Upload
red-all
View
20
Download
0
Embed Size (px)
DESCRIPTION
12454 Serve Ur 200001254
Citation preview
Cours Windows 2000
Windows 2000 (installation et exploitation) Support de formationobjectifs Ce support de formation est destin des dveloppeurs en informatique.
Il sappuie sur le systme dexploitation Windows2000 pour illustrer des connaissances de base sur ladministration des systmes et des rseaux, sans prtendre tout dire sur les spcificits de W2000!
Laccent sera mis sur laspect rseau (protocole et services TCP/IP) et sur laspect scurit, qui sont dterminants pour des dveloppeurs Internet.
La deuxime partie, sur W2000 Server, prsentera la notion dannuaire (Active Directory) qui constitue une bonne introduction pour la comprhension de messageries comme Exchange.
1. Prsentation de la gamme Windows 2000
Windows2000 est un systme professionnel destin aux entreprises, qui remplace Windows NT4.
Millenium qui prend la suite de Windows 95/98 est plus particulirement destin aux applications bureautiques et domestiques: jeux, applications non critiques
Comme Windows NT4, W2000 est propos en version serveur (W2000 Server, Advanced Server et DataCenter Server) et en station de travail (W2000 Professionnel)
W2000 Professionnel peut sutiliser en rseau sans systme serveur, dans une organisation de type groupe de travail, o tous les postes sont gaux:
chaque poste peut fonctionner la fois comme serveur en mettant des fichiers ou des imprimantes partags la disposition des autres, ou comme client en utilisant les ressources fournies par les autres.
Nous choisirons cette organisation dans la premire partie de ce support, consacr W2000 Professionnel.
Les stations sous W2000 Professionnel peuvent aussi tre regroupes dans un domaine, qui est gr de faon centralise partir dun systme serveur: en pratique, cette mthode est la seule qui convienne en entreprise (deuxime partie du support sur W2000 Server).
Fonctionnalits communes tous les systmes Windows 2000
Multiprocessus et Multithread Plusieurs applications peuvent se partager le temps processeur, en sexcutant dans des processus diffrents. Dans un mme processus, lapplication peut excuter plusieurs traitements en parallle dans diffrents threads
Multiprocesseur symtrique (SMP)Peut grer des configurations avec plusieurs processeurs. Tous les threads des applications et du systme lui-mme peuvent sexcuter indiffremment sur le premier processeur disponible
Gestion de fichiers voluePrend en charge les systmes de gestion de fichiers NTFS (avec cryptage des donnes, et quotas disque pour chaque utilisateur). Le systme FAT compatible avec DOS, et FAT32 compatible avec Windows 98, pour les disques de plus de 2 Go.
Gestion de la mmoire64 Mo minimum pour W2000 Professionnel, 256 Mo minimum pour W2000 Server. Prend en charge jusqu 4 Go.
Scurit Dj prsent dans Windows NT: identification des utilisateurs louverture de session grce un mot de passe, permissions sur les fichiers et droits sur le systme slectifs en fonction de lutilisateur, possibilit dauditer les fichiers et les actions sur le systme
Nouvelles fonctionnalits de scurit: encryptage des fichiers, liaison IP scurise, utilisation de cartes puce pour identifier les utilisateurs.
2. Installation de Windows 2000 Professionnel
2.1 Questions et oprations pralables
Tout dabord, o en est-on avec ses sauvegardes? Une installation reste une opration dangereuse, et il vaut mieux avoir sauvegard toutes ses donnes avant de la lancer.
Sagit-il dune mise jour de version, par exemple de WNT4 W2000, ou de linstallation dun nouveau systme partir de zro? La mise jour rcupre toutes les applications dj installes, alors que linstallation dune nouvelle version les ignore, mme si les excutables restent prsents sur le disque. A noter que lon ne peut pas raliser de mise jour de W95/98 vers la gamme NT ou W2000.
Le matriel permet-il dinstaller W2000? Toujours consulter la liste de compatibilit matrielle sur le CDROM dinstallation ou sur le site Microsoft: www.microsoft.com/hcl
2.2 Diffrents types dinstallation
La mthode dinstallation classique pour les ordinateurs avec lecteur de CDROMconsiste booter avec les quatre disquettes fournies par Microsoft: ces disquettes chargent un mini systme dexploitation et tous les drivers ncessaires, puis linstallation se poursuit avec la distribution fournie par le CDROM.
