom DNS et tapez le nom de domaine complet de l’ordinateur distant.

Établir d’abord une autre connexion

Créer, Remplacer ou Mettre à jour

Saisissez le nom de la connexion réseau de numérotation établie avant de se connecter au VPN.

Afficher une icône dans la zone de notification une fois la connexion établie

Créer, Remplacer ou Mettre à jour

Affiche une icône dans la zone de notification pendant l’utilisation de la connexion.

Créer un nouvel élément Connexion d’accès réseau à distance Voici comment créer un nouvel élément Connexion d’accès réseau à distance :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Options réseau, pointez sur Nouveau et sélectionnez Connexion d’accès réseau à distance. 5. Dans la boîte de dialogue Propriétés de Nouveau Accès réseau à distance, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle connexion d’accès réseau à distance. ■ Remplacer Supprime et recrée une connexion d’accès réseau à distance.

Remplacer écrase tous les paramètres existants de la connexion existante. Si la connexion n’existe pas, Remplacer en crée une nouvelle. ■ Mettre à jour Renomme ou modifie une connexion existante. Seuls les

paramètres de l’élément sont mis à jour. Les autres paramètres ne changent pas. Si la connexion n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime une connexion.

6. Saisissez les paramètres de la connexion d’accès réseau à distance. Le tableau 13-17 décrit les paramètres disponibles.

320

Partie II

Installation et configuration

7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-17 Paramètres de Connexion d’accès réseau à distance Paramètre

Action

Description

Connexion utilisateur

Toutes

Sélectionnez cette option, pour rendre la connexion visible uniquement pour l’utilisateur auquel s’applique l’élément (ou supprimer une connexion uniquement visible par l’utilisateur).

Connexion de tous Toutes les utilisateurs

Sélectionnez cette option pour rendre la connexion visible uniquement pour tous les utilisateurs de l’ordinateur (ou supprimer une connexion uniquement visible par tous les utilisateurs).

Nom de la connexion

Toutes

Saisissez le nom de la connexion.

Numéro de téléphone

Créer, Remplacer ou Mettre à jour

Saisissez le numéro de téléphone utilisé par la connexion. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Options d’alimentation La préférence Options d’alimentation configure comment Windows Server 2003 et Windows XP répondent aux événements liés à l’alimentation, comme le retour de sortie de veille, la fermeture des ordinateurs portables et l’utilisation de la mise en veille. L’élément Mode de gestion de l’alimentation configure un groupe des paramètres de gestion de l’alimentation regroupés sous un nom.

Configurer un élément Options d’alimentation Windows XP Voici comment créer un nouvel élément Options d’alimentation Windows XP :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Options d’alimentation (Windows XP). 5. Dans la boîte de dialogue Propriétés de Nouveau Options d’alimentation (Windows XP), sélectionnez les paramètres à employer pour l’élément.

Chapitre 13

Stratégie de groupe

321

6. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Remarque Dans certains cas, parmi lesquels la gestion de l’alimentation et des imprimantes, le même paramètre peut être configuré par le biais d’un paramètre de stratégie ainsi que d’un élément de préférence. Si les deux paramètres sont configurés et appliqués au même objet, la valeur du paramètre de stratégie s’applique toujours. La priorité des paramètres de stratégie est supérieure à celle des paramètres de préférence.

Configurer un élément Mode de gestion d’alimentation Windows XP Voici comment créer un nouvel élément Mode de gestion d’alimentation Windows XP :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Options des dossiers, pointez sur Nouveau et sélectionnez Mode de gestion d’alimentation (Windows XP). 5. Dans la boîte de dialogue Propriétés de Nouveau Mode de gestion de l’alimentation (Windows XP), sélectionnez une action dans la liste déroulante : ■ Créer Crée un nouveau mode de gestion de l’alimentation. ■ Remplacer Supprime et recrée le mode de gestion de l’alimentation nommé.

Remplacer écrase tous les paramètres existants du mode de gestion de l’alimentation existant. Si le mode n’existe pas, Remplacer en crée un nouveau. ■ Mettre à jour Modifie un mode de gestion de l’alimentation existant. Seuls les

paramètres de l’élément sont mis à jour. Les autres paramètres ne changent pas. Si le mode n’existe pas, Mettre à jour en crée un nouveau. ■ Supprimer Supprime un mode de gestion de l’alimentation.

6. Dans la liste déroulante Mode de gestion de l’alimentation, sélectionnez un mode. 7. Sélectionnez les paramètres du mode de gestion de l’alimentation. 8. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 9. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

322

Partie II

Installation et configuration

Imprimantes Cette extension permet de créer et de gérer des imprimantes locales, partagées et TCP/IP.

Créer un élément Imprimante locale Voici comment configurer un élément de préférence Imprimante locale :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Imprimantes, pointez sur Nouveau et sélectionnez Imprimante locale. 5. Dans la boîte de dialogue Propriétés de Nouveau Imprimante locale, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle imprimante locale. ■ Remplacer Supprime et recrée une imprimante locale. Remplacer écrase tous les

paramètres associés à l’imprimante. Si l’imprimante locale n’existe pas, Remplacer en crée une nouvelle. ■ Mettre à jour Modifie ou renomme une imprimante locale. Mettre à jour

actualise uniquement les paramètres définis dans l’élément de préférence. Les autres paramètres ne changent pas. Si l’imprimante locale n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime une imprimante locale. Supprimer ne supprime pas le

pilote d’imprimante, mais uniquement l’imprimante.

6. Saisissez les paramètres de l’imprimante locale, décrits dans le tableau 13-18. 7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-18 Paramètres de Imprimante locale Paramètre

Action

Description

Nom

Toutes

Saisissez le nom de l’imprimante locale ciblée.

Port

Créer, Remplacer ou Mettre à jour

Sélectionnez un port dans la liste déroulante.

Chapitre 13

Stratégie de groupe

323

Tableau 13-18 Paramètres de Imprimante locale Paramètre

Action

Description

Chemin d’accès de l’imprimante

Créer, Remplacer ou Mettre à jour

Cliquez sur le bouton Parcourir pour sélectionner un chemin d’accès UNC complet vers une connexion partagée pour le pilote d’imprimante.

Définir cette imprimante en tant qu’imprimante par défaut

Créer, Remplacer ou Mettre à jour

Cochez cette case pour faire de l’imprimante locale celle par défaut de l’utilisateur en cours.

Emplacement

Créer, Remplacer ou Mettre à jour

Saisissez une description de l’emplacement de l’imprimante. Elle apparaît dans la zone Emplacement de l’imprimante. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Commentaire

Créer, Remplacer ou Mettre à jour

Saisissez le texte qui apparaîtra dans la zone Commentaire de l’imprimante. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Créer un élément Imprimante partagée Voici comment créer un nouvel élément de préférence Imprimante partagée :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Imprimantes, pointez sur Nouveau et sélectionnez Imprimante partagée. 5. Dans la boîte de dialogue Propriétés de Nouveau Imprimante partagée, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle imprimante partagée. ■ Remplacer Supprime et recrée une imprimante partagée. Remplacer écrase tous

les paramètres associés à l’imprimante. Si l’imprimante partagée n’existe pas, Remplacer en crée une nouvelle. ■ Mettre à jour Modifie ou renomme une imprimante partagée. Mettre à jour

actualise uniquement les paramètres définis dans l’élément de préférence. Les autres paramètres ne changent pas. Si l’imprimante partagée n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime une imprimante partagée. Supprimer ne supprime pas le

pilote d’imprimante, mais uniquement l’imprimante.

6. Saisissez les paramètres de l’imprimante partagée, décrits dans le tableau 13-19.

324

Partie II

Installation et configuration

7. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-19 Paramètres de Imprimante partagée Paramètre

Action

Description

Chemin d’accès du partage

Toutes

Cliquez sur le bouton Parcourir pour choisir le chemin d’accès UNC complet d’une imprimante partagée.

Définir cette imprimante en tant qu’imprimante par défaut

Créer, Remplacer ou Mettre à jour

Cochez cette case pour faire de l’imprimante celle par défaut de l’utilisateur en cours.

Seulement s’il n’existe pas Créer, Remplacer d’imprimante locale ou Mettre à jour

Cochez cette case pour éviter de modifier l’imprimante par défaut en présence d’une imprimante locale. Ce paramètre est uniquement disponible après que l’on a sélectionné Définir cette imprimante en tant qu’imprimante par défaut.

Supprimer toutes les connexions d’imprimantes partagées

Supprimer

Supprimez toutes les connexions d’imprimantes partagées de l’utilisateur en cours.

Port local

Toutes

Pour mapper la connexion partagée sur un port local, sélectionnez le port dans la liste déroulante. Si vous supprimez un élément de préférence et que le champ Port local contient une valeur, la connexion d’imprimante partagée associée à ce port local sera supprimée.

Reconnecter

Créer, Remplacer ou Mettre à jour

Cochez cette case pour rendre l’imprimante persistante.

Supprimer le mappage de tous les ports locaux

Supprimer

Cochez cette option pour supprimer toutes les connexions partagées de tous les ports locaux.

Remarque Lorsque l’on traite des éléments de préférence d’une imprimante partagée, le pilote d’imprimante est toujours installé dans le contexte de sécurité spécifié sur l’onglet Commun.

Créer un élément Imprimante TCP/IP Voici comment configurer un élément de préférence Imprimante TCP/IP :

1. Démarrez la console Gestion des stratégies de groupe.

Chapitre 13

Stratégie de groupe

325

2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Imprimantes, pointez sur Nouveau et sélectionnez Imprimante TCP/ IP. 5. Dans la boîte de dialogue Propriétés de Nouveau Imprimante TCP/IP, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle connexion d’imprimante TCP/IP. ■ Remplacer Supprime et recrée une imprimante TCP/IP. Remplacer écrase tous

les paramètres associés à la connexion d’imprimante. Si l’imprimante TCP/IP n’existe pas, Remplacer en crée une nouvelle. ■ Mettre à jour Modifie ou renomme une imprimante TCP/IP. Mettre à jour

actualise uniquement les paramètres définis dans l’élément de préférence. Les autres paramètres ne changent pas. Si l’imprimante TCP/IP n’existe pas, Mettre à jour en crée une nouvelle. ■ Supprimer Supprime une imprimante TCP/IP. Supprimer ne supprime pas le

pilote ou le port d’imprimante, mais uniquement la connexion d’imprimante.

6. Saisissez les paramètres de l’imprimante TCP/IP, décrits dans le tableau 13-20. 7. Cliquez sur l’onglet Paramètres du port pour configurer les paramètres avancés. 8. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 9. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-20 Paramètres de l’imprimante TCP/IP Paramètre

Action

Description

Adresse IP ou Utiliser le nom DNS

Toutes

Tapez l’adresse IP de l’imprimante ou cochez la case Utiliser un nom DNS et tapez le nom de domaine complet de l’imprimante.

Nom local

Toutes

Saisissez le nom de la connexion d’imprimante TCP/IP. S’il n’existe pas de connexion d’imprimante portant ce nom, l’élément en crée une nouvelle. Appuyez sur F3 pour afficher la liste des variables autorisées dans ce champ.

Chemin d’accès de l’imprimante

Créer, Remplacer ou Mettre à jour

Cliquez sur le bouton Parcourir pour choisir le chemin d’accès UNC complet de la connexion d’imprimante. Il s’agit de la source d’installation du pilote d’imprimante.

326

Partie II

Installation et configuration

Tableau 13-20 Paramètres de l’imprimante TCP/IP Paramètre

Action

Description

Définir cette imprimante en tant qu’imprimante par défaut

Créer, Remplacer ou Mettre à jour

Cochez cette case pour faire de l’imprimante celle par défaut de l’utilisateur en cours.

Seulement s’il n’existe Créer, pas d’imprimante Remplacer ou locale Mettre à jour

Cochez cette case pour éviter de modifier l’imprimante par défaut en présence d’une imprimante locale. Ce paramètre est uniquement disponible après que l’on a sélectionné Définir cette imprimante en tant qu’imprimante par défaut.

Supprimer toutes les connexions d’imprimantes IP

Supprimer

Supprimer toutes les connexions d’imprimantes TCP/IP de l’utilisateur en cours.

Emplacement

Créer, Remplacer ou Mettre à jour

Saisissez une description de l’emplacement de l’imprimante. Elle apparaît dans la zone Emplacement de l’imprimante. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Commentaire

Créer, Remplacer ou Mettre à jour

Saisissez le texte qui apparaîtra dans la zone Commentaire de l’imprimante. Appuyez sur F3 pour afficher la liste des variables acceptées dans ce champ.

Options régionales Cet élément configure les mêmes valeurs que les Options régionales et linguistiques du Panneau de configuration. Voici comment créer un nouvel élément de préférence Options régionales :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Options régionales, pointez sur Nouveau et sélectionnez Options régionales. 5. Dans la boîte de dialogue Propriétés de Nouveau Options régionales, illustrée par la figure 13-10, sélectionnez les options que doit configurer la Stratégie de groupe. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres ne sont pas configurables par le biais d’un élément de préférence et ne sont pas disponibles (pour de plus amples informations sur l’onglet Commun, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 6. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Chapitre 13

Stratégie de groupe

327

Figure 13-10 Configuration des options régionales

Remarque Pour de plus amples informations, reportez-vous à la section

« Activer et désactiver les paramètres des éléments de préférence », dans l’encart, plus loin dans ce chapitre.

Tâches planifiées Avec cet élément de préférence, vous automatisez les tâches de maintenance (balayages antivirus, sauvegardes, nettoyage du disque, et ainsi de suite), actualisez la Stratégie de groupe et créez une tâche à exécuter immédiatement après l’actualisation (Windows XP), lancez un processus l’ouverture de session de l’utilisateur et gérez toutes sorte de tâches de planification.

Configurer une nouvelle tâche planifiée Voici comment créer une nouvelle Tâche planifiée :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Tâches planifiées, pointez sur Nouveau et sélectionnez Tâche planifiée. 5. Dans la boîte de dialogue Propriétés de Nouveau Tâche, sélectionnez une action dans la liste déroulante : ■ Créer Crée une nouvelle tâche pour les utilisateurs ou les ordinateurs. ■ Remplacer Supprime et recrée des tâches planifiées. Remplacer écrase tous les

paramètres associés à la tâche. Si la tâche n’existe pas, Remplacer en crée une nouvelle.

328

Partie II

Installation et configuration

■ Mettre à jour Modifie les paramètres de la tâche planifiée. Mettre à jour actualise

uniquement les paramètres définis dans l’élément de préférence. Les autres paramètres ne changent pas. Si la tâche planifiée n’existe pas, Remplacer en crée une nouvelle. ■ Supprimer Supprime une tâche planifiée.

6. Saisissez les paramètres de la tâche, décrits dans le tableau 13-21. 7. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres ne sont pas configurables par le biais d’un élément de préférence et ne sont pas disponibles (pour de plus amples informations sur l’onglet Commun, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 8. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-21 Paramètres de Tâche planifiée Paramètre

Action

Description

Nom

Toutes

Saisissez le nom de la tâche planifiée. Ce nom apparaîtra dans la liste des tâches planifiées du Panneau de configuration. Pour toutes les actions à l’exception de Créer, ce nom doit correspondre au nom de la tâche existante.

Exécuter

Créer, Saisissez le nom de la commande à exécuter ou cliquez Remplacer ou sur Parcourir pour localiser la commande. Mettre à jour

Arguments

Créer, Saisissez tout argument associé à la commande. Remplacer ou Mettre à jour

Démarrer dans

Créer, Saisissez le répertoire de travail de la commande à lancer. Remplacer ou Mettre à jour

Commentaires

Créer, Décrivez la tâche. Les utilisateurs ou les ordinateurs voient Remplacer ou la description où l’élément s’applique. Mettre à jour

Exécuter en tant que

Créer, Configure le contexte de sécurité de la tâche planifiée, si Remplacer ou elle doit s’exécuter dans un contexte de sécurité autre que Mettre à jour celui par défaut. Si la tâche se trouve sous Configuration utilisateur, elle s’exécute par défaut dans le contexte de sécurité de l’utilisateur ayant ouvert la session. Si la tâche se trouve sous Configuration ordinateur, elle s’exécute par défaut dans le contexte de sécurité du compte SYSTEM.

Activée

Créer, Cochez cette case pour autoriser l’exécution de la tâche. Remplacer ou Mettre à jour

Chapitre 13

Stratégie de groupe

329

Configurer un élément Tâche immédiate (Windows XP) Cet élément s’exécute immédiatement après l’actualisation de la Stratégie de groupe avant d’être supprimé. Il est possible de configurer les tâches immédiates pour les ordinateurs Windows XP et Windows Server 2003. Remarque Les tâches immédiates ne permettent pas de choisir une action puisqu’elles sont toujours nouvellement créées puis supprimées après exécution. Voici comment créer une Tâche immédiate :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et Paramètres du Panneau de configuration. 4. Cliquez droit sur Tâches planifiées, pointez sur Nouveau et sélectionnez Tâche immédiate (Windows XP). 5. Dans la boîte de dialogue Propriétés de Nouveau Tâche immédiate (Windows XP), saisissez les paramètres de la tâche, décrits dans le tableau 13-22. 6. Cliquez sur les onglets Paramètres et Commune pour saisir d’autres paramètres (pour de plus amples informations sur l’onglet Commun, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 7. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-22 Paramètres de Tâche immédiate Paramètre

Description

Nom

Saisissez le nom de la tâche immédiate. Ce nom apparaîtra dans la liste des tâches immédiates du Panneau de configuration.

Exécuter

Saisissez le nom de la commande à exécuter ou cliquez sur Parcourir pour localiser la commande.

Arguments

Saisissez tout argument associé à la commande.

Démarrer dans

Saisissez le répertoire de travail de la commande à lancer.

Commentaires

Décrivez la tâche. Les utilisateurs et les ordinateurs verront cette description.

Exécuter en tant que

Configure le contexte de sécurité de la tâche, si elle doit s’exécuter dans un contexte de sécurité autre que celui par défaut. Si la tâche se trouve sous Configuration utilisateur, elle s’exécute par défaut dans le contexte de sécurité de l’utilisateur ayant ouvert la session. Si la tâche se trouve sous Configuration ordinateur, elle s’exécute par défaut dans le contexte de sécurité du compte SYSTEM.

330

Partie II

Installation et configuration

Services Il est possible de configurer les services existants sur les ordinateurs avec un élément de préférence Services. Voici comment créer un élément Service :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Services, pointez sur Nouveau et sélectionnez Service. 5. Dans la boîte de dialogue Propriétés de Nouveau Service, sélectionnez une action dans la liste déroulante Démarrage : ■ Aucune modification Ne modifie pas l’état d’exécution du service. ■ Automatique Ce service démarre pendant le processus d’amorçage et

d’ouverture de session. ■ Manuel Le service demande un démarrage manuel. ■ Désactivé Le service est désactivé.

6. Saisissez les paramètres du service, décrits dans le tableau 13-23. 7. Cliquez sur l’onglet Récupération et sélectionnez d’autres options, décrites dans le tableau 13-24. 8. Cliquez sur l’onglet Commun et sélectionnez les options de votre choix (pour de plus amples informations, reportez-vous à la section « Configurer les options communes », précédemment dans ce chapitre). 9. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails. Tableau 13-23 Paramètres de Service (onglet Général) Paramètre

Description

Nom du service

Cliquez sur le bouton Parcourir pour sélectionner un service dans la liste des services installés.

Action du service

Sélectionnez une action pour le service sélectionné.

Délai d’attente si le service est verrouillé

Si le service est verrouillé ou en transition entre deux états, cette option détermine le délai d’attente de l’élément.

Ouvrir une session en tant Les informations d’identification d’ouverture de session des que : Aucune modification services ne changent pas. Ouvrir une session en tant que : Compte système local

Les informations d’identification d’ouverture de session des services seront définies sur le compte système local.

Chapitre 13

Stratégie de groupe

331

Tableau 13-23 Paramètres de Service (onglet Général) Paramètre

Description

Autoriser le service à interagir avec le Bureau

Cette option est disponible après que l’on a sélectionné Compte système local. Cochez cette case si vous voulez que le service puisse interagir avec le bureau.

Ouvrir une session en tant que : Ce compte

Cliquez sur le bouton Parcourir et sélectionnez le nom d’utilisateur des informations d’identification d’ouverture de session.

Mot de passe et Confirmer Saisissez le mot de passe du compte utilisateur. le mot de passe Tableau 13-24 Paramètres de Service (onglet Récupération) Paramètre

Description

Sélectionnez la réponse de l’ordinateur en cas de défaillance de ce service

Aucune modification : l’action de récupération ne change pas. Ne rien faire : si le service subit une défaillance, aucune action n’est entreprise. Redémarrer le service : si le service subit une défaillance, il est redémarré. Redémarrer l’ordinateur : si le service subit une défaillance, l’ordinateur est redémarré.

Redémarrer le nombre d’erreurs après

Choisissez le nombre de jours avant le redémarrage du compte d’erreurs. Ce paramètre est disponible après qu’au moins un paramètre de défaillance a été défini à Ne rien faire, Redémarrer le service ou Redémarrer l’ordinateur.

Redémarrer le service après Saisissez le nombre de minutes à attendre avant de redémarrer le service défaillant. Cette option est uniquement disponible lorsque Redémarrer le service est l’une des réponses à une défaillance. Exécuter le programme

Si l’une des réponses à une défaillance est positionnée sur Exécuter un programme, cliquez sur le bouton Parcourir et localiser l’application à exécuter.

Ajouter le nombre d’erreurs Cochez cette case pour ajouter le décompte des erreurs à la fin en fin de ligne de de la ligne de commandes. commande Options de redémarrage de l’ordinateur

Cliquez sur ce bouton pour sélectionner les options de redémarrage de l’ordinateur après une défaillance de service.

Menu Démarrer Il est possible de configurer les éléments de préférence Menu Démarrer pour Windows Vista et Windows XP. Ces éléments ne proposent pas de liste d’actions puisque Mettre à jour est la seule action possible.

332

Partie II

Installation et configuration

Créer un élément Menu Démarrer (Windows Vista) Voici comment créer un nouvel élément Menu Démarrer pour Windows Vista :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Menu Démarrer, pointez sur Nouveau et sélectionnez Menu Démarrer (Windows Vista). 5. Dans la boîte de dialogue Propriétés de Nouveau Menu Démarrer (Windows Vista), illustrée par la figure 13-11, saisissez les options que doit configurer la Stratégie de groupe. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres ne sont pas configurables par le biais d’un élément de préférence et ne sont pas disponibles (pour de plus amples informations sur l’onglet Commun, reportezvous à la section « Configurer les options communes », précédemment dans ce chapitre). 6. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Figure 13-11 Sélection des paramètres du menu Démarrer pour Windows Vista

Remarque Pour de plus amples informations sur la signification des marques

vertes et rouges dans les sélections, reportez-vous à l’encart « Activer et désactiver les paramètres des éléments de préférence », plus loin dans ce chapitre.

Chapitre 13

Stratégie de groupe

333

Créer un élément Menu Démarrer (Windows XP) Voici comment créer un nouvel élément Menu Démarrer pour Windows XP :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO qui va accueillir le nouvel élément de préférence et choisissez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration utilisateur, Préférences et Panneau de configuration. 4. Cliquez droit sur Menu Démarrer, pointez sur Nouveau et sélectionnez Menu Démarrer (Windows XP). 5. Dans la boîte de dialogue Propriétés de Nouveau Menu Démarrer (Windows XP), illustrée par la figure 13-12, saisissez les options que doit configurer la Stratégie de groupe. Cliquez sur tous les onglets pour afficher les options disponibles. Certains paramètres ne sont pas configurables par le biais d’un élément de préférence et ne sont pas disponibles (pour de plus amples informations sur l’onglet Commun, reportezvous à la section « Configurer les options communes », précédemment dans ce chapitre). 6. Cliquez sur OK. Le nouvel élément de préférence apparaît dans le volet Détails.

Figure 13-12 Création d’un élément de préférence Menu Démarrer pour Windows XP

Configurer un élément de ciblage Pour configurer un élément de préférence de sorte qu’il cible uniquement des utilisateurs ou des ordinateurs spécifiques, procédez de la manière suivante :

1. Démarrez la console Gestion des stratégies de groupe.

334

Partie II

Installation et configuration

2. Dans l’arborescence, cliquez droit sur le GPO qui doit accueillir le nouvel élément de préférence et sélectionnez Modifier dans le menu contextuel. 3. Dans l’arborescence, développez les dossiers Configuration ordinateur ou Configuration utilisateur, Préférences et localisez l’extension de la préférence. 4. Double cliquez sur le nœud de l’extension et cliquez droit sur l’élément, puis sélectionnez Propriétés dans le menu contextuel. 5. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Commun. 6. Sélectionnez Ciblage au niveau de l’élément et cliquez sur Ciblage. 7. Dans la boîte de dialogue Éditeur cible, cliquez sur Nouvel élément. 8. Sélectionnez un type d’élément de ciblage (figure 13-13) à appliquer à l’élément et configurez les paramètres de l’élément de ciblage.

Figure 13-13 Sélection dans une liste d’éléments de ciblage

Remarque Pour remplacer la valeur de l’élément de ciblage par son opposé, dans le menu Options de l’élément, sélectionnez N’est pas dans la liste.

9. Pour configurer plusieurs éléments de ciblage, cliquez sur Options de l’élément et choisissez une opération logique combinant l’élément avec le précédent. 10. Cliquez deux fois sur OK pour fermer les boîtes de dialogue. Remarque Les champs texte acceptent également les variables de traitement. Appuyez sur F3 pour afficher la liste des variables acceptées.

Chapitre 13

Stratégie de groupe

335

Activer et désactiver les paramètres des éléments de préférence Un soulignement ou un cercle autour du paramètre indique s’il est actuellement activé ou désactivé.

1. Un paramètre souligné d’un trait vert plein ou entouré d’un cercle vert est activé. L’extension applique la valeur de ce paramètre à l’utilisateur ou à l’ordinateur. 2. Un paramètre souligné d’un trait rouge plein ou entouré d’un cercle rouge est désactivé. L’extension n’applique pas la valeur de ce paramètre à l’utilisateur ou à l’ordinateur. Pour activer ou désactiver ces paramètres dans un élément de préférence, appuyez sur les touches suivantes : ■ F5 active tous les paramètres de l’onglet en cours ; ■ F6 active le paramètre actuellement sélectionné ; ■ F7 désactive le paramètre actuellement sélectionné ; ■ F8 désactive tous les paramètres de l’onglet en cours.

Déléguer des autorisations sur les GPO Tous les réseaux ne possèdent pas une taille ou une complexité exigeant la délégation des autorisations sur les GPO. De nombreux réseaux le sont cependant. Aussi si vous envisagez de déléguer une partie de la responsabilité des GPO, n’oubliez pas que : ■ Si l’autorisation est définie pour être héritée par tous les conteneurs enfants, l’autorité

déléguée au niveau du domaine affecte tous les objets du domaine. ■ Les autorisations octroyées au niveau de l’OU n’affectent que l’OU et éventuellement

ses OU enfants. ■ Le contrôle délégué au niveau du site s’étend probablement sur d’autres domaines et

peut influencer des objets dans des domaines autres que celui qui héberge le GPO. ■ Vous devez toujours affecter le contrôle au plus haut niveau d’OU possible.

N’importe quel élément de la Stratégie de groupe peut être délégué, y compris la création, l’édition et la gestion des GPO. En revanche, les droits de modifier, supprimer ou changer la sécurité sont délégués séparément du droit de lier les GPO. De même, l’autorisation de lier et de modifier des GPO est distincte de celle de créer des GPO.

336

Partie II

Installation et configuration

Déléguer l’autorisation de créer 1. Ouvrez la console Gestion des stratégies de groupe et localisez le domaine dans lequel octroyer l’autorisation. Dans l’arborescence, sélectionnez Objets de stratégie de groupe. 2. Cliquez sur l’onglet Délégation, illustré par la figure 13-14, et cliquez sur Ajouter pour identifier l’utilisateur ou le groupe que vous voulez autoriser à créer des GPO.

Figure 13-14 Onglet Délégation d’un objet de stratégie de groupe

Déléguer l’autorisation de lier 1. Ouvrez la console Gestion des stratégies de groupe et localisez le domaine dans lequel octroyer l’autorisation. 2. Dans l’arborescence, cliquez sur le domaine. 3. Dans le volet des détails, cliquez sur l’onglet Délégation. 4. Dans la liste déroulante, sélectionnez Lier les objets GPO et cliquez sur Ajouter pour identifier l’utilisateur ou le groupe auquel octroyer l’autorisation.

Déléguer l’autorisation de modifier, supprimer ou changer la sécurité 1. Ouvrez la console Gestion des stratégies de groupe et localisez le domaine dans lequel octroyer l’autorisation. 2. Dans l’arborescence, sélectionnez l’objet de stratégie de groupe spécifique. 3. Dans le volet des détails, cliquez sur l’onglet Délégation. 4. Cliquez sur le bouton Ajouter pour localiser l’utilisateur ou le groupe. Dans la boîte de dialogue Sélectionnez Utilisateur, Ordinateur ou Groupe, sélectionnez la plage d’autorisations à déléguer.

Chapitre 13

Stratégie de groupe

337

Désactiver une branche de GPO Si un nœud complet sous Configuration utilisateur ou Configuration ordinateur d’un GPO n’est pas configuré, désactivez le nœud pour éviter le traitement de ces paramètres. Cette opération accélère le démarrage et l’ouverture de session de tous les utilisateurs soumis à ce GPO. Voici comment désactiver un nœud de GPO :

1. Ouvrez la console Gestion des stratégies de groupe. 2. Dans l’arborescence, développez Objets de stratégie de groupe. 3. Cliquez droit sur le GPO qui contient les paramètres utilisateur ou ordinateur à désactiver, pointez sur État GPO et choisissez l’une des options suivantes : ■ Paramètres de configuration utilisateurs désactivés Sélectionnez cette option

pour désactiver les paramètres utilisateurs du GPO. ■ Paramètres de configuration ordinateurs désactivés Sélectionnez cette option

pour désactiver les paramètres ordinateurs du GPO.

Actualiser la Stratégie de groupe Les changements de stratégie sont immédiats, mais ils ne se propagent pas instantanément sur les clients. Les ordinateurs clients traitent une stratégie chaque fois que l’un des événements suivants se produit : ■ L’ordinateur démarre ; ■ Un utilisateur ouvre une session ; ■ Une application demande une actualisation ; ■ Un utilisateur demande une actualisation ; ■ L’intervalle d’actualisation de la Stratégie de groupe s’est écoulé.

Par défaut, les ordinateurs clients reçoivent les actualisations de stratégie toutes les 90 minutes mais, pour éviter que plusieurs ordinateurs soient actualisés simultanément, l’intervalle réel varie entre 90 et 120 minutes. La valeur du délai le plus court entre actualisations de la stratégie doit être mise en balance avec l’accroissement du trafic réseau qu’elles génèrent. Voici comment modifier l’intervalle d’actualisation de la Stratégie de groupe :

1. Démarrez la console Gestion des stratégies de groupe. 2. Cliquez droit sur le GPO à modifier et choisissez Modifier. 3. Dans l’arborescence, développez Configuration ordinateur, Stratégies, Modèles d’administration et Système, jusqu’à atteindre Stratégie de groupe.

338

Partie II

Installation et configuration

4. Dans le volet des détails, double cliquez sur Intervalle d’actualisation de la stratégie de groupe pour les ordinateurs. 5. Sélectionnez Activé, indiquez l’intervalle d’actualisation et cliquez sur OK. La stratégie pouvant être définie à différents niveaux, lorsque l’on clique sur un objet de stratégie, la stratégie locale et la stratégie appliquée au niveau du système s’affichent. Elles peuvent être différentes si l’ordinateur hérite de paramètres des stratégies du domaine. Si vous appliquez un paramètre et qu’il ne se reflète pas dans la stratégie affective, vous pouvez en déduire qu’une stratégie du domaine surpasse votre paramètre. Il est également possible que le changement de stratégie n’a pas été actualisé depuis sa création. Pour imposer une actualisation de la stratégie sur l’ordinateur local, ouvrez une fenêtre de commande et tapez la commande suivante : gpupdate [/target:{ordinateur | utilisateur}] /force

Servez-vous du paramètre target pour actualiser uniquement les paramètres de l’ordinateur ou ceux de l’utilisateur.

Sauvegarder un objet de stratégie de groupe Votre stratégie de planification de la récupération d’urgence globale doit intégrer la sauvegarde régulière de tous les GPO. Voici comment sauvegarder un GPO :

1. Ouvrez la console Gestion des stratégies de groupe. 2. Dans l’arborescence, localisez le dossier Objets de stratégie de groupe du domaine qui contient le GPO à sauvegarder. 3. Pour sauvegarder un GPO, cliquez droit sur le GPO et choisissez Sauvegarder dans le menu contextuel. Pour sauvegarder tous les GPO du domaine, cliquez droit sur le dossier Objets de stratégie de groupe et choisissez Sauvegarder tout. 4. Dans la boîte de dialogue Sauvegarde de l’objet GPO, tapez le chemin d’accès de la sauvegarde et cliquez sur Sauvegarder. 5. Une fois l’opération terminée, cliquez sur OK.

Restaurer un objet de stratégie de groupe Voici comment restaurer un GPO :

1. Ouvrez la console Gestion des stratégies de groupe. 2. Dans l’arborescence, localisez le dossier Objets de stratégie de groupe du domaine qui contient le GPO à restaurer. 3. Pour restaurer une précédente version d’un GPO existant ou restaurer un GPO supprimé, cliquez droit sur le dossier Objets de stratégie de groupe et choisissez Gérer les sauvegardes.

Chapitre 13

Stratégie de groupe

339

4. Dans la boîte de dialogue Gestion des sauvegardes, sélectionnez le GPO à restaurer et cliquez sur le bouton Restaurer. Si la liste des GPO est longue, cochez la case N’afficher que la dernière version des objets GPO. Si vous n’êtes pas sûr du GPO à restaurer, sélectionnez les GPO un à un et cliquez sur Afficher les paramètres. Remarque Il n’est pas possible de restaurer un GPO supprimé s’il n’a jamais été sauvegardé. Il est donc préférable de sauvegarder régulièrement les GPO. Ne vous fondez pas sur le planning des sauvegardes lorsque vous effectuez des changements impor tants dans un GPO : sauvegardez-le une fois immédiatement.

Restreindre la redirection des dossiers avec la Stratégie de groupe La redirection des dossiers est une extension de la redirection des dossiers qui permet de placer des dossiers que vous choisissez sur le réseau. Vous pouvez, par exemple, rediriger les dossiers Documents des utilisateurs qui deviennent volumineux. Cette fonctionnalité présente de réels avantages, y compris : ■ Les utilisateurs peuvent ouvrir une session sur différents ordinateurs et toujours avoir

accès à leurs dossiers redirigés. ■ Si vous exploitez les profils itinérants, seul le chemin d’accès réseau vers les dossiers

redirigés fait partie du profil utilisateur, ce qui simplifie et accélère l’ouverture de session. ■ Les dossiers situés sur un serveur réseau peuvent être sauvegardés dans le cadre de la

maintenance de routine sans que les utilisateurs n’aient rien à faire. Il est possible de rediriger les dossiers vers le même emplacement pour tout le monde dans le conteneur Active Directory affecté par le GPO. Ils peuvent également être redirigés vers d’autres emplacements, en fonction de l’appartenance au groupe de sécurité.

Rediriger vers un même emplacement La forme la plus courante de redirection est sans aucun doute celle qui consiste à envoyer le dossier Documents de tout le monde vers un même emplacement sur un serveur réseau. La procédure suivante montre comment y parvenir (vous pouvez substituer les autres dossiers Windows spéciaux à celui présenté dans la procédure) :

1. Créez un dossier partagé sur le serveur. Insérez un signe dollar ($) à la fin du nom du partage du dossier sur le serveur pour empêcher l’affichage du dossier dans le dossier Réseau. Il sera également masqué aux navigateurs occasionnels.

340

Partie II

Installation et configuration

2. Ouvrez le GPO lié au conteneur Active Directory qui contient les utilisateurs dont vous voulez rediriger les dossiers. 3. Dans l’arborescence, cliquez sur Configuration utilisateur, Stratégies, Paramètres Windows et cliquez sur Redirection de dossiers. 4. Cliquez droit sur Documents et choisissez Propriétés dans le menu contextuel. 5. Sur l’onglet Cible, sélectionnez De base–Rediriger les dossiers de tout le monde vers un même emplacement. Choisissez l’emplacement du dossier cible qui coïncide avec le nouveau dossier partagé sur le serveur et fournisseur un chemin d’accès de la racine. 6. Cliquez sur l’onglet Paramètres. Voici les paramètres activés par défaut : ■ Accorder à l’utilisateur des droits exclusifs sur Documents L’utilisateur et le

système local bénéficient de droits exclusifs sur le dossier. Aucun droit administratif n’est activé. Si ce paramètre est désactivé, les autorisations qui existent sur le dossier dans sa position actuelle demeurent. ■ Déplacer le contenu de Documents vers le nouvel emplacement Le contenu

actuel du dossier Documents de l’utilisateur est envoyé vers un nouvel emplacement. Si cette option est désactivée, l’utilisateur dispose d’un nouveau dossier Documents vide au nouvel emplacement. ■ Suppression de la stratégie L’option par défaut consiste à laisser le dossier dans

le nouvel emplacement lorsque l’on supprime la stratégie. Si vous choisissez de rediriger le dossier vers l’utilisateur local, reportez-vous à la section « Supprimer la redirection », plus loin dans ce chapitre.

7. Cliquez sur OK lorsque vous avez terminé.

Rediriger par appartenance de groupe Il est également possible de rediriger les dossiers spéciaux en fonction de l’appartenance de l’utilisateur aux groupes de sécurité. Voici comment procéder :

1. Créez des dossiers partagés aux emplacements vers lesquels les dossiers seront redirigés. 2. Ouvrez le GPO lié au site, domaine, contrôleur de domaine ou OU qui contient les utilisateurs dont vous voulez rediriger les dossiers. 3. Dans l’arborescence, cliquez sur Configuration utilisateur, Stratégies, Paramètres Windows et cliquez sur Redirection de dossiers. 4. Cliquez droit sur le dossier spécial (dans ce cas Documents) et choisissez Propriétés dans le menu contextuel. 5. Dans la liste déroulante, sélectionnez Avancé – Spécifier les emplacements pour des groupes utilisateurs variés et cliquez sur Ajouter. 6. Dans la boîte de dialogue Spécifier le groupe et l’emplacement, indiquez le groupe de sécurité et l’emplacement des dossiers redirigés. Servez-vous toujours du chemin

Chapitre 13

Stratégie de groupe

341

d’accès UNC, même si les dossiers sont placés sur l’ordinateur local, de sorte que les dossiers des utilisateurs itinérants leur soient toujours accessibles.

7. Cliquez sur OK. Ajoutez autant de groupes et d’emplacements que nécessaire. 8. Cliquez sur l’onglet Paramètres. Voici les paramètres activés par défaut : ■ Accorder à l’utilisateur des droits exclusifs sur Documents L’utilisateur et le

système local bénéficient de droits exclusifs sur le dossier. Aucun droit administratif n’est activé. Si ce paramètre est désactivé, les autorisations qui existent sur le dossier dans sa position actuelle demeurent. ■ Déplacer le contenu de Documents vers le nouvel emplacement Le contenu

actuel du dossier Documents de l’utilisateur est envoyé vers un nouvel emplacement. Si cette option est désactivée, l’utilisateur dispose d’un nouveau dossier Documents vide au nouvel emplacement. ■ Suppression de la stratégie L’option par défaut consiste à laisser le dossier dans

le nouvel emplacement lorsque l’on supprime la stratégie. Si vous choisissez de rediriger le dossier vers l’utilisateur local, reportez-vous à la section « Supprimer la redirection », plus loin dans ce chapitre.

9. Lorsque vous avez terminé, cliquez sur OK.

Supprimer la redirection Lorsque les dossiers ont été redirigés et que la stratégie change ultérieurement, l’effet sur les dossiers dépend de la combinaison de choix réalisés dans l’onglet Paramètres de la boîte de dialogue Propriétés du dossier spécial. Le tableau 13-25 montre les diverses combinaisons de paramètres et le résultat si l’on modifie la stratégie (les paramètres de la stratégie logicielle sont traités au chapitre 7 du tome 2). Tableau 13-25 Paramètres et résultats de la suppression de la redirection

Option de suppression de la stratégie

Déplacement du contenu du dossier vers un nouvel emplacement

Résultat lorsque la stratégie est supprimée

Rediriger le dossier vers l’emplacement du profil utilisateur local lorsque la stratégie sera supprimée

Activé

Le dossier retourne à l’emplacement de son profil utilisateur, le contenu du dossier est recopié à l’emplacement d’origine et n’est pas supprimé de l’emplacement redirigé.

Rediriger le dossier vers l’emplacement du profil utilisateur local lorsque la stratégie sera supprimée

Désactivé

Le dossier retourne à l’emplacement de son profil utilisateur et son contenu n’est ni déplacé ni copié à l’emplacement d’origine. Attention : cela signifie que l’utilisateur ne voit pas le contenu du dossier.

342

Partie II

Installation et configuration

Tableau 13-25 Paramètres et résultats de la suppression de la redirection

Option de suppression de la stratégie Conserver le dossier dans le nouvel emplacement lorsque la stratégie sera supprimée

Déplacement du contenu du dossier vers un nouvel emplacement Activé ou désactivé

Résultat lorsque la stratégie est supprimée Le dossier et son contenu restent à l’emplacement redirigé et l’utilisateur accède au contenu à l’emplacement redirigé.

Utiliser le Jeu de stratégie résultant L’outil Jeu de stratégie résultant collecte les informations relatives à toutes les stratégies existantes pour déterminer les stratégies réelles et l’ordre dans lequel elles s’appliquent. Le Jeu de stratégie résultant possède deux modes : le mode journalisation et le mode planification. En mode planification, le Jeu de stratégie résultant construit des scénarios « Et si » pour vous permettre de tester l’effet d’une nouvelle stratégie ou la priorité d’une stratégie. En mode journalisation, le Jeu de stratégie résultant indique les stratégies appliquées à un utilisateur particulier et met en évidence les stratégies à supprimer ou à réparer.

Exécuter une requête Jeu de stratégie résultant On exécute une requête Jeu de stratégie résultant sur un site, un domaine, un compte d’ordinateur, un compte utilisateur ou une OU. Les deux modes proposent des options de configuration de la requête. Remarque Pour interroger un site, ouvrez Sites et services Active Directory, cliquez droit sur le site, choisissez Toutes les tâches et Jeu de stratégie résultant.

Jeu de stratégie résultant de planification Le mode planification du Jeu de stratégie résultant simule l’effet d’un changement sur le système. Si vous envisagez de déplacer, ajouter ou supprimer un groupe ou de modifier la Stratégie de groupe, le Jeu de stratégie résultant vous indique le résultat des changements proposés. Si vous optez pour le mode planification, tel que décrit dans la précédente section, l’Assistant Jeu de stratégie résultant démarre et vous guide dans la procédure suivante :

1. Sur la page Sélection d’ordinateurs et d’utilisateurs, servez-vous des boutons Parcourir pour désigner l’utilisateur, l’ordinateur ou le conteneur à analyser et cliquez sur Suivant. La page Options de simulation avancées propose les options suivantes : ■ Connexion réseau lente Certaines stratégies ne s’appliquent pas lorsque l’on

utilise une connexion à distance ou une connexion lente. Choisissez cette option pour simuler une connexion lente.

Chapitre 13

Stratégie de groupe

343

■ Traitement en boucle Si vous devez modifier la stratégie utilisateur en fonction

de l’ordinateur sur lequel l’utilisateur ouvre une session, le traitement en boucle simule l’application des GPO à n’importe quel utilisateur qui ouvre une session sur un ordinateur contrôlé par les paramètres de stratégie d’un autre utilisateur. Vous pouvez choisir de remplacer les stratégies habituelles de l’utilisateur ou de fusionner les nouvelles stratégies avec les existantes. ■ Site Indique le site et l’emplacement physique du sous-réseau à employer.

Utilisez ce paramètre pour tester des événements de démarrage ou d’ouverture de session sur un sous-réseau différent.

2. Une fois la sélection effectuée, cliquez sur Suivant. 3. Pour simuler les changements sur l’emplacement de l’utilisateur ou de l’ordinateur, saisissez un nouvel emplacement et cliquez sur Suivant. 4. Dans la liste Groupes de sécurité, ajoutez ou supprimez des groupes pour simuler le résultat des stratégies en fonction des changements dans les appartenances aux groupes de sécurité. Cliquez sur Suivant. 5. Sur la page suivante, vous pouvez simuler des modifications des appartenances aux groupes de sécurité de l’ordinateur. Cliquez sur Suivant. 6. Sur la page Filtres WMI pour Utilisateurs, vous pouvez lier les filtres WMI pour obtenir une stratégie résultant fondée sur un ou plusieurs critères auxquels l’utilisateur satisfait. Cliquez sur Suivant. 7. Sur la page Filtres WMI pour Ordinateurs, vous pouvez lier des filtres WMI pour obtenir la stratégie résultante en fonction des informations sélectionnées comme le logiciel installé. Cliquez sur Suivant. 8. La page suivante récapitule les sélections effectuées jusque-là. Relisez-les attentivement. L’assistant comporte de nombreuses étapes et une erreur peut engendrer un résultat inutile. 9. Cliquez sur Suivant. Lorsque l’opération est terminées, cliquez sur Terminer. Le Jeu de stratégie résultant s’affiche dans la une MMC à partir de laquelle vous pouvez le comparer à d’autres résultats du Jeu de stratégie résultant et les enregistrer pour vous y référer ultérieurement.

Jeu de stratégie résultant de journalisation En mode journalisation, le Jeu de stratégie résultant rapporte les paramètres de la stratégie en cours tels qu’ils s’appliquent aux utilisateurs et aux ordinateurs. Le mode planification indique à l’administrateur le résultat d’un éventuel changement, mais en mode journalisation, il découvre ce qui se passe actuellement. Ce mode met en évidence les stratégies appliquées à un utilisateur ou un ordinateur particulier et permet de découvrir pourquoi certaines stratégies ne s’appliquent pas tel que prévu.

344

Partie II

Installation et configuration

Dans la console Gestion des stratégies de groupe, cliquez droit sur Résultats de stratégie de groupe pour lancer l’assistant du même nom. Remarque Pour exécuter un Jeu de stratégie résultant sur un ordinateur distant, vous devez être membre des Admins du domaine, des Admins de l’entreprise ou bénéficier du droit de générer un Jeu de stratégie résultant. Pour franchir les limites de la forêt, vous devez être membre des Admins de l’entreprise.

Résumé Ce chapitre s’est intéressé à la Stratégie de groupe et aux objets de stratégie de groupe dans le but d’organiser et de centraliser la sécurité et d’autres paramètres. Dans le prochain chapitre, nous allons nous intéresser aux tâches qui incombent quotidiennement à un administrateur et les simplifier lorsque cela est possible.

Partie III

Administration du réseau Chapitre 14 : Gestion des tâches quotidiennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 15 : Administration par les scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 16 : Installation et configuration des services d’annuaire. . . . . . . . . . . . . . . . Chapitre 17 : Gestion d’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 18 : Administration de TCP/IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 19 : Mise en œuvre de la gestion des disques . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 20 : Gestion du stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 21 : Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

347 383 467 535 573 613 647 693

Chapitre 14

Gestion des tâches quotidiennes Contrôle de compte d’utilisateur et administration. . . . . . . . . . . . . . . . . . . . . . . . 347 Exploiter la console MMC 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 Le travail quotidien de l’administrateur réseau englobe des quantités de tâches pour lesquelles, fort heureusement, Windows Server 2008 propose de nombreux outils qui permettent, par exemple, de déléguer des tâches à d’autres utilisateurs ou groupes, d’automatiser des tâches à l’aide de scripts ou de planifier les tâches récurrentes. Néanmoins, l’administration d’un réseau reste un processus de planification et d’organisation et là, rien ne peut remplacer le travail de l’homme. Ce chapitre analyse quelques-uns des outils qui vous accompagnent dans le quotidien de la gestion réseau.

Contrôle de compte d’utilisateur et administration Windows Server 2008 introduit le Contrôle de compte d’utilisateur, espérant remporter le bras de fer avec les administrateurs qui se servaient toujours des comptes d’administrateur. Le Contrôle de compte d’utilisateur donne la possibilité à un administrateur d’ouvrir une session en tant qu’utilisateur non-administrateur et d’effectuer des tâches d’administration occasionnelles sans avoir à changer de compte, fermer sa session ou faire appel à la commande Exécuter en tant que. Le Contrôle de compte d’utilisateur impose aux administrateurs d’approuver explicitement les applications dont les modifications affectent le système avant qu’elles puissent s’exécuter, même dans la session utilisateur de l’administrateur. Il sert avant tout à réduire l’exposition du système aux attaques. Les invites du Contrôle de compte d’utilisateur sont très fréquentes dans Windows Server 2008 car le système subit de nombreuses modifications lors de la configuration initiale. Elles se raréfient par la suite à mesure que le système se stabilise. Le Contrôle de compte d’utilisateur apparaît dans Windows Server 2008 et Windows Vista, mais les configurations par défaut diffèrent en trois points : ■ Par défaut, le mode d’approbation d’administrateur (AAM, Admin Approval Mode) n’est

activé dans le compte Administrateur prédéfini ni dans Windows Server 2008, ni dans Windows Vista.

347

348

Partie III

Administration du réseau

■ Le compte Administrateur prédéfini est désactivé par défaut dans Windows Vista, le

premier compte utilisateur créé est placé dans le groupe local Administrateurs et le mode d’approbation d’administrateur est activé sur ce compte. ■ Le compte Administrateur prédéfini est activé par défaut dans Windows Server 2008 et

le mode d’approbation d’administrateur est désactivé sur ce compte.

Mode d’approbation d’administrateur Le mode d’approbation d’administrateur est une configuration du Contrôle de compte d’utilisateur dans laquelle un administrateur reçoit deux jetons d’accès à l’ouverture de session sur un ordinateur Windows Server 2008. Dans Windows Server 2008, la différence principale entre un utilisateur standard et un administrateur réside dans le niveau d’accès dont dispose l’utilisateur sur les zones protégées de l’ordinateur. Les administrateurs peuvent installer des pilotes et des services, désactiver le pare-feu, définir des stratégies de sécurité, modifier l’état du système, etc., contrairement aux utilisateurs standards. Lorsque le mode d’approbation d’administrateur est activé, l’administrateur se voit attribuer un jeton d’accès complet et un jeton d’accès filtré à l’ouverture de session. Le jeton d’accès filtré démarre Explorer.Exe, le processus qui crée et possède le Bureau de l’utilisateur. Comme les applications héritent généralement leurs jetons d’accès du processus qui les démarre, Explorer.Exe dans ce cas, elles fonctionnent toutes également avec le jeton d’accès filtré. Celui-ci n’est exploité qu’à partir du moment où l’administrateur tente d’effectuer une tâche d’administration. Les administrateurs se connectent bien plus souvent à un serveur qu’à une station de travail client. C’est pourquoi dans Windows Server 2008, le mode d’approbation d’administrateur est désactivé par défaut sur le compte Administrateur prédéfini. Il s’applique en revanche aux autres membres du groupe Administrateurs local. Lorsqu’un utilisateur standard ouvre une session, un seul jeton d’accès utilisateur est créé, n’accordant pas plus de privilèges qu’un jeton d’accès filtré d’administrateur.

Contrôle de compte d’utilisateur et virtualisation du Registre Comme le Contrôle de compte d’utilisateur est né avec Windows Server 2008 et Windows Vista, certaines des applications ne sont pas compatibles et exigent parfois un jeton d’accès d’administrateur pour fonctionner correctement. Autrement, elles échouent silencieusement ou par intermittence. Par conséquent, Windows Server 2008 propose de virtualiser des fichiers et le registre pour garantir la compatibilité Windows Server 2008 aux applications non compatibles avec le Contrôle de compte d’utilisateur.

Chapitre 14

Gestion des tâches quotidiennes

349

Fonctionnement Lorsqu’une application non compatible tente d’écrire sur une ressource protégée, le Contrôle de compte d’utilisateur présente de manière virtuelle la ressource en passe d’être modifiée, à l’aide d’une stratégie de copie à l’écriture. La copie virtualisée est conservée sous le profil de l’utilisateur. En conséquence, une copie virtualisée du fichier est créée pour chaque utilisateur qui exécute l’application non-compatible. Si cette solution fonctionne, elle n’est pas valable à long terme, car les développeurs finissent toujours par modifier les applications pour qu’elles répondent aux exigences du Contrôle de compte d’utilisateur.

Désactiver les aspects du Contrôle de compte d’utilisateur Inutile de préciser que chaque fois que vous désactivez une partie du Contrôle de compte d’utilisateur, vous entamez la sécurité de vos ordinateurs. Cependant, personne n’est assez dupe pour croire que vous allez laisser la totalité des fonctionnalités telles quelles. Les sections qui suivent traitent de ces opérations, à considérer évidemment avec la plus grande attention.

Désactiver le mode d’approbation d’administrateur Pour désactiver le mode d’approbation d’administrateur, vous devez ouvrir une session avec un compte bénéficiant de privilèges d’administrateur. Ensuite, procédez comme suit :

1. Dans le menu Démarrer, cliquez sur Exécuter. 2. Dans le champ Ouvrir, tapez secpol.msc, puis cliquez sur OK. 3. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, confirmez votre action en cliquant sur Continuer. 4. Dans l’arborescence de la console Stratégie de sécurité locale, développez le nœud Stratégies locales, puis cliquez sur Options de sécurité. 5. Dans la liste, recherchez et double cliquez sur Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur. 6. Sélectionnez l’option Désactivé et cliquez sur OK. 7. Fermez la fenêtre Stratégie de sécurité locale.

Changer le comportement de l’invite d’élévation Les procédures suivantes décrivent comment changer le comportement de l’invite d’élévation. Commençons par les administrateurs :

1. Dans le menu Démarrer, cliquez sur Exécuter. 2. Dans le champ Ouvrir, tapez secpol.msc, puis cliquez sur OK. 3. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, confirmez votre action en cliquant sur Continuer.

350

Partie III

Administration du réseau

4. Dans l’arborescence de la console Stratégie de sécurité locale, développez le nœud Stratégies locales, puis Options de sécurité. 5. Dans la liste, recherchez et double cliquez sur Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur. 6. Dans le menu déroulant, sélectionnez l’un des paramètres suivants : ■ Élever les privilèges sans invite utilisateur Les tâches qui nécessitent une

élévation l’obtiennent automatiquement sans consentement de l’administrateur. ■ Demande d’informations d’identification Ce paramètre requiert un nom et un

mot de passe utilisateur avant qu’une application ou une tâche puisse s’exécuter à un niveau élevé. ■ Demande de consentement Paramètre par défaut pour les administrateurs.

7. Cliquez sur OK. 8. Fermez la fenêtre Stratégie de sécurité locale. Voici comment changer le comportement de l’invite d’élévation pour les utilisateurs standards :

1. Dans le menu Démarrer, cliquez sur Exécuter. 2. Dans le champ Ouvrir, tapez secpol.msc, puis cliquez sur OK. 3. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, confirmez votre action en cliquant sur Continuer. 4. Dans l’arborescence de la console Stratégie de sécurité locale, développez le nœud Stratégies locales, puis Options de sécurité. 5. Dans la liste, recherchez et double cliquez sur Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standards. 6. Dans le menu déroulant, sélectionnez l’un des paramètres suivants : ■ Refuser automatiquement les demandes d’élévation de privilèges Les

utilisateurs standards n’ont plus la possibilité de demander une élévation et ils n’y sont plus invités. ■ Demande d’informations d’identification Ce paramètre requiert un nom et un

mot de passe utilisateur avant qu’une application ou une tâche puisse s’exécuter à un niveau élevé.

7. Cliquez sur OK. 8. Fermez la fenêtre Stratégie de sécurité locale.

Désactiver les invites du Contrôle de compte d’utilisateur pour installer des applications Voici comment désactiver les invites du Contrôle de compte d’utilisateur lorsque vous installez des applications :

Chapitre 14

Gestion des tâches quotidiennes

351

1. Dans le menu Démarrer, cliquez sur Exécuter. 2. Dans le champ Ouvrir, tapez secpol.msc, puis cliquez sur OK. 3. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, confirmez votre action en cliquant sur Continuer. 4. Dans l’arborescence de la console Stratégie de sécurité locale, développez le nœud Stratégies locales, puis Options de sécurité. 5. Dans la liste, recherchez et double cliquez sur Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation. 6. Sélectionnez l’option Désactivé et cliquez sur OK. 7. Fermez la fenêtre Stratégie de sécurité locale.

Configurer une application pour qu’elle fonctionne toujours élevée Voici comment configurer une application de manière à ce qu’elle soit toujours élevée :

1. Cliquez droit sur une application qui ne bénéficie probablement pas d’un jeton d’administrateur, comme une application de traitement de texte. 2. Choisissez Propriétés, puis cliquez sur l’onglet Compatibilité. 3. Dans la section Niveau de privilège, cochez la case Exécuter ce programme en tant qu’administrateur, comme le montre la figure 14-1, puis cliquez sur OK.

Figure 14-1 Configurez une application pour l’exécuter en tant qu’administrateur.

352

Partie III

Administration du réseau

Remarque L’option Exécuter ce programme en tant qu’administrateur n’est pas toujours disponible. Il existe plusieurs explications : soit l’application est conçue à l’origine pour ne jamais s’exécuter élevée, soit elle ne requiert pas d’informations d’identification d’administrateur pour fonctionner, soit elle appartient à la version actuelle de Windows Vista, soit vous n’avez pas ouvert de session en tant qu’administrateur sur l’ordinateur.

Désactiver le Contrôle de compte d’utilisateur Pour désactiver le Contrôle de compte d’utilisateur, vous devez être en mesure de vous connecter en tant que membre du groupe Administrateurs local ou fournir les informations d’identification correspondantes. Important La désactivation du Contrôle de compte d’utilisateur va exposer votre ordinateur à des risques supplémentaires. Il n’est pas conseillé de le laisser désactivé plus longtemps que nécessaire. Voici comment désactiver le Contrôle de compte d’utilisateur :

1. Ouvrez le Panneau de configuration. 2. Cliquez sur Comptes d’utilisateurs. 3. Sous Modifier votre compte d’utilisateur, cliquez sur Activer ou désactiver le contrôle des comptes d’utilisateurs, comme le montre la figure 14-2.

Figure 14-2 Naviguez jusqu’au Contrôle de compte d’utilisateur.

4. Sur la page Activer le contrôle de compte d’utilisateur, illustrée par la figure 14-3, supprimez la coche de la case Utiliser le contrôle des comptes d’utilisateurs pour vous aider à protéger votre ordinateur.

Chapitre 14

Gestion des tâches quotidiennes

353

Figure 14-3 Supprimez la coche pour désactiver le Contrôle de compte d’utilisateur.

5. Vous êtes invité à redémarrer Windows pour appliquer la modification. Choisissez entre un redémarrage immédiat ou ultérieur. 6. Fermez la fenêtre Comptes d’utilisateurs.

Exploiter la console MMC 3.0 La console MMC (Microsoft Management Console) héberge les outils d’administration destinés à configurer le matériel, les logiciels et les composants réseau de Windows Server. Ces outils, les composants logiciels enfichables, sont créés par Microsoft et autres fournisseurs de logiciels. Dans Windows Server 2008, le Gestionnaire de serveur est une instance étendue de la MMC. Du point de vue de l’utilisateur, le plus grand changement que connaît la MMC avec la version 3.0 est le volet d’actions, qui remplace les anciennes vues de la liste des tâches, même s’il reste possible d’en créer. Reportez-vous à cet effet à la section « Exploiter l’Assistant Nouvelle vue de la liste des tâches », plus loin dans ce chapitre.

Définir les options de la console MMC 3.0 Lorsque vous créez une console MMC personnalisée, vous la définissez en adoptant soit le mode auteur, soit l’un des trois types de mode utilisateur. Le tableau 14-1 décrit ces différentes options. Tableau 14-1 Modes de la console MMC Option

Description

Mode auteur

Ce mode n’est soumis à aucune restriction. L’utilisateur est autorisé à accéder à toutes les parties de l’arborescence de la console et à modifier un fichier de la console à sa guise. La console terminée est généralement enregistrée dans l’un des modes utilisateur.

354

Partie III Tableau 14-1

Administration du réseau Modes de la console MMC

Option

Description

Mode utilisateur/accès total

L’utilisateur accède à toutes les parties de la console, mais il lui est impossible de modifier ce qui touche aux fonctionnalités. Les modifications esthétiques, comme l’arrangement des fenêtres, s’enregistrent automatiquement.

Mode utilisateur/accès limité, fenêtre multiple

Donne accès uniquement aux parties de l’arborescence qui étaient visibles lorsque le fichier de console a été enregistré. Les utilisateurs peuvent créer des fenêtres mais ne peuvent fermer aucune des fenêtres existantes.

Mode utilisateur/accès limité, fenêtre unique

Donne accès uniquement aux parties de l’arborescence qui étaient visibles lorsque le fichier de console a été enregistré. Les utilisateurs ne peuvent pas créer de nouvelles fenêtres.

Par défaut, les consoles s’ouvrent en mode auteur si l’une des conditions suivantes s’applique : ■ Une console est ouverte à l’invite de commandes avec l’option /a. ■ Vous ouvrez une console en cliquant droit sur le fichier enregistré et choisissez Auteur

dans le menu contextuel. ■ La MMC est déjà ouverte lorsqu’un composant logiciel enfichable s’ouvre.

Créer une console MMC avec des composants logiciels enfichables La conception d’outils avec l’interface utilisateur standard de la MMC est très simple. Les prochaines sections vous accompagnent dans la création d’une nouvelle console et décrivent comment organiser des composants d’administration en fenêtres séparées. Remarque Lors des étapes qui suivent, n’agrandissez pas la fenêtre de la console ou n’importe quelle autre fenêtre de la MMC que vous créez.

Voici comment créer une console MMC :

1. Cliquez sur Démarrer, puis Exécuter. Dans le champ Ouvrir, saisissez mmc /a et cliquez sur OK. Une fenêtre MMC vierge s’ouvre, prête à accueillir vos composants logiciels enfichables. 2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable (les commandes de menu de la barre de menus s’appliquent à toute la console). 3. La boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables s’affiche, illustrée par la figure 14-4. Vous y choisissez les composants à placer dans le fichier de console et y activez les extensions. Cliquez sur OK lorsque vous avez terminé.

Chapitre 14

Gestion des tâches quotidiennes

355

Figure 14-4 Choisissez les composants logiciels enfichables pour une console MMC.

4. Dans le menu Fichier, sélectionnez Options. 5. Attribuez un nom à la console. 6. Servez-vous de la liste déroulante pour choisir le mode de la console enregistrée. 7. Si le mode de la console est par défaut l’un des modes utilisateur, cochez la case Ne pas enregistrer les modifications apportées à cette console. Vous empêchez ainsi les utilisateurs de modifier la console. Cochez la case Autoriser l’utilisateur à personnaliser les vues pour permettre aux utilisateurs d’accéder à la boîte de dialogue Personnalisation de l’affichage.

Exploiter l’Assistant Nouvelle vue de la liste des tâches L’Assistant Nouvelle vue de la liste des tâches n’est pas nouveau. Il s’agit même d’un moyen bien connu de créer une vue personnalisée de la liste des tâches pour un élément de l’arborescence dans une console. Voici comment créer une vue personnalisée :

1. Démarrez une console MMC. 2. Dans le menu Action, sélectionnez Nouvelle vue de la liste des tâches pour démarrer l’assistant approprié. Cliquez sur Suivant. 3. Sur la page Style de la liste des tâches, sélectionnez les styles à appliquer au volet des résultats et aux descriptions de tâche. L’aperçu reflète vos sélections pour vous montrer comment elles affectent l’affichage. Cliquez sur Suivant. 4. Sur la page Réutilisation de la liste des tâches, indiquez si la vue que vous avez sélectionnée va s’appliquer uniquement à cette console ou à tous les éléments de l’arborescence de type identique. Cliquez sur Suivant. 5. Sur la page Nom et description, acceptez le nom par défaut ou attribuez un nouveau nom à la liste des tâches. Cliquez sur Suivant.

356

Partie III

Administration du réseau

6. Cliquez sur Terminer et poursuivez avec l’ajout de nouvelles tâches. L’Assistant Nouvelle tâche démarre. Cliquez sur Suivant. 7. Sélectionnez le type de commande à utiliser. Cliquez sur Suivant. 8. Fournissez les détails sur la commande choisie et cliquez sur Suivant. 9. Sur la page Nom et description, acceptez le nom par défaut ou attribuez un nouveau nom à la tâche. Cliquez sur Suivant. 10. Sur la page Icône de la tâche, sélectionnez une icône. Cliquez sur Suivant et sur Terminer.

Distribuer et exploiter des consoles L’emplacement par défaut des fichiers de consoles enregistrés est le dossier Outils d’administration. Les moyens de distribuer des fichiers de consoles sont divers : copier un fichier de console dans un dossier partagé sur le réseau ou l’envoyer par courrier électronique en cliquant droit sur le fichier, en pointant sur Envoyer vers et en choisissant Destinataire. Lorsque vous destinez une console à être exploitée par une personne spécifique, assurezvous que son profil utilisateur bénéficie des autorisations pour accéder aux outils et services de la console. L’utilisateur doit également disposer des autorisations d’administration nécessaires pour manipuler les composants système administrés par la console. Si vous connaissez l’emplacement d’une console, vous pouvez l’ouvrir avec l’Explorateur Windows : il vous suffit de cliquer dessus, comme avec n’importe quel fichier. Elle s’ouvre également à partir de la ligne de commandes. Par exemple, pour ouvrir la console de gestion DHCP à l’invite de commandes, tapez dhcpmgmt.msc (si des consoles ne se trouvent pas sur votre chemin d’accès, spécifiez le chemin d’accès de la console).

Exploiter la MMC pour l’administration à distance Les outils basés sur la MMC fonctionnent à merveille pour assurer l’administration à distance. Il est très simple de concevoir une console destinée à administrer un ou plusieurs ordinateurs. Cette section décrit comment créer une console permettant d’administrer un autre ordinateur à distance. La console de notre exemple inclut les composants logiciels enfichables Services, lequel gère les services système, et l’Observateur d’événements, pour autoriser l’accès aux différents journaux d’événements. Voici comment créer cette console d’administration :

1. Cliquez sur Démarrer, puis Exécuter. Dans le champ Ouvrir, saisissez mmc et cliquez sur OK. 2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. 3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Services puis sur Ajouter. 4. Dans la boîte de dialogue Services, sélectionnez l’ordinateur que le composant logiciel enfichable devra gérer. Cliquez sur Terminer.

Chapitre 14

Gestion des tâches quotidiennes

357

5. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Observateur d’événements puis sur Ajouter. 6. Spécifiez à nouveau l’ordinateur à gérer. Cliquez sur OK. 7. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK. Développez l’un des composants logiciels enfichables pour afficher les informations à partir de l’ordinateur distant. La figure 14-5 montre les entrées du journal Sécurité de l’ordinateur distant.

Figure 14-5

Observez le journal Sécurité d’un ordinateur distant.

Définir la stratégie d’audit L’audit des événements de certains ordinateurs, utilisateurs et systèmes d’exploitation constitue une partie indispensable de l’administration réseau. Vous choisissez les éléments à auditer, puis dans les journaux d’événements, vous suivez les modèles d’usage, les problèmes de sécurité et les tendances du trafic réseau. Méfiez-vous toutefois des envies irrépressibles de vouloir absolument tout auditer. Plus vous auditez d’événements, plus les journaux seront volumineux. L’analyse des énormes journaux d’événements n’est pas une tâche des plus agréables et il est très probable que vous finissiez par ne plus les consulter. Ces journaux peuvent occuper des quantités d’espace impressionnantes. En conséquence, il est capital de choisir une stratégie d’audit qui protège le réseau, mais qui ne crée pas d’encombrement administratif volumineux. Souvenez-vous en outre que tout événement audité entraîne une légère augmentation de la surcharge des performances.

358

Partie III

Administration du réseau

Une stratégie d’audit identifie les catégories des événements liés à la sécurité que vous voulez auditer. Par défaut, toutes les catégories sont désactivées à l’installation de Windows Server 2008. Chaque paramètre d’audit possède trois options : ■ Réussite Si l’action requise réussit, une entrée d’audit est générée. ■ Échec Si l’action requise échoue, une entrée d’audit est générée. ■ Pas d’audit Aucune entrée d’audit n’est générée pour l’action associée.

Exposition Si aucun audit n’est sélectionné, il est assez complexe d’établir ce qui s’est produit en cas d’incident de sécurité. Cependant, si les activités autorisées sont trop nombreuses à générer des événements, le journal d’événements Sécurité va collecter des tonnes de données inutiles. Les performances globales de l’ordinateur en seront affectées si vous configurez trop de paramètres d’audit.

Défenses Vos paramètres de stratégie d’audit doivent être sensibles pour tous les ordinateurs de votre organisation afin qu’ils puissent détecter et suivre toute activité interdite.

Effet probable Si les paramètres d’audit configurés sur les ordinateurs de votre organisation sont trop peu nombreux en cas d’attaque de sécurité, vous ne disposerez pas assez d’informations pour déterminer ce qui s’est produit. D’autre part, si les paramètres d’audit sont trop stricts, les entrées critiques du journal Sécurité risquent d’être submergées par toutes les entrées de moindre importance et les performances de l’ordinateur pourraient en être affectées.

Catégories d’audit Les paramètres de stratégie d’audit rejoignent tous les catégories décrites dans les sections suivantes. Certaines informations peuvent être recueillies dans chaque catégorie, mais selon votre situation, seules quelques catégories vont générer des données exploitables. L’emploi des sous-catégories aide à préciser l’audit.

Événements de connexion aux comptes Les événements de connexion aux comptes se produisent lorsqu’un contrôleur de domaine reçoit une requête d’ouverture de session. Un paramètre qui consigne les réussites crée une entrée lorsqu’une connexion aboutit. Les audits d’échec génèrent une entrée d’audit en cas d’échec d’ouverture de session, information intéressante pour détecter les intrusions. Si vous journalisez les événements d’audit de connexion aux comptes sur un contrôleur de domaine, la connexion aux stations de travail tente de ne pas générer d’audits d’ouverture de session.

Chapitre 14

Gestion des tâches quotidiennes

359

Seules les tentatives de connexion réseau et interactive au contrôleur de domaine lui-même génèrent les événements de connexion sur le contrôleur de domaine. Ce paramètre crée le risque d’une attaque par déni de service si vous activez le paramètre Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité. Un intrus pourrait générer des millions d’échecs de connexion et forcer l’ordinateur à s’éteindre. Voici les sous-catégories des événements de connexion aux comptes : ■ Opérations de ticket de service Kerberos ; ■ Autres événements d’ouverture de session ; ■ Service d’authentification Kerberos ; ■ Validation des informations d’identification.

Gestion des comptes Ce paramètre de stratégie détermine si l’on audite chaque événement de gestion des comptes, à savoir lorsque l’on crée, modifie ou supprime un compte utilisateur ou un groupe, ou lorsque l’on définit ou modifie un mot de passe. Le paramètre Réussite consigne une entrée dans le journal à chaque réussite d’un événement de gestion de compte. Les audits d’échec génèrent une entrée d’audit quand un événement de gestion de compte échoue. Voici les sous-catégories des événements de gestion des comptes : ■ Gestion des comptes d’utilisateur ; ■ Gestion des comptes d’ordinateur ; ■ Gestion des groupes de sécurité ; ■ Gestion des groupes de distribution ; ■ Gestion des groupes d’application ; ■ Autres événements de gestion des comptes.

Accès au service d’annuaire Ce paramètre détermine si vous auditez l’accès d’un utilisateur à un objet des Services d’annuaire Active Directory avec une liste de contrôle d’accès système. Si vous activez ce paramètre de stratégie et configurez les listes de contrôle d’accès système sur des objets de l’annuaire, de nombreuses entrées seront générées dans les journaux Sécurité des contrôleurs de domaine. N’activez cette stratégie que si vous savez que faire de toutes ces entrées. Remarque Pour configurer une liste de contrôle d’accès système sur un objet

Active Directory, cliquez droit sur l’objet, choisissez Propriétés, puis cliquez sur l’onglet Sécurité. Ce processus équivaut à Auditer l’accès aux objets, sauf qu’il s’applique uniquement aux objets Active Directory et non au système de fichiers et aux objets du registre.

360

Partie III

Administration du réseau

Voici les sous-catégories de l’accès au service d’annuaire : ■ Accès Active Directory ; ■ Modification du service d’annuaire ; ■ Réplication du service d’annuaire ; ■ Réplication du service d’annuaire détaillé.

Ces sous-catégories sont analysées à la section « Auditer les événements du service d’annuaire », plus loin dans ce chapitre.

Événements de connexion Ce paramètre est activé lorsqu’un utilisateur ouvre ou ferme une session sur l’ordinateur qui enregistre l’événement. Une entrée de journal est générée en cas de réussite ou d’échec d’une connexion à l’ordinateur. Ce paramètre crée le risque d’une attaque par déni de service, tout comme le paramètre Connexion aux comptes. Voici les sous-catégories des événements de connexion : ■ Ouvrir la session ; ■ Fermer la session ; ■ Verrouillage du compte ; ■ Mode principal IPSec ; ■ Mode rapide IPSec ; ■ Mode étendu IPSec ; ■ Ouverture de session spéciale ; ■ Autres événements d’ouverture/fermeture de session ; ■ Serveur de stratégie réseau.

Accès aux objets Les paramètres Réussite et Échec génèrent respectivement une entrée de journal lorsqu’un utilisateur parvient ou ne parvient pas à accéder à un objet auquel est associée une liste de contrôle d’accès système.Si vous configurez ce paramètre de stratégie ainsi que les listes de contrôle d’accès système sur des objets, de nombreuses entrées seront générées dans les journaux Sécurité des contrôleurs de domaine. N’activez cet audit que si vous savez que faire de cette grande quantité d’entrées. Voici les sous-catégories des événements d’accès aux objets : ■ Système de fichiers ; ■ Registre ; ■ Objet de noyau ; ■ SAM ;

Chapitre 14

Gestion des tâches quotidiennes

361

■ Services de certification ; ■ Généré par application ; ■ Manipulation de handle ; ■ Partage de fichiers ; ■ Rejet de paquet par la plateforme de filtrage ; ■ Connexion de la plateforme de filtrage ; ■ Autres événements d’accès à l’objet.

Modifications de stratégie Ce paramètre de stratégie détermine si vous auditez toutes les modifications qui affectent les droits utilisateur, les stratégies d’approbation ou les stratégies d’audit. Le paramètre Réussite journalise une entrée en cas de modification des stratégies d’attribution de droits utilisateur, des stratégies d’audit ou des stratégies d’approbation. Le paramètre Échec journalise une entrée en cas de modification non aboutie de ces mêmes stratégies. Voici les sous-catégories des modifications de stratégie : ■ Auditer les modifications de stratégie ; ■ Modification de la stratégie d’authentification ; ■ Modification de la stratégie d’autorisation ; ■ Modification de la stratégie de niveau règle MPSSVC ; ■ Modification de la stratégie de plateforme de filtrage ; ■ Autres événements de modification de stratégie.

Utilisation des privilèges Ce paramètre détermine si vous auditez l’utilisation d’un droit utilisateur pour effectuer une action. Réussite consigne une entrée lorsque l’exercice d’un droit utilisateur a abouti, Échec lorsque l’exercice d’un droit utilisateur a échoué. Ce paramètre génère également une grande quantité d’entrées. L’exercice des droits utilisateur suivants ne génère pas d’événements d’audit, même si des audits de réussite ou d’échec sont spécifiés pour ce paramètre de stratégie : contourner la vérification de parcours, déboguer les programmes, créer un objet-jeton, remplacer un jeton de niveau processus, générer des audits de sécurité, sauvegarder les fichiers et les répertoires, restaurer les fichiers et les répertoires. Voici les sous-catégories des événements d’utilisation des privilèges : ■ Utilisation de privilèges sensibles ; ■ Utilisation de privilèges non sensibles ; ■ Autres événements d’utilisation de privilèges.

362

Partie III

Administration du réseau

Suivi des processus Ce paramètre de stratégie détermine s’il convient d’auditer les informations de suivi détaillé pour des événements tels que l’exécution d’une action par une application. Réussite génère une entrée de journal lorsque le processus suivi aboutit. Échec génère une entrée si le processus suivi échoue. Si ce paramètre de stratégie est activé, il produit de très nombreuses entrées. Voici les sous-catégories des événements de suivi des processus : ■ Fin du processus ; ■ Activité DPAPI ; ■ Événements RPC ; ■ Création du processus.

Événements système Ce paramètre de stratégie détermine s’il convient d’auditer lorsqu’un ordinateur est redémarré ou arrêté ou qu’un autre événement affectant la sécurité se produit. Réussite audite lorsqu’un événement aboutit. Échec audite lorsqu’un événement échoue. Tous les événements système sont importants et les options Réussite et Échec créent peu d’entrées de journal, aussi convient-il d’activer cette option sur tous les ordinateurs. Voici les souscatégories des événements système : ■ Extension système de sécurité ; ■ Intégrité du système ; ■ Pilote IPSec ; ■ Autres événements système ; ■ Modification de l’état de la sécurité.

Pour auditer l’accès aux objets dans le cadre de votre stratégie d’audit, vous devez soit activer la catégorie Auditer l’accès au service d’annuaire (pour auditer les objets d’un contrôleur de domaine), soit activer la catégorie Auditer l’accès aux objets (pour auditer les objets d’un serveur membre ou d’un ordinateur client). Une fois que vous avez activé la catégorie Accès aux objets, spécifiez les types d’accès à auditer pour chaque groupe ou utilisateur.

Auditer les événements du service d’annuaire Dans Windows 2000 Server et Windows Server 2003, la stratégie d’audit Auditer l’accès au service d’annuaire contrôle l’audit des événements du service d’annuaire. Dans Windows Server 2008, cette stratégie se divise en quatre sous-catégories : ■ Accès Active Directory ; ■ Modification du service d’annuaire ; ■ Réplication du service d’annuaire ; ■ Réplication du service d’annuaire détaillé.

Chapitre 14

Gestion des tâches quotidiennes

363

L’audit des modifications des objets des Services de domaine Active Directory est activé avec l’une des nouvelles sous-catégories d’audit : Modification du service d’annuaire. Les objets des Services de domaine Active Directory accompagnés de listes de contrôle d’accès système configurées pour activer les objets à auditer génèrent les entrées de journal suivantes : ■ Lorsqu’un attribut est modifié, Services de domaine Active Directory journalise les

valeurs précédentes et en cours de l’attribut. Si l’attribut possède plusieurs valeurs, seules les valeurs modifiées sont journalisées. ■ Lorsqu’un nouvel objet est créé, les valeurs des attributs existants sont journalisées. Si

l’utilisateur ajoute des attributs lors de l’opération de création, ces nouvelles valeurs d’attributs sont journalisées. Les valeurs des attributs système assignées par défaut ne sont pas journalisées. ■ Si un objet est déplacé dans un domaine, les emplacements précédents et nouveaux

(nom unique) sont journalisés. Si un objet est déplacé dans un domaine différent, un événement création est généré sur le contrôleur de domaine du domaine cible. ■ Si un objet est restauré, l’emplacement est journalisé. En outre, si l’utilisateur ajoute,

modifie ou supprime des attributs tout en procédant à une restauration, les valeurs de ces attributs sont journalisées.

Activer l’audit des objets Services de domaine Active Directory L’activation de la journalisation des objets Active Directory est un processus en deux étapes. Tout d’abord, ouvrez la stratégie Default Domain Controllers Policy dans l’Éditeur d’objets de stratégie de groupe et activez la stratégie d’audit globale Auditer l’accès au service d’annuaire (Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\ Stratégie d’audit). Ensuite, configurez la liste de contrôle d’accès système de l’objet ou des objets à auditer. Par exemple, pour activer l’audit Réussite pour l’accès des Utilisateurs authentifiés aux objets Utilisateur stockés dans une OU, procédez comme suit :

1. Ouvrez Utilisateurs et ordinateurs Active Directory et assurez-vous que Fonctionnalités avancées est sélectionné dans le menu Affichage. 2. Cliquez droit sur l’unité d’organisation à auditer et choisissez Propriétés. 3. Sélectionnez l’onglet Sécurité et cliquez sur Avancé pour ouvrir la boîte de dialogue Paramètres de sécurité avancés. 4. Cliquez sur l’onglet Audit, puis sur Ajouter pour ouvrir la boîte de dialogue Sélectionnez Utilisateur, Ordinateur ou Groupe. 5. Dans le la zone de texte Entrez le nom de l’objet à sélectionner, tapez Utilisateurs authentifiés et cliquez sur OK. La boîte de dialogue Audit de l’entrée de la figure 14-6 s’affiche.

364

Partie III

Administration du réseau

Figure 14-6 Boîte de dialogue Audit de l’entrée

6. Dans la liste Appliquer, choisissez comment appliquer l’audit. 7. Dans la liste Accès, sélectionnez les entrées à auditer. 8. Cliquez sur OK pour revenir à la boîte de dialogue Paramètres de sécurité avancés, laquelle contient maintenant la nouvelle liste de contrôle d’accès système que vous avez configurée, comme le montre la figure 14-7.

Figure 14-7 Liste de contrôle d’accès récemment ajoutée

À partir de maintenant, lorsque vous modifierez un compte de l’OU Ventes, comme ajouter un numéro de téléphone, l’Observateur d’événements va afficher une entrée d’ID 5136. Les

Chapitre 14

Gestion des tâches quotidiennes

365

ID d’événements des événements d’audit des modifications du service d’annuaire sont listés dans le tableau 14-2. Tableau 14-2 ID d’événements des modifications du service d’annuaire ID

Type d’événement

Description

5136

Modification

Cet événement est journalisé lorsqu’un attribut d’un objet Services de domaine Active Directory est modifié avec succès.

5137

Création

Cet événement est journalisé lorsqu’un objet est créé dans l’annuaire.