On peut booter directement du CDROM de distribution, si lon dispose dun lecteur de CDROM bootable.
Pour des PC sans lecteur de CDROM, il est possible dinstaller partir dun disque local ou dun disque partag sur le rseau.
A noter que linstallation partir dun disque partag sur un serveur permet une automatisation des installations, qui est intressante dans des grandes entreprises (vite ladministrateur de courir dans les locaux en faisant 500 fois la mme installation partir dun CDROM local).
2.3 Installation de W2000 Professionnel partir du rseau
Bootez avec la disquette dinstallation rseau fournie: utilisateur install, mot de passe install
1) La disquette dmarre en DOS, lance le rseau et se connecte un lecteur rseau W:, o vous trouverez la distribution W2000. Placez-vous dans lunit W:, sous le rpertoire i386
Lancez linstallation par la commande: WINNT
2) 1er cran de linstallation: Installation de Windows 2000 professionnel
Conservez le chemin propos, pour les fichiers dinstallation de W2000: W:\I386
Attendez la fin de la copie des fichiers du serveur rseau vers le disque local (au moins 5 mn).
Le systme redmarre.
3) Ecran Le programme inspecte la configuration de votre ordinateur:
Attendez que le programme ait fini de dtecter et dinstaller les priphriques.
4) Ecran Bienvenue
Tapez sur la touche Entree pour lancer linstallation de W2000
Acceptez le contrat de licence Microsoft par la touche F8 Si le systme trouve une version de WNT4 ou de W2000 sur votre disque, il propose de la rparer: ignorez cette demande par la touche ECHAP pour installer une nouvelle version.
5) La fentre suivante liste les partitions existantes: C:, D:, E:
Supprimez les partitions D: et E:, par la commande S propose dans la barre dtat.
Crez une nouvelle partition D: de 1 Go par la commande C
Installez W2000 sur la nouvelle partition, non formate
Formatez la partition en utilisant le systme de gestion de fichiers NTFS. Attendez la fin du formatage.
6) Le programme recopie les fichiers des rpertoires temporaires vers leur destination finale. A la fin de la copie, tapez sur Entre pour redmarrer lordinateur
7) Le systme passe en mode graphique (cran Windows 2000 Professionnel). Il termine linstallation en utilisant un noyau Windows2000.
Installation des priphriques: Le programme dinstallation dtecte et installe les priphriques sur votre ordinateur. Ceci peut prendre plusieurs minutes. Durant cette priode, laffichage peut devenir instable
Paramtres rgionaux: parcourez rapidement les options disponibles. Mais conservez les valeurs par dfaut (France)
Nom et socit. Ces informations sont purement indicatives. Il ne faut pas les confondre avec le nom de lordinateur, que lon saisira par la suite.
Cl du produit: WXWWC-MTV69-CR4RD-BGYPB- etc
Nom de lordinateur: nom unique sur le rseau qui rfrencera votre poste de travail. Pour garantir lunicit, un bon administrateur rseau prend toujours des conventions de dnomination: STATION + 3 derniers chiffres de ltiquette Afpa
Mot de passe administrateur: ce que vous voulez, condition de ne pas loublier. La perte du mot de passe administrateur rend la station inutilisable, ce qui vous obligerait repartir la case dpart! Heure et fuseau horaire : conservez les valeurs par dfaut
8) Paramtres de gestion du rseau
choisissez Paramtres personnaliss pour voir ce que le systme a dtect et ce quil vous propose par dfaut.
Le systme doit dtecter une carte ETHERNET du type D LINK DE-528 PCI Il installe automatiquement un pilote ou driver qui va permettre au systme dexploitation de communiquer avec cette carte.
Le programme dinstallation propose galement les couches rseaux suprieures qui vont permettre au systme dutiliser les fonctionnalits du rseau, en sappuyant sur le driver de la carte: protocole Internet (TCP/IP), Client pour les rseaux Microsoft, Partage de fichiers et dimprimantes pour les rseaux Microsoft
Quelques mots sur ces couches, qui seront dtailles dans le cours rseau:
Un protocole rseau permet aux ordinateurs de communiquer, en parlant le mme langage: il normalise le dialogue entre les machines, en dfinissant les trames changes (cest--dire les tableaux doctets envoys et reus, avec le type et la fonction de chaque sous- partie des trames).
Une fois choisi un protocole commun, les machines savent donc schanger des octets. Cest bien, mais ce nest pas suffisant pour lutilisateur final!
Le Client pour les rseaux Microsoft permet la station dutiliser les ressources (fichiers et imprimantes partags) dun serveur ou dune autre station sous W2000.
Le service Partage de fichiers permet la station de jouer le rle de serveur de fichiers et dimprimante, en les mettant disposition des autres, sur le rseau.
Jetez un coup dil aux autres protocoles disponibles (bouton Installer/choix Prococole) quitte les oublier par la suite:
NETBEUI: protocole historique de Microsoft. Ne convient quaux petits rseaux locaux de PC, car il nest pas routable (nest pas capable de passer dun rseau local lautre par un routeur rseau).
IPX/SPX: protocole propritaire du rseau Novell/Netware. Est encore utilis pour communiquer avec des anciennes versions du rseau Novell. Les nouvelles versions proposent TCP/IP en standard, comme Microsoft.
Installez le protocole Pilote de moniteur rseau. Ce pilote particulier nous permettra despionner le rseau, en visualisant toutes les trames qui y circulent.
9) Suite de linstallation: configuration des paramtres du rseau TCP/IPDans la fentre de proprit de TCP/IP, configurez les options suivantes:
Adresse IP: une adresse rseau identifie votre machine de faon unique sur le rseau, comme votre adresse postale. Il faut donc prendre des conventions pour sassurer de son unicit:
172.16.153.x avec x = deux derniers chiffres de ltiquette AFPA (Ex: 172.16.153.20)
Pour les autres champs, suivre le schma ci-dessus (notions prsentes dans le cours TCP/IP)
10) Intallationdes composants:Le programme dinstallation installe les composants Windows 2000
11) Excution des tches finales. Installation du pack 2 de Windows 2000
Les pack corrigent les BUG des versions de base: il est fortement recommand de les installer ds leur sortie. Ils sont disponibles gratuitement sur le site Microsoft.
Chaque pack comprend les fonctionnalits des pack prcdents: ninstallez que le plus rcent.
A noter un progrs en Windows 2000: il nest plus ncessaire de repasser le pack aprs linstallation dune application plus ancienne
En Windows NT 4, linstallation dune application recopiait souvent des fichiers .DLL (Dynamic Link Library) plus anciens que ceux des packs. Il fallait donc repasser les packs systmatiquement aprs chaque installation.
Au contraire, Windows 2000 maintient automatiquement jour les .DLL systmes avec les versions les plus rcentes.
Lancez linstallation partir du rpertoire \Install\Sp2 sur le serveur serveur-cr: Excutez le fichier auto-extractable: W2KSP2.exe Aprs linstallation, vrifiez la version de Windows 2000, par le menu A proposde Windows dans lexplorateur:
2.4 Prise en main du systme
Linstallation est termine. Ds que la machine reboote, loguez-vous en compte administrateur, pour effectuer les oprations suivantes:
Rpartir les PC en groupes de travail
Le groupe de travail permet de rassembler les PC des utilisateurs qui doivent travailler ensemble, dans un mme projet ou un mme service
Rpartissez-vous en trois groupes de 6 personnes: chaque groupe grera 3 PC runis dans un mme groupe de travail
Affichez la fentre Proprits Systme (menu au bouton droit de la souris sur licne Poste de Travail), onglet Identification Rseau:
Pour changer le groupe de travail de votre ordinateur, cliquez sur le bouton Proprits
Rebootez et observez le rseau, par la fentre Favoris Rseaux/Ordinateurs proches du mien: vous voyez uniquement les ordinateurs de votre groupe.
Mais vous pouvez encore accder aux autres ordinateurs par Favoris Rseaux/Tout le rseau/Contenu entier du rseau/Rseau Microsoft Windows. La fentre visualise la structure du rseau, qui comprend ici deux domaines (Dom2000 et Specifique) et le nouveau groupe de travail:
Faire deux raccourcis placs sur le bureau vers les ordinateurs du groupe (Ordinateurs proches du mien) et vers lensemble du rseau (Rseau Microsoft Windows)
Il suffit de cliquer sur un nom de groupe ou de domaine pour lister les ordinateurs qui le composent:
Comment le groupe de travail gre-t-il les comptes et la scurit utilisateur?