5138

Restauration

Cet événement est journalisé lorsqu’un objet de l’annuaire est restauré.

5139

Déplacement

Cet événement est journalisé lorsqu’un objet est déplacé au sein du domaine.

Remarque L’ID d’événement 566 pour l’audit de l’accès au service d’annuaire de Windows Server 2003 est devenu l’ID 4662 dans Windows Server 2008.

Exploiter Auditpol.exe Les sous-catégories de la catégorie Auditer l’accès au service d’annuaire ne peuvent pas être visionnées via l’Éditeur de stratégie de groupe locale. Seul l’outil en ligne de commandes Auditpol.exe permet de les afficher. Pour l’exécuter, cliquez droit sur Invite de commandes et choisissez Exécuter en tant qu’administrateur. Pour afficher les sous-catégories, tapez la commande suivante et appuyez sur ENTRÉE : auditpol /get /category:"accès ds"

Le résultat, illustré par la figure 14-8, fournit la liste des sous-catégories et leur paramètre en cours.

Figure 14-8

Paramètre d’audit des sous-catégories Services de domaine Active Directory

366

Partie III

Administration du réseau

Pour afficher la totalité de la stratégie d’audit, tapez la commande suivante et appuyez sur ENTRÉE : auditpol /get /category:*

Pour activer l’audit de la sous-catégorie Modification du service d’annuaire, tapez la commande suivante et appuyez sur ENTRÉE : auditpol /set /subcategory:"modification du service d’annuaire"

Par défaut, l’audit sera défini pour journaliser les réussites. Pour journaliser les réussites et les échecs, tapez la commande suivante et appuyez sur ENTRÉE : auditpol /set /subcategory:"modification du service d’annuaire" /success:enable /failure:enable

Note du traducteur Auditpol ne gère pas toujours correctement les accents et les

apostrophes. Dans ce cas, il est préférable de remplacer le nom de la sous-catégorie par son ID de catégorie. Pour afficher la liste des ID de catégories, à l’invite tapez auditpol /get /category:* /r. Remplacez ensuite le nom de la catégorie par son ID en plaçant ce dernier entre guillemets et accolades. Par exemple, pour la sous-catégorie de notre exemple, à savoir Modification du service d’annuaire, servez-vous de la commande suivante : auditpol /set /subcategory:"{0CCE923C-69AE-11D9-BED3505054503030}" /success:enable /failure:enable.

Pour vérifier les paramètres, tapez la commande suivante et appuyez sur ENTRÉE : auditpol /get /category:"accès ds"

La figure 14-9 confirme que la sous-catégorie est définie pour auditer les modifications qui ont abouti et celle qui ont échoué.

Figure 14-9 Confirmez le paramètre pour auditer les modifications du service d’annuaire.

Chapitre 14

Gestion des tâches quotidiennes

367

Remarque Avec Auditpol.exe, vous affichez et définissez la stratégie pour toutes les catégories et sous-catégories. Tapez auditpol / ? pour afficher les paramètres et la syntaxe.

Définir la stratégie d’audit globale L’activation de la stratégie d’audit globale Auditer l’accès au service d’annuaire active toutes les sous-catégories de la stratégie du service d’annuaire. Pour définir cette stratégie d’audit globale dans la stratégie Default Domain Controllers Policy, procédez comme suit :

1. Dans le menu Outils d’administration, sélectionnez Gestion des stratégies de groupe. 2. Parcourez votre domaine et cliquez sur Domain Controllers. 3. Cliquez droit sur Default Domain Controllers Policy et choisissez Modifier. 4. Cliquez sur Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité et Stratégies locales pour accéder à Stratégie d’audit. 5. Dans le volet des résultats, cliquez droit sur Auditer l’accès au service d’annuaire et choisissez Propriétés. 6. Sur l’onglet Paramètre de stratégie de sécurité, sélectionnez Définir ces paramètres de stratégie. Choisissez Réussite, Échec ou les deux options. Cliquez sur OK.

Activer l’audit Les sections précédentes concernaient les objets des Services de domaine Active Directory. Pour activer l’audit sur les autres catégories d’audit, dans le menu Outils d’administration, sélectionnez Gestion des stratégies de groupe et procédez comme suit :

1. Parcourez le domaine où activer l’audit. Cliquez droit sur Default Domain Policy et choisissez Modifier. 2. Dans l’arborescence de la console, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité et Stratégies locales pour accéder à Stratégie d’audit, comme le montre la figure 14-10.

368

Partie III

Administration du réseau

Figure 14-10 Catégories d'événements à auditer

3. Cliquez droit sur la catégorie d’événement à auditer et choisissez Propriétés dans le menu contextuel. 4. Sur l’onglet Paramètre de stratégie de sécurité, illustré par la figure 14-11, cochez la case pour définir le paramètre et sélectionnez l’option qui audite les tentatives réussies, échouées ou les deux.

Figure 14-11 Définissez un paramètre de stratégie d’audit.

Chapitre 14

Gestion des tâches quotidiennes

369

5. Cliquez sur OK lorsque vous avez terminé.

Auditer les paramètres pour les objets Une fois que vous avez activé un paramètre de stratégie pour auditer un objet Active Directory, vous pouvez créer des paramètres d’audit pour des objets :

1. Cliquez droit sur l’objet à auditer et choisissez Propriétés dans le menu contextuel. Cliquez sur l’onglet Sécurité. 2. Cliquez sur Avancé, puis sur l’onglet Audit. 3. Cliquez sur Ajouter pour mettre en place l’audit sur un nouveau groupe ou utilisateur. Effectuez votre sélection et cliquez sur OK. 4. Sélectionnez les événements à configurer, comme le montre la figure 14-12. Le tableau 14-3 liste les options et leur définition.

Figure 14-12 Sélectionnez les événements à auditer. Tableau 14-3 Événements du système de fichiers auditables Événement

Activé quand

Parcours du dossier/ exécuter le fichier

Un dossier est parcouru (une personne traverse le dossier pour accéder à un dossier parent ou enfant) ou une application est exécutée.

Liste du dossier/lecture des Un dossier est ouvert ou le contenu d’un fichier est visionné. données Attributs de lecture

Les attributs d’un fichier ou d’un dossier sont visionnés.

Lecture des attributs étendus

Les attributs étendus (définis et créés par des programmes) d’un fichier ou d’un dossier sont visionnés.

370

Partie III Tableau 14-3

Administration du réseau Événements du système de fichiers auditables

Événement

Activé quand

Création de fichier/écriture Un fichier est créé dans un dossier ou un fichier est modifié, de données remplaçant les informations du fichier. Création de dossier/ajout de données

Un dossier est créé dans le dossier audité ou des informations sont ajoutées à un fichier existant.

Attributs d’écriture

Un attribut de fichier ou de dossier est modifié.

Écriture d’attributs étendus Les attributs étendus (définis et créés par des programmes) d’un fichier ou d’un dossier sont modifiés. Suppression de sousdossier et fichier

Un fichier ou un sous-dossier est supprimé.

Suppression

Un fichier spécifique est supprimé.

Autorisations de lecture

Les autorisations d’un fichier ou d’un dossier sont visionnées.

Modifier les autorisations

Les autorisations d’un fichier ou d’un dossier sont modifiées.

Appropriation

La propriété d’un fichier ou d’un dossier change.

Remarque Par défaut, les objets enfants héritent des paramètres d’audit de leur

parent. L’onglet Audit de la boîte de dialogue Paramètres de sécurité avancés contient une case à cocher qui régit les entrées d’audit pouvant être héritées. Si vous supprimez la coche, les paramètres d’audit de l’objet ne varient pas, même si ceux de l’objet parent sont modifiés. De plus, vous annulez également tous les paramètres d’audit qui étaient déjà hérités. La seconde case à cocher de cet onglet—Remplacer toutes les entrées d’audit héritables existantes sur tous les descendants par des entrées d’audit héritables issues de cet objet—réinitialise l’audit existant et permet aux entrées d’audit d’être à nouveau héritées de l’objet parent.

Exploiter l’Observateur d’événements Le nouvel Observateur d’événements présente deux catégories de journaux d’événements : Journaux Windows et Journaux des applications et des services.

Journaux Windows Les journaux Windows rassemblent les journaux disponibles dans les versions précédentes de Windows : les journaux Application, Sécurité et Système. Les journaux Configuration et Événements transmis sont apparus dans Windows Server 2008. Le journal Application consigne les événements journalisés par les programmes. Les développeurs de programmes décident quels événements sont enregistrés. Par exemple, une erreur du service Exchange qui adresse des messages électroniques à l’aide de listes d’adresses va générer une entrée dans le journal Application.

Chapitre 14

Gestion des tâches quotidiennes

371

Le journal Sécurité enregistre les événements que vous avez spécifiés par l’intermédiaire des paramètres d’audit. Le journal Système contient les événements consignés par les composants système Windows. Par exemple, un service qui ne parvient pas à démarrer ou un pilote qui ne se charge pas génèrent une entrée dans le journal Système. Les événements journalisés sont prédéterminés par Windows. Le journal Configuration consigne les événements liés à la configuration des applications. Le journal Événements transmis enregistre les événements collectés sur les ordinateurs distants. Pour obtenir ces événements, vous devez créer un abonnement d’événements. Ces abonnements sont traités à la section « Transmettre et collecter des événements », plus loin dans ce chapitre.

Journaux des applications et des services Les journaux des applications et des services constituent une nouvelle catégorie de journaux d’événements et il en existe de très nombreux. Ils appartiennent essentiellement à quatre types : ■ Les événements d’analyse décrivent les opérations et les problèmes des applications qui

ne peuvent être résolus par une simple intervention de l’utilisateur. ■ Les événements d’administration mettent en lumière un problème et sa solution, comme

l’échec d’un pilote d’application. L’événement va indiquer ce qui s’est produit et les étapes nécessaires pour résoudre le problème. ■ Les événements d’opération servent à évaluer et à diagnostiquer un problème. Par

exemple, lorsque des utilisateurs tentent de se connecter à une imprimante supprimée, un événement d’opération sera journalisé. ■ Les événements de débogage permettent aux développeurs de dépanner des problèmes

avec les programmes. Remarque Pour afficher la liste de tous les journaux d’événements, dans le menu Affichage, sélectionnez Afficher les journaux d’analyse et de débogage.

Créer des vues personnalisées Les filtres ont toujours été disponibles dans l’Observateur d’événements pour sélectionner les événements à surveiller. Ils procèdent à une sélection qui vous évite d’être submergé par le volume impressionnant des événements journalisés. Les vues personnalisées constituent une extension des filtres : il est possible de spécifier des règles de filtrage, puis de nommer et d’enregistrer la vue. La vue personnalisée est ensuite à nouveau disponible, sans avoir à recréer le filtre de base. Pour créer une vue personnalisée, ouvrez l’Observateur d’événements à partir du menu Outils d’administration, puis procédez comme suit :

1. Dans le menu Action, sélectionnez Créer une vue personnalisée.

372

Partie III

Administration du réseau

2. Dans la boîte de dialogue Créer une vue personnalisée, choisissez comment filtrer les événements. 3. Pour filtrer les événements en fonction du moment où ils sont générés, choisissez une plage de temps dans la liste Connecté. Si aucune des périodes ne convient à vos objectifs, sélectionnez Plage personnalisée et spécifiez la date et l’heure de début des événements et le terme de la période. Cliquez sur OK. 4. Dans la section Niveau d’événement, cochez les cases des types d’événements à inclure dans la vue personnalisée. 5. Pour obtenir les événements en fonction de journaux spécifiques, sélectionnez Par journal et choisissez les journaux dans la liste Journal des événements. Pour filtrer selon la source des événements, sélectionnez Par source et spécifiez les sources dans la liste Sources de l’événement. 6. Dans la section Inclut/exclut des ID d’événements, tapez les ID d’événements à afficher. Séparez plusieurs ID par des virgules. Pour inclure une plage d’ID, comme 1610 à 1620 inclus, tapez 1610-1620. Si vous voulez que votre filtre affiche les événements de tous les ID sauf certains, tapez les ID des exceptions, précédés d’un signe moins. Par exemple, pour inclure tous les ID entre 1610 et 1620, sauf 1612, tapez 1610-1620, – 1612. 7. Dans Catégorie de la tâche, développez la liste déroulante et cochez les cases des catégories de tâche à inclure dans la vue personnalisée. 8. Dans Mots clés, ouvrez la liste déroulante et sélectionnez les mots clés à filtrer. 9. Dans le champ Utilisateur, tapez le nom des comptes utilisateur à inclure. Séparez plusieurs noms d’utilisateur avec des virgules. 10. Dans le champ Ordinateur, saisissez le nom des ordinateurs à inclure. Séparez plusieurs ordinateurs avec des virgules. 11. Cliquez sur OK. 12. Dans la boîte de dialogue Enregistrer le filtre dans une vue personnalisée, tapez le nom et la description de la vue personnalisée. Sélectionnez l’emplacement où enregistrer la vue. Cliquez sur OK. La vue personnalisée enregistrée est listée sous le nœud Affichages personnalisés de l’Observateur d’événements dans l’arborescence. Pour importer, exporter ou copier une vue personnalisée, passez par le menu Action de l’Observateur d’événements.

Transmettre et collecter des événements L’Observateur d’événements présente les événements d’un ordinateur distant, mais il est parfois nécessaire d’examiner les journaux d’événements de plusieurs ordinateurs. Windows Server 2008 et Windows Vista offrent la possibilité de collecter des copies d’événements de plusieurs ordinateurs distants et de les stocker localement. Pour choisir les événements à

Chapitre 14

Gestion des tâches quotidiennes

373

collecter, créez un abonnement d’événements. L’abonnement décrit les événements qui seront collectés et l’emplacement où ils seront stockés localement. On affiche et gère ces événements collectés comme tous les autres événements stockés. Avant de pouvoir créer un abonnement, vous devez activer la collecte d’événements sur l’ordinateur qui va procéder à la collecte et sur tous les ordinateurs où les événements seront collectés. Pour configurer des ordinateurs d’un domaine de sorte qu’ils transmettent et collectent des événements, ouvrez une session sur chaque ordinateur avec un compte bénéficiant des privilèges d’administrateur et procédez comme suit :

1. Sur chaque ordinateur source, cliquez droit sur Invite de commandes et choisissez Exécuter en tant qu’administrateur dans le menu contextuel. 2. À l’invite, tapez winrm quickconfig. Voici le résultat que vous pouvez obtenir : WinRM n’est pas configuré pour la gestion à distance de cet ordinateur. Les modifications suivantes doivent être effectuées : Créez un écouteur WinRM sur HTTP://* pour accepter les demandes de la gestion des services Web sur toutes les adresses IP de cet ordinateur. Activez l’exception de pare-feu WinRM. Effectuer ces modifications [y/n]?

Tapez y et appuyez sur ENTRÉE.

3. Ajoutez le compte ordinateur de l’ordinateur collecteur au groupe Administrateurs local de chaque ordinateur source. 4. Sur l’ordinateur collecteur, cliquez droit sur Invite de commandes et choisissez Exécuter en tant qu’administrateur dans le menu contextuel. 5. À l’invite, tapez wecutil qc et appuyez sur ENTRÉE. Voici le résultat que vous pouvez obtenir : Le mode de démarrage du service sera changé en Delay-Start. Voulez-vous continuer (O- oui ou N- non)?

Tapez O et appuyez sur ENTRÉE. Les ordinateurs source et collecteur sont maintenant configurés pour transmettre et collecter des événements. L’étape suivante consiste à créer un abonnement pour spécifier les éléments à collecter.

Créer des abonnements Voici comment créer un abonnement :

1. Sur l’ordinateur collecteur, qu’administrateur.

exécutez

l’Observateur

d’événements

en

tant

374

Partie III

Administration du réseau

2. Dans l’arborescence de la console, cliquez droit sur Abonnements et choisissez Créer un abonnement dans le menu contextuel. Remarque Si le service Collecteur d’événements Windows n’est pas démarré, vous y êtes invité. Vous devez avoir ouvert une session en tant que membre du groupe Administrateurs pour démarrer ce service.

3. Dans la boîte de dialogue Propriétés de l’abonnement, configurez le nouvel abonnement de la manière suivante : ■ Dans le champ Nom d’abonnement, saisissez le nom de l’abonnement. ■ Dans le champ Description, tapez une brève description de l’abonnement. ■ Sélectionnez la destination de l’événement transmis dans la liste Journal de

destination. Par défaut, les événements collectés sont stockés dans le journal Événements transmis. ■ Dans la section Type d’abonnement et ordinateurs sources, choisissez

l’ordinateur qui va initier l’abonnement : collecteur ou source. Pour l’abonnement initialisé par le collecteur, cliquez sur Sélectionner des ordinateurs et ajoutez les ordinateurs collecteurs. Pour l’abonnement initialisé par l’ordinateur source, cliquez sur Sélectionner des groupes d’ordinateurs et ajoutez les ordinateurs sources. ■ Cliquez sur Sélectionner des événements pour ouvrir la boîte de dialogue Filtre

de requête. Configurez le filtre. ■ Cliquez sur Avancé pour ouvrir la boîte de dialogue Paramètres avancés

d’abonnement. Spécifiez soit une optimisation de la livraison d’événements ou le compte employé pour gérer le processus de collecte d’événements.

4. Cliquez sur OK dans toutes les boîtes de dialogue ouvertes. L’abonnement s’ajoute au volet central et apparaît comme Actif. Pour modifier ou supprimer un abonnement, cliquez droit sur le nom de l’abonnement et choisissez une action dans le menu contextuel.

Exploiter les événements d’un ordinateur distant Voici comment gérer les journaux d’événements d’un ordinateur distant :

1. Démarrez l’Observateur d’événements. 2. Cliquez droit sur le nœud racine, comme le montre la figure 14-13, et choisissez Se connecter à un autre ordinateur.

Chapitre 14

Gestion des tâches quotidiennes

375

Figure 14-13 Connectez-vous aux événements d’un autre ordinateur.

3. Dans la boîte de dialogue Sélectionner un ordinateur, tapez le nom de l’ordinateur ou cliquez sur Parcourir pour le retrouver. 4. Pour vous connecter en tant qu’autre utilisateur, cochez la case appropriée et cliquez sur Définir. Cliquez sur OK. L’Observateur d’événements va se connecter à l’autre ordinateur et l’Observateur d’événements de cet ordinateur va s’afficher.

Exécuter une tâche lorsqu’un événement donné se produit Comme l’Observateur d’événements est intégré au Planificateur de tâches, il suffit de cliquer droit sur la plupart des événements pour démarrer le processus de planification d’une tâche à effectuer lorsque cet événement sera journalisé. Voici comment effectuer une tâche lorsqu’un événement particulier se produit :

1. Démarrez l’Observateur d’événements. 2. Dans l’arborescence de la console, recherchez le journal qui contient l’événement auquel associer une tâche. 3. Cliquez droit sur l’événement et choisissez Joindre une tâche à cet événement. 4. L’Assistant Créer une tâche de base démarre. Fournissez un nom et une description à l’opération que vous configurez. Cliquez sur Suivant. 5. Confirmez l’événement sélectionné. Cliquez sur Suivant. 6. Sélectionnez l’action que la tâche doit effectuer. Cliquez sur Suivant.

376

Partie III

Administration du réseau

7. Fournissez les informations nécessaires pour effectuer la tâche sélectionnée. Cliquez sur Suivant. 8. Sur la page Résumé, vérifiez les sélections et cliquez sur Terminer. La nouvelle tâche est créée et ajoutée à votre planification Windows.

Gérer les journaux d’événements Pour gérer un journal d’événements, ouvrez l’Observateur d’événements, cliquez droit sur le journal et choisissez Propriétés. Les valeurs sont ensuite mises à jour dans la boîte de dialogue Propriétés.

Définir la taille maximale du journal Les journaux d’événements sont stockés dans des fichiers dont la taille maximale est définie par défaut. Voici comment la modifier :

1. Ouvrez l’Observateur d’événements. 2. Dans l’arborescence de la console, cliquez droit sur le journal à gérer et choisissez Propriétés. 3. Dans la boîte de dialogue Propriétés de la figure 14-14, définissez le chemin et la taille maximale des journaux à votre convenance. Remarque La taille du journal ne peut être inférieure à 1 024 Ko et doit être un multiple de 64 Ko. Si vous saisissez une valeur quelconque, elle sera ramenée au multiple le plus proche de 64 Ko.

Figure 14-14 Définissez les propriétés des journaux.

4. Cliquez sur OK lorsque vous avez terminé.

Chapitre 14

Gestion des tâches quotidiennes

377

Définir la stratégie de rétention Inévitablement, tous les fichiers journaux finiront par atteindre la taille limite définie. Le sort des événements suivants dépendra alors de la stratégie de rétention que vous définissez. Voici les trois options possibles : ■ Remplacer les événements si nécessaire Il s’agit de la règle du « premier entré

premier sorti ». Les nouveaux événements remplacent les entrées les plus anciennes. ■ Archiver le journal lorsqu’il est plein, ne pas effacer d’événements Cette option

enregistre tout. Lorsque le journal est plein, il est automatiquement archivé et les nouveaux événements continuent d’être stockés. Tout est enregistré et aucun événement n’est remplacé. ■ Ne pas remplacer les événements Ce paramètre convient si vous préférez nettoyer

manuellement le journal et non pas automatiquement. Vous êtes donc obligé de toujours faire attention au journal. Dès qu’il est plein, il n’accepte plus aucun événement. Voici comment définir une stratégie de rétention :

1. Ouvrez l’Observateur d’événements. 2. Dans l’arborescence de la console, cliquez droit sur le journal à gérer et choisissez Propriétés. 3. Dans la boîte de dialogue Propriétés du journal, sous Lorsque la taille maximale du journal d’événements est atteinte, sélectionnez une option. 4. Cliquez sur OK.

Enregistrer les journaux d’événements L’enregistrement d’un journal d’événements peut s’effectuer manuellement, avec la possibilité de fournir des informations supplémentaires destinées à rendre le journal enregistré visible par les autres. Voici comment exporter et enregistrer un journal d’événements :

1. Démarrez l’Observateur d’événements. 2. Dans l’arborescence de la console, cliquez droit sur le journal à enregistrer et choisissez les événements sous. 3. Dans la boîte de dialogue Enregistrer sous, recherchez l’emplacement du fichier souhaité et tapez le nom de fichier du journal enregistré. Cliquez sur Enregistrer. 4. Dans la boîte de dialogue Informations d’affichage, choisissez entre Aucune Information (le journal ne sera pas accessible sur d’autres ordinateurs) ou Informations d’affichage pour ces langues (vous destinez le journal enregistré à être visionné sur d’autres ordinateurs).

378

Partie III

Administration du réseau

Remarque Pour que le journal s’affiche dans d’autres langues, sélectionnez Afficher toutes les langues disponibles et cochez les cases des langues à inclure.

Exploiter le Planificateur de tâches Si la commande AT permet de planifier des tâches, comme nous le verrons plus loin dans ce chapitre, il faut reconnaître que le Planificateur de tâches est plus simple d’utilisation avec son interface graphique. On peut planifier des tâches de sorte qu’elles s’exécutent à répétition pendant les heures creuses. Pour démarrer le Planificateur de tâches, dans le menu Outils d’administration, sélectionnez Planificateur de tâches. Le Planificateur de tâches classe la création de tâches en deux catégories : Tâches de base et Tâches. Une tâche de base va démarrer un programme, envoyer un message électronique ou afficher un message à une heure spécifique ou si un événement spécifique se produit. La plupart des tâches planifiées que vous allez configurer appartient à cette catégorie.

Créer une tâche de base Voici comment créer une tâche de base :

1. Démarrez le Planificateur de tâches. 2. Dans le volet Actions, sélectionnez Créer une tâche de base. L’Assistant Créer une tâche de base démarre. 3. Sur la page Créer une tâche de base, indiquez le nom de la tâche et ajoutez une description. Cliquez sur Suivant. 4. Sur la page Déclencheur de tâche, choisissez quand démarrer la tâche. Cliquez sur Suivant. 5. Si vous avez sélectionné Une seule fois, spécifiez l’heure de début et les autres informations requises. Si vous avez sélectionné Si un événement spécifique est enregistré, indiquez le journal, la source et l’ID de l’événement. Cliquez sur Suivant. 6. Sur la page Action, sélectionnez l’action que la tâche va effectuer. Cliquez sur Suivant. 7. Complétez les informations nécessaires pour effectuer la tâche sélectionnée. Cliquez sur Suivant. 8. Sur la page Résumé, vérifiez les sélections et cliquez sur Terminer. La nouvelle tâche est créée et ajoutée à la Bibliothèque du Planificateur de tâches.

Créer une tâche plus complexe Le Planificateur de tâches est capable de créer une tâche très détaillée et granulaire. Si vous voulez créer ce type de tâche, procédez comme suit :

1. Démarrez le Planificateur de tâches.

Chapitre 14

Gestion des tâches quotidiennes

379

2. Dans le volet Actions, sélectionnez Créer une tâche. La boîte de dialogue Créer une tâche s’affiche, comportant cinq onglets. 3. Sur l’onglet Général, tapez le nom de la tâche et configurez les options de sécurité à appliquer. 4. Sur l’onglet Déclencheurs, cliquez sur Nouveau pour créer le déclencheur de la tâche. 5. Sur l’onglet Actions, cliquez sur Nouveau pour spécifier l’action qui se produira au démarrage de la tâche. 6. Sur l’onglet Conditions, spécifiez toutes les conditions à remplir (ainsi que les événements du déclencheur) pour que la tâche s’exécute. 7. Sur l’onglet Paramètres, sélectionnez les autres options susceptibles d’affecter l’exécution de la tâche. 8. Cliquez sur OK lorsque vous avez terminé. Remarque L’onglet Historique comportera l’historique de la tâche une fois exécutée.

Exploiter la commande AT La commande AT sert également à planifier des tâches. Par défaut, elle s’exécute avec le compte LocalSystem, lequel requiert des privilèges d’administrateur. Voici la structure de la commande AT : AT [\\nomordinateur] [id] [[/delete]| /delete [/yes]] AT [\\nomordinateur] time [/interactive] [/every:date[,…] | /next:date[,…]] command

Voici les paramètres qui s’emploient avec la commande AT. Sans paramètre, elle retourne la liste des commandes planifiées. ■ \\nomordinateur Spécifie un ordinateur distant. Sans ce paramètre, elle s’applique à

l’ordinateur local. ■ id Indique le numéro d’identification, le cas échéant. ■ /delete Annule une commande planifiée. Si aucun numéro d’identification n’est

spécifié, toutes les commandes planifiées sur l’ordinateur seront annulées. ■ /yes Force une réponse affirmative à toutes les requêtes du système lors de l’annulation

de toutes les commandes. ■ time Spécifie le moment où la commande doit s’exécuter ; il s’exprime sous la forme

heures:minutes, en notation 24 heures. ■ /interactive Permet à la tâche d’interagir avec le Bureau de l’utilisateur connecté à

l’heure d’exécution de la tâche. ■ /every:date[,...] Exécute la commande à la date spécifiée. Spécifiez la date à l’aide des

jours de la semaine (M, T, W, Th, F, S, Su) ou du mois (de 1 à 31). Séparez les dates avec des virgules. Sans ce paramètre, la commande adopte la date du mois en cours.

380

Partie III

Administration du réseau

■ /next:date[,...] Exécute la commande à la prochaine occurrence de la date spécifiée.

Sans ce paramètre, la commande adopte la date du mois en cours. ■ command Désigne le programme, le fichier batch ou la commande à exécuter. Si un

chemin d’accès est requis, utilisez le chemin UNC. Certains éléments concernant la commande AT méritent toute votre attention : ■ La commande AT ne charge pas automatiquement Cmd, l’interprétateur de

commandes. En conséquence, si le paramètre de commande ne pointe pas de fichier exécutable, vous devez spécifier explicitement Cmd, suivi de l’option /c, au début de la commande. ■ Les commandes planifiées via AT s’exécutent en tant que processus d’arrière-plan.

Aucun résultat n’est donc affiché. Pour rediriger la sortie vers un fichier, utilisez le symbole de redirection (>). Précédez-le du symbole d’échappement (^). Exemple de commande : AT retrieve.bat ^>c:\journalquotidien.txt. ■ Si vous devez employer une lettre de lecteur pour vous connecter à un répertoire

partagé, ajoutez une commande AT qui déconnectera le lecteur une fois la tâche terminée. Autrement, la lettre de lecteur assignée ne sera ni disponible, ni visible à l’invite de commandes. Remarque Vous pouvez alterner entre la commande AT et le Planificateur de

tâches, dans certaines limites. Par exemple, si vous planifiez une tâche via AT et que vous la modifiez à l’aide du Planificateur de tâches, la tâche deviendra la « propriété » du Planificateur de tâches et elle ne sera plus accessible avec AT.

Déléguer des tâches Il est logique que la manière la plus simple d’alléger votre fardeau administratif consiste à déléguer des tâches aux autres. Le destinataire de l’autorité déléguée peut disposer d’un contrôle administratif complet dans la zone donnée, mais il ne bénéficie pas des droits d’administrateur inhérents au fait d’être membre du groupe Admins du domaine. Assignez dès que possible le contrôle par unité d’organisation, car l’attribution d’autorisations au niveau des objets devient rapidement trop complexe pour en valoir la peine. Les enregistrements des attributions de sécurité sont capitaux ; gardez donc une trace de toutes les délégations. Pour déléguer le contrôle, faites appel à l’Assistant Délégation de contrôle, lequel attribue toujours des autorisations au niveau de l’OU. Voici comment utiliser cet assistant :

1. Démarrez Utilisateurs et ordinateurs Active Directory à partir du menu Outils d’administration. 2. Développez le nœud de domaine, cliquez droit sur le conteneur pour lequel vous déléguez le contrôle et choisissez Délégation de contrôle. L’Assistant Délégation de contrôle démarre. Cliquez sur Suivant.

Chapitre 14

Gestion des tâches quotidiennes

381

3. Cliquez sur Ajouter pour sélectionner l’utilisateur ou le groupe à qui accorder le contrôle. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, choisissez le destinataire. Cliquez sur Suivant. 4. Sur la page Tâches à déléguer, illustrée par la figure 14-15, sélectionnez les tâches à déléguer. Choisissez parmi les tâches courantes prédéfinies ou cliquez sur Créer une tâche personnalisée à déléguer. Cliquez sur Suivant.

Figure 14-15 Sélectionnez les tâches à déléguer.

5. Si vous avez choisi une tâche prédéfinie, vous avez déjà presque fini. Relisez le résumé et cliquez sur Terminer. 6. Si vous avez sélectionné Créer une tâche personnalisée à déléguer, plusieurs options spécifiques s’offrent à vous à propos des objets dont vous déléguez le contrôle et des autorisations spécifiques à accorder. Une fois votre choix terminé, un résumé de la délégation s’affiche. Cliquez sur Terminer.

Quelles tâches peut-on déléguer ? Voici les tâches courantes que l’on peut déléguer : ■ Créer, supprimer et gérer les comptes d’utilisateurs ; ■ Réinitialiser les mots de passe ; ■ Créer, supprimer et gérer les groupes ; ■ Modifier l’appartenance à un groupe ; ■ Lier des ordinateurs à un domaine ; ■ Gérer les liens de la Stratégie de groupe ; ■ Générer des jeux de stratégies résultants.

Si vous possédez des comptes inetOrgPerson, vous pouvez également déléguer la création et la gestion de ces comptes.

382

Partie III

Administration du réseau

Résumé Dans ce chapitre, nous avons abordé un certain nombre des tâches quotidiennes que les administrateurs doivent effectuer eux-mêmes ou déléguer. Le chapitre suivant concerne les scripts—l’outil suprême des administrateurs qui veulent gagner du temps.

Chapitre 15

Administration par les scripts Introduction à Windows PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Fonctionnement de Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Infrastructure Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Exploration de PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Bases de l’écriture de scripts PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 Exemples Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 L’infrastructure d’écriture de scripts Windows a considérablement évolué depuis la fin des années 1990 et Windows Server 2008 est le premier système d’exploitation comportant un langage de script puissant et un interpréteur de commandes intégré : Windows PowerShell. Toutes les versions de Windows Server 2008, à l’exception des versions Server Core, disposent de la fonctionnalité PowerShell. Dans ce chapitre, nous ne prétendrons pas essayer de vous enseigner comment écrire des scripts, ce qui exigerait un livre entier. Nous étudierons cependant les fondements du fonctionnement de PowerShell, illustré à l’aide d’exemples d’utilisation de PowerShell dans votre tâche quotidienne d’administrateur Windows. Nous sommes persuadés que l’utilisation des scripts dans l’administration de Windows Server 2008 est essentielle pour mettre en œuvre une infrastructure réseau cohérente, efficace et productive. L’interface graphique a fait un grand bond en avant avec les nouveaux Assistants Rôles et Fonctionnalités, qui vous aident à ajouter correctement chaque rôle ou fonctionnalité. L’administration courante reste toutefois un processus de type « cliquer et changer », avec tous les errements que cela implique. En générant des scripts pour l’administration quotidienne, vous vous assurez que les changements s’effectuent toujours de la même manière. Il vous suffit alors de modifier le script pour changer un processus administratif.

383

384

Partie III

Administration du réseau

Ce chapitre propose une introduction basique à l’utilisation de PowerShell, de ses fonctionnalités et de leur emploi. Elle est suivie d’une section consacrée à des exemples pratiques piochés dans l’administration quotidienne. Certains scripts ou lignes de commandes ont été intégralement insérés dans ce chapitre, mais pour d’autres, seuls des extraits vous sont proposés. Vous trouverez l’intégralité des scripts sur le site d’accompagnement à l’adresse www.dunod.fr.

Introduction à Windows PowerShell Pour commencer, qu’est-ce que Windows PowerShell ? PowerShell est le langage de script et l’interpréteur de commandes nouvelle génération de Microsoft. On l’emploie de manière interactive, en tant qu’interpréteur de commandes, ou comme langage de script complet. Son interaction permet de saisir des commandes dans une console et d’obtenir un retour immédiat. La possibilité d’écrire des scripts permet de placer toutes les commandes dans un fichier texte de base (avec l’extension .ps1) et de l’exécuter. Si vous démarrez avec PowerShell, mais connaissez déjà d’autres langages de script, il vous faudra prendre quelques leçons, comme pour tout nouveau langage, avant de pouvoir utiliser toutes les fonctionnalités de PowerShell. Remarque Sauf précision contraire, tous les scripts et exemples de ce chapitre s’appliquent à Windows PowerShell version 1.0, lancée en novembre 2006 et incluse dans Windows Server 2008. Un CTP (Community Technology Preview) pour une version 2 a été émis en novembre 2007 et sera sans doute actualisé sous peu après la mise sur le marché de Windows Server 2008. La version 1.0 devrait s’exécuter sans modification dans un environnement version 2. Vous pouvez télécharger PowerShell pour Windows XP, Windows Server 2003 et Windows Vista à partir de l’adresse http://www.microsoft.com/downloads. Il est inclus dans Windows Server 2008. Pour de plus amples informations sur la fonctionnalité Windows PowerShell, reportez-vous au chapitre 7 du tome 1, « Configuration d’une nouvelle installation ». Fin 2007, Microsoft a annoncé que Windows PowerShell ferait partie du CEC (Common Engineering Criteria) en 2009. Le CEC désigne les critères que doivent satisfaire les produits serveurs Microsoft. Remarque Pour de plus amples informations sur le CEC, rendez-vous sur le site http://www.microsoft.com/windowsserversystem/cer/allcriteria.mspx.

Fonctionnement de Windows PowerShell PowerShell est un langage entièrement nouveau, écrit pour gérer et administrer Microsoft Windows. Il hérite de nombreux points de ces prédécesseurs tout en introduisant une

Chapitre 15

Administration par les scripts

385

nouvelle manière de procéder dans un interpréteur et un langage interactifs. Les architectes de Windows PowerShell sont issus du monde UNIX et des interpréteurs et langages classiques d’un administrateur UNIX, mais ils savaient que le simple fait de retravailler l’interpréteur Korn de Microsoft Windows ne suffirait pas à modifier réellement la manière dont les administrateurs et les développeurs exploitent Windows. Ce dernier est fondamentalement orienté objet et tout langage ou interpréteur qui exploite Windows doit se servir des objets. Pour l’essentiel – nous verrons les exceptions un peu plus loin – PowerShell peut exécuter des fichiers de commande batch DOS, des scripts Perl, des scripts VBScript et même des scripts Korn Shell si le sous-système pour les applications UNIX est installé. La majorité de ces langages emploie un interpréteur pour exécuter leurs scripts et PowerShell permet d’exécuter ces commandes sans interférence. Il est parfois préférable de lancer l’exécution à partir d’une fenêtre de console DOS, ce que nous verrons dans quelques exemples plus loin.

À propos Produits serveur qui supportent PowerShell La majorité des produits serveur les plus récents proposés actuellement par Microsoft utilisent et supportent PowerShell. L’exemple le plus important étant Microsoft Exchange Server 2007, entièrement bâti sur PowerShell. La console EMC (Exchange Management Console) permet d’effectuer avec PowerShell tout ce qu’il est possible de faire à partir de l’interface graphique Exchange 2007, voire davantage. L’EMC est un composant que l’on intègre à PowerShell pour mettre en œuvre la fonctionnalité Exchange. Bien qu’Exchange 2007 ait été le premier produit serveur fondé sur PowerShell, il en existe plusieurs. Certains supportent intégralement PowerShell, d’autres disposent d’extensions PowerShell. En voici quelques exemples : ■ Microsoft Operations Manager 2007 ■ Microsoft Data Protection Manager 2007 ■ Microsoft Virtual Machine Manager 2007 ■ Microsoft SQL Server 2008 ■ Microsoft Windows HPC Server 2008 (pas encore disponible)

Fondamentaux Commençons par les bases nécessaires à l’utilisation de Windows PowerShell. Dans cette section, nous étudierons : ■ La sécurité ■ La terminologie ■ La sensibilité à la casse

386

Partie III

Administration du réseau

■ La console PowerShell ■ La personnalisation

Sécurité Dans la ligne de conduite Microsoft sur la sécurité, PowerShell est sûr par défaut. L’installation par défaut de PowerShell possède les limites suivantes : ■ Elle ne peut exécuter aucun script. Il est uniquement possible d’employer PowerShell

de manière interactive en ouvrant la console PowerShell. ■ Le fait de double cliquer sur un script PowerShell ouvre le script pour édition dans le

Bloc-notes. ■ Il n’existe pas d’accès à distance au processus PowerShell.

Remarque Vous trouverez de nombreux blogs et articles intéressants, postés

par l’équipe PowerShell de Microsoft et les membres de la communauté, sur la sécurité PowerShell. En voici quelques-uns : ■ http://www.windowsecurity.com/articles/PowerShell-Security.html inclut des concepts de base sur la sécurité et un lien utile vers un modèle de Stratégie de groupe PowerShell. ■ http://blogs.msdn.com/powershell/archive/2006/08/03/687838.aspx traite d’un virus PowerShell. ■ http://www.hanselman.com/blog/SigningPowerShellScripts.aspx propose un tour d’horizon détaillé, et illustré par des captures d’écrans, sur la manière de signer les scripts. ■ http://blogs.msdn.com/powershell/archive/2007/05/06/running-scripts-downloaded-from-the-internet.aspx discute des invites et des avertissements que l’on rencontre dans les scripts téléchargés.

À propos La prochaine version La version 2 de PowerShell a été rendue publique en novembre 2007. Ce CTP propose de nombreuses optimisations par rapport à la version 1.0, dont les ajouts suivants : ■ Gestion à distance Support pour les scripts qui gèrent un ordinateur à distance.

Alors que les fonctionnalités de la version 1.0 sont limitées en matière de gestion des systèmes distants avec WMI, la version 2 propose une fonctionnalité à distance native. ■ Travaux d’arrière-plan Support pour les scripts s’exécutant en tant que processus

d’arrière-plan. L’opération est possible dans la version 1 de PowerShell, mais la version 2 fournit un support natif.

Chapitre 15

Administration par les scripts

387

Le CTP PowerShell V2 constitue un aperçu précoce de la prochaine version. Comme tout produit CTP ou bêta, ne l’employez pas sur des ordinateurs de production. Aucune date de version de production n’a été fournie, mais les changements déjà existants dans PowerShell V2 laissent présager des choses intéressantes.

Terminologie À l’instar de tout langage de programmation ou d’écriture de script, PowerShell possède une terminologie spécialisée qu’il est utile de connaître. Au cours de ce chapitre, nous emploierons les termes de base suivants : ■ Cmdlet La commande la plus basique dans PowerShell est une cmdlet (prononcez

commande-let). PowerShell comporte plus de 100 cmdlets prédéfinies, dont le résultat est un objet. ■ Fournisseur PowerShell donne accès à certains types de données dans un format

logique qui ressemble à un système de fichiers. ■ Composant logiciel enfichable (snap-in) Un composant logiciel enfichable est une

DLL généralement écrite en C# ou en VB.NET. Il contient toutes les fonctionnalités complémentaires qu’utilise un jeu de caractéristiques. Exchange 2007 exploite un composant logiciel enfichable pour élargir les fonctionnalités employées par Exchange. Les composants logiciels enfichables contiennent des cmdlets et peuvent également inclure un ou plusieurs fournisseurs. ■ Pipeline Il est possible d’enchaîner les cmdlets par un caractère « | ». Les objets

résultants d’une cmdlet sont canalisés vers la prochaine cmdlet. Ce fonctionnement est analogue à celui des commandes UNIX, excepté qu’au lieu de passer du texte d’une commande à la suivante, on passe des objets. Puissant. ■ Bloc de script Il s’agit d’un regroupement d’instructions et de commandes dans un

unique bloc de code. On le signale par des accolades : { }.