Si vous double-cliquez sur un ordinateur quelconque (par exemple le serveur serveur-cr du domaine specifique), vous recevrez cette fentre, qui vous demande un nom dutilisateur et un mot de passe valides, pour vous permettre daccder aux ressourcesde lordinateur distant:
En utilisant le compte qui vous a t donn en dbut de formation, vous pourrez vous connecter distance vers le serveur WNT4 ou W2000 que vous utilisez habituellement, et voir ses ressources partages (rpertoires, disques et imprimantes):
Sur lun des PC de votre groupe, changez le mot de passe du compte administrateur ( puis Changer de mot de passe) et cliquez sur cet ordinateur partir des autres PC du mme groupe : que constatez-vous?
Le mot de passe du compte administrateur a-t-il chang automatiquement sur les deux autres PC de votre groupe?
Mettez le mme mot de passe (diffrent de celui des autres groupes) pour tous les ordinateurs de votre groupe de travail: cliquez sur les ordinateurs de votre groupe et sur les ordinateurs des autres groupes. Que constatez-vous?
Conclusion sur les groupes de travail:
La notion de groupe de travail nimplique quun regroupement logique des ordinateurs et pas de scurit particulire au niveau de laccs rseau: on voit directement les ordinateurs de son groupe, et indirectement les ordinateurs des autres groupes en passant par larborescence des groupes et des domaines.
Dans un groupe de travail, les ordinateurs ne peuvent pas tre administrs de faon centralise: chacun dentre eux possde sa propre liste dutilisateurs et de mots de passe. Pour chaque utilisateur, il faudra crer un compte sur chacun des ordinateurs quil utilise, avec les risques derreur que cela comporte: si lon tape un mot de passe diffrent sur lune des machines, ceci ne le change pas sur les autres.
Cette solution est donc trs lourde au niveau administration systme et doit tre rserve un usage domestique ou des configurations de moins de 10 PC: au-del, il faudra utiliser des domaines qui permettent une administration centralise des noms et des mots de passe.
W2000 prend comme critre de reconnaissance dun utilisateur le couple: nom du compte utilisateur, mot de passe.
Utilisateur: Marc, Mot de passe: titi
Utilisateur: Marc, Mot de passe: titi
Utilisateur: Regis, Mot de passe: xxx
Utilisateur: Regis, Mot de passe: yyy
Le compte Marc, qui est stock sur le disque de Station1 sera reconnu par Station2 comme lutilisateur Marc de Station2, car il a le mme mot de passe sur les deux machines: il aura les mmes droits que lui sur toutes les ressources de Station2, accessibles par le rseau.
Le compte Rgis, qui est dfini dans Station1 ne sera pas reconnu par Station2 comme lutilisateur Regis de Station2, car il na pas le mme mot de passe sur les deux machines: il naura aucun droit particulier sur les ressources qui appartiennent lutilisateur Regis de Station2.
Retour sur les protocoles rseaux
Pour bien comprendre ce quest un protocole (un dialogue entre deux machines qui doivent parler le mme langage), on peut faire lopration (absurde) suivante:
supprimez le protocole TCP/IP sur deux de vos machines
installez sur lune le protocole NETBEUI
sur lautre, le protocole IPX/SPX
constatez que chaque machine ne voit plus que les machines munies du mme protocole rseau, quelle soit dailleurs dans le mme groupe de travail ou dans un autre groupe (encore une fois, le groupe de travail nest quune notion logique, et ne joue ni sur la scurit, ni sur la communication rseau).
3. Administration de W2000 Professionnel en groupe de travail Pour dcouvrir progressivement les notions dadministration, nous allons imaginer que nous avons grer une PME de 6 personnes, disposant de 3 PC. Vue la taille de lentreprise, lorganisation en groupe de travail est acceptable.
Nous allons dcouvrir les tches les plus courantes dun administrateur, qui prennent 90% de son temps: cration de comptes utilisateur et de groupes dutilisateurs, attribution des permissions sur les rpertoires et les fichiers, partages de fichiers et dimprimantes, gestion des disques, installations dapplications, gestion de limpression.