Sensibilité à la casse En général, PowerShell n’est pas sensible à la casse. La sensibilité à la casse devient plus importante dans une comparaison de données, que nous étudierons plus loin dans ce chapitre.

La console PowerShell On ouvre la console PowerShell à partir du menu Démarrer, comme toute autre application. Dans Windows Server 2008, vous pouvez placer PowerShell dans le menu Démarrer en cliquant droit sur son raccourci et en sélectionnant Ajouter au menu Démarrer. Profitez de l’opération pour sélectionner Ajouter à la barre de lancement rapide.

388

Partie III

Administration du réseau

Si ce n’est pas encore fait, changez la stratégie d’exécution par défaut de PowerShell pour vous assurer qu’il peut exécuter des scripts. Pour définir ou modifier la stratégie d’exécution sur RemoteSigned, procédez comme suit :

1. Cliquez sur Démarrer, cliquez droit sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur dans le menu contextuel. 2. Fournissez le mot de passe administrateur dans la fenêtre Contrôle de compte utilisateur pour ouvrir PowerShell avec des privilèges administratifs. 3. À l’invite PowerShell, exécutez la commande suivante : Set-ExecutionPolicy RemoteSigned

Remarque Pour de plus amples informatio ns s ur l’ ins tallation e t la

configuration initiale de PowerShell, ainsi que sur les stratégies d’exécution disponibles, reportez-vous au chapitre 7 du tome 1.

Compléter avec la touche TAB PowerShell supporte la saisie semi-automatique pour les noms, les chemins d’accès et les noms de fichier des cmdlets, ce qui est particulièrement intéressant pour les raccourcis et peut servir dans plusieurs scénarios. Pour voir son fonctionnement, procédez comme suit :

1. Ouvrez une fenêtre PowerShell. 2. Tapez Write– et appuyez sur TAB. Chaque fois que vous appuyez sur TAB, une autre cmdlet s’affiche dans un cycle qui explore toutes les combinaisons possibles de cette commande. Appuyez sur ENTRÉE lorsque la cmdlet souhaitée s’affiche. 3. Tapez maintenant Get–Content (y compris l’espace après) et appuyez sur TAB. Cette fois, le cycle s’effectue dans tous les noms de fichier des fichiers du répertoire en cours. Appuyez sur ENTRÉE lorsque vous atteignez le fichier qui vous intéresse. 4. Pour finir, essayez de passer au répertoire Program Files. Il est toujours compliqué de naviguer au niveau de la ligne de commandes en présence d’espaces. Tapez cd C:\Program et appuyez sur TAB. PowerShell ajoute automatiquement des guillemets et remplace :\Program par ’C:\Program Files’. Sympathique, non ?

Personnalisation de base Tout le monde apprécie que son interpréteur soit légèrement différent et PowerShell permet de personnaliser l’interpréteur. Il est cependant important de savoir où personnaliser et connaître quelques rudiments de personnalisation. Pour commencer, où : dans le bon fichier. Ensuite, la plus basique des personnalisations : l’aspect de l’invite.

Chapitre 15

Administration par les scripts

389

Gérer les profils Par défaut, PowerShell exécute automatiquement les quatre scripts du tableau 15-1 au démarrage. En personnalisant le script approprié, vous contrôlez les personnalisations automatiques. Tableau 15-1 Scripts des profils par défaut dans Windows PowerShell Nom complet du profil

Objet

RépertoireInstallation\profile.ps1

Personnalise toutes les sessions PowerShell, y compris les sessions hébergées pour les applications.

RépertoireInstallation\Microsoft. PowerShell_profile.ps1

Personnalise toutes les sessions PowerShell.exe de tous les utilisateurs.

Documents\WindowsPowerShell\profile.ps1

Personnalise toutes les sessions PowerShell de l’utilisateur.

Documents\WindowsPowerShell\Microsoft. PowerShell_profile.ps1

Personnaliser les sessions PowerShell.exe de l’utilisateur.

Pour modifier un profil, vous pouvez ajouter des commandes de la même manière que dans la console, à condition de les insérer dans le fichier .ps1 approprié. Pour modifier vos sessions PowerShell classiques, ouvrez la console PowerShell et tapez : notepad $profile

Remarque Ce fichier n’existe pas par défaut, vous verrez donc un message d’erreur s’afficher en tapant cette commande. Cliquez sur OK pour créer le fichier. Si vous préférez un autre éditeur de texte, comme gvim (http://www.vim.org), remplacez le Bloc-notes par son nom. Remarque Pour de plus amples informations sur les profils, reportez-vous à l ’a r t i c l e M S D N à l ’a d re s s e h t t p : / / m sd n 2 . m i c ro so f t . c o m / e n - u s / l i b ra r y / bb613488(VS.85).aspx.

Définir l’invite Plusieurs éléments de la console PowerShell sont personnalisables, les deux plus classiques étant l’invite et la barre de titre : 1 PSH>(Get-host).ui.rawui.windowtitle="test" 2 PSH>function prompt {"PSHv1>"}

Pour modifier la barre de titre, servez-vous de la commande de la ligne 1. Nous ne détaillerons pas davantage cette commande dans ce chapitre, mais proposerons des outils permettant d’obtenir plus d’informations sur PowerShell.

390

Partie III

Administration du réseau

L’invite est définie par une fonction, comme nous le verrons plus loin. Pour modifier l’invite, servez-vous d’une chaîne de commandes comme celle de la ligne 2. Saisissez le texte de l’invite entre accolades. Certains créent des invites relativement complexes, d’autres optent pour la simplicité. Pour un arrière-plan blanc, par exemple, on utilise : Function prompt { Write-Host ("[") -nonewline -foregroundcolor red Write-Host ($Hostname) -nonewline -foregroundcolor Magenta Write-Host ("]") -nonewline -foregroundcolor Red Write-Host ([string]$(Get-Location) +":") -foregroundcolor DarkGreen Write-Host ("PS >" ) -nonewline -foregroundcolor DarkBlue }

L’interpréteur PowerShell À l’avenir, il est fort probable que PowerShell sera l’interpréteur principal des administrateurs système. Dans cette section, nous allons étudier quelques-uns des fondamentaux de l’interpréteur PowerShell. Malheureusement, aucun n’est disponible avec Server Core, puisque PowerShell ne s’exécute pas sous Server Core. Avec cette installation, vous êtes donc contraint de vous servir de l’ancien interpréteur CMD.

Qu’est-ce qu’un interpréteur interactif ? Nous avons mentionné que PowerShell était aussi un interpréteur interactif. Autrement dit, il est possible de saisir des commandes directement dans la console et d’obtenir un retour immédiat. PowerShell est un interpréteur indulgent et intelligent qui tente de vous aider. Voici ce qui se produit si PowerShell décide que la commande n’est pas complète : PSH>"test >> >> >> " >> test

Voici ce qui s’est produit : à l’invite PowerShell, tapez "test et appuyez plusieurs fois sur ENTRÉE. PowerShell note les guillemets ouvrants et se dit « OK, j’ai une chaîne ». Il attend les guillemets fermants pour comprendre que vous avez terminé. Il place >> sur la ligne suivante pour vous indiquer que la commande est incomplète. Lorsque vous saisissez les deuxièmes guillemets, il ferme la chaîne et vous laisse l’opportunité de compléter cette chaîne puis imprime la chaîne dans la console. Voyons à présent un caractère spécial, le point-virgule, et comment gérer plusieurs commandes dans PowerShell.

Chapitre 15

Administration par les scripts

391

Nous voulons écrire deux chaînes dans la console : test et Plus de tests. La figure 15-1 montre deux manières d’y parvenir.

Figure 15-1

Utilisation du point-virgule pour séparer les commandes

Le point-virgule agit comme une nouvelle ligne : il sépare les deux commandes.

Éviter les erreurs Plusieurs cmdlets qui effectuent une action, comme supprimer un fichier, supportent le paramètre –whatif, lequel permet de vérifier l’action exacte de la cmdlet avant d’entreprendre une action irréversible. L’exemple parfait est de montrer ce qui se produit si l’on tente d’arrêter un processus PowerShell en cours d’exécution : PSH>Get-Process powershell|Stop-Process –whatif What if: Performing operation "Stop-Process" on Target "powershell (5576)".

Nous avons demandé à PowerShell de retourner l’objet qui correspond au processus PowerShell, puis de l’arrêter. En incluant le paramètre –whatif, PowerShell imprime l’action qu’il aurait entreprise, mais sans réellement le faire.

Exécuter des commandes Cmd Il est possible d’exécuter des commandes DOS classiques (en fait, les commandes issues de l’interpréteur Cmd.exe standard) à partir de PowerShell. Voici un exemple simple de la commande ipconfig : PSH>ipconfig Windows IP Configuration Ethernet adapter Local Area Connection 3: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.20.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . :

392

Partie III

Administration du réseau

Nous avons préalablement mentionné que Server 2008 emploie Windows Eventing 6.0 pour certains journaux. Il se sert de l’utilitaire wevtutil.exe pour retrouver les informations dans ces journaux à partir de la ligne de commandes.

En pratique Répéter les commandes netsh Supposons que vous ayez un nouveau serveur à configurer, ou un serveur existant, et que vous deviez ajouter plusieurs IP virtuelles à l’une des interfaces. Une solution consiste à ajouter manuellement chaque adresse IP par le biais des paramètres avancés des propriétés TCP/IP de la carte. L’autre option est d’utiliser l’interpréteur réseau, ou netsh, fourni depuis Windows 2000. Toutefois, avec la console PowerShell, vous pouvez optimiser netsh. Par exemple : 1 2 3 4 5 6 7 8 9

PSH> netsh interface ip show config

PSH> $ips="10.10.10.20","10.10.10.21" PSH> $subnet="255.255.255.0" PSH> $ips|foreach-object {netsh interface ip add address "Local Area Connection" $_ $subnet} Ok. Ok. PSH> netsh interface ip show config

Cet exemple montre une manière très simple d’employer netsh pour ajouter plusieurs IP virtuelles à une interface. Dans la ligne 1, on récupère la configuration de l’interface actuelle. Nous avons omis la sortie, comme indiqué. Sur la ligne 3, on déclare un tableau de valeurs, dans ce cas les adresses à ajouter. Nous étudierons les tableaux plus loin. Sur la ligne 4, on définit une variable intitulée subnet. C’est à la ligne 5 que tout se passe. On passe le tableau $ips créé pour la cmdlet ForEachObject et qui contient une commande netsh entre parenthèses. Les lignes 6 et 7 indiquent que les deux commandes netsh ont réussi. Pour finir, on revérifie la configuration de l’interface pour confirmer que les IP ont été ajoutées. La clé se trouve dans « $_ », sur la ligne 5. Il s’agit d’une forme puissante de PowerShell, dont nous parlerons plus loin, qui permet d’insérer la valeur suivante du tableau $ips chaque fois que l’on répète le script.

Droits utilisateur La cmdlet Get-Credential récupère les informations d’identification si une commande en a besoin ultérieurement. En général, seules les cmdlets censées se connecter à une sorte de service supportent Get-Credential. Si on saisit $creds=Get-Credentials sur la ligne de commandes PowerShell, on obtient une fenêtre de demande d’informations d’identification Windows classique, comme le montre la figure 15-2.

Chapitre 15

Administration par les scripts

393

Figure 15-2 La fenêtre Demande d’informations d’identification Windows PowerShell

Le résultat est stocké dans $creds sous la forme : PSH> $creds UserName Password -------- -------EXAMPLE\Charlie System.Security.SecureString

Remarque Par défaut, Get-Credential crée une fenêtre contextuelle. Pour

demander directement les informations d’identification dans la console, modifiez le registre de la manière suivante :

PSH>New-Itemproperty hklm:\software\microsoft\powershell\1\shellids ` -name consoleprompting -propertytype string -value true

Notez le caractère accent grave (`). Il s’agit d’un caractère de continuation de ligne et d’un caractère d’échappement.

Cmdlets Les cmdlets sont les commandes les plus basiques de PowerShell. Elles prennent la forme « Verbe-Nom », comme Get-Help ou Format-List. Elles s’écrivent avec une majuscule comme première lettre, comme nous venons de le faire, mais ne sont néanmoins pas sensibles à la casse : GET-HELP, Get-Help et get-Help sont équivalentes.

Qu’est-ce qu’une cmdlet ? Comme nous l’avons déjà mentionné, les cmdlets sont des paires verbe-nom. La partie verbale, est généralement basée sur une action comme get, stop, start, new, remove et ainsi de suite, alors que la partie textuelle varie. Microsoft fournit quelques standards en matière d’usage de verbes. Voici la syntaxe de base d’une cmdlet : Verbe-Nom –paramètre argument

394

Partie III

Administration du réseau

Write-Output est un exemple simple de cmdlet. Elle accepte des paramètres et des arguments. Voici ce que l’on peut voir à l’invite PowerShell : 1 2 3 4 5 6 7

PSH>Write-Output -inputObject "test" test PSH>Write-Output "test" test PSH>write "test" test PSH>

Cet exemple démontre plusieurs concepts. Sur la ligne 1, la commande est écrite intégralement et constitue la commande complète pour écrire test dans la console. Il s’agit de la méthode complète et correcte d’employer Write-Output, mais elle semble un peu plus détaillée que nécessaire, surtout pour écrire une simple chaîne dans la console. Sur la ligne 3, on utilise un paramètre positionnel implicite. Même si nous n’avons pas inclus le paramètre –inputObject, PowerShell l’a déterminé puisque la chaîne suit immédiatement la déclaration de la cmdlet, ce qui est censé représenter l’argument du paramètre –inputObject non spécifié. Pour finir, sur la ligne 5, nous avons exploité un alias de Write-Output. En effet, Write est un alias de Write-Output et PowerShell sait effectuer la conversion de l’un à l’autre. PowerShell contient par défaut 101 alias. Voici maintenant un exemple de l’utilisation de Write-Host, qui accepte le paramètre –object et permet d’obtenir le même résultat : imprimer une chaîne dans la console : PSH>Write-Host -object "test" test PSH>Write-Host -o "test" Write-Host : Le paramètre ne peut pas être traité, car le nom de paramètre « o » est ambigu. Les correspondances possibles sont : –Object -OutVariable –OutBuffer. Au niveau de la ligne : 1 Caractère : 11 + Write-Host $machaine2|Get-Member TypeName: System.String Name MemberType Definition ---------------------Clone Method System.Object Clone() CompareTo Method System.Int32 CompareTo (Object value), System.Int32 CompareTo(String Contains Method System.Boolean Contains(String value) CopyTo Method System.Void CopyTo (Int32 sourceIndex, Char[] destination, Int32 dest EndsWith Method System.Boolean EndsWith (String value), System.Boolean EndsWith(Strin Equals Method System.Boolean Equals(Object obj), System.Boolean Equals(String valu GetEnumerator Method System.CharEnumerator GetEnumerator() GetHashCode Method System.Int32 GetHashCode() GetType Method System.Type GetType() GetTypeCode Method System.TypeCode GetTypeCode() IndexOf Method System.Int32 IndexOf(Char value, Int32 startIndex, Int32 count), Sys IndexOfAny Method System.Int32 IndexOfAny (Char[] anyOf, Int32 startIndex, Int32 count) Insert Method System.String Insert (Int32 startIndex, String value)

Le code précédent nous indique que nous disposons bien d’un objet System.String, mais aussi bien davantage, puisque Get-Member liste toutes les méthodes et propriétés que fournit un objet. ToUpper et Replace sont deux des méthodes que l’on peut employer avec un objet System.String : PSH> $machaine tester PSH> $machaine.ToUpper() TESTER PSH> $machaine.Replace("er","ée") testée

Dans le précédent exemple, nous avons employé deux méthodes fournies par l’objet System.String. ToUpper bascule toutes les lettres en majuscules et la méthode Replace remplace une chaîne spécifique par une autre.

Chapitre 15

Administration par les scripts

401

Remarque Pour employer une méthode, mais si l’on ne passe rien, il faut ajouter « () » à la fin du nom de la méthode.

Remarque Chaque objet propose des méthodes différentes. Par exemple, les méthodes auxquelles on accède lorsque l’on manipule une chaîne sont différentes de celles disponibles pour un tableau. Il peut être intéressant de rechercher les méthodes d’un objet ainsi que des informations en ligne pour accroître son efficacité dans PowerShell. Voyons maintenant les propriétés de l’objet System.String. Il ne supporte qu’une seule propriété, length : PSH> $machaine.length 7

Pour une chaîne, la propriété length représente simplement le nombre de caractères contenus dans l’objet. PowerShell hérite d’une autre fonctionnalité .NET Framework : le recyclage. .NET Framework sait récupérer intelligemment la mémoire. Dans les scripts et autres commandes de ce chapitre, nous n’employons pas de routine exit pour effacer les variables et les objets créés : .NET s’en occupe. Pour illustrer ce point, servons-nous d’une classe .NET Framework qui nous permet de vérifier facilement qu’une adresse IP est valide : PSH>[system.net.ipaddress]::tryparse("155.0.0.0",[ref]$null) True PSH>[system.net.ipaddress]::tryparse("555.0.0.0",[ref]$null) False

Dans le précédent exemple, nous avons appelé une classe .NET Framework ainsi que l’une de ses méthodes (une méthode statique, en fait) pour vérifier qu’une adresse IP fournie est valide (True) ou non valide (False). C’est tout pour le très bref aperçu sur .NET Framework. Remarque Vous trouverez un article de blog intéressant sur la création d’objets personnalisés dans PowerShell à l’adresse http://www.bsonposh.com/modules/wordpress/?p=25. Remarque Vous trouverez un excellent exemple d’utilisation de .NET Framework

pour créer une interface graphique complexe permettant de localiser des informations WMI sur le site de Marc van Orsouw (aka MoW), PowerShell Guy : http://thepowershellguy.com/blogs/posh/archive/tags/WMI+Explorer/default.aspx.

402

Partie III

Administration du réseau

Windows Management Instrumentation (WMI) WMI est une fonctionnalité des systèmes d’exploitation Windows qui permet de contrôler et de gérer des systèmes à distance. PowerShell utilise la cmdlet Get-Wmiobject pour récupérer des informations WMI sur les systèmes distants. Get-Wmiobject exploite par défaut l’espace de noms root/cimv2. Tout au long de ce chapitre, nous vous donnerons des exemples WMI qui exploitent GetWmiobject et montrent certaines méthodes pour obtenir ces informations. Voici quelques classes WMI intéressantes à se rappeler : ■ Win32_DiskQuota Récupère des informations sur les quotas de disque. ■ Win32_PageFileUsage Récupère des informations sur l’usage du fichier d’échange. ■ Win32_Printer Récupère des informations sur les imprimantes configurées. ■ Win32_PrintJob Récupère des informations sur les tâches d’impression en cours. ■ Win32_Process Récupère des informations sur les processus en cours d’exécution. ■ Win32_Processor Récupère des informations sur les processeurs installés. ■ Win32_QuickFixEngineering Récupère des informations sur les correctifs/mises à

jour appliqués au système. ■ Win32_QuotaSetting Récupère les informations relatives aux paramètres des quotas

de disque. ■ Win32_Service Récupères les informations sur les services. ■ Win32_TimeZone Récupère les informations de fuseau horaire.

Certaines de ces classes exigent des paramètres d’authentification différents pour accéder à distance aux informations. WinRM, que nous étudierons dans la prochaine section, permet de contourner cela. Important Avant d’employer WMI à distance sur un nouveau système Windows Server 2008, vous devez procéder à quelques actions préliminaires. Exécutez les commandes netsh suivantes à partir d’une invite CMD ou PowerShell avec privilèges élevés : Netsh firewall set service RemoteAdmin Netsh advfirewall set currentprofile settings remotemanagement enable

Remarque La prochaine version de PowerShell étendra le support de WMI. Vous trouverez des informations préliminaires à l’adresse http://www.microsoft.com/tech-net/scriptcenter/topics/winpsh/wmiin2.mspx.

Chapitre 15

Administration par les scripts

403

En pratique Utiliser WMI Il est temps de fournir des exemples démontrant l’intérêt de WMI. Dans le premier exemple, nous montrons comment démarrer un processus distant et, plus particulièrement, comment démarrer l’installation d’une mise à jour de sécurité Microsoft. La mise à jour s’applique elle-même, sans intervention de l’utilisateur, et l’on peut employer un paramètre pour forcer le serveur à redémarrer après l’installation de la mise à jour. Il existe deux manières d’installer une mise à jour à distance. Pour la première, ouvrez une session sur un système en tant qu’administrateur du domaine, le système de destination se trouvant dans le même domaine : PSH>([WMICLASS]"\\\root\cimv2:win32_process").create ("cmd.exe /c `"c:\\WindowsServer2003-KB941644-x86-ENU.exe /quiet /norestart`" /q")

Dans l’exemple précédent, nous avons employé un chemin d’accès UNC à la classe WMI sur un système distant. [WMICLASS] convertit la chaîne en type WMICLASS (nous détaillerons la conversion plus loin dans ce chapitre). Les indicateurs /quiet et /norestart indiquent à l’installateur de la mise à jour de ne pas réclamer d’entrée à l’utilisateur et de ne pas redémarrer après la mise à jour. Important L’intégralité de la commande précédente doit se trouver sur une seule ligne.

Comment faire si l’on ne se trouve pas dans le même domaine ou si l’on n’utilise pas de compte administrateur du domaine ? Pas de problème. Dans la méthode suivante, nous employons WMI pour installer une imprimante réseau sur un serveur distant : 1 PSH>$imprimante=\\serveur_impression\imprimante 2 PSH>$creds=Get-Credential 3 PSH>$obj=gwmi –computer 10.10.10.10 -class meta_class -filter '__est "Win32_Printer"' -namespace 'root\cimv2' –credential $creds 4 PSH>$obj.AddPrinterConnection($imprimante) 5 PSH>$obj.Put() 6 PSH>gwmi –computer 10.10.10.10 -class Win32_Printer -namespace 'root\cimv2' –credential $creds

Voici ligne par ligne ce que nous avons fait :

1. Définit une variable ($imprimante) qui représente le chemin d’accès UNC vers l’imprimante à ajouter. 2. Récupère un objet informations d’identification et le stocke dans la variable $creds.

404

Partie III

Administration du réseau

3. Utilise Get-Wmiobject pour récupérer une instance distance de la classe Win32_Printer. 4. Utilise la méthode AddPrinterConnection avec une référence à l’imprimante réseau. 5. Applique les changements au système distant. 6. Utilise à nouveau Get-Wmiobject pour vérifier que l’imprimante distante a été créée.

Windows Remote Management (WinRM) WMI est un outil intéressant, mais parfois difficile à exploiter au travers des pare-feu ou lorsqu’il est nécessaire de s’authentifier. En revanche, WinRM exploite les protocoles HTTP/ HTTPS, ce qui permet de traverser les pare-feu et, puisque les commandes s’exécutent en réalité sur l’ordinateur distant, de gérer plus facilement l’authentification à distance. La commande winrs (Windows Remote Shell) emploie WinRM pour exécuter les commandes sur un système distant. Voici un exemple simple d’utilisation de winrs pour exécuter la commande ipconfig à distance : PSH>winrs `–r:http://nomserveur `–u:Nomutilisateur ipconfig

Remarque Dans la mesure où ceci s’exécute dans PowerShell, il faut ajouter le caractère accent grave (`) pour échapper les tirets. À partir d’une console Cmd, les accents graves ne sont pas nécessaires. Cette commande demande le mot de passe associé au nom d’utilisateur spécifié.

Important Avant d’utiliser WinRM sur Windows Server 2008, vous devez exécuter la commande suivante à partir d’une invite avec privilèges élevés : Winrm quickconfig Winrm set winrm/config/client @{TrustedHosts="*"}

Remarque La première ligne définit WinRM sur le système et la deuxième désigne tous les systèmes clients approuvés. Pour limiter les systèmes ayant accès, servez-vous de la syntaxe : @{TrustedHosts="serveur1","serveur2"}. Remarque Pour de plus amples informations sur WinRM, rendez-vous à l’adresse : http://www.microsoft.com/technet/script-center/newswire/winrm.mspx. Le lien suivant propose également un excellent aperçu de WinRM et des exemples de commandes : http://blogs.technet.com/otto/archive/2007/02/09/ sample-vista-ws-man-winrm-commands.aspx.

Chapitre 15

Administration par les scripts

405

Remarque La prochaine version de PowerShell utilisera WinRM pour mettre en œuvre la gestion à distance dans PowerShell.

COM (Component Object Model) Bien que Microsoft évolue vers les interfaces .NET pour tous ces produits, certains produits (Microsoft Office et Microsoft Internet Explorer, par exemple) ne proposent encore qu’une interface COM. Voici un exemple d’utilisation de PowerShell et de l’interface COM d’Internet Explorer : 1 2 3 4 5

$ie=New-Object -comobject internetexplorer.application $ie.navigate2("about:blank") while($ie.busy){sleep -m 50} $ie.visible=$true $ie.navigate2("http://www.microsoft.com")

Voici le fonctionnement détaillé ligne par ligne :

1. Utilise l’interface COM d’Internet Explorer pour créer un objet COM. 2. Ouvre une page vide. 3. Attend que le processus Internet Explorer créé soit inactif. 4. Rend la fenêtre visible. 5. Ouvre la page d’accueil de Microsoft. Remarque Il arrive que certaines instances de l’interface COM fonctionnent

correctement en VBScript, par exemple, mais n’aient pas le même comportement lorsqu’elles sont appelées à partir de PowerShell.

Remarque Consultez l’adresse suivante pour découvrir des informations intéressantes sur l’utilisation de COM et PowerShell : http://bartdesmet.net/blogs/ bart/archive/2006/12/02/Power-Shell-_2D00_-Ask-Merlin_3A00_-a-cool-demo-ofusing-COM-objects.aspx.

Créer des fenêtres contextuelles et des boîtes de saisie PowerShell peut exploiter deux autres interfaces COM : VBScript et WSH (Windows Scripting Host). Voici d’abord un exemple d’utilisation de WHS : 1 PSH>$msgbox = New-Object -comobject wscript.shell 2 PSH>$return=$msgbox.popup("Vous aimez PowerShell ?",0,"Fenêtre PowerShell",1) 3 PSH>$return

406

Partie III

Administration du réseau

Pour commencer, on instancie l’objet en tant que $msgbox. On le passe ensuite à la variable $return avec la syntaxe appropriée et on l’exécute finalement à la ligne 3, comme le montre la figure 15-3.

Figure 15-3 Une boîte contextuelle créée avec COM et WSH

Maintenant, avec VBScript, voici comment créer une fenêtre dans laquelle l’utilisateur peut saisir du texte, lequel est retourné à PowerShell : 1 PSH>$obj = New-Object -comobject MSScriptControl.ScriptControl 2 PSH>$obj.language = "vbscript" 3 PSH>$obj.addcode("function getInput() getInput = inputbox( `"Invite de la boîte de message`",`"Titre de la boîte de message`") end function" ) 4 PSH>$return = $obj.eval("getInput") 5 PSH>$return

Cette fois, nous avons instancié un autre type d’objet sur la ligne 1, défini VBScript comme langage de script sur la ligne 2 et passé du code VBScript spécifique sur la ligne 3. Pour finir, nous avons exécuté le code sur la ligne 4 et également passé le résultat à la variable return, laquelle est écrite dans la console à la ligne 5. La figure 15-4 montre le résultat.

Figure 15-4 Une boîte de saisie créée avec COM et VBScript

Exploration de PowerShell N’hésitez pas à vous servir de PowerShell pour en apprendre davantage sur PowerShell. C’est là une de ses grandes forces et ce, grâce à trois cmdlets essentielles : ■ Get-Command Liste toutes les commandes disponibles, ce qui permet de localiser

une cmdlet effectuant l’action que vous chercher à obtenir. Elle accepte les caractères génériques et d’autres paramètres. Son alias est gcm.

Chapitre 15

Administration par les scripts

407

■ Get-Help Affiche l’aide intégrée sur les cmdlets disponibles et d’autres fonctionnalités

intégrées comme les fonctions et les opérateurs. Son alias est man. ■ Get-Member Fournit des informations détaillées sur diverses fonctionnalités

supportées par les cmdlets. Son alias est gm.

Get-Command S’il est important de connaître les définitions, les exemples sont souvent plus explicites. Sans argument, son résultat est une liste de toutes les cmdlets du système. Get-Command accepte divers paramètres, mais surtout, les caractères génériques. Supposons que vous administriez un service, mais que vous n’êtes pas certain des cmdlets disponibles. Utilisons PowerShell pour nous aider à le découvrir, comme le montre la figure 15-5.

Figure 15-5

Utilisation de la cmdlet Get-Command de PowerShell

Utile, mais fournit plus d’informations que nécessaire. Tout ce que nous voulons, c’est une liste des cmdlets contenant le mot service dans leur nom. Bien, essayons ceci :

408

Partie III

Administration du réseau

PSH> get-command -commandtype cmdlet *service* | format-table "Nom" Nom ---Get-Service New-Service ReStart-Service Resume-Service Set-Service Start-Service Stop-Service Suspend-Service

Voilà qui est un peu plus simple à lire et ne fournit que les commandes du type cmdlet. La cmdlet Get-Command propose deux autres paramètres intéressants : –verb et –noun.

Get-Help Get-Help est l’équivalent PowerShell de la commande UNIX man. Non seulement man est-il un alias de Get-Help, mais son résultat est relativement similaire. Sans argument, le résultat est une aide sur la commande Get-Help. Utilisez Get-Help avec le nom complet de la cmdlet comme argument. Pour la commande Get-Service employée dans le précédent exemple, on obtient le résultat de la figure 15-6.

Figure 15-6 Résultat de Get-Help Get-Service

Chapitre 15

Administration par les scripts

409

Court et direct, mais bien plus utile que l’aide de la majorité des commandes Cmd fournissent avec le paramètre /?. En outre, dans la section REMARQUES, notez l’astuce sur le moyen d’obtenir des informations plus détaillées grâce aux paramètres –detailed ou –full. Pour finir, notre paramètre favori : –examples. En utilisant –examples, on obtient une brève description et plusieurs exemples d’utilisation, comme l’illustre la figure 15-7.

Figure 15-7

Utilisation du paramètre –examples de Get-Help

Remarque Voici un autre moyen d’obtenir rapidement une courte liste des paramètres : Get-Command Get-Service Select-Object definition Format-List.

Pour finir, Get-Help fournit des informations plus détaillées sur des sujets et des concepts d’ordre général lorsqu’on l’utilise avec les fichiers d’aide Get-Help about. Pour en voir une liste, utilisez Get-Help about_*. Inestimable pour ceux d’entre nous qui continuent à découvrir PowerShell.

Get-Member Dans la section .NET Framework, nous avons brièvement parlé des membres d’une classe. Nous allons poursuivre en nous servant de Get-Service comme exemple. Lorsque l’on canalise une cmdlet vers Get-Member, elle liste les méthodes et propriétés associées à la classe ou au type qu’elle produit, comme le montre la figure 15-8.

410

Partie III

Administration du réseau

Figure 15-8 Utilisation de Get-Member pour obtenir les propriétés et les méthodes d’une cmdlet

Dans cet exemple, nous avons canalisé Get-Service vers Get-Member et employé le paramètre membertype avec les valeurs property et method pour nous limiter à ces deux propriétés. Le résultat est une liste de tous les membres auxquels nous avons accès. La première ligne de texte est particulièrement intéressante, puisqu’elle contient la classe ou le type d’objet. Dans ce cas, nous avons affaire à l’objet System.ServiceProcess.ServiceController. Si vous consultez la documentation en ligne de Microsoft sur .NET Framework, vous remarquerez que toutes les méthodes et propriétés sont listées et qu’elles coïncident avec le résultat du précédent exemple.

Affichage des données Nous avons vu que les objets sont la sortie des cmdlets. Comparons le résultat de Get-Service lorsque l’on examine le service eventlog à celui de Get-Member, lequel affiche la liste des propriétés, comme l’illustre la figure 15-9.

Chapitre 15

Figure 15-9

Administration par les scripts

411

Utilisation de Get-Member pour obtenir la liste des propriétés d’un service

Lorsque l’on appelle d’abord Get-Service eventlog, seules trois propriétés (Status, Name et DispalyName) s’affichent dans la console. Cependant, si l’on canalise cela vers Get-Member et que l’on demande toutes les propriétés de l’objet, on obtient bien plus de propriétés. Pourquoi n’y en avait-il que trois dans la première liste ? PowerShell fait appel aux fichiers de configuration XML qui contrôlent la mise en forme des objets en fonction de leur classe. Pour l’essentiel, les propriétés par défaut sont généralement celles que l’on souhaite connaître. Il est possible de modifier la manière dont PowerShell affiche les données en créant les fichiers XML appropriés, mais cela sort de la portée de ce livre. À la place, utilisons simplement la cmdlet Select-Object pour obtenir les propriétés à afficher : PSH>Get-Service eventlog Status Name DisplayName ------------------Running Eventlog Event Log PSH>Get-Service eventlog|Select-Object status|Format-Table –autosize Status -----Running

412

Partie III

Administration du réseau

Remarque La cmdlet Format-Table est employée pour afficher les données dans une forme plus présentable. Sans elle, il n’y aurait pas de colonne.

Jeux de paramètres et paramètres positionnels Les jeux de paramètres sont des groupes de paramètres à employer de concert, même si certains paramètres d’un jeu de paramètres sont optionnels. PSH> Get-Command Get-Service|select parametersets|Format-List ParameterSets : {Default, DisplayName, InputObject} PSH>

Dans le précédent résultat, on définit trois jeux de paramètres, séparés par des virgules. Pour l’essentiel, le jeu de paramètres indique que, par exemple, on ne peut pas utiliser la cmdlet Get-Service et définir simultanément les paramètres Name et DisplayName. PSH> Get-Service -Name WinRM -DisplayName $display Get-Service : Impossible de lier l’argument au paramètre « DisplayName », Car il a la valeur Null. Au niveau de la ligne : 1 Caractère : 12 + Get-Service -Name WinRM -DisplayName Get-Service ev* -include eventl* Status -----Running

Name ---EventLog

DisplayName ----------Journal d’événements Windows

PSH>Get-Service ev* -inc eventl* Status -----Running

Name ---EventLog

DisplayName ----------Journal d’événements Windows

Sans paramètre, EventLog est supposé représenter le paramètre Name puisqu’il se trouve en position 1.

414

Partie III

Administration du réseau

Charger un composant logiciel enfichable Les extensions PowerShell sont fournies via un composant logiciel enfichable. Certains composants logiciels enfichables ne sont que des fichiers DLL, alors que d’autres s’accompagnent d’un programme Windows Installer. Voici comment procéder si vous disposez uniquement d’un DLL et non d’un programme d’installation complet :

1. Créez un répertoire permanent où placer la DLL. 2. Copiez la DLL dans ce nouveau répertoire. 3. Servez-vous du programme installutil.exe de .NET Framework pour enregistrer la DLL. Dans Windows Server 2008, le fichier Installutil se trouve sous %windir%\Microsoft.NET\Framework64\v2.0.50727 pour les DLL 64 bits et sous %windir%\\Microsoft.NET\Framework\v2.0.50727 pour les DLL 32 bits. Pour connaître le répertoire en cours de .NET Framework avec PowerShell : $framework=$([System.Runtime.InteropServices. RuntimeEnvironment]::GetRuntimeDirectory())

4. Utilisez Get-Pssnapin –registered pour récupérer le nom de l’assembly. 5. Utilisez Add-Pssnapin pour charger l’assembly. 6. Vous pouvez utiliser les fonctionnalités fournies par le composant logiciel enfichable. 7. (Optionnel) Ajoutez la commande Add-Pssnapin à votre profil pour qu’il se charge automatiquement. Si vous disposez d’un programme d’installation, seules les étapes 4 à 7 sont nécessaires.

Bases de l’écriture de scripts PowerShell Jusqu’à présent, nous avons essayé de vous donner une idée du fonctionnement de PowerShell et d’une partie de sa puissance en tant qu’interpréteur interactif. Dans cette section, nous nous concentrerons sur les bases de l’écriture de script PowerShell, dont : ■ Créer un script .ps1 ■ Les variables ■ La portée ■ Les chaînes ■ Les chaînes Here ■ Les caractères génériques et les expressions régulières

Chapitre 15

Administration par les scripts

415

■ Les tableaux ■ Les tables de hachage ■ Les opérateurs ■ Les fonctions ■ Les instructions conditionnelles ■ Les instructions de bouclage ■ Quitter les scripts, les fonctions et les boucles ■ Importer et exporter vers et depuis d’autres fichiers ■ Les cmdlets de contrôle du flux ■ La mise en forme des cmdlets ■ Utiliser des fonctions dans un script ■ Source-point ■ Passer des arguments à un script ou une fonction ■ L’instruction Param ■ Utiliser le pipeline avec $_ et $input ■ Ajouter des commentaires à un script ■ Gérer les erreurs ■ Les opérateurs de redirection ■ L’accélérateur de types ■ Les caractères d’échappement

Créer un script .ps1 La fonctionnalité interactive de la console PowerShell est pratique, mais un script est parfois préférable. À ce propos, nous avons une maxime : « Si tu dois le faire une seule fois, fais-le. Si tu dois le faire deux fois, écris un script ». Les scripts Windows PowerShell portent l’extension .ps1. Nous allons commencer par un exemple relativement simple que nous étayerons petit à petit. Il est possible de taper la commande dans la console, mais en fait, nous allons utiliser PowerShell pour créer un script à la volée. Puis nous exécuterons le script : 1 2 3 4 5 6

PSH>Write-Host "test" test PSH>Add-Content -path test.ps1 -value "Write-Host `"test`"" PSH>./test.ps1 test PSH>

416

Partie III

Administration du réseau

Nous avons d’abord exécuté la cmdlet Write-Host, avec le résultat de la ligne 2. Sur la ligne 3, nous employons la cmdlet Add-Content pour créer un script PowerShell dans le répertoire en cours. Pour finir, sur la ligne 4, nous exécutons le script. Remarque Si vous n’avez pas modifié votre stratégie d’exécution par défaut sur cet ordinateur, vous obtiendrez une erreur en exécutant le script au niveau de la ligne 4. Dans ce cas, ouvrez une fenêtre PowerShell avec la commande Exécuter en tant qu’administrateur et saisissez la commande suivante : Set-ExecutionPolicy RemoteSigned.

En pratique Exécuter des scripts PowerShell Par défaut, .ps1 n’est pas une extension exécutée automatiquement et le répertoire en cours ne fait pas partie du chemin d’exécution dans PowerShell. Bien que nous comprenions les raisons de sécurité de ce fait, nous le trouvons quelque peu ennuyeux dans la réalité. Pour vous simplifier la vie, vous pouvez réaliser deux choses. La première est d’ajouter .ps1 à la variable PATHEXT. Pour ce faire, dans une session, exécutez la commande suivante au cours de la session : PSH> $ENV:PATHEXT="$ENV:PATHEXT;.PS1"

Ajoutez cela à votre profil et ce sera vrai pour toutes les sessions. Nous pensons qu’il est raisonnable de se simplifier la vie et vous éviterez ainsi d’ajouter .ps1 chaque fois que vous voudrez exécuter un script. Toutefois, le changement est uniquement actif lorsque vous êtes dans la console PowerShell. Maintenant, au lieu de saisir monscript.ps1, il vous suffit de taper monscript pour l’exécuter. La deuxième modification qui nous semble intéressante consiste à ajouter le répertoire en cours à votre chemin d’accès. Le répertoire point (.) est le répertoire en cours, lequel ne fait pas partie de votre chemin d’exécution dans une console PowerShell. Il existe une raison à cela. En effet, l’ajouter au chemin d’accès pose un problème potentiel de sécurité. Nous vous croyons cependant intelligent et savons que vous n’exécutez aucun script en tant qu’administrateur excepté lorsque vous n’avez pas d’autre choix. Nous vous pensons aussi modérément prudent et savons que vous ajoutez le répertoire en cours uniquement à la fin du chemin d’exécution. Ce faisant, vous vous êtes simplifié la vie, sans créer de réel problème. Voici comment procéder : PSH> $ENV:PATH="$ENV:PATH;."

À nouveau, cette action modifie le chemin d’accès uniquement pour la session en cours. Pour le changer dans toutes les sessions, modifiez le profil. N’effectuez pas ces changements sans comprendre les implications de sécurité et ne les faites pas dans d’autres profils que le vôtre.

Chapitre 15

Administration par les scripts

417

La précédente méthode fonctionne parfaitement lorsque le script à exécuter ne contient aucun espace dans le nom de fichier. S’il contient un espace, il faut employer l’opérateur d’appel, « & », pour invoquer la commande, laquelle doit être placée entre guillemets : PSH>Add-Content -path "test 1.ps1" -value "Write-Host `"test #2`"" PSH>dir test*.ps1 Directory: Microsoft.PowerShell.Core\FileSystem::C:\Documents and Settings\Desktop\charlie Mode LastWriteTime Length Name ------------------------a--29/04/2008 11:57 25 test 1.ps1 -a--29/04/2008 11:36 45 test.ps1 PSH>./test 1.ps1 Le terme « ./test » n’est pas reconnu en tant qu’appel de commande, fonction, Programme exécutable ou fichier de script. Vérifiez le terme et réessayez. Au niveau de ligne : 1 Caractère : 7 + ./test $d=Get-Date # Récupère la date en cours PSH>$d 02/02/2008 13:52:43 PSH>"$d " + "# Pas un commentaire" PSH>02/02/2008 13:52:43# Pas un commentaire

418

Partie III

Administration du réseau

L’exemple précédent montre les deux manières d’ajouter un commentaire. PowerShell ne permet pas d’ajouter des commentaires multilignes. Aussi devez-vous ajouter un caractère # au début de chaque nouvelle ligne de commentaire.

Variables Les variables contiennent des valeurs, lesquelles peuvent être des chaînes simples, des chaînes complexes, des nombres et même des objets .NET. Lorsque l’on affecte un objet à une variable, tous les membres de l’objet demeurent. Pour créer une variable, il suffit de lui affecter un nombre ou une chaîne. Comme nous l’avons vu, l’opérateur d’affectation est un simple signe égal (=). 1 PSH>$var_nombre=5 2 PSH>$var_chaine="test"

Utilisez Get-Member, tel que décrit précédemment dans ce chapitre, pour confirmer le type d’objet.

Étendue L’étendue est un concept ardu. PowerShell possède quatre niveaux d’étendue : ■ Global Disponible dans l’intégralité de l’interpréteur. ■ Script Disponible uniquement dans le script en cours. ■ Local Disponible uniquement dans la portée actuelle et les sous-portées. ■ Privé Disponible uniquement dans la portée en cours.

Une erreur d’étendue dans un script mène souvent à des sessions de dépannage irritantes. L’étendue s’applique aux variables, fonctions et filtres. Examinons une étendue qui s’applique aux variables : 1 PSH>$a="Mon" 2 PSH>$a 3 Mon 4 PSH>function test { 5 >> $a="Test" 6 >> $a 7 >> } 8 >> 9 PSH>$a 10 Mon 11 PSH>test 12 Test 13 PSH>$a 14 Mon 15 PSH>

Chapitre 15

Administration par les scripts

419

Sur la ligne 1, nous affectons une valeur (« Mon ») à la variable $a puis nous créons une fonction qui contient également une variable $a, mais dont la valeur est « Test ». Le changement apporté à $a dans la fonction n’a d’étendue qu’au sein de la fonction ; il ne modifie pas la valeur de $a dans la session, dont l’étendue est globale : 1 2 3 4 5 6 7

PSH>function test1 { >> $a >> } >> PSH>test1 Mon PSH>

Ici, on a créé une autre fonction avec une variable $a, sans lui affecter de valeur. Le résultat est que $a hérite la valeur de l’étendue parente. Pour de plus amples informations sur l’étendue, consultez Get-Help About_Scope.

Chaînes Nous avons parlé de chaînes lorsque nous avons présenté .NET Framework. Une chaîne représente tout type de données. Elle est le plus souvent composée de caractères non numériques, mais un nombre placé entre guillemets doubles est également une chaîne. PSH>"test" Test PSH>"255" 255 PSH> "255" | Get-Member gettype | ft typename TypeName -------System.String PSH> 255 | Get-Member gettype | ft typename TypeName -------System.Int32 PSH>

Si vous entrez une chaîne dans la console PowerShell, elle est écrite en retour à l’hôte. Les chaînes présentent deux intérêts particuliers : elles permettent d’ajouter des chaînes et d’invoquer des expressions. Dans PowerShell, il est simple d’ajouter, ou concaténer, des chaînes :

420

Partie III

Administration du réseau

1 PSH>$var1="test" 2 PSH>$var2="er" 3 PSH>$var1+$var2 4 tester 5 PSH>$var1 6 test 7 PSH>$var1+=$var2 8 PSH>$var1 9 tester 10 PSH>

Sur la ligne 3, on utilise l’opérateur d’addition pour joindre deux chaînes. Lorsque PowerShell détermine qu’il assemble deux chaînes, il les concatène. Sur la ligne 7, on a utilisé un raccourci $var1=$var1+$var2. Il est possible d’exécuter des chaînes avec Invoke-Expression. PSH>$fonction=Read-Host "Saisissez une fonction" Saisissez une fonction : Get-Process PSH>$proc=Read-Host "Saisissez un processus" Saisissez un processus : powershell PSH>invoke-expression "$fonction $proc" Handles ------1792

NPM(K) -----11

PM(K) ----62884

WS(K) ----7080

VM(M) ----193

CPU(s) -----40.19

Id -5576

ProcessName ----------powershell

Ici, nous avons créé de manière interactive une chaîne composée d’un nom de cmdlet et d’un argument, puis nous l’avons exécutée. Important L’utilisation d’Invoke-expression peut être très dangereuse. Voyons, par exemple, ce qui se produit si on fait ceci : PSH>$fonction=Read-Host "Saisissez une fonction" Saisissez une fonction : Get-Childitem c:\demo –force –recurse PSH>$proc=Read-Host "Saisissez un processus" Saisissez un processus : |ForEach-Object{Remove-Item $_ -recurse -whatif} PSH>invoke-expression $fonction $proc

Évitez donc invoke-expression, sauf s’il existe une méthode de vérification des variables employées.

Chaînes Here Une chaîne here peut s’étendre sur plusieurs lignes. Lorsque l’on démarre la chaîne here, il n’est pas possible de laisser un espace ou quoi que ce soit d’autre après les guillemets de la ligne 1.

Chapitre 15

1 2 3 4 5 6 7 8 9

Administration par les scripts

421

PSH>$multi=@" >> Ceci est un test >> d’une chaîne here. >> "@ >> PSH>$multi Ceci est un test d’une chaîne here. PSH>

Caractères génériques et expressions régulières Les caractères génériques sont des caractères spéciaux que l’on emploie en divers endroits dans PowerShell. On peut s’en servir pour rechercher des cmdlets, comme valeurs passées à un paramètre ou pour localiser des chaînes. Voici les caractères génériques : ■ * Correspond à zéro caractère ou plus. ■ ? Correspond exactement à un caractère. ■ [] Correspond aux caractères ou à la plage spécifiés.

Voici quelques exemples : 1 PSH>Get-Command Get-servic? 2 CommandType Name 3 -------------4 Cmdlet Get-Service 5 PSH>Get-Command Get-servi* 6 CommandType Name 7 -------------8 Cmdlet Get-Service 9 PSH>Get-Command Get-servic[e] 10 CommandType Name 11 -------------12 Cmdlet Get-Service 13 PSH>Get-Command Get-servic[a-z] 14 CommandType Name 15 -------------16 Cmdlet Get-Service

422

Partie III

Administration du réseau

Remarque Nous avons mentionné que Get-Help about_topic était un moyen très pratique d’obtenir de l’aide dans PowerShell. Il n’existe cependant pas de manière simple d’obtenir un quelconque résumé de toutes les rubriques about_help. Voici un script qui permet d’obtenir certaines de ces informations : Get-Childitem C:\windows\system32\windowspowershell\v1.0\fr-FR about_* |` Foreach-object{ " " [string]$help=gc $_.fullname $null=$help -match "^(?.+?)SHORT DESCRIPTION(?.+?) LONG ` DESCRIPTION(?.+?)$" $_.name.replace(".help.txt","") $matches.TXT -replace "\s{2,}"," " }

La mise en forme du résultat exige toutefois un peu de travail.

En pratique Adresse de messagerie valide ? Il peut être intéressant s’employer un script pour vérifier si une variable particulière correspond à une adresse de messagerie valide. Exchange 2007 s’accompagne de classes .NET Framework qui simplifient cela, mais les ordinateurs ne sont pas tous des serveurs Exchange 2007. Pour valider une chaîne comme adresse de messagerie valide, on utilise une expression régulière : PSH>"[email protected]" -match "([\w-\.]+)@((\[[0-9]{1,3}\. [0-9]{1,3}\.[0-9]{1,3}\.)|(([\w-]+\.)+))([a-zA-Z]{2,4}| [0-9]{1,3})(\]?)" True PSH>"[email protected]" -match "([\w-\.]+)@((\[[0-9]{1,3}\. [0-9]{1,3}\.[0-9]{1,3}\.)|(([\w-]+\.)+))([a-zA-Z]{2,4}|[0-9] {1,3})(\]?)" False

Voilà une expression régulière relativement compliquée qui indique si une adresse de messagerie est valide. Vous trouverez une excellente référence sur les expressions régulières, dans l’ouvrage de Jeffrey Friedl, Mastering Regular Expressions, Third Edition (O’Reilly, 2006). Remarque Po u r d e p l u s a m p l e s i n f o r m a t i o n s , c o n s u l t e z G e t- H e l p about_wildcards et get_help about_regular_expressions.

Chapitre 15

Administration par les scripts

423

Tableaux Un peut envisager un tableau comme une liste de données : 1 2 3 4 5 6

PSH>$tableau="ceci","cela" PSH>$tableau ceci cela PSH>$tableau[0] ceci

Un tableau n’est autre qu’une liste de valeurs séparées par des virgules. On accède aux éléments individuels du tableau avec la syntaxe [] en commençant à l’élément 0. Une autre manière d’envisager un tableau consiste à employer l’opérateur @ : 1 2 3 4 5 6

PSH>$tableau1=@() PSH>$tableau1=@("abc","123") PSH>$tableau1 abc 123 PSH>

Sur la ligne 1, on initialise un tableau avec la syntaxe @() et sur la ligne 2, on affecte des valeurs au tableau. Lorsqu’on lit un fichier avec Get-Content, le résultat est un tableau d’objets. En conséquence, on accède aux lignes lues avec l’opérateur [], comme nous venons de le mentionner : 1 2 3 4 5

PSH> Get-Alias | Format-Table -hide > alias.txt PSH>$TableauAlias = Get-Content alias.txt PSH>$TableauAlias[30] Alias gsv Get-Service PSH>

On peut également actualiser les éléments d’un tableau en se servant de l’index de l’élément spécifique : 1 2 3 4 5 6

PSH>$tableau1[0] abc PSH>$tableau1[0]="xyz" PSH>$tableau1[0] xyz PSH>

Pour de plus amples informations sur les tableaux, consultez Get-Help About_Array.

424

Partie III

Administration du réseau

Tables de hachage Les tables de hachage permettent d’associer des clés aux valeurs. On définit une table de hachage avec la syntaxe @{}. 1 PSH>$TableHachage=@{} 2 PSH>$TableHachage=@{clé1="abc";clé2="def"} 3 PSH>$TableHachage 4 Name Value 5 -------6 clé2 def 7 clé1 abc 8 PSH>$TableHachage["clé1"] 9 abc 10 PSH>$TableHachage["clé3"]="ghi" 11 PSH>$TableHachage 12 Name Value 13 -------14 clé3 ghi 15 clé2 def 16 clé1 abc 17 PSH>$TableHachage["clé1"]="xyz" 18 PSH>$TableHachage 19 Name Value 20 -------21 clé3 ghi 22 clé2 def 23 clé1 xyz

Contrairement aux tableaux, il est possible d’étendre les tables de hachage, comme le montre la ligne 10.

Opérateurs Dans les scripts ou l’interpréteur, on fait souvent appel aux opérateurs pour traiter les données. Il existe plusieurs types d’opérateurs : ■ Opérateurs arithmétiques +,–, *, /, % (voir Get-Help About_Arithmetic_Operators). ■ Opérateurs

d’affectation =, About_Assignment_operators).

+=,

–=,

*=,

/=,

%=

(voir

Get-Help

■ Opérateurs de comparaison –eq, –ne, –ge, –gt, –lt, –le, –like, –notlike, –match, –

notmatch, –contains, –notcontains, –is, –isnot (voir Get-Help About_Comparison_Operators). ■ Opérateurs

logiques –and,

About_logical_Operator).

–o r, –xor, and –not or ! (voir Get-Help

Chapitre 15

Administration par les scripts

425

■ Opérateurs binaires –band, –bor, –bxor, and –bnot (voir Get-Help about_operator). ■ Autres opérateurs Voir Get-Help about_operator.

Fonctions Les fonctions divisent un script en modules, lesquels peuvent ensuite être employés dans un autre script pour réaliser la même action. Non seulement cette méthode permet-elle d’économiser les ressources, mais elle simplifie également le débogage et le dépannage des scripts : 1 PSH>function test-file { 2 >> if(Test-Path truc.txt) 3 >> { 4 >> Write-Host "Le fichier existe" 5 >> } 6 >> else 7 >> { 8 >> Write-Host "Le fichier n’existe pas" 9 >> } 10 >> } 11 >> 12 PSH>

Supposons que nous allons écrire un script et que nous souhaitions vérifier plusieurs fois l’existence d’un fichier particulier. On pourrait répéter les lignes 2 à 10 chaque fois que nécessaire pour vérifier la présence du fichier. Au lieu de cela, on crée une fonction et on peut alors tester la présence du fichier simplement en appelant la fonction : 1 2 3 4 5 6 7

PSH>test-file Le fichier n’existe pas PSH>New-Item -type file -path truc.txt

PSH>test-file Le fichier existe PSH>

Les fonctions peuvent être employées dans des scripts de manière interactive. Remarque Rappelez-vous qu’il faut déclarer les fonctions avant de pouvoir les utiliser dans un script.

426

Partie III

Administration du réseau

Il est également possible de placer les fonctions créées dans pipeline, sans oublier qu’elles acceptent l’entrée des autres cmdlets qui leur canalisent des objets. Nous verrons cela un peu plus loin. Un filtre est un autre type de fonction qui n’attend pas toutes les entrées qu’il doit recevoir avant d’agir, mais traite chaque objet à mesure qu’il lui parvient. Pour de plus amples informations sur les fonctions et les filtres, consultez Get-Help About_Functions.

Instructions conditionnelles Pour gérer les sections conditionnelles des scripts, on fait appel à deux modèles de base : ■ if/elseif/else ■ switch

La structure if/elseif/else, dont la syntaxe est la suivante, est particulièrement adaptée aux conditions de test : 1 2 3 4 5 6

if(condition) {bloc d’instructions} elseif(condition) {bloc d’instructions} else {bloc d’instructions}

PowerShell teste la condition de la ligne 1 et, s’il l’évalue comme vraie, il exécute le bloc d’instructions, lequel peut comporter plusieurs lignes, de la ligne 2. Il n’évalue ni ne traite aucune autre ligne. Si la ligne 1 est fausse, il teste la condition de la ligne 3 et, s’il l’évalue comme vraie, il exécute le bloc d’instructions de la ligne 4. S’il évalue la condition de la ligne 3 comme fausse, il exécute le bloc d’instructions de la ligne 5. On peut inclure autant de blocs d’instructions elseif que nécessaire. Dans les prochaines sections, nous étudierons les possibilités que l’on peut employer comme conditions. La forme if/else de l’instruction n’est autre qu’une structure if/elseif/else sans condition elseif. 1 PSH>$var=5 2 PSH>if($var -eq 1){ 3 >> Write-Host "var égal 1" 4 >> } 5 >> elseif($var -eq 5){ 6 >> Write-Host "var égal 5" 7 >> } 8 >> else { 9 >> Write-Host "var est différent de 1 ou 5" 10 >> } 11 >> 12 var égal 5 13 PSH>

Chapitre 15

Administration par les scripts

427

L’instruction switch, qui suit la syntaxe suivante, peut également être employée dans les conditions de test : 1 2 3 4 5 6

switch –options (expression){ {bloc d’instructions} -or{expression} {bloc d’instructions} default {bloc d’instructions} }

PowerShell évalue d’abord l’instruction de la ligne 1. switch supporte quelques options comme regex et wildcard. Pour de plus amples informations, consultez Get-Help about_switch. Soit on trouve ensuite une ou plusieurs lignes comme la ligne 2, la ligne 4 ou un mélange des deux. PowerShell évalue chaque ligne jusqu’à trouver une correspondance avec la valeur de l’expression. Lorsqu’il en trouve une, il exécute le bloc d’instructions associé. S’il n’en trouve pas, il exécute le bloc d’instructions par défaut (ligne 5 du code précédent) : 1 PSH>$var 2 5 3 PSH>switch 4 >> 1 {"est 5 >> 2 {"est 6 >> 3 {"est 7 >> 4 {"est 8 >> 5 {"est 9 >> default 10 >> } 11 >> 12 est cinq 13 PSH>

($var) { un"} deux"} trois"} quatre"} cinq"} {"Introuvable"}

Remarque Chaque fois que vous devez faire appel à plusieurs instructions elseif, pensez à réécrire le script pour employer switch. C’est plus propre, plus facile à lire et à déboguer.

En pratique Appeler des bureaux à distance En écrivant ce livre, nous avons créé et utilisé un certains nombre d’ordinateurs Windows Server 2008, physiques et virtuels. Nous ne voulions pas changer chaque fois de console et avions souvent besoin voir simultanément trois ou quatre serveurs et clients différents pour décrire correctement un processus. Nous avons donc écrit un script PowerShell que nous pouvions appeler pour nous connecter à l’ordinateur de notre choix. Nous avons fait appel à Mklink pour créer des liens avec le script, chacun portant un nom d’ordinateur différent. Ce script contient à présent 42 liens, de core.ps1 à hp350-ts-05.ps1 en passant par xpx64.ps1. Il est suffisamment évolué pour savoir le nom employé pour l’appeler. Il utilise ensuite une instruction switch pour exécuter la

428

Partie III

Administration du réseau

commande Mstsc.exe appropriée et ouvrir une session Bureau à distance sur l’ordinateur. Voici ce script : # Encapsuleur d’interpréteur simple qui appelle mstsc et ouvre une session à distance. #Le but est d’en faire un lien qui reconnaît le nom par #lequel il a été appelé… # ModHist: 19/07/07 -- plus d’extension. À convertir en switch… # : 28/10/07 -- modifié avec switch # : 03/12/07 -- ajout de la vérification $AdminSwitch # $CallingScript = $myInvocation.mycommand.name $FileRegEx = "(?.*)(?\.)(?[pP][sS]1)" $CallingScript -match $FileRegEx $RDPTarget = $matches.name if ($build -eq "6001") { $AdminSwitch = "/admin" } else { $AdminSwitch = "/console" } switch ($matches.name) { whs { mstsc $args $AdminSwitch /v:homesrv } head { mstsc $args /v:hp380-clus-02 } homeserver { mstsc $args $AdminSwitch /v:homesrv } home { mstsc $args $AdminSwitch /v:homesrv } hp380 { mstsc $args /v:hp380-core-08.example.local } hp380-core-08 { mstsc $args /v:hp380-core-08.example.local } core08 { mstsc $args $AdminSwitch /v:hp380-core-08.example.local } core { mstsc $args /v:hp350-core-04.example.local } dc { mstsc $args /v:hp350-dc-02 } gw { mstsc $args /v:hp350-gw-01 } sharon { mstsc $args /v:sharon-pc } srv06 { mstsc $args /v:hp350-srv-06.example.local } test { mstsc $args /v:hp350-test-11 } ts05 { mstsc $args /v:hp350-ts-05 } upg78 { mstsc $args /v:hp350-upg-78 } vista { mstsc $args /v:hp350-vista-02.example.local } vista02 { mstsc $args /v:hp350-vista-02.example.local } srv03 { mstsc $args /v:hp380-srv-03.example.local } xp { mstsc $args /v:hp350-xp-02.example.local } xpx64 { mstsc $args /v:hp350-xpx64-01 } ml350g5-7 { mstsc $args /v:192.168.50.7 } hp350 { mstsc $args $AdminSwitch /v:192.168.50.7 } vmhost { mstsc $args /v:192.168.50.9 } default { mstsc $args /v:$RDPTarget } }

Rien de spécial, juste une instruction switch, qui fait gagner du temps et des frappes de touches. À quoi cela sert-il ? Nous aurions pu créer un script vraiment intelligent qui aurait créé le lien, parcouru le fichier et inséré une nouvelle ligne pour l’appeler par ordre alphabétique. Un de ces jours peut-être…

Chapitre 15

Administration par les scripts

429

Instructions de bouclage Les instructions de bouclage sont des blocs de logique qui s’exécutent tant qu’une condition donnée est vraie ou jusqu’à ce qu’une condition donnée soit satisfaite. Voici les cinq instructions de bouclage de base : ■ For Exécute un bloc d’instructions un nombre défini de fois en se fondant sur les

conditions calculées en tant que valeurs numériques (voir Get-Help About_For). ■ Foreach Exécute un bloc d’instructions un nombre défini de fois en itérant dans une

collection ou une liste d’éléments (voir Get-Help About_Foreach). ■ While Exécute un bloc d’instructions tant qu’une condition est vraie (voir Get-Help

About_While). ■ Do/while et do/until Exécutent un bloc d’instructions (do) tant qu’une condition est

vraie (while) ou tant qu’une condition est fausse (until). For et foreach s’emploient plus souvent que les autres. Voici la syntaxe de l’instruction For : 1 For(;;) 2 { }

La boucle for démarre généralement par un jeu de variables placé dans l’élément , comme $i=0. La boucle s’exécute un nombre défini de fois jusqu’à ce que retourne false, comme $i –lt 10. L’élément définit le nombre de « sauts » avant que l’élément retourne false. L’instruction d’incrémentation peut être croissant ou décroissante et incrémenté d’une ou de plusieurs unités par boucle dans le bloc d’instructions : 1 PSH>$i=0 2 PSH>$i++ 3 PSH>$i 4 1 5 PSH>$i+=2 6 PSH>$i 7 3 8 PSH>$i=0 9 PSH>$i-10 PSH>$i 11 -1 12 PSH>$i-=2 13 PSH>$i -3

Chacune de ces versions d’incrémentation fonctionne dans une boucle for.

430

Partie III

Administration du réseau

Dans certains cas, vous aurez besoin d’une fonctionnalité de bouclage, mais devrez ignorer certaines valeurs en fonction d’une condition donnée. Pour de plus amples informations sur les instructions de bouclage, reportez-vous à Get-Help About_For, Get-Help About_Foreach et Get-Help About_While.

Importer vers et exporter depuis d’autres fichiers Plusieurs cmdlets récupèrent les données dans des fichiers ou les y insèrent : ■ Add-Content, Get-Content, Set-Content Employées avec les fichiers en texte brut. ■ Import-Csv, Export-Csv Employées avec les fichiers de valeurs séparées par des

virgules (CSV). ■ Import-Clixml, Export-Clixml Employées avec les fichiers XML. ■ ConvertTo-HTML Employée pour écrire des données dans un fichier HTML.

Pour commencer, créons un fichier CSV simple, comportant les en-têtes de colonnes serveur et IP : PSH>Add-Content liste.csv "serveur,ip" PSH>Add-Content liste.csv "serveur1,10.10.10.10" PSH>Add-Content liste.csv "serveur2,10.10.10.11" PSH>Import-Csv liste.csv serveur ------serveur1 serveur2

ip -10.10.10.10 10.10.10.11

Import-Csv présente l’intérêt de créer des objets à partir des données d’entrée. On peut utiliser plusieurs cmdlets pour gérer les propriétés facilement. Il est, par exemple, possible d’afficher uniquement une liste de la colonne serveur. PowerShell voit la colonne serveur comme une propriété : PSH>Import-Csv liste.csv|Select-Object serveur serveur ------serveur1 serveur2

Export-Csv présente également un certain intérêt. On peut l’utiliser pour créer un rapport CSV que l’on peut ouvrir directement dans Microsoft Office Excel : PSH>Get-Process|Export-Csv proc.csv PSH>Import-Csv proc.csv|Select-Object name,cpu -first 5 Name CPU -----accelerometerST 0.203125

Chapitre 15

AcroRd32 agent AGRSMMSG alg

Administration par les scripts

431

86.609375 0.28125 0.34375 0.109375

Dans le précédent exemple, nous avons écrit toutes les sorties de la cmdlet Get-Process dans le fichier proc.csv. Pour l’importer, nous avons fait appel à la cmdlet Select-Object, laquelle récupère uniquement les deux propriétés retournées. Il est évident que le résultat sera différent sur votre serveur. Remarque Si vous n’êtes pas sûr des propriétés que retourne proc.csv, essayez : Import-Csv proc.csv | Get-Member.

Contrôle du flux Outre les instructions de bouclage traitées dans la précédente section, il existe deux cmdlets de contrôle du flux. On passe ces deux cmdlets dans un bloc de script : ■ ForEach-Object Opère sur chaque objet lorsqu’il passe dans le pipeline. ■ Where-Object Sélectionne des objets dans une liste lorsqu’elle passe dans le pipeline.

Étudions les différences entre une instruction foreach et ForEach-Object (pour ajouter à la confusion, foreach est l’alias de la cmdlet ForEach-Object, mais PowerShell le gère et exploite le bon foreach). Comparons l’instruction foreach à la cmdlet ForEach-Object. Commençons l’instruction foreach : PSH>$ordinateurs=@("serveur1","serveur2") PSH>foreach($ordinateur in $ordinateurs){$ordinateur} serveur1 serveur2

Voici ForEach-Object : PSH>$ordinateurs=@("serveur1","serveur2") PSH>$ordinateurs|foreach-object{$_} serveur1 serveur2

Dans le précédent exemple, on compare la syntaxe employée avec une boucle foreach à celle de la cmdlet ForEach-Object.

432

Partie III

Administration du réseau

Remarque La cmdlet ForEach-Object possède un autre alias : %. Avec cet alias, la ligne suivante de l’exemple précédent PSH>$ordinateurs|foreach-object{$_}

peut également s’écrire PSH>$ordinateurs|%{$_}

Examinons maintenant la cmdlet Where-Object. Reprenons l’exemple foreach et comparons son utilisation à celle de Where-Object. Commençons une boucle foreach : PSH>$ordinateurs=@("serveur1","serveur2","bureau1","bureau2") PSH>foreach($ordinateur in $ordinateurs){$ordinateur} serveur1 serveur2 bureau1 bureau2

Voici Where-Object : PSH>$ordinateurs=@("serveur1","serveur2","bureau1","bureau2") PSH>$ordinateurs|Where-Object{$_ -match "serveur"} serveur1 serveur2

Dans cet exemple, on utilise Where-Object pour sélectionner uniquement certains objets par correspondance avec le nom. Avec –match, on pourrait employer une expression régulière si l’on devait trouver des correspondances avec des noms plus complexes. Remarque La cmdlet Where-Object possède un alias : ?. Avec l’alias, la ligne PSH>$ordinateurs|Where-Object{$_ -match "serveur"}

peut également s’écrire PSH>$ordinateurs| ?{$_ -match "serveur"}

Mettre les cmdlets en forme Si les informations fournies par le résultat n’apparaissent de manière appropriée, vous pouvez faire appel à l’une des quatre cmdlets de mise en forme : ■ Format-Custom Formate les propriétés des objets entrants selon un affichage

personnalisé.

Chapitre 15

Administration par les scripts

433

■ Format-List Formate les propriétés des objets entrants sous forme de liste. ■ Format-Table Formate les propriétés des objets entrants sous forme de tableau. ■ Format-Wide Formate les propriétés des objets entrants sous forme de récapitulatif.

Pour montrer le fonctionnement de la mise en forme, utilisons PowerShell pour générer 100 nombres aléatoires entre 1 et 10 (inclus), les manipuler quelque peu et finalement canaliser le résultat vers Format-Table. Le résultat final aura l’aspect d’une distribution du nombre de fois qu’un nombre apparaît. 1 PSH>$aléatoire=New-Object System.Random 2 PSH>1..100|%{$aléatoire.next(1,10)}|group|select name,count|sort name 3 4 PSH>1..100|%{$aléatoire.next(1,10)}|group|select name,count|sort name|ft –autosize name,count,@{l="%";e={$_.count*1}},@{l="#";e={"#"*$_.count}} 5 Name Count % # 6 -------- 7 7 7 ####### 8 12 12 ############ 9 11 11 ########### 10 12 12 ############ 11 16 16 ################ 12 10 10 ########## 13 11 11 ########### 14 9 9 ######### 15 12 12 ############

Voyons ce que nous venons de faire : ■ Ligne 1 Nous avons utilisé une classe .NET Framework pour produire un nombre

aléatoire. ■ Ligne 2 Nous avons regroupé les nombres, sélectionné les deux propriétés qui nous

intéressaient, puis trié le résultat. ■ Ligne 4 Nous avons utilisé la même commande qu’à la ligne 2, mais nous l’avons

canalisée vers Format-Table. Cette cmdlet crée un tableau du résultat. Nous avons utilisé des propriétés calculées pour fournir les valeurs de # occurrences du nombre, puis nous avons fait appel à une astuce pour imprimer un nombre spécifique de chaînes de hachage correspondant au nombre d’occurrences de ce nombre particulier. Remarque Pour répéter rapidement des chaînes, utilisez quelque chose comme :

PSH>"test"*10 TestTestTestTestTestTestTestTestTestTest

434

Partie III

Administration du réseau

Remarque Consultez l’article de blog suivant pour de plus amples informations sur la mise en forme : http://blogs.msdn.com/powershell/archive/2006/04/30/ 586973.aspx.

Quitter les scripts, les fonctions et les boucles Si vous devez quitter un script ou une boucle avant la fin, PowerShell propose l’instruction break. Chaque instruction break quitte un niveau. Aussi, lorsque vous vous trouvez dans une boucle et utilisez break pour la quitter, le script continue jusqu’à la fin de la boucle while comme si elle s’était terminée naturellement. Si vous utilisez break dans un script simple, sans boucle ou fonction, vous quittez le script. ■ Continue ne quitte pas la boucle, mais interrompt l’itération en cours de la boucle et

passe au début de l’itération suivante de l’instruction de bouclage. ■ Return quitte un script ou une fonction et permet de retourner une valeur ou

un résultat spécifique au script ou à l’interpréteur appelant. ■ Exit quitte toujours entièrement un script, qu’elle soit appelée depuis

une boucle, une fonction ou le niveau extérieur du script. Si vous l’appelez depuis l’interpréteur, cependant, elle le quitte. Ne l’utilisez donc pas de manière interactive sauf si vous exécutez un interpréteur imbriqué et souhaitez revenir à l’interpréteur parent.

Source-point Nous avons rapidement parlé des portées dans PowerShell précédemment dans ce chapitre. Il est important de noter comment les scripts et les fonctions/filtres fonctionnent dans le cadre des portées. Voici un exemple simple qui exploite un script contenant une fonction. Commençons par créer le fichier « test_fonction.ps1 » contenant une fonction simple : function test-file { if(Test-Path monfichier.txt){ Write-Host "Le fichier existe" } else { Write-Host "Le fichier n’existe pas" } }

Exécutons maintenant le fichier et essayons d’exécuter la fonction à partir de l’invite PowerShell. Nous obtenons une erreur :

Chapitre 15

Administration par les scripts

435

PSH>./test_fonction.ps1 PSH>test-file Le terme « test-file » n’est pas reconnu en tant qu’applet de commande, fonction Programme exécutable ou fichier de script. Vérifiez le terme et réessayez. Au niveau de la ligne : 1 Caractère : 10 + test-file

Nous avons rendu la fonction « test-file » disponible en-dehors de la portée du script qui l’a créée, en définissant la source. Remarque Si vous avez déjà utilisé UNIX ou Linux, vous connaissez déjà la méthode de définition de la source d’un fichier.

Passer des arguments Pour passer des arguments à un script ou une fonction, PowerShell fait appel à une variable « réservée » à cette fin : $args. En fait, il s’agit d’un tableau. On peut passer plusieurs arguments à un script, puis se référer ultérieurement à chaque argument. Réécrivons notre fonction test-file pour qu’elle accepte un argument, ce qui se trouve être bien plus utile : 1 PSH>function test-file { 2 >> $fichier=$args 3 >> if(Test-Path $fichier) 4 >> { 5 >> Write-Host "Le fichier existe" 6 >> } 7 >> else 8 >> { 9 >> Write-Host "Le fichier n’existe pas" 10 >> } 11 >> } 12 >> 13 PSH>test-file monfichier.txt 14 Le fichier existe 15 PSH>test-file autrefichier.txt 16 Le fichier n’existe pas 17 PSH>

436

Partie III

Administration du réseau

Nous n’avons ajouté que deux lignes pour définir une variable qui contient les arguments passés à la fonction. Pour finir, une rapide démonstration qui illustre un exemple avec plusieurs arguments : 1 PSH>function show-args { 2 >> for($i=0;$i -lt $args.count;$i++){ 3 >> Write-Host "arg $i est"$args[$i] 4 >> } 5 >> } 6 >> 7 PSH>show-args "moi" "toi" "moi et toi" 8 arg 0 est moi 9 arg 1 est toi 10 arg2 est moi et toi 11 PSH>

On peut utiliser $args pour les scripts et les fonctions. Prenons le script suivant : for($i=0;$i -lt $args.count;$i++){ Write-Host "passé au script : arg $i est"$args[$i] } function echo_out { for($i=0;$i -lt $args.count;$i++){ Write-Host "passé à la fonction : arg $i est"$args[$i] } } echo_out "a" "b" "c"

Même si on utilise la même variable $args pour le script et sa fonction, les valeurs de $args sont différentes et n’interfèrent pas puisqu’elles ne se trouvent pas dans la même portée.

Instruction Param On peut passer des arguments à un script avec $args, mais comment faire si l’on doit vérifier qu’il s’agit d’une chaîne ou d’un entier ? On fait appel au mot clé param : 1 PSH>function test-args { 2 >> param([string]$un,[int]$deux,[switch]$trois) 3 >> Write-Host $un 4 >> Write-Host $deux 5 >> Write-Host $trois 6 >> } 7 >> 8 PSH>test-args toi 1 9 toi 10 1 11 False

Chapitre 15

Administration par les scripts

437

12 PSH>test-args toi 1 –trois 13 toi 14 1 15 True 16 PSH>test-args 1 2 3 17 1 18 2 19 False 20 PSH>test-args 1 21 1 22 0 23 False 24 PSH>test-args 1 toi 25 26 test-args : Impossible de convertir la valeur « toi » en type « System.Int32 ». Erreur : « Le format de la chaîne d’entrée… Au niveau de la ligne : 1 Caractère : 10 28 + test-args > param([string]$un,[int]$deux,[switch]$trois) 3 >> Write-Host $un 4 >> Write-Host $deux 5 >> Write-Host $trois 6 >> } 7 >> 8 PSH>test-args toi 1 9 toi 10 1 11 False 12 PSH>test-args toi 1 –trois 13 toi 14 1 15 True 16 PSH>test-args 1 2 3 17 1 18 2 19 False 20 PSH>test-args 1 21 1 22 0 23 False 24 PSH>test-args 1 toi 25 test-args : Impossible de convertir la valeur « toi » en type « System.Int32 ». Erreur : « Le format de la chaîne d’entrée est incorrect. » Au niveau de la ligne : 1 Caractère : 10 27 + test-args > $fichiers=$entrée >> foreach($fichier in $fichiers){

Chapitre 15

Administration par les scripts

439

>> if(Test-Path $fichier) >> { >> Write-Host "$fichier existe" >> } >> else >> { >> Write-Host "$fichier n’existe pas" >> } >> } >> } >> PSH>$fichiers|test-files truc.txt existe bidule.txt n’existe pas PSH>

$input est une autre variable de pipeline spécial, qui diffère de $_ en ce que $input énumère les éléments qui sortent du pipeline. Elle permet de gérer les données en tant que flux. Comme nous l’avons vu dans le précédent exemple, lorsque l’on utilise $input, il faut ajouter une logique pour boucler au sein de tous les objets contenus dans $input.

Gérer les erreurs La variable spéciale $error de PowerShell capture automatiquement toutes les erreurs de la session en cours. $error étant un tableau, on accède à une instance spécifique avec la syntaxe []. L’erreur la plus récente est toujours $error[0] : PSH>Get-Item test.ps1 Répertoire : Microsoft.PowerShell.Core\FileSystem::C:\Documents and Settings\Desktop\charlie Mode ----a---

LastWriteTime ------------02/05/2008 09:33

Length Name ------ ---0 test.ps1

PSH>$error PSH>Get-Item fichier_inexistant.txt Get-Item : Impossible de trouver le chemin d’accès « C:\Documents and Settings\Desktop\charlie\fichier_inexistant.txt » car il n’existe pas. Au niveau de la ligne : 1 Caractère : 9 + Get-Item Write-Host "Votre nom est : `"Paul`"." Votre nom est : "Paul".

Exemples Windows PowerShell On arrête la théorie et les fondements de PowerShell. Passons à des exemples réels.

Tâches sur le système de fichiers L’administrateur système est souvent appelé à parcourir un système de fichiers ou un répertoire à la recherche d’un fichier ou d’une chaîne de texte. Prenons un exemple de chacune de ces tâches. Pour commencer, localisons un nom de fichier particulier : PSH>Get-Childitem . -recurse|foreach-object{if($_.name -match "truc"){$_.fullname}} C:\demo\TRUC-1.TXT C:\demo\TRUC-22.TXT C:\demo\autre_truc.txt C:\demo\autre\machintruc.txt

Chapitre 15

Administration par les scripts

443

Nous avons récupéré tous les éléments du répertoire en cours et avons canalisé les résultats vers ForeEach-Object, qui recherche de manière itérative une correspondance avec la chaîne « truc ». Si la condition est vraie, le chemin d’accès complet du fichier s’affiche à l’écran. Remarque Get-Childitem supporte les noms de paramètres –include, –exclude et –filter pour filtrer des chaînes spécifiques dans les résultats. Voici comment obtenir une liste récursive des répertoires, en commençant par le répertoire en cours : PSH>Get-Childitem . -rec|where{$_.psiscontainer} Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo Mode LastWriteTime Length Name --------------------- ---d---02/05/2008 10:52 other

La propriété PSIscontainer est true pour les répertoires. Localisons maintenant la chaîne « test » dans tous les fichiers du répertoire en cours et ses sous-répertoires : PSH>Get-Childitem . -recurse|where{!$_.psiscontainer}|%{Select-String $_ -pattern "test"} truc.txt:1:test chaine.txt:1:tester test.ps1:1:Write-Host "test #2" other\bidule.txt:1:test

Nous avons utilisé la même commande Get-Childitem pour récupérer récursivement tous les éléments, employé Where-Object pour éliminer tout répertoire (ils retournent une erreur si on tente de les parcourir à la recherche d’une chaîne) et finalement, nous avons canalisé vers % (un alias de ForEach-Object) pour exécuter Select-String sur l’objet (fichier).

Tester l’existence d’un fichier ou d’un répertoire Il est toujours préférable de tester la présence d’un chemin d’accès ou d’un répertoire avant de procéder à une action qui ne fonctionnerait pas correctement en son absence. Pour ce faire, PowerShell propose la cmdlet Test-Path : PSH>dir Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo Mode LastWriteTime Length Name -----------------------d---04/01/2008 14:30 répertoire_test -a--04/01/2008 14:32 0 fichier_test.txt

444

Partie III

Administration du réseau

PSH>Test-Path True PSH>Test-Path True PSH>Test-Path False PSH>Test-Path False PSH>

-type leaf fichier_test.txt -type container répertoire_test -type container fichier_test.txt -type leaf répertoire_test

À partir de ce résultat, on note que la cmdlet Test-Path retourne une simple valeur booléenne (true ou false).

Cmdlets de sauvegarde de Windows Server Pour Windows Server 2008, avec le « décès » du vénérable NTBackup, Microsoft a créé quelques cmdlets gérant les sauvegardes. Remarque Pour de plus amples informations et des informations sur les nouvelles cmdlets de sauvegarde, reportez-vous à l’adresse http://richardsiddaway.spaces.live.com/blog/cns!43CFA46A74CF3E96!1006.entry.

Exemple de gestion de Server Core Il n’est malheureusement pas possible d’installer PowerShell sur Server Core. Il reste toutefois possible d’employer conjointement WMI et PowerShell pour administrer Server Core. Voici un exemple simple d’utilisation de WMI pour récupérer une liste de services s’exécutant sur un ordinateur Server Core distant (ou tout autre ordinateur distant) : 1 PSH>$creds=Get-Credential 2 PSH>Get-Wmiobject –computer hp350-core-04.exemple.local –credential $creds Win32_Service

Server Core fait appel à oclist.exe pour lister les fonctionnalités et les rôles installés sur un système. Utilisons WinRM pour exécuter oclist à partir d’un système distant : winrs `–r:http://hp350-core-04.exemple.local `–u:Administrator oclist

Dans l’exemple précédent, nous utilisons l’interpréteur à distance Windows pour exécuter la commande oclist à partir d’un système distant. Nous sommes invités à fournir le mot de passe de l’administrateur. Remarque PowerShell devrait interpréter les tirets dans cette ligne de

commandes. Aussi avons-nous utilisé le caractère d’échappement. À partir d’un interpréteur Cmd, cela ne serait pas nécessaire.

Chapitre 15

Administration par les scripts

445

Support XML PowerShell supporte parfaitement XML. Avec le nouveau ServerManagerCmd.exe et à partir d’une invite PowerShell avec privilèges, il est possible de retrouver un fichier XML dans la configuration actuelle du serveur : PSH>servermanagercmd –query config.xml PSH>$xml=[xml](Get-Content config.xml) PSH>$xml ServerManagerConfigurationQuery ------------------------------ServerManagerConfigurationQuery PSH>$xml.ServerManagerConfigurationQuery Time : 2008-05-02T11:10:27 Language : fr-FR xmlns : http://schemas.microsoft.com/sdm/Windows/ServerManager/Configuration /2007/1 Role : {AD-Certificate, Active Directory Domain Services, Active Directory Federation Services, ADLDS...} Feature : {NET-Framework, BitLocker, BITS, CMAK...}

FTP (File Transfer Protocol) L’automatisation FTP peut s’avérer bien utile. On peut employer .NET Framework pour activer la fonctionnalité FTP à partir de PowerShell. Voici un exemple de fonction permettant de récupérer une liste de répertoires à partir d’un serveur FTP distant : function ftplist{ param([string]$port=21,[string]$user,[string]$pass,[string]$ftpUri) $ftp = [System.Net.FtpWebRequest]::create($ftpUri) $ftp.Method = [System.Net.WebRequestMethods+Ftp]::ListDirectoryDetails $ftp.Credentials = New-Object System.Net.NetworkCredential($user,$pass) #Décommentez cette ligne si vous devez employer le mode passif pour les transferts FTP. #$ftp.usePassive = $true $response = $ftp.GetResponse() $responseStream = $response.GetResponseStream() $reader = New-Object System.IO.StreamReader($responseStream) Write-Host $reader.ReadToEnd() } ftplist -port 21 -user "username" -pass "password" –ftpUri "ftp://some.ftp.server.com"

446

Partie III

Administration du réseau

Télécharger un fichier avec HTTP PowerShell télécharge les fichiers à partir de l’Internet via le protocole HTTP. Grâce à une simple classe .NET Framework, on accède à de nombreuses fonctionnalités : PSH>$client = New-Object System.Net.WebClient PSH>$client|Get-Member d* TypeName: System.Net.WebClient Name MemberType Definition ------------- ---------Dispose Method System.Void Dispose() DownloadData Method System.Byte[] DownloadData(String address), DownloadDataAsync Method System.Void DownloadDataAsync(Uri address), DownloadFile Method System.Void DownloadFile(String address, Str DownloadFileAsync Method System.Void DownloadFileAsync(Uri address, S DownloadString Method System.String DownloadString(String address) DownloadStringAsync Method System.Void DownloadStringAsync(Uri address) PSH>$url = http://www.microsoft.com PSH>$file = "$ENV:temp\microsoft.txt" PSH>$client.DownloadFile($url,$file) PSH>Test-Path ""$ENV:temp \microsoft.txt" True PSH>

Dans l’exemple précédent, nous avons utilisé une classe .NET Framework pour créer un rapide client web. Il fait appel à la cmdlet Get-Member pour localiser certains membres de l’objet créé et pointe la variable $url sur la page d’accueil de Microsoft. On utilise ensuite la méthode DownloadFile pour récupérer le fichier et l’enregistrer localement dans le répertoire temporaire de l’utilisateur. Si nous avions employé la méthode DownloadString, nous aurions transmis la page d’accueil à la console.

Envoyer un courriel via SMTP Voici un script qui fait appel à .NET Framework pour proposer la fonctionnalité SMTP dans PowerShell : function send-email { param([string]$to,[string]$from,[string]$subject,[string]$body,[string]$file ,[string]$port,[string]$timeout,[string]$smtpserver) if ($smtpserver -eq "") {$smtpserver = "mom.serveursmtp.com"} $smtp = New-Object System.Net.Mail.SMTPclient($smtpserver) if ($port -ne "") {$smtp.port = $port} if ($timeout -ne "") {$smtp.timeout = $timeout} $message = New-Object System.Net.Mail.MailMessage($from,$to,$subject,$body) if ($file -ne "") {

Chapitre 15

Administration par les scripts

447

$attach = New-Object System.Net.Mail.Attachment $file $message.attachments.add($attach) } $smtp.send($message) } send-email -to "[email protected]" -from "[email protected]" –subject "Test depuis PowerShell" -body "Test" -smtpserver "smtp.exemple.com" -port 25 -file "C:\temp\test.txt"

Cet exemple définit une fonction (send-mail) puis montre comment appeler la fonction avec les arguments appropriés de sorte qu’elle puisse joindre un fichier au courriel. On peut également coder certains détails particuliers directement dans le script. Par exemple, si nous n’avions pas passé un paramètre –smtpserver en appelant la fonction, celle-ci aurait automatiquement défini la valeur à « mon.serveursmtp.com » dans cet exemple de code. Remarque Les valeurs indiquées dans cet exemple servent uniquement de

référence. Remplacez-les par le nom de votre ser veur SMTP et autres paramètres.

Compresser des fichiers Le blog MSDN de David Aiken propose plusieurs fonctions de compression intéressantes : http://blogs.msdn.com/daiken/archive/2007/02/12/compress-files-with-windows-powershell-thenpackage-a-windows-vista-sidebar-gadget.aspx. Ces fonctions exploitent WSH (Windows Scripting Host).

PowerShell et les dates Nous avons tous, à un moment ou à un autre, eu affaire avec les dates et cela non sans quelques difficultés de gestion, quelque soit le langage de script employé. La cmdlet GetDate, cependant, est à la fois puissante et simple d’utilisation : PSH>Get-Date|Get-Member TypeName: System.DateTime Name ---… AddDays AddHours AddMilliseconds AddMinutes AddMonths

MemberType ----------

Definition ----------

Method Method Method Method Method

System.DateTime System.DateTime System.DateTime System.DateTime System.DateTime

AddDays(Double value) AddHours(Double value) AddMilliseconds(Double value) AddMinutes(Double value) AddMonths(Int32 months)

448

Partie III

AddSeconds … Day DayOfWeek DayOfYear Hour … Minute Month Second …

Administration du réseau

Method

System.DateTime AddSeconds(Double value)

Property Property Property Property

System.Int32 Day {get;} System.DayOfWeek DayOfWeek {get;} System.Int32 DayOfYear {get;} System.Int32 Hour {get;}

Property Property Property

System.Int32 Minute {get;} System.Int32 Month {get;} System.Int32 Second {get;}

Pour récupérer la date du jour en cours, faites appel aux propriétés de Get-Date : PSH> Get-Date vendredi 2 mai 2008 11:35:30 PSH> (Get-Date).day 2 PSH> (Get-Date).dayofweek Friday PSH> (Get-Date).dayofyear 123 PSH>

Il est très simple d’utiliser les propriétés associées à cet objet. Dans l’exemple précédent, on fait appel à trois propriétés différentes pour obtenir le jour de la semaine, le jour du mois (nombre de jour depuis le début du mois) et le jour de l’année (nombre de jour depuis le début de l’année). Nous allons maintenant additionner et soustraire un jour avec l’une des méthodes de GetDate : PSH> (Get-Date).dayofyear samedi 3 mai 2008 11:39:19 PSH> (Get-Date).adddays(-1) jeudi 1 mai 2008 11:39:47 PSH>

Chapitre 15

Administration par les scripts

449

En pratique Autres exemples d’utilisation des dates Les limites imposées par le Planificateur de tâches Windows sont parfois frustrantes. En revanche, exécuter PowerShell à partir du Planificateur de tâches permet de bénéficier des avantages de PowerShell pour contourner ces limites. Voyons si aujourd’hui est un « mardi de correctifs ». Si tel est le cas, nous pourrons compléter ce script. Function patchday { $date=Get-Date if(($date.dayofweek -match "Tuesday") ` -and ($date.day -gt 7) ` -and ($date.day -lt 15)) {"2ème mardi du mois"} else {"Pas le 2ème mardi du mois"} }

Voyons maintenant si nous sommes le dernier jour du mois ou de l’année, pour effectuer des sauvegardes spéciales. Les fonctions suivantes indiquent si nous sommes le dernier jour du mois ou de l’année : function dernier_jour du mois { if((Get-Date).month -ne (Get-Date).adddays(1).month) { "Dernier jour du mois" } } function dernier_jour_année { if((Get-Date).year -ne (Get-Date).adddays(1).year) { "Dernier jour de l’année" } }

Minuterie/compte à rebours Il peut être intéressant de disposer d’un moyen de connaître le temps écoulé, donc voici un exemple de chronomètre : PSH>$début=Get-Date PSH>Read-Host "Appuyez sur Entrée pour démarrer le chronomètre" PSH>$fin=Get-Date PSH>$diff=$fin-$début PSH>Write-Host "Temps écoulé : "+$diff Temps écoulé : +00:00:15.6557375

450

Partie III

Administration du réseau

On peut aussi employer New-TimeSpan pour obtenir la différence entre deux dates : PSH>new-timespan $(Get-Date) $(Get-Date).adddays(-1) Days Hours Minutes Seconds Milliseconds Ticks TotalDays TotalHours TotalMinutes TotalSeconds TotalMilliseconds

: : : : : : : : : : :

-1 0 0 0 0 -864000000000 -1 -24 -1440 -86400 -86400000

Voici un exemple de compte à rebours utilisant New-TimeSpan : PSH>$fin=Get-Date –hour 11 –minute 00 –second 00 PSH>$fin vendredi 2 mai 2008 11:00:00 PSH>while($(Get-Date) -lt $fin) >> {(new-timespan $(Get-Date) $fin).totalseconds;start-sleep -s 1} >> 1109.7343684 1108.7343556 1107.7343428 1106.73433 1105.718692

Récupérer l’entrée de la console Il faut parfois demander à l’utilisateur de saisir quelque chose avant la poursuite du script. Voici un exemple simpliste que l’on peut créer avec Read-Host : function interroger-utilisateur { Read-Host "Quel est ton prénom ?" } PSH>interroger-utilisateur Quel est ton prénom ? : Charlotte Charlotte PSH>$utilisateur=interroger-utilisateur Quel est ton prénom ? : Charlotte PSH>$utilisateur Charlotte

Chapitre 15

Administration par les scripts

451

Important Lorsque vous traitez des informations sensibles, comme des mots de passe, faites appel au paramètre –AsSecureString : $chaîne_protégée=Read-Host "Saisissez votre mot de passe" –AsSecureString

La variable $chaîne_protégée résultante sera un objet System.Security.SecureString. – AsSecureString ne constitue pas une méthode infaillible pour sécuriser des informations comme les mots de passe. Un autre utilisateur employant les mêmes informations de compte que celles utilisées pour créer la chaîne sécurisée a accès au mot de passe.

Stocker des informations sécurisées L’automatisation exige souvent que l’on stocke un mot de passe à employer dans les scripts pour leur permettre d’accéder aux serveurs et aux services. Prenons un exemple : PSH>$InfosId=Get-Credential PSH>$InfosId.Password|convertfrom-securestring|Set-Content sécurisé.dat

Nous avons placé un objet credential dans la variable $InfosId. Sur la deuxième ligne, on récupère la propriété password de l’objet que l’on vient de créer, que l’on passe à la cmdlet ConvertFrom-SecureString et écrit sous forme de chaîne cryptée dans sécurisé.dat. Pour lire la chaîne cryptée, nous avons besoin de deux lignes de code : PSH>$motdepasse=Get-Content secured.dat|convertto-securestring PSH>$InfosId=New-Object system.management.automation. pscredential "Administrator",$motdepasse

La première ligne récupère le contenu du fichier créé, lequel contient le mot de passe crypté, le passe à ConvertTo-SecureString et place le résultat dans la variable $InfosId. On peut à présent passer $InfosId à une cmdlet qui supporte le paramètre –credential. Remarque Comme nous l’avons mentionné précédemment, le fichier

sécurisé.dat contient une chaîne cr yptée. Cependant, si le système est compromis et qu’une personne accède au compte ayant crypté sécurisé.dat, le contenu du fichier est également compromis. Si les données contiennent le mot de passe d’un système distant, la compromission du système local peut entraîner celle du système distant.

452

Partie III

Administration du réseau

Consultez les services et les processus PowerShell propose plusieurs cmdlets pour consulter les services et les processus. PSH> Get-Command -type cmdlet *service* PSH> Get-Command -type cmdlet *process*

Ces cmdlets permettent d’effectuer toute tâche requise par un service. Pour les processus, cependant, on peut récupérer un processus ou l’arrêter.

À l’arrière-plan Exploiter les services Il est possible de récupérer les informations de démarrage d’un service directement à partir d’une cmdlet PowerShell. Pour cela, il faut revenir à WMI : PSH>Get-Wmiobject win32_service|Where-Object {$_.DisplayName -match "Event Log"} ExitCode Name ProcessId StartMode State Status

: : : : : :

0 Eventlog 636 Auto Running OK

PSH>

Dans le résultat précédent, la propriété StartMode indique la configuration de démarrage du service. Voici une requête permettant d’obtenir la liste des services en démarrage automatique qui ne sont pas en cours d’exécution sur un ordinateur distant : Get-Wmiobject -computer hp350-dc-02 win32_service|Where-Object {if($_.startmode -eq "Auto" -and $_.state -eq "Stopped") {$_.name}}

Continuons sur la lancée et créons un script, Consulter_Services.ps1. Dans ce script, on interroge une liste de serveurs (serveurs.txt) pour localiser les services qui ne sont pas en cours d’exécution et définis pour démarrer automatiquement : $serveurs=Get-Content "serveurs.txt" if(Test-Path "résultat.txt"){ Remove-Item "résultat.txt" } [array]$liste=@() foreach($serveur in $serveurs){ $liste=$null Get-Wmiobject -computer $serveur win32_service|` Where-Object{if($_.startmode -eq "Auto" -and $_.state -eq

Chapitre 15

Administration par les scripts

453

"Stopped"){$list+=$_.name+" "}} if($liste -eq $null){ $serveur+" OK" | out-file -append "résultat.txt" }else{ $serveur+" "+$liste | out-file -append "est.txt" } } Get-Content "résultat.txt"

Les pièces commencent à s’imbriquer et vous commencez sans doute à percevoir les possibilités. On commence par récupérer la liste des serveurs et par effectuer une sorte de nettoyage pour s’assurer de ne pas lire d’anciennes informations. Ensuite, on boucle dans la liste des serveurs, on en vérifie l’état et on envoie le résultat dans le fichier de résultat : PSH>./consulter_services.ps1 Get-Wmiobject : Le serveur RPC n’est pas disponible (Exception de HRESULT: 0x800706BA) Au niveau de C:\Documents and Settings\Desktop\charlie\check_services.ps1:11 char:16 + Get-Wmiobject (Get-Date).adddays(-1) mercredi 7 mai 2008 08:20:35 PSH>Get-Eventlog -log application|Where-Object{($_.timewritten -gt (Get-Date).adddays(-3)) -and ($_.timewritten -lt (Get-Date).adddays(1))}

Collecter les informations sur la mémoire et le processeur Il est toujours important de connaître l’utilisation processeur d’un serveur. Avec WMI, on accède à une classe qui propose nombre d’informations sur les processeurs. Par exemple, la propriété loadpercentage donne un instantané actuel de l’utilisation processeur : PSH>Get-Wmiobject win32_processor|Select-Object loadpercentage loadpercentage -------------13

L’autre information intéressante concernant les processeurs est l’utilisation des processus.

En pratique Utiliser WMI à distance La classe WMI Win32_PhysicalMemory donne accès à la configuration de mémoire physique réelle d’un système, même à distance. Il est possible de déterminer le nombre de modules installés, leur taille et leur vitesse, ainsi que le nombre de d’emplacements de rechange : PSH> PS > Get-Wmiobject win32_physicalmemory|Select-Object devicelocator, speed, capacity | Format-Table –autosize devicelocator speed capacity -----------------------DIMM 1A 667 2147483648 DIMM 2B 667 2147483648 DIMM 3C 667 2147483648 DIMM 4D 667 2147483648 DIMM 5A 667 2147483648 DIMM 6B 667 2147483648 DIMM 7C 667 2147483648 DIMM 8D 667 2147483648

456

Partie III

Administration du réseau

À partir du précédent exemple, on remarque la présence de 8 modules mémoire, tous à la même vitesse et d’une capacité de 2 Go chacun. Pas d’emplacement de rechange. On note également une anomalie intéressante : une machine virtuelle, qui exécute une partition enfant Hyper-V sur le même serveur : Devicelocator ------------DIMM1 DIMM2 DIMM2 DIMM2

speed -----

capacity -------16777216 16777216 16777216 16777216

À partir de ces informations, on remarque que 4 Go ont été affectés à la machine virtuelle et que la mémoire est apparemment divisée entre deux des DIMM sous-jacentes sur l’ordinateur physique.

Accéder aux compteurs de performance Comme nous l’avons vu dans la précédente section, il est relativement simple, via WMI, d’obtenir un instantané de l’utilisation processeur locale. On peut aussi connaître l’utilisation d’un processus spécifique directement à partir de WMI, mais le résultat obtenu semble incohérent. PSH>gwmi Win32_PerfFormattedData_PerfProc_Process|where{$_.name -eq "powershell"}|select PercentPrivilegedTime,PercentUserTime | ft –autosize PercentPrivilegedTime PercentUserTime ----------------------------------0 0

Il existe un autre moyen de récupérer les données de performances : la classe .NET Framework System.Diagnostics.PerformanceCounter. $compteur="Process","% Processor Time","powershell" $obj=New-Object System.Diagnostics.PerformanceCounter $compteur [void]$obj.NextValue() for($i=0;$i -lt 10;$i++){ start-sleep -s 1 $obj.NextValue() }

Chapitre 15

Administration par les scripts

457

Dans cet exemple, on fait appel à .NET Framework pour accéder à des compteurs spécifiques. Le seul problème dans ce cas est de formater correctement la variable $compteur. Pour cela, ouvrez l’interface graphique du compteur de performance et recherchez les valeurs à collecter. Remarque Si vous devez surveiller plusieurs instances d’un processus, les choses pourraient se compliquer. Dans l’exemple précédent, pour récupérer le compteur de la première instance de PowerShell, on examine simplement l’instance « powershell ». Si plusieurs processus PowerShell s’exécutent simultanément, il faut modifier la variable $compteur en conséquence. Par exemple, pour surveiller le deuxième processus PowerShell (à savoir le deuxième processus démarré chronologiquement), on peut définir la variable de la manière suivante : $compteur="Process","% Processor Time","powershell#1"

En pratique Surveiller un processus Lorsque l’on soupçonne un processus d’exploiter trop de ressources, il est préférable de ne pas l’arrêter sans vérifier qu’il est réellement la source du problème. Il est donc judicieux de vérifier plusieurs fois. Si vous examinez les ressources employées au moins 10 fois et que cinq échantillons indiquent un usage important des ressources, il est temps d’arrêter le processus et de vérifier pourquoi. $compteur="Process","% Processor Time","powershell" $obj=New-Object System.Diagnostics.PerformanceCounter $compteur [void]$obj.NextValue() $j=0 for($i=0;$i -lt 10;$i++){ start-sleep -s 1 $valeur=$obj.NextValue() if($valeur –gt 50){ $j++ } } if($j –gt 5){ Write-Host "Le processus a dépassé 50 plus de 5 fois" Stop-Process –name powershell –whatif }

On a défini un compteur ($j) pour suivre le nombre de fois où le processus dépasse une utilisation de 50. On l’incrémente si, et seulement si, il dépasse 50. On vérifie ensuite la valeur de $j et si elle est supérieure à 5, on écrit un message dans la console PowerShell et on exécute Stop-Process sur le processus PowerShell. Nous avons ajouté le paramètre whatif pour demander à PowerShell d’indiquer à l’écran les actions qui auraient été entreprises au lieu d’arrêter réellement le processus. Remarque Si plusieurs processus PowerShell s’exécutent à ce moment-là, ils sont tous arrêtés. Ce n’est pas forcément le résultat recherché.

458

Partie III

Administration du réseau

Remarque Il n’existe pas de cmdlet Start-Process dans l’installation PowerShell

par défaut. Si ce processus fait partie d’un ser vice Windows, le système d’exploitation tente de redémarrer le service lorsqu’il détermine que le processus a été arrêté. Effectuez des tests dans un environnement de test avant de tenter d’arrêter des processus en production.

Vérifier l’utilisation de l’espace disque Nous sommes tous obligés de suivre l’utilisation du disque. Pour obtenir cette information en local ou à distance, faites appel à la classe WMI Win32_LogicalDisk : 1 2 3 4 5 6 7 8 9 10 11 12 13

PSH>gwmi win32_logicaldisk|where {$_.DriveType –eq 3} DeviceID : C: DriveType : 3 ProviderName : FreeSpace : 11066040320 Size : 80015491072 VolumeName : PSH>(gwmi win32_logicaldisk|where {$_.DriveType –eq 3}).freespace 11066023936 PSH>(gwmi win32_logicaldisk|where {$_.DriveType –eq 3}).freespace/1gb 10.306037902832 PSH>(gwmi win32_logicaldisk|where {$_.DriveType –eq 3}).size/1gb 74.5202331542969

Un DriveType de 3 indique un disque fixe, ce qui nous limite à l’interrogation des disques durs fixes. Remarque Pour obtenir d’autres valeurs pour d’autres types de lecteurs, consultez la documentation MSDN suivante : http://msdn2.microsoft.com/en-us/ library/aa394173.aspx.

Les informations précédentes sont utiles, mais elles nous obligent à effectuer des calculs supplémentaires pour obtenir un résultat plus significatif comme le pourcentage d’espace disque utilisé. Heureusement, PowerShell peut les faire automatiquement : PSH > gwmi win32_logicaldisk|where {$_.DriveType -eq 3}| Select-Object deviceid,@{e={[int]([long]$_.Freespace/[long]$_.Size*100)}; n="%free"}| ft –autosize deviceid %free -----------C: 79 D: 38 E: 32 F: 62

Chapitre 15

Administration par les scripts

459

Cette ligne de commandes est plutôt longue. Nous avons utilisé les propriétés calculées avec la cmdlet Select-Object pour récupérer la valeur du pourcentage d’espace libre et, cette fois, nous l’avons exécuté sur le serveur principal pour compléter le tableau. La commande précédente illustre un léger problème. Pour l’éviter, il faut convertir certaines valeurs en entiers longs. Nous avons également converti le calcul en entier pour éliminer les décimales et obtenir une valeur arrondie.

Exploiter le registre PowerShell dispose d’un fournisseur intégré pour les deux ruches de registre suivantes : ■ HKEY_LOCAL_MACHINE ■ HKEY_CURRENT_USER

Cela permet de parcourir le registre comme un système de fichiers. La figure 15-10 montre l’exemple des paramètres de stratégie d’exécution PowerShell sur un système :

Figure 15-10 Utilisation du fournisseur du registre Remarque Shay Levi a eu la gentillesse de nous fournir un jeu complet de fonctions de registre permettant d’inter venir sur les registres locaux et à distance : http://scriptolog.blogspot.com/2007/10/stand-alone-registry-functionslibrar y.html. Ces scripts montrent comment PowerShell profite de .NET Framework.

Copier des fichiers dans un autre répertoire Certaines actions sont plus difficiles à réaliser à partir de PowerShell. Copier des fichiers de manière récursive d’un dossier à un autre est l’une d’entre elles. C’est faisable, mais pourquoi s’embêter ? La bonne vieille commande Xcopy le fait déjà et plutôt bien. Rien ne vous empêche de l’appeler depuis PowerShell.

460

Partie III

Administration du réseau

Alterner les journaux La rotation des journaux constitue une tâche classique, hebdomadaire, mensuelle et parfois annuelle. On peut, par exemple, renommer le fichier application_log.txt application_log1.txt pour le conserver et vider le journal actuel pour simplifier le dépannage. Voici un exemple qui définit une variable ($enregistrer) au début du script, laquelle contrôle le nombre de copies du fichier journal on conserve avant d’écraser les plus anciennes. $enregistrer=4 if(!(Test-Path application_log.txt)){ Write-Host "Le fichier n’existe pas" break } for($i=$enregistrer;$i -ge 1;$i=$i--){ if(Test-Path "application_log$i.txt"){ Copy-Item -Force "application_log$i.txt" "application_log$($i+1).txt" } } Copy-Item -force application_log.txt application_log1.txt Set-Content application_log.txt $null

Renommer les fichiers L’administrateur est très régulièrement amené à renommer des fichiers. Dans cet exemple, on prend le fichier truc.txt et on le renomme bidule.txt. Il faut se rappeler que dans PowerShell, chaque élément est un objet. Voyons cela en détail : PSH C:\demo> gci truc.txt Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo Mode ----a---

LastWriteTime ------------05/05/2008 10:36:45

Length -----0

Name ---truc.txt

PS C:\demo> (gci truc.txt).name truc.txt PS C:\demo> ((gci truc.txt).name).gettype() IsPublic -------True

IsSerial -------True

Name ---String

PS C:\demo> ((gci truc.txt).name).gettype().name String

BaseType -------System.Object

Chapitre 15

Administration par les scripts

461

Bien, nous savons que le nom du fichier est un objet string. Nous avons déjà étudié quelquesunes des méthodes qui s’appliquent aux objets string. Dans ce cas, nous utiliserons la méthode replace, qui remplace une chaîne par une autre. PS C:\demo> gci truc.txt|%{Move-Item $_.name $_.name.replace("truc","bidule")} PS C:\demo> gci bidule.txt Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo Mode ----a---

LastWriteTime ------------05/05/2008 10:37:20

Length -----0

Name ---bidule.txt

En pratique Exemple de changement de noms de fichiers Voici un exemple plus complexe, mais plus proche de la réalité. Pour écrire ce livre, nous avons capturé un grand nombre d’écrans. Au début du processus, nos captures ne suivaient pas la convention de dénomination prévue et devaient être modifiées. Les fichiers étaient intitulés F12-1.bmp à F12-22.bmp, alors qu’ils auraient du être libellés F12LH01.bmp à F12LH22.bmp. Nous devions également nous assurer que seuls les fichiers qui devaient réellement être renommés le seraient. Nous avions donc les exigences suivantes : ■ Si le numéro à la fin était inférieur à 10, il fallait le compléter avec un 0. Autrement

dit, 1 devait devenir 01, mais 22 devait rester 22. ■ Il fallait remplacer le tiret (–) par LH. foreach($fichier if($fichier.name mv $fichier.name } else{ mv $fichier.name } }

in (gci . F12*.BMP){ -match '-\d{1}.BMP' ){ $fichier.name.replace('-','LH0')

$fichier.name.replace('-','LH')

Planifier des tâches L’interface utilisateur du Planificateur de tâches est parfaite, mais si l’on souhaite exécuter un script PowerShell à intervalles réguliers, pourquoi ne pas employer PowerShell pour créer les tâches ? Pour ce faire, servez-vous de Schtasks.exe à partir de la console PowerShell.

462

Partie III

Administration du réseau

Remarque WMI possède une classe Win32_ScheduledJob, mais accède uniquement aux tâches créées avec l’ancienne commande AT. Pour planifier un script PowerShell, faites appel à schtasks avec la commande /create. Schtasks /create /SC monthly /MO first /d Sun /TN PS1Task /TR "powershell.exe command '& {c:\demo\script.ps1}'"

Cette commande crée une tâche mensuelle qui s’exécute le premier dimanche du mois et exécute le script PowerShell script.ps1. Pour de plus amples informations sur schtasks.exe, servez-vous du paramètre /?. Remarque Vous remarquerez sans doute une brève fenêtre qui s’ouvre lorsque le script PowerShell s’exécute. Il est possible de masquer cette console avec VBScript. Pour de plus amples informations, reportez-vous aux articles de blog de Jeffrey Hicks : http://blog.sapien.com/index.php/2006/12/20/schedule-hiddenpowershell-tasks/ et http://blog.sapien.com/index.php/2006/12/26/more-funwith-scheduled-powershell/.

Exécuter des commandes sur plusieurs cibles Les administrateurs exécutent souvent les mêmes tâches sur plusieurs ordinateurs. Dans PowerShell 1, cela pose un problème, puisqu’il n’est pas possible d’exécuter une tâche en arrière-plan : elle bloquerait la console dans laquelle elle s’exécute. La prochaine version de PowerShell devrait autoriser les tâches d’arrière-plan, si l’on s’en réfère au CTP actuel. Toutefois, Jim Truher de Microsoft, qui faisait partie de l’équipe PowerShell de Microsoft, a publié un article de blog en 2007 qui propose le cadre nécessaire à la création de tâches d’arrière-plan : http://jtruher.spaces.live.com/blog/cns!7143DA6E51A2628D!130.entry. Toutefois, même sans tâches d’arrière-plan, il reste possible d’exécuter une tâche par rapport à une liste d’ordinateurs, en se servant des possibilités suivantes : ■ Utiliser foreach, ForEach-Object et Where-Object. ■ Utiliser Get-Content et une liste d’ordinateurs cibles dans un fichier texte : PSH>Get-Content serveurs.txt|foreach-object{$_} serveur1 serveur2

Chapitre 15

Administration par les scripts

463

■ Utiliser Import-Csv et une liste d’ordinateurs enregistrée dans Office Excel ou un

fichier CSV : PSH>Import-Csv serveurs.csv|Select-Object server|foreach-object{$_} server -----serveur1 serveur2

Créer des données XML Comme nous l’avons mentionné précédemment, PowerShell supporte XML, et plus particulièrement les cmdlets Export-Clixml et Import-Clixml. On peut, par exemple, passer des informations entre systèmes et utilisateurs. Une fois au format XML, les données sont simples à transférer, comme le montre la figure 15-11.

Figure 15-11 Utilisation de données XML pour passer des informations

Comme l’illustre la figure 15-11, on exporte d’abord les deux événements les plus récents au format XML, puis on les importe. On peut également faire appel aux cmdlets Export-Csv et Import-Csv, de façon similaire.

464

Partie III

Administration du réseau

Vérifier les ports ouverts Dans le cadre du dépannage, il est intéressant de se connecter à un port TCP et de lui envoyer des commandes (test SMTP par exemple). On pourrait activer et exploiter le client telnet de Windows Server 2008, mais dans nombre d’environnements ; telnet est explicitement désactivé pour des raisons de sécurité. On peut créer un équivalent en exploitant PowerShell et .NET Framework, mais l’opération est complexe, vraiment complexe. Heureusement, Lee Holmes, l’un des développeurs de PowerShell, propose quelques articles intéressants que vous pouvez consulter sur http:// www.leeholmes.com/blog/ReplacingTelnetexeNowRemovedFromVista.aspx et http:// www.leeholmes.com/blog/ScriptingNetworkTCPConnectionsInPowerShell.aspx.

Head, Tail, Touch et Tee Si vous avez passé du temps dans un environnement UNIX, certains utilitaires sont difficiles à oublier. Head, tail, touch et tee sont sans doute ceux qui vous manquent le plus. Head et tail s’emploient généralement pour récupérer le début (head) et la fin (tail) d’un flux de données ou d’un fichier texte, sans déranger le fichier. PowerShell propose Select-Object pour imiter le résultat de head et tail : PSH>Get-Content test1.txt 1111 2222 3333 PSH>Get-Content test1.txt|Select-Object -first 1 1111 PSH>Get-Content test1.txt|Select-Object -last 1 3333 PSH>Get-Process|Select-Object -last 1 Handles ------117

NPM(K) -----6

PM(K) ----1484

WS(K) ----808

VM(M) ----39

CPU(s) Id ------0.34 4000

ProcessName ----------Wuser32

Select-Object accompagné des paramètres –first ou –last offre les mêmes fonctionnalités que head et tail. On utilise tee dans le cadre d’un jeu de commandes canalisées. Il prend le résultat dans le flux de données et l’envoie à l’écran (sortie standard), tout en passant également le résultat vers la prochaine commande du pipeline. Dans PowerShell, certaines cmdlets supportent le paramètre –passthru, que l’on peut exploiter pour imiter la fonctionnalité de tee, mais PowerShell possède également une cmdlet Tee-Object. Voici un exemple qui montre l’utilisation de Tee-Object :

Chapitre 15

Administration par les scripts

465

PSH>notepad PSH>Get-Process notepad Handles ------43

NPM(K) -----2

PM(K) ----1000

WS(K) ----3480

VM(M) ----30

CPU(s) Id ------0.13 1116

ProcessName ----------notepad

PSH>Get-Process notepad|Stop-Process PSH>notepad PSH>Get-Process notepad|tee-object -filepath tee.txt|Stop-Process PSH>Get-Content tee.txt Handles ------43 PSH>

NPM(K) -----2

PM(K) ----1000

WS(K) ----3420

VM(M) ----30

CPU(s) Id ------0.06 5544

ProcessName ----------notepad

Dans cet exemple, on démarre par une instance du Bloc-notes, puis on exécute Get-Process pour récupérer les informations relatives au processus que l’on vient de démarrer. On peut directement canaliser la commande Get-Process vers Stop-Process pour arrêter le processus Bloc-notes, mais rien n’indique à l’écran que nous l’avons fait. Si l’on insère Tee-Object dans le canal, on récupère le résultat dans un fichier (en plus de l’écran de la console) ou dans une variable à manipuler. Pendant ce temps, Tee-Object passe le résultat à la phase suivante du pipeline. Voyons maintenant un processus similaire à touch : function touch ($fichier) { if(Test-Path $fichier) { (Get-Childitem $fichier).set_LastWriteTime([datetime]::now) } else { New-Item $fichier -type "fichier" } } PSH>Get-Childitem touchtest.txt Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo Mode LastWriteTime Length Name ------------------------a--05/05/2008 11:34:43 12 touchtest.txt PSH>touch touchtest.txt PSH>Get-Childitem touchtest.txt Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo

466

Partie III

Mode ----a---

Administration du réseau

LastWriteTime Length -----------------05/05/2008 11:35:43 12

Name ---touchtest.txt

PSH>touch autre.txt Directory: Microsoft.PowerShell.Core\FileSystem::C:\demo Mode ----a---

LastWriteTime ------------05/05/2008 11:37:21

Length -----0

Name ---autre.txt

PSH>

Et voilà ! Si le fichier existe, on actualise l’heure de la dernière écriture avec l’heure en cours. Si le fichier n’existe pas, on le crée. Pour une version un peu plus avancée de touch, reportezvous au blog de Keith Hill : http://keithhill.spaces.live.com/blog/ cns!5A8D2641E0963A97!226.entry#permalinkcns!5A8D2641E0963A97!226.

Résumé Dans ce chapitre, nous vous avons donné un avant-goût de PowerShell et vous avons montré comment l’employer dans vos tâches administratives quotidiennes. PowerShell devient rapidement le langage de script et l’interpréteur choisi par les administrateurs système, ce qui nous réjouit. Dans le prochain chapitre, nous entamons l’étude des services d’annuaire, en commençant par les installer et les configurer.

Chapitre 16

Installation et configuration des services d’annuaire Active Directory dans Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 Installer les services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 473 Installer les services AD DS avec l’Assistant Installation des services de domaine Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Installer et configurer des contrôleurs de domaine en lecture seule . . . . . . . . . 491 Gérer les services AD DS avec Utilisateurs et ordinateurs Active Directory . . . . 498 Gérer les services AD DS avec Domaines et approbations Active Directory . . . 505 Exploiter Sites et services Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510 Installer et configurer les services AD LDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 L’installation et la configuration de Microsoft Active Directory constituent une part importante du processus d’administration de Windows Server 2008 et il est essentiel de connaître les différents outils fournis à cet effet. Ce chapitre commence par analyser les composants Active Directory de Windows Server 2008, puis il détaille l’installation et l’administration des principaux composants d’Active Directory.

Active Directory dans Windows Server 2008 Dans Windows Server 2008, le concept d’Active Directory reprend les bases de sa version Windows Server 2003 avec l’ajout de composants. Chaque composant s’installe en tant que rôle de serveur dans Windows Server 2008. Au cœur d’Active Directory se trouvent les services de domaine Active Directory, le rôle chargé dans la plupart des organisations de l’authentification réseau et des services d’autorisations pour les utilisateurs. Les autres rôles de serveurs Active Directory développent de manières diverses les fonctionnalités des Services de domaine Active Directory afin de prendre en charge le déploiement d’applications, le partage d’applications entre des organisations et la sécurité améliorée.

467

468

Partie III

Administration du réseau

Services de domaine Active Directory Les services de domaine Active Directory (AD DS, Active Directory Domain Services) fournissent un service d’annuaire sécurisé aux utilisateurs et aux ressources de l’organisation, ainsi que des services de gestion de comptes utilisateur aux autres rôles de serveurs Active Directory, lesquels apportent des fonctionnalités supplémentaires en vue de concevoir un environnement réseau sécurisé. Remarque Si vous connaissez bien les précédentes versions d’Active Directory

de Windows 2000 et Windows Server 2003, les services de domaine Active Directory correspondent au service d’annuaire Active Directory.

Les services AD DS constituent un annuaire centralisé destiné à la gestion et à l’authentification des utilisateurs et des ordinateurs. Ils fournissent les services d’authentification sur un réseau Windows Server 2008. L’annuaire contient des objets utilisateurs, groupes, ordinateurs et des informations sur le service. Ce dernier donne ainsi des informations sur ces objets, tout en authentifiant et en gérant l’accès aux ressources du réseau. Vous avez déjà rencontré les services AD DS à plusieurs reprises dans le tome 1 de ce livre : ■ Le chapitre 2, « Présentation des services d’annuaire », présente une vue d’ensemble

des composants des services de domaine Active Directory. ■ Le chapitre 3, « Planification de l’espace de noms et des domaines », donne des

indications pour planifier les déploiements des services de domaine Active Directory. ■ Le chapitre 11, « Gestion des utilisateurs et des groupes », décrit comment gérer les

comptes utilisateur et de groupe dans les services de domaine Active Directory. ■ Le chapitre 13, « Stratégie de groupe », explique comment gérer la Stratégie de groupe

dans les services de domaine Active Directory. Remarque Ce chapitre contient des informations détaillées supplémentaires sur l’installation et la configuration des services AD DS.

Services AD LDS Les services AD LDS (Active Directory Lightweight Directory Service) constituent un autre composant d’Active Directory dans Windows Server 2008. Équivalent d’ADAM (Active Directory Application Mode) dans Windows Server 2003, ce service d’annuaire LDAP (Lightweight Directory Access Protocol) peut remplacer les fonctionnalités des services AD DS dans certains cas ou être déployé avec ces derniers. Les services AD LDS fournissent la plupart des fonctionnalités de service d’annuaire des services AD DS, mais ne nécessitent pas le déploiement de domaines ou de contrôleurs de domaine. Ils offrent un modèle de

Chapitre 16

Installation et configuration des services d’annuaire

469

déploiement bien plus flexible. Par exemple, il est possible d’exécuter plusieurs instances des services AD LDS en concurrence sur un seul ordinateur avec un schéma géré de manière indépendante pour chaque instance. On peut aussi configurer la réplication AD LDS de sorte que la même instance des services AD LDS soit distribuée sur plusieurs ordinateurs. Les services AD LDS ne remplacent pas, mais complètent les services AD DS. Ces derniers fournissent l’authentification réseau et la gestion de l’annuaire, alors que les services AD LDS procurent un service d’annuaire aux applications. Voici les cas de figure où l’on peut envisager un déploiement des services AD LDS : ■ Banque d’annuaire d’entreprise Les services AD LDS stockent des données

d’applications dans un service d’annuaire local, soit sur le même ordinateur que l’application, soit sur un autre ordinateur. Une application d’entreprise qui stocke des données de personnalisation associées aux utilisateurs de l’entreprise qui accèdent à un site web est un exemple d’application qui pourrait avoir recours aux services AD LDS. Le stockage de ces données de personnalisation dans les services AD DS imposerait de modifier le schéma des services AD DS. En choisissant les services AD LDS pour stocker des données spécifiques aux applications et en exploitant les entités utilisateurs dans les services AD DS pour authentifier et contrôler l’accès aux objets dans les services AD LDS, vous contrez la prolifération des ID et mots de passe utilisateur de l’utilisateur final lorsqu’une nouvelle application compatible avec l’annuaire est introduite sur le réseau. ■ Banque d’authentification extranet De nombreuses organisations déploient des

applications de portail web par le biais desquels les utilisateurs en déplacement hors de l’organisation bénéficient d’un accès extranet aux applications de l’entreprise. Ces serveurs et applications de portail requièrent une banque d’authentification pour enregistrer les informations d’autorisations sur les utilisateurs. Les services AD LDS peuvent s’en charger. En effet, ils sont en mesure d’héberger des objets utilisateurs qui ne sont pas des composants essentiels de sécurité Windows, mais qui peuvent être authentifiés par des liaisons LDAP simples. ■ Solution de consolidation de l’annuaire Les entreprises déploient souvent plusieurs

annuaires. En conséquence, les comptes utilisateur se trouvent parfois dans plusieurs forêts, domaines et OU des services AD DS, ou dans différents systèmes d’identités et autres annuaires, comme les bases de données des ressources humaines ou les annuaires téléphoniques. Les services AD LDS peuvent s’intégrer dans un métarépertoire, ce qui signifie qu’il est possible de synchroniser les identités créées dans les services AD LDS avec le métarépertoire. Ils acceptent également la synchronisation des identités en provenance du métarépertoire.

470

Partie III

Administration du réseau

■ Environnement de développement pour les services de domaine Active Directory

et les services AD LDS Comme les services AD LDS reposent sur le même modèle de programmation et fournissent pratiquement la même administration que les services AD DS, les développeurs peuvent exploiter les services AD LDS pour tester et mettre en situation différentes applications intégrées aux services AD DS. Par exemple, si une application en développement exige un schéma différent de celui des services AD DS en cours, le développeur peut faire appel aux services AD LDS pour concevoir l’application et tester un processus de mise à jour du schéma. Une fois que l’application et le processus de mise à jour du schéma ont été éprouvés de manière approfondie, l’application peut être transférée vers les services AD DS.

Services AD RMS Le rôle Services AD RMS (Active Directory Rights Management Services) renforce la solution de sécurité existante d’une organisation en fournissant une stratégie basée sur l’objet et de protection permanente. Il propose des stratégies permanentes capables de protéger les informations sensibles de l’entreprise, comme les documents de traitement de texte, les données des clients, les messages électroniques ou les données financières, même si ces informations sont déplacées ou expédiées hors de l’organisation. Les restrictions de sécurité applicables à un fichier spécifique suivent le document, où qu’il aille, et ne s’appliquent pas au conteneur qui accueille le document (contrairement aux listes de contrôle d’accès). Avec les services AD RMS, les utilisateurs du réseau copient, impriment ou transmettent des données sensibles. Vous envoyez vos messages confidentiels en toute sécurité : le destinataire ouvre et lit le message, puis le stocke soit dans un dossier du réseau, soit dans un dossier local. Les destinataires qui reçoivent des messages protégés par des droits ne peuvent pas couper, copier ou transférer le message à d’autres destinataires. Pour garantir la confidentialité de la communication en entreprise, il faut annuler la possibilité de transférer les messages confidentiels protégés par des droits. Les services AD RMS empêchent de copier les données dont les autorisations sont limitées puis de les coller dans un message ou un document non restreint. Lorsqu’un document protégé par des droits est ouvert, les utilitaires de capture d’écran qui détectent les services AD RMS, comme Microsoft OneNote, ne peuvent pas capturer d’image à l’écran. Un système AD RMS émet des certificats de comptes de droits qui identifient les entités approuvées (utilisateurs, groupes ou services) et autorisées à publier du contenu protégé par des droits. Si l’approbation a été établie, les utilisateurs ont la possibilité d’attribuer des droits et des restrictions d’usage au contenu à protéger. Ces droits d’usage spécifient les utilisateurs autorisés à accéder au contenu protégé et délimite leur champ d’action. Si le contenu est protégé, le système crée une licence de publication. Elle associe les droits d’usage spécifiques à une partie donnée du contenu afin qu’il puisse être distribué. La figure 16-1 illustre le fonctionnement des services AD RMS.

Chapitre 16

Base de données

AD RMS fournit des certificats et le chiffrement

L’auteur crée et protège le contenu

Figure 16-1

Installation et configuration des services d’annuaire

471

Contrôleur de domaine AD DS

Serveur AD RMS

AD RMS fournit un certificat d’usage en fonction des restrictions de l’auteur du contenu

L’auteur transmet le contenu à l’utilisateur

L’utilisateur consomme le contenu

Les services AD RMS protègent le contenu des accès non autorisés.

Les utilisateurs qui reçoivent un certificat de compte de droits sont autorisés à accéder au contenu protégé en exploitant une application client compatible avec les services AD RMS. Elle leur permet d’afficher et de travailler avec le contenu protégé. Si des utilisateurs tentent d’accéder à du contenu protégé, les requêtes sont envoyées aux services AD RMS pour accéder à, ou consommer, ce contenu. Si un utilisateur tente de consommer le contenu protégé, le service de licence AD RMS du cluster AD RMS émet une licence unique qui lit, interprète et applique les droits et conditions d’usage spécifiés dans les licences de publication. Les droits et conditions d’usage sont conservés et s’appliquent automatiquement à chaque destination du contenu. En outre, les applications compatibles AD RMS utilisent des modèles de droits d’usage prédéfinis pour aider les utilisateurs à appliquer efficacement un jeu prédéfini de stratégies d’usage, tels que les modèles Confidentiel – Lecture seule qui s’appliquent aux messages électroniques. Le client compatible AD RMS doit posséder un navigateur ou une application compatible AD RMS, comme Microsoft Office Word 2007, Microsoft Office Outlook 2007 ou Microsoft Office PowerPoint 2007. Pour créer du contenu protégé, il est nécessaire de posséder le système Office 2007 Édition Entreprise, Professionnel Plus ou Intégrale. Par défaut, Windows Vista intègre le client AD RMS, mais le client RMS doit être installé sur les autres systèmes d’exploitation clients. Le client RMS avec Service Pack 2 (SP2) est disponible en téléchargement sur le Centre de téléchargement Microsoft. Il fonctionne sur les versions du système d’exploitation client antérieures à Windows Vista et Windows Server 2008.

472

Partie III

Administration du réseau

Remarque La conception et le déploiement d’une infrastructure AD RMS sont assez complexes. Pour plus d’informations sur ce processus, reportez-vous au site web des Services AD RMS à l’adresse : http://technet2.microsoft.com/windowsserver2008/en/servermanager/ activedirectoryrightsmanagementservices.mspx.

Services AD FS Le rôle de serveur Services AD FS (Active Directory Federation Services) renforce la fonction d’authentification de compte des services AD DS hors des limites d’une forêt AD FS et sur plusieurs plates-formes, à savoir les environnements Windows et autres. Les services AD FS conviennent particulièrement aux applications côté Internet ou à tout environnement où un compte utilisateur unique a besoin d’accéder aux ressources de différents réseaux. Dans ces situations, un utilisateur peut être invité à saisir ses informations d’identification chaque fois qu’il tente d’accéder à une application qui fait appel à une source d’authentification différente (par exemple, dans une autre organisation ou dans une forêt différente, comme une forêt de réseau de périmètre de la même organisation). Lors de la mise en œuvre des services AD FS, vous pouvez établir une approbation fédérée entre deux organisations ou deux forêts différentes. Cette approbation permet aux utilisateurs d’utiliser les informations d’identification de sécurité de leur propre forêt pour accéder à une application d’un environnement situé hors de leur forêt. L’approbation fédérée est configurée entre les organisations de ressources (organisations qui possèdent et gèrent les ressources et les applications accessibles de l’Internet ou d’autres réseaux tiers) et les organisations de comptes (organisations qui possèdent et gèrent les comptes utilisateur auxquels sera accordé l’accès aux ressources des organisations de ressources). La figure 16-2 illustre les composants inclus dans un déploiement AD FS. Entreprise X Partenaire de compte

Serveur proxy de fédération

Client Pare-feu

Serveur de fédération

Entreprise Y Partenaire de ressources

Approbation de fédération

Serveur proxy de fédération

Pare-feu

Pare-feu

Pare-feu Serveur de fédération

Client Agent Web AD FS

Figure 16-2 Les services AD FS fournissent un accès sécurisé en authentification unique aux applications.

Chapitre 16

Installation et configuration des services d’annuaire

473

Dans ce cas de figure, les services AD FS procurent aux utilisateurs qui ont été authentifiés dans l’organisation de compte un accès SSO (Single Sign-On, authentification unique) aux ressources de l’organisation de ressources. L’authentification unique permet à un utilisateur de se connecter au réseau local et de recevoir un jeton de sécurité qui lui fournit un accès aux ressources de différents réseaux configurés pour approuver ces comptes. Même au sein d’une organisation contenant des réseaux distincts et des limites de sécurité, les utilisateurs bénéficient d’une authentification unique pour accéder à toutes les ressources du réseau appropriées. Les services AD FS fonctionnent dans les grandes organisations avec des organisations de ressources et de compte séparées et sont évolutifs sur l’Internet pour prendre en charge les requêtes d’accès des utilisateurs qui accèdent aux ressources avec un navigateur web. Remarque La conception et le déploiement d’une infrastructure AD FS sont assez

complexes. Pour de plus amples informations sur ce processus, reportez-vous au guide de déploiement et de conception des Services AD FS (en anglais) à l’adresse http:// www.microsoft.com/downloads/details.aspx?FamilyID=B92EA722-0C30-4EA6-BD457E5934B870CF&displaylang=en. Ce guide est basé sur Windows Server 2003 R2, mais la plupart des concepts et procédures s’applique à Windows Server 2008.

Services de certificats Active Directory Les Services de certificats Active Directory (AD CS, Active Directory Certificate Services) constituent l’implémentation Microsoft de l’infrastructure à clé publique (PKI, Public Key Infrastructure). Celle-ci regroupe les composants et les processus exploités pour émettre et gérer les certificats numériques qui servent au chiffrement et à l’authentification. La mise en œuvre des Services de certificats Active Directory n’est pas obligatoire dans une structure Active Directory Windows Server 2008. Cependant, nombreuses sont les organisations qui déploient ce service en interne plutôt que de faire appel aux services d’un fournisseur externe. Les certificats numériques émis par les Services de certificats Active Directory s’emploient de diverses manières pour améliorer la sécurité. Parmi les différentes options, citons S/MIME (Secure/Multipurpose Internet Mail Extensions), les réseaux sans fil sécurisés, VPN (Virtual Private Network), IPsec (Internet Protocol security), EFS (Encrypting File System), la connexion par carte à puce, SSL/TLS (Secure Socket Layer/Transport Layer Security) et les signatures numériques. Remarque Le chapitre 5 du tome 2, « Mise en œuvre des stratégies d’accès à distance : SSTP, VPN et sans fil », explique comment installer et configurer les Services de certificats Active Directory.

Installer les services de domaine Active Directory L’installation des services AD DS sur un serveur Windows Server 2008 est très simple. On fait le plus souvent appel à l’Assistant Installation des services de domaine Active Directory. Dès

474

Partie III

Administration du réseau

lors que les services AD DS sont installés sur un ordinateur Windows Server 2008, l’ordinateur devient un contrôleur de domaine. Ce processus est également appelé promotion—un serveur membre est promu contrôleur de domaine. Si le serveur promu est le premier contrôleur de domaine d’un nouveau domaine et d’une nouvelle forêt, une base de données d’annuaire d’origine se crée, comportant uniquement les objets du service d’annuaire par défaut. Si le serveur promu est un contrôleur de domaine supplémentaire dans un domaine existant, le processus de réplication propage tous les objets du service d’annuaire du domaine sur ce nouveau contrôleur de domaine.

Conditions préalables à l’installation des services de domaine Active Directory Tout serveur Windows Server 2008 qui remplit les conditions préalables décrites dans la section suivante peut héberger les services AD DS et devenir un contrôleur de domaine. En fait, tout nouveau contrôleur de domaine débute en tant que serveur autonome jusqu’à ce que le processus d’installation des services AD DS soit achevé. Une fois les services AD DS installés, la base de données de l’annuaire est stockée sur le disque dur du contrôleur de domaine sous le fichier Ntds.dit. Pendant l’installation de Windows Server 2008, les packages nécessaires se copient sur l’ordinateur pour installer les services AD DS. Ensuite, le processus d’installation des services AD DS, crée la base de données Ntds.dit et la copie à un emplacement identifié pendant le processus ou dans un dossier %systemroot%\NTDS par défaut. Le processus installe également tous les outils nécessaires et DLL requis pour exécuter le service d’annuaire.

Espace disque dur La quantité d’espace requise sur le disque dur pour héberger les services AD DS dépend du nombre d’objets du domaine. S’il s’agit d’un environnement à plusieurs domaines, l’espace nécessaire varie si le contrôleur de domaine est configuré en tant que serveur de catalogue global (GC, Global Catalog) ou non. Voici la configuration minimale en termes d’espace sur le disque dur pour effectuer une installation des services AD DS sur un serveur Windows Server 2008 : ■ 15 Mo d’espace disponible sur la partition d’installation du système ; ■ 250 Mo d’espace disponible pour la base de données Ntds.dit ; ■ 50 Mo d’espace disponible pour les fichiers du journal des transactions de l’ESENT

(Extensible Storage Engine), un système de base de données traitée qui exploite des fichiers journaux pour prendre en charge le modèle de secours et assurer que les transactions sont effectuées sur la base de données. Outre les exigences relatives au disque dur, au moins un lecteur logique doit être formaté avec le système de fichiers NTFS pour prendre en charge l’installation du dossier SYSVOL.

Chapitre 16

Installation et configuration des services d’annuaire

475

Connectivité réseau Avant d’installer les services AD DS, il vous faut configurer les paramètres TCP/IP (Internet Protocol) de la boîte de dialogue Propriétés de Connexion au réseau local. Pour y accéder, dans le Panneau de configuration, ouvrez le Centre réseau et partage, cliquez sur Gérer les connexions réseau, cliquez droit sur l’objet Connexion au réseau local et choisissez Propriétés. Dans la boîte de dialogue, sélectionnez Protocole Internet version 4 (TCP/IPv4) et/ou Protocole Internet version 6 (TCP/IPv6)), puis cliquez sur le bouton Propriétés. Dans la boîte de dialogue Propriétés de Protocole Internet, procédez comme suit : ■ Sur l’onglet Général, configurez l’ordinateur avec une adresse IP statique. ■ Sur l’onglet Général, si le contrôleur de domaine que vous installez n’est pas destiné à

être un serveur DNS, configurez l’adresse du serveur DNS avec l’adresse IP du serveur DNS faisant autorité pour le domaine. ■ Pour accéder à la pile IPv4, cliquez sur le bouton Avancé de l’onglet Général de la boîte

de dialogue Propriétés de Protocole Internet version 4 (TCP/IPv4) et sur la page Paramètres TCP/IP avancés, cliquez sur l’onglet WINS. Configurez ensuite le serveur avec l’adresse IP du serveur WINS (Windows Internet Naming Service) que le contrôleur de domaine va exploiter. Remarque Windows Server 2008 prend complètement en charge IPv6. Si vous mettez en œuvre IPv6 sur votre réseau, configurez également une adresse IPv6 statique sur la carte réseau. Sinon, désactivez IPv6 sur les cartes réseau du contrôleur de domaine.

DNS Les services AD DS nécessitent DNS comme service de localisation des ressources. Les ordinateurs clients se reposent sur DNS pour localiser les contrôleurs de domaine de manière à s’authentifier eux-mêmes ainsi que les utilisateurs qui ouvrent une session sur le réseau. DNS leur permet également d’interroger l’annuaire pour localiser des ressources publiées. Le service DNS doit prendre en charge les enregistrements de ressources Emplacement du service (SRV, Service Locator) et la prise en charge des mises à jour dynamiques est également conseillée. Si DNS n’a pas été précédemment installé sur le réseau ou si l’Assistant Installation des services de domaine Active Directory ne détecte pas de serveur de noms faisant autorité dans la zone des services AD DS, l’assistant installe et configure DNS en même temps que les services AD DS. Remarque Dans Windows Server 2003, l’installation du serveur DNS vous est

proposée. Dans Windows Server 2008, l’installation et la configuration du serveur DNS est automatique si nécessaire. À l’installation de DNS sur le premier contrôleur de domaine d’un nouveau domaine enfant, une délégation est créée automatiquement pour le nouveau domaine dans DNS. Cependant, il reste possible d’installer et de configurer manuellement le service DNS.

476

Partie III

Administration du réseau

Autorisations d’administration Pour installer ou supprimer les services AD DS, vous devez fournir des informations d’identification avec des autorisations d’administration. Le type d’autorisations de compte nécessaires pour installer un domaine AD DS dépend du scénario d’installation : installation d’une nouvelle forêt Windows Server 2008, d’un nouveau domaine Windows Server 2008 dans une forêt existante ou d’un nouveau contrôleur de domaine Windows Server 2008 dans un domaine existant. L’Assistant Installation des services de domaine Active Directory vérifie les autorisations du compte avant d’installer le service d’annuaire. Si vous n’êtes pas connecté avec un compte bénéficiant d’autorisations d’administration, l’assistant vous invite à fournir les informations d’identification appropriées. Si vous choisissez de créer un nouveau domaine racine de la forêt, vous devez être connecté en tant qu’administrateur local, mais vous n’êtes pas obligé de saisir des informations d’identification réseau. Lorsque vous choisissez de créer un nouveau domaine racine à arborescence ou un nouveau domaine enfant dans une arborescence existante, vous devez fournir des informations d’identification réseau pour installer le domaine. Pour créer un domaine racine à arborescence, il vous faut indiquer les informations d’identification d’un membre du groupe Administrateurs de l’entreprise. Pour installer un contrôleur de domaine supplémentaire dans un domaine existant, vous devez être membre du groupe global Admins du domaine.

Installer les services AD DS avec l’Assistant Installation des services de domaine Active Directory La manière la plus simple de promouvoir un serveur pour en faire un contrôleur de domaine dans Windows Server 2008 est d’exécuter l’Assistant Installation des services de domaine Active Directory. Cependant, le rôle de serveur Services de domaine Active Directory doit être installé sur l’ordinateur avant l’exécution de cet assistant. Pour l’installer, ajoutez le rôle dans le Gestionnaire de serveur ou démarrez l’Assistant Installation des services de domaine Active Directory en exécutant dcpromo.exe. Si vous installez le rôle de serveur via le Gestionnaire de serveur, vous pouvez démarrer l’assistant une fois le rôle installé. Si vous exécutez dcpromo.exe, le rôle de serveur Services de domaine Active Directory s’installe, puis l’Assistant Installation des services de domaine Active Directory démarre. L’Assistant Installation des services de domaine Active Directory démarre en tapant dcpromo.exe dans la boîte de dialogue Exécuter ou à l’invite de commandes. Dcpromo accepte plusieurs paramètres en ligne de commandes : ■ Le paramètre /adv démarre l’Assistant Installation des services de domaine Active

Directory en mode Avancé. Dans Windows Server 2008, le mode Avancé est disponible sur la page d’accueil de l’assistant. ■ Le paramètre /unattend:[fichierautomatique] effectue une installation des services AD DS sur

une installation complète de Windows Server 2008 ou sur une installation Server Core.

Chapitre 16

Installation et configuration des services d’annuaire

477

■ Le paramètre /CreateDCAccount crée un compte Contrôleur de domaine en lecture

seule. ■ Le paramètre /UseExistingAccount:Attach lie le serveur à un compte Contrôleur de

domaine en lecture seule. Remarque Nous reviendrons de manière plus détaillée sur ces options dans ce

chapitre.

Lorsque vous exécutez dcpromo.exe, la page d’accueil de l’Assistant Installation des services de domaine Active Directory apparaît. Choisissez ou non le mode Avancé, c’est-à-dire avec des pages supplémentaires concernant les cas de figure moins courants. À mesure que vous parcourez l’assistant, vous devez prendre des décisions essentielles, reprises dans les sections suivantes.

Compatibilité du système d’exploitation La première page de l’assistant d’installation contient un avertissement sur la compatibilité du système d’exploitation (voir figure 16-3). Les contrôleurs de domaine Windows Server 2008 fournissent une sécurité supplémentaire par rapport aux versions précédentes du système d’exploitation Windows Server et l’assistant d’installation donne des informations sur la manière dont la sécurité affecte l’ouverture de session des clients. La stratégie de sécurité par défaut des contrôleurs de domaine Windows Server 2008 requiert deux niveaux de sécurité pour la communication : la signature et le chiffrement SMB (Server Message Block) et la signature du trafic réseau par canal sécurisé.

Figure 16-3 Les contrôleurs de domaine Windows Server 2008 peuvent ne pas être compatibles avec les anciens systèmes d’exploitation ou applications.

478

Partie III

Administration du réseau

Ces fonctionnalités de sécurité du contrôleur de domaine risquent de poser problème sur les ordinateurs clients de bas niveau à l’ouverture de session, ainsi qu’avec certaines applications tierces. Si vous possédez des clients ou des applications de bas niveau qui nécessitent une sécurité moindre, mettez à niveau les systèmes d’exploitation et applications pour obtenir des versions plus récentes. Si cela se révèle impossible, réduisez la sécurité du paramètre de sécurité du contrôleur de domaine de la stratégie Default Domain Controller Policy. Mais dans la mesure où vous réduisez la sécurité du réseau, il n’est pas conseillé de modifier ce paramètre.

Configuration du déploiement La première décision à prendre dans le processus d’installation concerne le type de contrôleur de domaine que vous créez. Sur la page Choisissez une configuration de déploiement de l’assistant, choisissez de créer un contrôleur de domaine dans une forêt existante ou dans une nouvelle forêt, comme le montre la figure 16-4. Si vous créez un nouveau domaine, vous devez choisir entre créer un domaine racine dans une nouvelle forêt, un domaine enfant dans un domaine existant ou une nouvelle arborescence de domaine dans une forêt existante. Pour créer soit un domaine enfant dans un domaine existant, soit une nouvelle arborescence de domaine dans une forêt existante, vous devez fournir les informations d’identification réseau appropriées pour poursuivre le processus d’installation. Les informations d’identification réseau ne sont pas demandées pour créer un nouveau domaine racine de la forêt, mais vous devez être un administrateur local. Remarque L’option d’installer une nouvelle arborescence de domaine n’apparaît que si vous exécutez l’Assistant Installation des services de domaine Active Directory en mode avancé.

Figure 16-4 Page Choisissez une configuration de déploiement

Chapitre 16

Installation et configuration des services d’annuaire

479

Nommer le domaine Si vous créez un nouveau contrôleur de domaine dans une nouvelle forêt, indiquez le nom complet du nouveau domaine racine de la forêt. La figure 16-5 illustre la page Nommez le domaine racine de la forêt, première étape du processus. Le nom complet contient le nom unique du nouveau domaine et, si vous créez un domaine enfant, le domaine parent doit être inclus dans le nom DNS et être disponible. Par exemple, si vous créez le domaine local dans l’arborescence de domaine monentreprise.com, vous devez taper le nom complet local.monentreprise.com. Pour nommer le domaine, vous pouvez employer les lettres A à Z insensibles à la casse, les numéros 0 à 9 et le trait d’union (–). Chaque composant du nom complet (section délimitée par le point [.]) ne peut excéder 63 octets.

Figure 16-5

Page Nommez le domaine racine de la forêt

Bonnes pratiques Nous vous conseillons de ne pas utiliser de noms DNS à étiquette unique pour nommer votre domaine AD DS. Les noms DNS qui ne contiennent pas de suffixe tels que .com, .corp, .net, .org ou nomsociété sont considérés comme des noms DNS à étiquette unique, comme host. La plupart des autorités Internet ne permet pas l’enregistrement des noms DNS à étiquette unique. Évitez également de créer des noms DNS se terminant par .local. Pour de plus amples informations sur ces indications, lisez l’article « Informations relatives à la configuration de Windows pour les domaines dont le nom DNS est en une seule partie », à l’adresse http://support.microsoft.com/kb/300684.

480

Partie III

Administration du réseau

Définir les niveaux fonctionnels Windows Server 2008 Les décisions qui suivent concernent les niveaux fonctionnels du domaine et de la forêt, comme le montre la figure 16-6. Ces paramètres déterminent les fonctionnalités des services AD DS qui sont activées dans un domaine ou dans une forêt ainsi que la version de Windows Server qui peut être installée en tant que contrôleur de domaine du domaine ou de la forêt. Les niveaux fonctionnels de domaine ou de forêt portent le nom du système d’exploitation Windows Server qui représente les fonctionnalités prises en charge pour cette version d’Active Directory : Windows 2000, Windows Server 2003 et Windows Server 2008. Le chapitre 6 du tome 1, « Mise à niveau vers Windows Server 2008 », analyse les fonctionnalités et les systèmes d’exploitation contrôleurs de domaine pris en charge à chaque niveau fonctionnel.

Figure 16-6 Page Définir le niveau fonctionnel de la forêt

En général, on définit le niveau fonctionnel de la forêt et du domaine à la valeur la plus élevée que l’environnement supporte. Ainsi, on bénéficie du maximum de fonctionnalités AD DS possible. Cependant, si vous ajoutez des contrôleurs de domaine Windows Server 2003 à votre environnement, choisissez le niveau fonctionnel Windows Server 2003 pendant l’exécution de Dcpromo. Vous pourrez augmenter le niveau fonctionnel ultérieurement, une fois que vous aurez supprimé tous les contrôleurs de domaine Windows 2000 Server ou Windows Server 2003 de votre environnement.

Chapitre 16

Installation et configuration des services d’annuaire

481

Important Il est impossible de rétablir un niveau fonctionnel inférieur une fois que l’on a augmenté le niveau fonctionnel du domaine ou de la forêt, tout comme il est impossible de définir le niveau fonctionnel du domaine ou de la forêt à Windows Server 2008 lors de l’exécution de Dcpromo.

Options supplémentaires pour le contrôleur de domaine La page suivante de l’assistant vous invite à choisir les composants du contrôleur de domaine supplémentaires à installer sur le contrôleur de domaine (voir figure 16-7). Vous avez trois options : DNS, Catalogue global et Contrôle de domaine en lecture seule (RODC).

Figure 16-7

Page Options supplémentaires pour le contrôleur de domaine

Si l’ordinateur sur lequel vous installez les services AD DS n’est pas un serveur DNS ou si l’Assistant Installation des services de domaine Active Directory ne parvient pas à vérifier qu’un serveur DNS est correctement configuré pour le nouveau domaine, vous avez la possibilité d’installer le service Serveur DNS pendant l’installation. Si DNS est mis en œuvre sur le réseau mais qu’il n’est pas configuré correctement, la boîte de dialogue Échec de l’inscription de l’enregistrement DNS de l’Assistant Installation des services de domaine Active Directory fournit un rapport détaillé de l’erreur de configuration. Apportez les modifications nécessaires à la configuration DNS et relancez le diagnostic DNS. Si vous sélectionnez l’option par défaut qui consiste à installer et à configurer le serveur DNS, le serveur DNS et le service Serveur DNS seront installés pendant l’installation des services AD

482

Partie III

Administration du réseau

DS. La zone DNS principale va emprunter le nom du nouveau domaine AD DS et sera configurée pour accepter les mises à jour dynamiques. Le paramètre Serveur DNS préféré (boîte de dialogue des propriétés TCP/IP) sera mis à jour de manière à désigner le serveur DNS local en utilisant l’adresse en boucle (127.0.0.1). Les redirecteurs et les indications de racine sont également configurés pour garantir le bon fonctionnement du service Serveur DNS. Remarque Si le service Serveur DNS est installé par l’Assistant Installation des services de domaine Active Directory, la zone DNS est créée en tant que zone intégrée à AD DS.

Si vous créez le premier contrôleur de domaine dans une nouvelle forêt, configurez-le comme serveur de catalogue global. En outre, le premier contrôleur de domaine Windows Server 2008 du domaine ne peut être configuré comme Contrôleur de domaine en lecture seule. Dans l’interface de Dcpromo, l’option Catalogue global est sélectionnée et grisée par défaut et le Contrôleur de domaine en lecture seule est indisponible. Ces options se configurent à l’installation de contrôleurs de domaines supplémentaires dans le domaine. Remarque Si IPv6 est activé sur une ou plusieurs cartes réseau mais que vous n’avez pas configuré d’adresse IPv6 statique pour la carte réseau, un message d’avertissement s’affiche concernant l’attribution d’adresse IP statique, une fois que vous aurez défini les options supplémentaires pour le contrôleur de domaine. Vous pouvez poursuivre sans affecter d’adresse IP statique.

Emplacements de fichiers L’Assistant Installation des services de domaine Active Directory vous invite à sélectionner un emplacement où stocker le fichier de base de données AD DS (Ntds.dit), les fichiers journaux AD DS et le dossier SYSVOL. Choisissez les emplacements par défaut ou spécifiez ceux de votre choix. Par défaut, les fichiers de la base de données et des journaux sont situés le dossier %systemroot%\NTDS. Cependant, vous améliorez les performances en configurant les services AD DS de manière à stocker le fichier de base de données et les fichiers journaux sur des disques durs séparés. L’emplacement par défaut du dossier partagé SYSVOL est %systemroot%\sysvol. Le choix de l’emplacement du dossier partagé SYSVOL est soumis à une seule obligation : il doit être stocké sur un volume NTFS v5. Le dossier SYSVOL stocke tous les fichiers qui doivent être accessibles à tous les clients d’un domaine AD DS. Par exemple, les scripts d’ouverture de session ou les objets de stratégie de groupe doivent être accessibles à tous les clients connectés sur le domaine et ils sont stockés dans le dossier SYSVOL.

Chapitre 16

Installation et configuration des services d’annuaire

483

Terminer l’installation Les dernières pages de l’Assistant Installation des services de domaine Active Directory ne posent aucun problème. Il s’agit de définir le mot de passe de restauration des services d’annuaire et de lire la page Résumé. Le mot de passe du mode de restauration des services d’annuaire est destiné à l’authentification auprès de la base de données SAM (Security Accounts Manager, gestionnaire des comptes de sécurité) basée sur le Registre, au démarrage du contrôleur de domaine dans ce mode de restauration particulier. Si vous créez le premier contrôleur de domaine de la forêt, la stratégie de mot de passe en vigueur sur le serveur local est mise en œuvre pour le mot de passe Administrateur de restauration des services d’annuaire. Pour toutes les autres installations, l’Assistant Installation des services de domaine Active Directory met en œuvre la stratégie de mot de passe sur le contrôleur de domaine employé comme partenaire de réplication. Cela signifie que le mot de passe de restauration des services d’annuaire que vous spécifiez doit répondre aux exigences de complexité et de longueur pour le domaine qui contient le partenaire d’installation. Par défaut, vous devez choisir un mot de passe fort composé d’une combinaison de lettres minuscules et majuscules, de numéros et de symboles. La page Résumé rassemble toutes les options sélectionnées au cours de l’assistant. Vérifiez vos sélections avant de terminer l’assistant et d’installer les services AD DS, en revenant en arrière si nécessaire. Si cette configuration vous semble satisfaisante, exportez vos paramètres pour créer un fichier automatique contenant toutes les options sélectionnées. Pour ce faire, cliquez sur le bouton Exporter les paramètres de la page Résumé. Le fichier généré permet d’installer d’autres contrôleurs de domaine exécutant la commande Dcpromo /unattend:nomfichierautomatique. Une fois que vous avez cliqué sur Suivant, Windows Server 2008 démarre l’installation et la configuration des services AD DS sur le serveur. S’il s’agit du premier contrôleur de domaine d’un nouveau domaine, ce processus est assez rapide car il ne crée que les objets du domaine par défaut et les partitions de l’annuaire. Si vous installez un contrôleur de domaine supplémentaire dans un domaine existant, toutes les partitions de l’annuaire doivent se synchroniser complètement une fois le contrôleur de domaine créé. Vous avez la possibilité de repousser la réplication après le redémarrage de l’ordinateur en cliquant sur le bouton correspondant, qui apparaît au début du processus de réplication initiale. Cette pratique n’est pas particulièrement recommandée, mais elle permet au processus de réplication de synchroniser ultérieurement les partitions de l’annuaire sur ce contrôleur de domaine. Remarque Dans la mesure où la réplication initiale des données des partitions de l’annuaire peut prendre un certain temps, en particulier sur des liens réseau lents, vous pouvez choisir d’installer un contrôleur de domaine supplémentaire à partir de fichiers de sauvegarde restaurés. Cette fonctionnalité est décrite à la section « Installer à partir d’un support », plus loin dans ce chapitre.

484

Partie III

Administration du réseau

Ajouter un contrôleur de domaine à un domaine existant Lorsque vous ajoutez un nouveau contrôleur de domaine à un domaine existant, la majorité des étapes de l’Assistant Installation des services de domaine Active Directory est identique. Prenez note des quelques différences : ■ Vous devez fournir les informations d’identification d’un membre du groupe Admins

du domaine. ■ Vous êtes invité à choisir le domaine de la forêt où installer le contrôleur de domaine. ■ Vous devez choisir le site où placer le contrôleur de domaine. Sur la page Sélectionnez

un site, choisissez de placer le contrôleur de domaine dans un site qui reprend l’adresse IP du contrôleur de domaine ou choisissez un autre site. La seconde option est utile si vous installez le contrôleur de domaine dans un bureau et que vous l’envoyez à un autre endroit.

Vérifier l’installation des services AD DS Une fois que vous avez installé les services AD DS, ouvrez Utilisateurs et ordinateurs Active Directory et vérifiez que toutes les entités de sécurité de l’OU Builtin ont été créées, comme le compte utilisateur Administrateur et les groupes de sécurité Admins du domaine et Administrateurs de l’entreprise. Vérifiez également les identités spéciales, comme Utilisateurs authentifiés. Les identités spéciales sont couramment appelées groupes, mais il est impossible d’afficher leur appartenance. En revanche, les utilisateurs rejoignent automatiquement ces groupes s’ils ouvrent une session ou accèdent à des ressources particulières. Cependant, ces identités spéciales ne s’affichent pas par défaut dans Utilisateurs et ordinateurs Active Directory. Pour visionner ces objets, sélectionnez Affichage, puis Fonctionnalités avancées. Vous apercevez alors les composants supplémentaires invisibles par défaut. Par exemple, si vous ouvrez le conteneur ForeignSecurityPrincipals, vous trouvez les objets S-1-5-11 et S-1-5-4, à savoir respectivement Utilisateurs authentifiés et INTERACTIF. Double cliquez sur ces objets pour afficher leurs propriétés et autorisations par défaut. Outre les étapes de vérification dans Utilisateurs et ordinateurs Active Directory, vérifiez l’installation des services AD DS en procédant comme suit : ■ Contrôlez le journal Service d’annuaire de l’Observateur d’événements et résolvez les

erreurs éventuelles. ■ Vérifiez que le dossier SYSVOL est accessible aux clients. ■ Si vous avez installé DNS avec les services AD DS, vérifiez que le service est installé

correctement :

1. Ouvrez le Gestionnaire DNS.

Chapitre 16

Installation et configuration des services d’annuaire

485

2. Cliquez sur Démarrer, Gestionnaire de serveur, puis accédez à la page Serveur DNS. 3. Recherchez la page Zones de recherche directes pour vérifier que les zones _msdcs.domaine_racine_forêt et domaine_racine_forêt ont été créées. 4. Développez le nœud domaine_racine_forêt pour vérifier que les partitions de l’annuaire d’applications DomainDnsZones et ForestDnsZones ont été créées. ■ Assurez-vous que la réplication AD DS fonctionne correctement à l’aide de l’outil de

diagnostics du contrôleur de domaine, Dcdiag.exe :

1. Ouvrez une fenêtre Invite de commandes. 2. Tapez la commande suivante, puis appuyez sur ENTRÉE : dcdiag /test:replications

3. Pour vérifier que les bonnes autorisations sont définies pour la réplication, tapez la commande suivante et appuyez sur ENTRÉE : dcdiag /test:netlogons

4. Le résultat de la commande doit indiquer que les tests Connectivity et Netlogons ont réussi.

Options avancées Certaines pages de l’Assistant Installation des services de domaine Active Directory n’apparaissent que si vous sélectionnez l’option mode avancé sur la page d’accueil ou si vous exécutez Dcpromo avec l’option /adv. Sinon, l’assistant définit des options par défaut, qui s’appliquent à la plupart des configurations. Si les décisions suivantes s’offrent à vous pendant l’installation, exploitez les options du mode avancé : ■ Installer un nouveau domaine avec un espace de noms non contigu dans une

forêt Créez une nouvelle arborescence de domaine dans la forêt.

■ Utiliser une sauvegarde de la base de données AD DS comme source des

informations AD DS sur un nouveau contrôleur de domaine En effectuant

l’installation à partir d’un support, vous réduisez la réplication de toutes les données de l’annuaire sur le réseau. ■ Utiliser un contrôleur de domaine existant spécifique comme source de

réplication pour le nouveau contrôleur de domaine pendant l’installation Avec

cette option, l’assistant d’installation liste tous les contrôleurs de domaine détectés dans le domaine où vous ajoutez un nouveau contrôleur de domaine. Choisissez ensuite le contrôleur de domaine à employer comme source de réplication initiale.

486

Partie III

Administration du réseau

Cette option convient si un seul des contrôleurs de domaine présente une connexion réseau rapide avec le contrôleur de domaine que vous créez. ■ Modifier le nom NetBIOS du domaine par défaut Par défaut, le nom NetBIOS du

domaine reprend les 15 premiers caractères de la première partie du nom de domaine DNS. ■ Définir une stratégie de réplication de mot de passe pour un contrôleur de

domaine en lecture seule (RODC) Par défaut, le contrôleur de domaine en lecture

seule ne cache aucun mot de passe. Pour changer ce paramètre, pendant l’installation, choisissez une installation avancée ou modifiez-le après l’installation.

Installer à partir d’un support L’option Installation à partir d’un support installe un contrôleur de domaine supplémentaire dans un domaine existant et utilise des fichiers de sauvegarde restaurés pour remplir la base de données AD DS, ce qui réduit le trafic de réplication pendant l’installation et convient particulièrement aux déploiements dont la bande passante vers les partenaires de réplication est limitée (comme dans une succursale). Deux options sont possibles. Premièrement, créer le support d’installation à l’aide de l’outil Sauvegarde de Windows Server de Windows Server 2008. Dans ce cas, il vous faut exploiter l’outil en ligne de commandes Wbadmin pour restaurer les données d’état du système à un emplacement différent. Deuxièmement, Windows Server 2008 propose une version améliorée de Ntdsutil.exe qui crée également le support d’installation. L’emploi de Ntdsutil.exe est recommandé car Sauvegarde de Windows Server ne sauvegarde que l’ensemble des volumes principaux, lequel occupe davantage d’espace que nécessaire pour les données d’installation des services AD DS. Ntdsutil.exe crée quatre types de support d’installation – listés dans le tableau 16-1 – pour les contrôleurs de domaine inscriptibles et les contrôleurs de domaine en lecture seule. Tableau 16-1

Types d’installation à partir d’un support

Paramètre

Type de support d’installation

Create Full

Contrôleur de domaine complet (ou inscriptible) sans données SYSVOL

Create RODC

Contrôleur de domaine en lecture seule sans données SYSVOL

Create Sysvol Full

Contrôleur de domaine complet (ou inscriptible) avec données SYSVOL

Create Sysvol RODC

Contrôleur de domaine en lecture seule avec données SYSVOL

Chapitre 16

Installation et configuration des services d’annuaire

487

Remarque Pour le support d’installation Contrôleur de domaine en lecture

seule, ntdsutil supprime toutes les données mises en cache, telles que les mots de passe.

Voici comment créer un support d’installation via Ntdsutil.exe :

1. Cliquez sur Démarrer, cliquez droit sur Invite de commandes et choisissez Exécuter en tant qu’administrateur pour ouvrir une invite de commandes élevée. 2. Tapez ntdsutil et appuyez sur ENTRÉE. 3. À l’invite ntdsutil, tapez activate instance ntds et appuyez sur ENTRÉE. 4. À l’invite ntdsutil, tapez ifm et appuyez sur ENTRÉE. 5. À l’invite ifm, tapez la commande correspondant au type de support d’installation à créer et appuyez sur ENTRÉE. Par exemple, pour créer un support d’installation Contrôleur de domaine en lecture seule sans données SYSVOL, tapez : Create rodc chemind’accèsfichier

6. Où chemind’accèsfichier est le chemin d’accès vers le dossier où créer le support d’installation. Vous pouvez enregistrer le support d’installation sur un lecteur local, un dossier réseau partagé ou n’importe quel support amovible. Pour remplir la base de données AD DS lors de l’installation de contrôleurs de domaine supplémentaires, sur la page Installation à partir d’un support de l’Assistant Installation des services de domaine Active Directory, indiquez l’emplacement du dossier partagé ou du support amovible qui contient le support d’installation. Pendant une installation automatique, employez le paramètre /ReplicationSourcePath pour désigner le support d’installation.

Installation automatique L’installation des services AD DS s’effectue avec l’interface utilisateur graphique, mais également en mode automatique, ou silencieux, et ce en créant un fichier d’installation automatique. Celui-ci inscrit automatiquement des valeurs dans tous les champs d’entrée utilisateur que vous complétez habituellement avec l’Assistant Installation des services de domaine Active Directory. Si vous ne définissez pas de clé dans le fichier automatique, soit il utilise la valeur par défaut, soit Dcpromo retourne une erreur indiquant que le fichier de réponse est incomplet.

488

Partie III

Administration du réseau

Remarque Les installations automatiques des services AD DS seront bien plus

fréquentes avec Windows Server 2008 qu’avec les versions précédentes d’Active Directory. En effet, la seule manière de les installer sur un ordinateur Windows Server 2008 Server Core est de passer par la ligne de commandes ou une installation automatique.

Pour procéder à une installation automatique des services AD DS une fois que le système d’exploitation Windows Server 2008 a été installé, créez un fichier de réponse contenant toutes les informations nécessaires à l’installation. Pour exécuter cette installation automatique, à l’invite de commandes ou dans la boîte de dialogue Exécuter, tapez dcpromo /unattend:fichierautomatique. Le fichier d’installation automatique est un fichier texte ASCII contenant toutes les informations requises pour terminer les étapes de l’Assistant Installation des services de domaine Active Directory. Par exemple, pour créer un nouveau domaine dans une nouvelle arborescence d’une nouvelle forêt avec le service Serveur DNS configuré automatiquement, le contenu du fichier d’installation automatique sera similaire à celui-ci : [DCInstall] InstallDNS=yes NewDomain=forest NewDomainDNSName=monentreprise.com DomainNetBiosName=monentreprise ReplicaOrNewDomain=domaine ForestLevel=3 DomainLevel=3 DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" RebootOnCompletion=yes SYSVOLPath="C:\Windows\SYSVOL" SafeModeAdminPassword=MoTdeP@ssE

Remarque Si des clés n’ont pas de valeur ou sont omises, une valeur sera définie par défaut. Les clés requises pour le fichier d’installation automatique changent selon le type de domaine créé (forêt ou arborescence nouvelle ou existante). ReplicationSourcePath est une clé supplémentaire qui promeut un contrôleur de domaine à l’aide d’une restauration à partir d’un support de sauvegarde. Pour l’employer, assignez la valeur de l’emplacement des fichiers de sauvegarde restaurés à utiliser pour le premier remplissage de la base de données de l’annuaire. Cette valeur est identique au chemin d’accès des fichiers de sauvegarde restaurés que vous sélectionnez lorsque vous exploitez cette fonctionnalité dans l’Assistant Installation des ser vices de domaine Active Directory. Pour de plus amples informations sur les clés et les valeurs appropriées, consultez le guide Step-by-Step Guide for Windows Server 2008 Active Directory Domain Services Installation and Removal à l’adresse http://technet2.microsoft.com/windowsserver2008/en/library/f349e1e7-c3ce4850-9e50-d8886c866b521033.mspx?mfr=true (en anglais).

Chapitre 16

Installation et configuration des services d’annuaire

489

Désinstaller les services de domaine Active Directory La commande qui supprime les services AD DS d’un contrôleur de domaine est la même que celle qui les installe : Dcpromo.exe. Si l’ordinateur est déjà contrôleur de domaine, l’Assistant Installation des services de domaine Active Directory vous signale qu’il va désinstaller les services de domaine Active Directory. La suppression des services AD DS d’un contrôleur de domaine a pour effet de supprimer la base de données de l’annuaire, d’arrêter et de supprimer tous les services requis, de créer la base de données SAM locale et de rétrograder l’ordinateur en serveur membre ou serveur autonome. Pour supprimer les services AD DS d’un contrôleur de domaine, tapez dcpromo à l’invite de commandes ou dans la boîte de dialogue Exécuter. Indiquez en premier lieu si le contrôleur de domaine est le dernier contrôleur de domaine du domaine. La figure 16-8 illustre la page Supprimer le domaine.

Figure 16-8

Option destinée à supprimer le dernier contrôleur de domaine

Ensuite, l’Assistant Installation des services de domaine Active Directory affiche la liste de toutes les partitions de l’annuaire d’applications retrouvées sur le contrôleur de domaine. S’il s’agit du dernier contrôleur de domaine du domaine, vous avez là la dernière source de ces données d’applications. Vous pouvez sauvegarder ou protéger ces données avant de poursuivre l’assistant, qui va supprimer les partitions d’annuaire. Si le contrôleur de domaine dont vous supprimez les services AD DS est également serveur DNS et que les zones DNS par défaut sont intégrées aux services AD DS, au moins deux partitions de l’annuaire d’applications seront disponibles pour stocker les données de la zone. La figure 16-9 donne un exemple de partitions de l’annuaire d’applications DNS retrouvées en désinstallant les services AD DS.

490

Partie III

Administration du réseau

Figure 16-9 Supprimez les partitions de l’annuaire d’applications DNS.

Après avoir confirmé la suppression des partitions de l’annuaire d’applications, vous êtes invité à taper un nouveau mot de passe pour le compte Administrateur local. Enfin, lisez attentivement la page Résumé et terminez la suppression des services AD DS. Vous devez redémarrer l’ordinateur pour achever le processus. Remarque Il est impossible de désinstaller le dernier contrôleur de domaine d’un domaine parent si le domaine possède encore des domaines enfants. Lorsque vous démarrez le processus de suppression des ser vices AD DS, l’Assistant Installation des services de domaine Active Directory vérifie qu’aucun domaine enfant n’existe. La suppression des services AD DS s’interrompt si des domaines enfants sont retrouvés.

Forcer la suppression d’un contrôleur de domaine Windows Server 2008 Windows Server 2008 permet de forcer la suppression d’un contrôleur de domaine. Cette fonctionnalité est indispensable si le contrôleur de domaine ne parvient pas à détecter d’autres contrôleurs de domaine dans le domaine ou la forêt. Normalement, si le contrôleur de domaine ne retrouve pas d’autres contrôleurs de domaine, il ne vous permet pas de le rétrograder. On peut forcer la suppression d’un contrôleur de domaine en ligne de commandes ou à l’aide d’un fichier de réponse. Voici comment supprimer un contrôleur de domaine Windows Server 2008 :

1. À l’invite de commandes, tapez dcpromo /forceremoval, puis appuyez sur ENTRÉE.

Chapitre 16

Installation et configuration des services d’annuaire

491

2. Si le contrôleur de domaine héberge des rôles de maîtres d’opérations ou s’il s’agit d’un serveur DNS ou d’un catalogue global, des messages d’avertissement vous décrivent l’impact de la suppression forcée sur le reste de l’environnement. Lisez chaque avertissement et cliquez sur Oui. Remarque Pour supprimer les avertissements avant l’opération de suppression, tapez /demotefsmo:yes à l’invite de commandes.

3. Sur la page d’accueil de l’Assistant Installation des services de domaine Active Directory, cliquez sur Suivant. 4. Sur la page Forcer la suppression des services de domaine Active Directory, relisez les informations sur la suppression forcée des services AD DS et le nettoyage des métadonnées, puis cliquez sur Suivant. 5. Sur la page Mot de passe Administrateur, tapez et confirmez un mot de passe sécurisé pour le compte Administrateur, puis cliquez sur Suivant. 6. Sur la page Résumé, vérifiez les sélections. Cliquez sur Précédent pour apporter les modifications nécessaires. 7. Cliquez sur Suivant pour supprimer les services AD DS. Choisissez de redémarrer le serveur automatiquement ou d’y être invité pour terminer la suppression. Informations supplémentaires Comme le contrôleur de domaine ne peut

contacter d’autres contrôleurs de domaine pendant l’opération, les métadonnées de la forêt AD DS ne sont pas automatiquement mises à jour alors qu’elles le sont si le contrôleur de domaine est supprimé normalement. À vous de les mettre à jour manuellement une fois que le contrôleur de domaine est supprimé. Pour de plus amples informations sur le nettoyage des métadonnées, lisez l’article 216498 de la Base de connaissances Microsoft à l’adresse http:// go.microsoft.com/fwlink/?LinkId=80481.

Installer et configurer des contrôleurs de domaine en lecture seule L’emploi de contrôleurs de domaine en lecture seule constitue l’une des nouvelles fonctionnalités de Windows Server 2008 qui méritent tout votre enthousiasme. Ils offrent toutes les fonctionnalités dont les clients ont besoin, tout en sécurisant davantage les contrôleurs de domaine déployés dans les succursales. Lorsque vous configurez des contrôleurs de domaine en lecture seule, vous pouvez spécifier les mots de passe des comptes utilisateur qui seront cachés sur le serveur et configurer les autorisations d’administration déléguées pour le contrôleur de domaine. Cette section décrit comme installer et configurer les contrôleurs de domaine en lecture seule.

492

Partie III

Administration du réseau

Définition des contrôleurs de domaine en lecture seule Un contrôleur de domaine en lecture seule est un nouveau type de contrôleur de domaine pris en charge par Windows Server 2008. Il héberge des partitions en lecture seule de la base de données AD DS. Cela signifie que la copie de la base de données stockée par le contrôleur de domaine en lecture seule n’est pas modifiable et que toute réplication des services AD DS s’appuie sur une connexion unidirectionnelle en provenance d’un contrôleur de domaine disposant d’une copie inscriptible de la base de données sur le contrôleur de domaine en lecture seule. Voici les caractéristiques des contrôleurs de domaine en lecture seule : ■ Base de données AD DS en lecture seule Le contrôleur de domaine en lecture seule

contient les mêmes objets et attributs AD DS qu’un contrôleur de domaine inscriptible, à l’exception des informations sensibles comme les mots de passe utilisateur et ordinateur. Cependant, la base de données stockée sur le contrôleur de domaine en lecture seule n’est pas modifiable. Les modifications doivent s’effectuer sur un contrôleur de domaine inscriptible, puis se répliquer sur le contrôleur de domaine en lecture seule. ■ Jeu d’attributs filtrés du contrôleur de domaine en lecture seule Seuls quelques

attributs sont répliqués sur le contrôleur de domaine en lecture seule. Vous pouvez configurer dynamiquement un jeu d’attributs filtrés du contrôleur de domaine en lecture seule de manière à ce que les attributs ne se répliquent pas sur un contrôleur de domaine en lecture seule. Les attributs définis dans ce jeu d’attributs ne sont pas autorisés à se répliquer sur un contrôleur de domaine en lecture seule de la forêt. ■ Réplication unidirectionnelle Dans la mesure où aucune modification n’est apportée

directement sur le contrôleur de domaine en lecture seule, aucune modification ne provient non plus du contrôleur de domaine en lecture seule. En conséquence, les contrôleurs de domaine inscriptibles qui sont partenaires de réplication n’ont pas à aller chercher les modifications sur le contrôleur de domaine en lecture seule. Ainsi, toute modification ou tentative de corruption réalisée par un utilisateur malveillant dans une succursale ne se répliquera pas du contrôleur de domaine en lecture seule sur le reste de la forêt. Vous réduisez également la charge des serveurs tête de pont du concentrateur ainsi que la surveillance de la réplication. ■ Mise en cache des informations d’identification La mise en cache des informations

d’identification correspond au stockage des informations d’identification des utilisateurs ou des ordinateurs. Par défaut, un contrôleur de domaine en lecture seule ne stocke pas d’informations d’identification utilisateur ou ordinateur. Les seules exceptions concernent le compte ordinateur du contrôleur de domaine en lecture seule et le compte spécial krbtgt, unique à chaque contrôleur de domaine en lecture seule. Pour configurer la mise en cache des informations d’identification sur le contrôleur de domaine en lecture seule, vous devez modifier la stratégie de réplication de mot de passe du contrôleur de domaine spécifique. Par exemple, si vous voulez que le contrôleur de domaine en lecture seule cache les informations d’identification de tous

Chapitre 16

Installation et configuration des services d’annuaire

493

les utilisateurs de la succursale qui se connectent quotidiennement, ajoutez tous les comptes utilisateur et d’ordinateur des utilisateurs de la succursale à la stratégie de réplication de mot de passe. À la prochaine ouverture de session des utilisateurs sur le contrôleur de domaine, leur mot de passe sera mis en cache sur le contrôleur de domaine en lecture seule. Ainsi, les utilisateurs auront la possibilité de se connecter au contrôleur de domaine même si la connexion WAN vers un contrôleur de domaine est indisponible. ■ Séparation du rôle Administrateur Déléguez des autorisations d’administration

locales sur un contrôleur de domaine en lecture seule à n’importe quel utilisateur du domaine sans lui accorder aucun droit utilisateur sur le domaine ou les autres contrôleurs de domaine du domaine. Ainsi, un utilisateur de la succursale a la possibilité d’installer le contrôleur de domaine en lecture seule, de se connecter à un contrôleur de domaine en lecture seule et d’effectuer les tâches de maintenance sur le serveur, telles que la mise à niveau d’un pilote. Cependant, cet utilisateur ne peut pas se connecter à un autre contrôleur de domaine ou administrer le domaine. ■ DNS en lecture seule Vous pouvez installer le service Serveur DNS sur un contrôleur

de domaine en lecture seule. Un contrôleur de domaine en lecture seule est en mesure de répliquer toutes les partitions de l’annuaire d’applications, y compris ForestDNSZones et DomainDNSZones. Si le serveur DNS est installé sur un contrôleur de domaine en lecture seule, les clients vont l’interroger pour résoudre des noms, exactement comme ils interrogeraient tout autre serveur DNS. Cependant, le serveur DNS d’un contrôleur de domaine en lecture seule ne prend pas directement en charge les mises à jour des clients.

Intérêt des contrôleurs de domaine en lecture seule Les contrôleurs de domaine en lecture seule sont principalement destinés aux déploiements dans les succursales, où il est impossible de garantir la sécurité physique du contrôleur de domaine. En y déployant ce type de contrôleur de domaine, vous procurez un contrôleur de domaine local aux utilisateurs, ce qui garantit leur connexion et l’application des stratégies de groupe, même si le lien WAN n’est pas disponible avec le siège. Un contrôleur de domaine local assure également des ouvertures de session rapides comparées aux connexions sur réseau lent. Vous pouvez également déployer des contrôleurs de domaine en lecture seule lorsqu’un contrôleur de domaine présente des exigences administratives particulières : une application professionnelle ne fonctionne que si elle est installée sur un contrôleur de domaine ou le contrôleur de domaine est le seul serveur de la succursale et il héberge des applications de serveur. Dans ce cas, les utilisateurs autres que les administrateurs du domaine ont peut-être besoin de se connecter régulièrement à l’ordinateur. En déployant un contrôleur de domaine en lecture seule, vous offrez à ces utilisateurs l’autorisation de se connecter et d’administrer le contrôleur de domaine, sans leur accorder d’autorisations d’administration dans le domaine.

494

Partie III

Administration du réseau

Déléguer l’installation et l’administration d’un contrôleur de domaine en lecture seule Si vous êtes membre du groupe Admins du domaine, pour installer un contrôleur de domaine en lecture seule, exécutez l’Assistant Installation des services de domaine Active Directory et choisissez l’option de configurer un Contrôleur de domaine en lecture seule sur la page Options supplémentaires pour le contrôleur de domaine. Ne négligez pas les considérations suivantes : ■ Avant d’installer un contrôleur de domaine en lecture seule dans votre forêt, préparez

la forêt en exécutant adprep /rodcprep (disponible sur le support d’installation Windows Server 2008). Cette étape préliminaire n’est obligatoire que si vous mettez à niveau un déploiement d’Active Directory Windows 2000 ou 2003 vers Windows Server 2008. ■ Le premier contrôleur de domaine installé dans une nouvelle forêt doit être un serveur

de catalogue global et non un contrôleur de domaine en lecture seule. ■ Le contrôleur de domaine en lecture seule doit répliquer les données du domaine à

partir d’un contrôleur de domaine inscriptible Windows Server 2008. Cependant, il est possible de procéder à une installation intermédiaire d’un contrôleur de domaine en lecture seule lorsque vous préparez le compte du contrôleur de domaine pour l’installation des services AD DS et que vous déléguez la véritable installation à un administrateur local. L’installation déléguée d’un contrôleur de domaine en lecture seule s’effectue en deux étapes.

Préparer la création du compte de contrôleur de domaine en lecture seule Pour préparer la création du compte de contrôleur de domaine en lecture seule, dans Utilisateurs et ordinateurs Active Directory, cliquez droit sur l’OU Domain Controllers, puis cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule. L’Assistant Installation des services de domaine Active Directory démarre et enregistre tous les choix de l’installation, dont le nom du compte de contrôleur de domaine en lecture seule et le site où il sera placé. Lorsque vous exploitez l’Assistant Installation des services de domaine Active Directory pour préparer la création du contrôleur de domaine en lecture seule, les options sont les mêmes que celles qui apparaissent lorsque vous exécutez l’assistant sur un serveur physique, avec une page supplémentaire, illustrée par la figure 16-10. Elle invite à spécifier les utilisateurs ou les groupes autorisés à terminer l’installation du contrôleur de domaine en lecture seule. Ce faisant, vous déléguez l’installation à des utilisateurs qui ne sont pas membres du groupe Admins du domaine. Si vous ne spécifiez pas de délégué pour achever l’installation, seul un membre du groupe Admins du domaine ou du groupe Administrateurs de l’entreprise y sera autorisé.

Chapitre 16

Installation et configuration des services d’annuaire

495

Figure 16-10 Configurez la délégation de l’administration en préparant la création du compte de contrôleur de domaine en lecture seule.

Remarque Si vous déléguez le droit d’installer le contrôleur de domaine en lecture seule à un utilisateur ou à un groupe, celui-ci disposera encore des autorisations d’administration locales sur le contrôleur de domaine en lecture seule après l’installation.

Installer les services AD DS sur le contrôleur de domaine en lecture seule Une fois le compte de contrôleur de domaine en lecture seule préparé, assurez-vous que le nom d’ordinateur où vous prévoyez d’installer les services AD DS correspond au nom du compte d’ordinateur préparé et que le compte d’ordinateur n’a pas été ajouté aux services AD DS. Démarrez ensuite l’Assistant Installation des services de domaine Active Directory en tapant dcpromo /UseExistingAccount:Attach. L’assistant détermine si le nom du serveur correspond aux noms des comptes de contrôleurs de domaine en lecture seule créés à l’avance pour le domaine. S’il retrouve un nom de compte correspondant, il invite l’utilisateur à employer ce compte pour achever l’installation du contrôleur de domaine en lecture seule. L’assistant installe ensuite les services AD DS sur le serveur qui va devenir contrôleur de domaine en lecture seule et il joint le serveur au compte de domaine créé précédemment à cet effet.

Configurer des stratégies de réplication de mot de passe Lors du déploiement des contrôleurs de domaine en lecture seule, tenez compte d’une autre option : la mise en cache des informations d’identification. Par défaut, aucune autre

496

Partie III

Administration du réseau

information d’identification que le compte d’ordinateur du contrôleur de domaine en lecture seule et le compte spécial krbtgt n’est stockée sur le contrôleur de domaine en lecture seule. Aussi le contrôleur de domaine en lecture seule doit-il disposer d’une connexion disponible à un contrôleur de domaine inscriptible chaque fois qu’un utilisateur ou un ordinateur s’authentifie sur le contrôleur de domaine en lecture seule. Lorsque celui-ci reçoit la requête d’authentification, il la transmet à un contrôleur de domaine inscriptible. Si vous modifiez la stratégie de réplication de mot de passe, les mots de passe seront mis en cache sur le contrôleur de domaine en lecture seule après la prochaine ouverture de session réussie d’une entité de sécurité identifié dans la stratégie. Une fois que les informations d’identification sont mises en cache sur le contrôleur de domaine en lecture seule, celui-ci peut directement se charger des requêtes d’ouverture de session de cet utilisateur, jusqu’à ce que les informations d’identification changent ou que la stratégie de réplication de mot de passe soit modifiée. Si vous mettez en œuvre une stratégie de réplication de mot de passe, trouvez le bon équilibre entre le confort de l’utilisateur et les problèmes de sécurité. Par défaut, les mots de passe ne sont pas mis en cache sur le contrôleur de domaine en lecture seule. En outre, la stratégie refuse explicitement la mise en cache des informations d’identification de tous les groupes administratifs du domaine et de l’administrateur local délégué. Si vous ne modifiez pas les paramètres par défaut, les utilisateurs ne pourront pas se connecter au contrôleur de domaine en lecture seule en cas d’indisponibilité d’une connexion au contrôleur de domaine inscriptible Windows Server 2008. Si vous activez la mise en cache des mots de passe pour tous les comptes, vous augmentez l’impact d’une brèche de sécurité sur le contrôleur de domaine en lecture seule.

En pratique Si un contrôleur de domaine en lecture seule est compromis Si la sécurité d’un contrôleur de domaine en lecture seule est compromise, supprimez le compte d’ordinateur du contrôleur de domaine en lecture seule des services AD DS et réinitialisez les mots de passe de tous les comptes utilisateur placés en cache sur le serveur. Si vous supprimez le compte de contrôleur de domaine en lecture seule, vous avez la possibilité d’exporter une liste de tous les comptes possédant des informations d’identification mises en cache sur le contrôleur de domaine en lecture seule. De plus, si le contrôleur de domaine en lecture seule est compromis, nous vous conseillons de contrôler la sécurité de toutes les stations de travail du site pour vérifier qu’elles n’ont pas été également affectées. Si vous mettez en œuvre une stratégie de réplication de mot de passe, trois options de niveau supérieur se présentent à vous : ■ Acceptez la configuration par défaut de manière à ne pas mettre en cache les

informations d’identification sur le serveur.

Chapitre 16

Installation et configuration des services d’annuaire

497

■ Autorisez ou refusez explicitement la mise en cache sur le serveur des informations

d’identification d’utilisateurs ou d’ordinateurs. ■ Configurez les groupes de réplication du contrôleur de domaine en lecture seule pour

configurer la mise en cache des informations d’identification. Les services AD DS comprennent deux groupes conçus pour que les contrôleurs de domaine en lecture seule gèrent la mise en cache des informations d’identification : ■ Le Groupe de réplication dont le mot de passe RODC est autorisé comprend tous

les comptes dont les informations d’identification peuvent être mises en cache sur tous les contrôleurs de domaine en lecture seule du domaine. Si vous ajoutez un utilisateur ou un groupe à cette liste, leurs informations d’identification seront mises en cache sur tous les contrôleurs de domaine en lecture seule du domaine. Par défaut, ce groupe ne compte aucun membre. ■ Le Groupe de réplication dont le mot de passe RODC est refusé inclut tous les

comptes dont les informations d’identification sont explicitement exclues de la mise en cache sur les contrôleurs de domaine en lecture seule du domaine. Par défaut, ce groupe contient tous les comptes d’administrateur et tous les comptes de contrôleur de domaine. Le Groupe de réplication dont le mot de passe RODC est refusé a priorité sur le groupe Autorisé, ce qui signifie que si un utilisateur ou un ordinateur se trouve dans les groupes autorisé et refusé en même temps, la mise en cache des informations d’identification sur le contrôleur de domaine en lecture seule est refusée. Voici comment configurer la stratégie de réplication de mot de passe sur un contrôleur de domaine en lecture seule :

1. Dans Utilisateurs et ordinateurs Active Directory, cliquez sur les propriétés du compte d’ordinateur du contrôleur de domaine en lecture seule. 2. Dans l’onglet Stratégie de réplication de mot de passe, cliquez sur Ajouter. Vous avez la possibilité de configurer les comptes utilisateur de manière à mettre en cache leurs informations d’identification sur le contrôleur de domaine en lecture seule, comme le montre la figure 16-11. Choisissez une option et cliquez sur OK.

Figure 16-11 Configurez les options de réplication des mots de passe.

3. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs ou Groupes, tapez les noms des utilisateurs, groupes ou ordinateurs, puis cliquez sur OK.

498

Partie III

Administration du réseau

4. Déterminez également les comptes utilisateur qui sont authentifiés sur le contrôleur de domaine en lecture seule et les mots de passe qui sont stockés sur le contrôleur de domaine en lecture seule en cliquant sur Avancé dans l’onglet Stratégie de réplication de mot de passe, comme le montre la figure 16-12. Cette boîte de dialogue permet également de préremplir les mots de passe des comptes spécifiés sur le contrôleur de domaine en lecture seule.

Figure 16-12 Déterminez quels utilisateurs sont authentifiés sur un contrôleur de domaine en lecture seule.

Pour configurer la stratégie de réplication de mot de passe à l’aide du Groupe de réplication dont le mot de passe RODC est autorisé et du Groupe de réplication dont le mot de passe RODC est refusé, ajoutez des comptes utilisateur ou des comptes de groupe au groupe prédéfini approprié.

Gérer les services AD DS avec Utilisateurs et ordinateurs Active Directory Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory constitue l’outil principal des administrateurs Active Directory ; il est indispensable pour assurer la maintenance quotidienne de l’annuaire. Utilisateurs et ordinateurs Active Directory présente tous les objets d’un domaine dans une arborescence qui se développe à la manière de l’Explorateur Windows. Chaque objet est doté d’une boîte de dialogue de propriétés, que vous modifiez à votre guise pour mettre à jour les informations sur l’utilisateur et les restrictions du compte.

Chapitre 16

Installation et configuration des services d’annuaire

499

Avec cette console, vous créez également de nouveaux objets et modifiez la hiérarchie de l’arborescence en créant et en remplissant des objets conteneurs, tels que des unités d’organisation. Les sections suivantes décrivent quelques-unes des tâches d’administration qui s’effectuent à partir de la console Utilisateurs et ordinateurs Active Directory. Remarque Les tâches les plus courantes que les administrateurs effectuent dans Utilisateurs et ordinateurs Active Directory concernent la création et la gestion des comptes utilisateur et de groupe ainsi que les unités d’organisation. Pour de plus amples informations sur l’exécution de ces tâches, reportez-vous au chapitre 11 du tome 1.

Afficher les objets AD DS La boîte de dialogue principale de la console Utilisateurs et ordinateurs Active Directory (voir figure 16-13) présente de nombreux éléments d’affichage standards de la console MMC. L’arborescence de la console, à gauche, contient le domaine Services de domaine Active Directory et ses objets conteneurs sous la forme de nœuds à développer. Le volet des résultats, à droite, présente les objets du conteneur sélectionné. La console propose une barre d’outils qui fournit un accès rapide aux fonctions les plus utiles ainsi qu’une barre de description qui donne l’état de la console ou indique l’objet sélectionné. Le programme affiche dans le menu Action tout ce que l’on peut effectuer sur un objet lorsqu’il est sélectionné.

Figure 16-13 Boîte de dialogue principale de la console Utilisateurs et ordinateurs Active Directory

500

Partie III

Administration du réseau

Types d’objets AD DS Les objets de la boîte de dialogue Utilisateurs et ordinateurs Active Directory représentent des entités physiques, telles que les ordinateurs et les utilisateurs, et des entités logiques, comme les groupes et les OU. Le tableau 16-2 rassemble les types d’objets qu’il est possible de créer dans un domaine AD DS. Tableau 16-2

Types d’objets d’un domaine AD DS

Type d’objet

Fonction

Unité d’organisation (OU)

Objet conteneur employé pour créer des regroupements logiques d’objets ordinateurs, utilisateurs et groupes.

Utilisateur

Représente un utilisateur du réseau et est assimilable à un entrepôt de données d’identification et d’authentification.

Ordinateur

Représente un ordinateur du réseau et fournit le compte d’ordinateur nécessaire pour que le système se connecte au domaine.

Contact

Représente un utilisateur externe au domaine, employé pour des tâches particulières, par exemple pour la messagerie, il ne fournit pas d’informations d’identification permettant de se connecter au domaine.

Groupe

Objet conteneur représentant un regroupement logique d’utilisateurs, d’ordinateurs ou d’autres groupes (ou les trois) indépendant de l’arborescence Active Directory. Les groupes peuvent contenir des objets d’autres OU et domaines.

Dossier partagé

Fournit un accès réseau basé sur Active Directory à un dossier partagé d’un système Windows Server 2008.

Imprimante partagée

Permet d’accéder, via un réseau basé sur Active Directory, à une imprimante partagée d’un système Windows Server 2008.

En modifiant le schéma qui contrôle la structure du service d’annuaire, vous pouvez créer de nouveaux types d’objets Active Directory et modifier les attributs des types existants. Pour de plus amples informations, reportez-vous au chapitre 17 du tome 1, « Gestion d’Active Directory ».

Mode normal ou mode avancé Par défaut, la console Utilisateurs et ordinateurs Active Directory fonctionne en mode normal : elle n’affiche que les objets les plus souvent utilisés par les administrateurs et masque certains onglets de la boîte de dialogue Propriétés d’un objet, dont les onglets Objet et Sécurité, lequel sert à définir les autorisations sur l’objet. La commande Fonctionnalités avancées du menu Affichage permet d’afficher tous les objets système Active Directory, à savoir les stratégies, enregistrements DNS et autres éléments du service d’annuaire, ainsi que le conteneur LostAndFound, comme le montre la figure 16-14.

Chapitre 16

Installation et configuration des services d’annuaire

501

Figure 16-14 Utilisateurs et ordinateurs Active Directory en mode avancé, présentant tous les objets système du domaine sélectionné

Cette interface enrichie affiche la configuration des objets système et permet de contrôler les accès à ces objets en modifiant les autorisations associées. Comme l’accès à ces objets n’est pas souvent nécessaire, le mode normal suffit généralement. Sachez, toutefois, que vous avez besoin du mode avancé pour modifier les autorisations des objets standards (OU, groupes, etc.) pour visionner l’onglet Sécurité des boîtes de dialogue Propriétés d’un objet.

Changer de domaine Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory permet d’administrer tous les domaines du réseau pour lesquels vous disposez d’autorisations d’administration. Pour changer de domaine, sélectionnez l’objet racine ou domaine dans la console puis dans le menu Action, choisissez Changer de domaine. Dans la boîte de dialogue Changer de domaine, tapez le nom du domaine ou cliquez sur Parcourir pour rechercher un domaine. Le menu Action propose également l’option Changer de contrôleur de domaine, pour accéder au domaine sélectionné en utilisant un contrôleur de domaine spécifique du réseau. Sauf désynchronisation des contrôleurs du domaine, les données sont les mêmes sur tous les réplicas, mais il est parfois intéressant de choisir un contrôleur particulier pour éviter de passer par une connexion WAN lente ou coûteuse.

Simplifier l’affichage avec les filtres À partir du moment où vous commencez à insérer des objets dans Active Directory, l’annuaire peut rapidement atteindre une taille impressionnante. Le nombre important

502

Partie III

Administration du réseau

d’objets affichés complique la localisation d’un objet particulier. Pour supprimer temporairement des objets dont l’affichage est superflu, appliquez un filtre à la console en fonction des types d’objets ou du contenu des attributs spécifiques de l’objet. Si vous choisissez Options de filtre dans le menu Affichage, la boîte de dialogue Options de filtre s’affiche, illustrée par la figure 16-15, dans laquelle vous choisissez d’afficher tous les types d’objets ou seulement certains types ; vous pouvez même créer un filtre personnalisé sur les attributs des objets.

Figure 16-15 Boîte de dialogue Options de filtre de la console Utilisateurs et ordinateurs Active Directory

Si vous sélectionnez l’option Créer un filtre personnalisé et que vous cliquez sur Personnaliser, la boîte de dialogue Rechercher Recherche personnalisée s’affiche, comme le montre la figure 16-16. Sélectionnez alors un type d’objet, choisissez un attribut de cet objet et spécifiez la valeur, complète ou partielle, de cet attribut. Par exemple, il est possible d’afficher uniquement les objets utilisateurs dont la valeur Ventes se trouve dans l’attribut Division (comme dans la figure16-16) ou uniquement les utilisateurs qui possèdent un code postal particulier dans l’attribut Numéro de téléphone. Cela vous permet de vous concentrer sur les objets dont vous avez besoin, sans avoir à parcourir une liste inutilement encombrée.

Figure 16-16 Boîte de dialogue Rechercher Recherche personnalisée de la console Utilisateurs et ordinateurs Active Directory

Chapitre 16

Installation et configuration des services d’annuaire

503

Remarque La fonctionnalité de recherche de la console Utilisateurs et

ordinateurs Active Director y permet également de localiser des objets spécifiques. Pour plus de détails, reportez-vous au chapitre 11 du tome 1.

Créer un objet ordinateur Outre les objets conteneurs, groupes et utilisateurs, Active Directory possède des objets qui représentent des ordinateurs. Pour se connecter à un domaine, un ordinateur Windows Server 2008 doit posséder un objet qui le représente dans le domaine. Si vous promouvez un ordinateur contrôleur de domaine ou que vous ajoutez un ordinateur au domaine Active Directory, Windows Server 2008 crée automatiquement un objet ordinateur. Il est toutefois possible et parfois utile de créer des objets ordinateurs manuellement, comme tout autre objet, en particulier pour préparer des comptes d’ordinateur à une installation automatique du système d’exploitation à l’aide des Services de déploiement Windows. Pour créer un compte d’ordinateur dans Utilisateurs et ordinateurs Active Directory, cliquez droit sur le conteneur où créer le compte, choisissez Nouveau, puis Ordinateur. Dans la boîte de dialogue Nouvel objet – Ordinateur, indiquez le nom de l’ordinateur et le nom NetBIOS du nouvel objet ordinateur. Vous pouvez aussi spécifier un utilisateur ou groupe particulier autorisé à joindre l’ordinateur au domaine et indiquer si ce compte est destiné à un ordinateur antérieur à Windows 2000 ou à un contrôleur de domaine de sauvegarde. Remarque La console Utilisateurs et ordinateurs Active Directory crée des

objets l’un après l’autre, mais il arrive que des administrateurs aient besoin de créer de nombreux objets ; cet outil devient alors insuffisant. Pour savoir comment créer des objets en masse, reportez-vous au chapitre 15 du tome 1, « Administration par les scripts ».

Configurer des objets ordinateurs Pour gérer les comptes d’ordinateur existants, on configure les neuf propriétés suivantes : Général, Système d’exploitation, Membre de, Délégation, Emplacement, Géré par, Objet, Sécurité et Appel entrant. Pratiquement tous les onglets ont le même objectif que ceux des autres objets. Les quatre onglets spécifiques à l’objet ordinateur sont Système d’exploitation, Emplacement, Délégation et Appel entrant. L’onglet Système d’exploitation identifie le système de l’ordinateur, sa version et le service pack installé. Ces champs ne sont pas éditables ; ils sont vides lorsque vous créez manuellement un objet ordinateur et se remplissent lorsque l’ordinateur rejoint un domaine. L’onglet Emplacement permet de spécifier les emplacements servis par le site de l’annuaire, l’onglet Délégation de définir l’approbation de l’ordinateur pour la délégation et l’onglet Appel entrant de définir la stratégie d’appel entrant applicable à ce compte d’ordinateur.

504

Partie III

Administration du réseau

Gérer un ordinateur à distance Utilisateurs et ordinateurs Active Directory fournit un accès administratif aux ordinateurs distants représentés par des objets dans Active Directory. Si vous cliquez sur un objet ordinateur et que vous choisissez Gérer dans le menu Action, la console ouvre le composant logiciel enfichable Gestion de l’ordinateur avec cet ordinateur sélectionné. Cette fonction vous permet de lire les journaux d’événements du système distant, de manipuler ses services et d’effectuer les autres tâches accessibles via Gestion de l’ordinateur.

Publier un dossier partagé Les objets dossiers partagés permettent de publier des répertoires réseau partagés dans Active Directory, donnant ainsi un accès direct aux utilisateurs qui recherchent un objet sur le réseau. Les utilisateurs n’ont plus besoin de connaître l’emplacement exact du dossier partagé. La création d’un objet dossier partagé ne crée pas réellement le partage ; c’est à vous de le faire manuellement à partir de l’onglet Partage de la boîte de dialogue Propriétés du lecteur ou du dossier, dans la fenêtre Explorateur Windows ou Ordinateur. Pour créer un objet dossier partagé, cliquez sur un objet conteneur dans Utilisateurs et ordinateurs Active Directory, choisissez Nouveau dans le menu Action, puis sélectionnez Dossier partagé. Dans la boîte de dialogue Nouvel objet – Dossier partagé, indiquez le nom du nouvel objet et tapez le chemin d’accès UNC du partage. Une fois l’objet créé, configurezle à votre guise à l’aide des onglets de la boîte de dialogue Propriétés de l’objet.

Publier une imprimante La création d’un objet imprimante fournit aux utilisateurs un accès à l’imprimante via Active Directory, tout comme ils accèdent aux dossiers partagés. Pour ce faire, procédez comme s’il s’agissait d’un dossier partagé, en sélectionnant un conteneur, en choisissant Nouveau, puis Imprimante dans le menu Action et en indiquant le chemin d’accès UNC de l’imprimante partagée. La console crée l’objet, en combinant le nom du système hôte et le partage pour générer le nom de l’objet. L’administration des imprimantes est détaillée au chapitre 10 du tome 1, « Gestion des imprimantes ».

En pratique Restrictions de la publication des dossiers et imprimantes partagées Lorsque vous publiez un dossier ou une imprimante partagés dans Active Directory, vous facilitez la tâche aux utilisateurs du domaine qui recherchent l’objet pour s’y connecter. Par exemple, si vous publiez un dossier partagé, vous avez la possibilité de configurer des mots clés qui permettent aux utilisateurs de localiser le dossier partagé en recherchant les mots clés spécifiés. Si vous publiez une imprimante partagée, vous pouvez configurer des propriétés sur l’imprimante qui décrivent les fonctionnalités de l’imprimante, comme l’impression recto verso ou en couleurs. Les utilisateurs localisent ensuite une imprimante en fonction de ces propriétés.

Chapitre 16

Installation et configuration des services d’annuaire

505

Cependant, comme l’objet Active Directory n’est pas réellement lié au dossier ou à l’imprimante partagée, les objets publiés ne sont pas automatiquement mis à jour en cas de modification. Par exemple, si vous déplacez un dossier partagé vers un autre serveur ou si vous renommez un objet ordinateur, l’objet Active Directory n’est pas automatiquement actualisé. Si des utilisateurs essaient de se connecter à l’objet déplacé en se connectant à l’objet Active Directory, ils obtiendront un message d’erreur. De même, les autorisations que vous définissez dans l’onglet Sécurité de la boîte de dialogue Propriétés du dossier partagé ne contrôlent pas l’accès au dossier partagé luimême, mais uniquement à l’objet dossier partagé. Pour accéder au dossier via Active Directory, un utilisateur doit disposer de l’autorisation d’accéder au partage et à l’objet. La règle est identique pour un objet imprimante.

Déplacer, renommer et supprimer des objets Dès lors que vous avez créé des objets dans Active Directory, exploitez à votre guise la console Utilisateurs et ordinateurs Active Directory pour modifier la configuration de votre domaine et déplacez des objets vers d’autres conteneurs, renommez-les ou supprimez-les. Le menu Action de quasiment tous les objets Active Directory contient une commande Déplacer qui ouvre une boîte de dialogue où vous sélectionnez le conteneur de destination. Vous pouvez aussi sélectionner plusieurs objets en maintenant enfoncée la touche CTRL et en cliquant sur les objets pour tous les déplacer dans le même conteneur. En outre, la fonctionnalité du glisser-déposer s’applique également pour déplacer des objets où vous le souhaitez. Le déplacement d’un objet conteneur en modifie certains attributs. Par exemple, si l’utilisateur X est membre du groupe Y et que vous déplacez l’utilisateur X dans une nouvelle OU, il reste membre du groupe Y. En revanche, tous les objets de stratégie de groupe qui étaient attribués à l’utilisateur X à l’emplacement d’origine ne vont plus s’appliquer. Si vous renommez un objet avec la commande Renommer du menu Action, toutes les références à cet objet dans Active Directory vont changer pour refléter le nouveau nom. Si vous supprimez un objet conteneur, tous les objets du conteneur seront également supprimés. Important Le déplacement d’utilisateurs ou de groupes entre des OU différentes peut changer la manière dont les objets de stratégie de groupe s’appliquent aux comptes. Si vous effectuez cette action, Utilisateurs et ordinateurs Active Directory affiche un message d’avertissement pour vous prévenir.

Gérer les services AD DS avec Domaines et approbations Active Directory La console Domaines et approbations Active Directory de Windows Server 2008 est un composant logiciel enfichable de la MMC qui présente une arborescence contenant tous les

506

Partie III

Administration du réseau

domaines de la forêt. Avec ce composant logiciel enfichable, vous gérez les relations d’approbation entre les domaines, changez le mode du domaine et configurez les suffixes UPN (User Principal Name) pour la forêt.

Démarrer Domaines et approbations Active Directory Windows Server 2008 ajoute par défaut le composant logiciel enfichable Domaines et approbations Active Directory au menu Démarrer. Ainsi, une fois connecté avec un compte bénéficiant de privilèges d’administration, vous démarrez l’utilitaire en sélectionnant Domaines et approbations Active Directory dans le menu Outils d’administration du menu Démarrer. Le fichier composant logiciel enfichable MMC est appelé Domain.msc, nom de fichier qu’il suffit de taper dans la boîte de dialogue Exécuter pour démarrer le gestionnaire. À l’ouverture de la console, l’arborescence (à gauche de l’écran, comme le montre la figure 16-17) présente tous les domaines de la forêt sous la forme de nœuds qui se développent, en commençant par Domaines et approbations Active Directory. Le volet des résultats, à droite, affiche les enfants du domaine sélectionné ou, si vous sélectionnez la racine, les domaines racines de toutes les arborescences de la forêt. Les fonctions de la console Domaines et approbations Active Directory sont disponibles dans le menu Action, qui varie selon le domaine ou l’objet racine sur lequel vous cliquez, ainsi que dans la boîte de dialogue Propriétés d’un domaine.

Figure 16-17 Composant logiciel enfichable Domaines et approbations Active Directory

Remarque Parmi les tâches qui s’effectuent avec Domaines et approbations Active Directory, vous pouvez augmenter les niveaux fonctionnels de domaine ou de forêt. Le chapitre 6 du tome 1 explique les différentes options de niveaux fonctionnels disponibles dans Windows Server 2008 et décrit comment les augmenter.

Gérer les relations d’approbation de domaines La relation d’approbation entre des domaines se gère dans l’onglet Approbations de la boîte de dialogue Propriétés d’un domaine, illustrée par la figure 16-18. Si vous établissez une

Chapitre 16

Installation et configuration des services d’annuaire

507

relation d’approbation entre deux domaines, les utilisateurs d’un domaine pourront accéder aux ressources situées sur le domaine approuvé. Une arborescence de domaine Active Directory est une collection de domaines qui non seulement partagent le même schéma, la même configuration et le même espace de noms, mais qui sont également liés par des relations d’approbation.

Figure 16-18 Onglet Approbations de la boîte de dialo