3.1 Gestion des comptes utilisateurs
On appelle Compte utilisateur la fiche mmorise par le systme qui contient toutes les informations ncessaires lidentification de lutilisateur louverture de session, la dfinition de son environnement de travail (rpertoire par dfaut, script douverture de session) et ses droits sur la machine (rebooter le systme, modifier lheure).
Avec une organisation des PC en groupe de travail, on ne peut crer que des utilisateurs locaux qui sont seulement connus sur la machine o on les dfinit.
Cration des utilisateurs locaux
Commencez par crer un raccourci sur votre bureau vers la Console de Management Microsoft (MMC) qui permet de raliser de nombreuses tches administratives(Dmarrer / Paramtres / Panneau de configuration / Outils dadministration / Gestion de lordinateur):
Pour crer un nouvel utilisateur, cliquez sur Utilisateurs, et choisir Nouvel utilisateur au bouton droit de la souris: Sur chacun des trois PC dun groupe dordinateurs, crez plusieurs comptes utilisateurs pour donner accs aux membres de votre groupe de 6 personnes, en dfinissant judicieusement les champs: Nom dutilisateur: le nom utilis par le systme pour ouvrir la session Nom dtaill: commentaire pour ladministrateur. Par exemple, nom et prnom Description: commentaire pour ladministrateur. Par exemple, la fonction dans lentreprise (comptable, dveloppeur) Mot de passe: pour lutter contre les tentatives dintrusion, il faut prendre des mots de passe de 8 caractres au moins, comportant des lettres minuscules et majuscules et des caractres non alphanumriques. Lutilisateur doit changer de mot de passe la prochaine ouverture de session: permet ladministrateur de fixer un mot de passe provisoire, en laissant le soin lutilisateur de le particulariser la premire ouverture de session.Le compte est dsactiv: Lorsque lon cre un compte, W2000 le rfrence en interne par un SID (Security Identifier) unique, qui ne sera jamais rutilis. Si lon dtruit le compte, on perd laccs toutes les ressources (rpertoires, fichiers, imprimantes) quil possdait. Mme si lon recre par la suite un compte avec le mme nom dutilisateur et le mme mot de passe, il naura pas accs localement aux ressources: il sagit bien dun nouvel utilisateur, avec un nouvel SID.
Moralit: lorsquun utilisateur quitte provisoirement lentreprise, on doit par scurit dsactiver son compte, mais surtout pas le supprimer.
Dfinir lenvironnement des utilisateurs: Dossier de base et Script douverture de session
Le dossier de base est le rpertoire par dfaut, local ou distant sur un serveur rseau, o le systme place lutilisateur louverture de session: par exemple, le rpertoire par dfaut de la fentre Invite de commande Le script douverture de session permet ladministrateur douvrir automatiquement des applications, de configurer le poste de travail dun utilisateur louverture de session. Cest un programme qui peut tre un fichier.bat (comme sous DOS et Windows 95), ou mieux un VBScript ou un JavaScript. Double-cliquez sur un compte utilisateur pour modifier ses proprits, dans longlet Profil: Crez un rpertoire (D:\USERS) qui servira de rpertoire parent pour tous les utilisateurs: affectez chaque utilisateur (toto) le sous-rpertoire correspondant son nom (D:\USERS\toto). Le sous-rpertoire sera cr automatiquement par le systme, la cration du compte toto.
Ecrivez un script douverture de session qui affiche Bonjour suivi du nom de lutilisateur, comme titre de la fentre dinvite, puis demande lheure, lance lapplication calculette, et attend la frappe de pour se terminer. Pour sexcuter louverture de session, ce script doit tre rang dans le rpertoire: D:\WINNT\System32\REPL\Import\scripts
En Windows 2000 Professionnel, ce chemin nest pas cr automatiquement: pensez crer les rpertoires Repl, Import et ScriptsPour aller au plus vite, on ralisera un .bat: commande echo pour afficher lcran, commande pause pour bloquer lexcution jusqu la frappe de , commande title pour changer le titre dune fentre, time pour lheure, calc.exe pour lapplication calculette. Le nom de lutilisateur courant est stock dans la variable %USERNAME% Testez que le script douverture de session sexcute, et que les utilisateurs se retrouvent dans leur dossier de base. Dsactivez un utilisateur, et vrifiez quil ne peut plus se loguer.Les utilisateursne sont pas tous gaux devant le systme!
Lancez la console de management en vous loguant sous un compte autre que le compte administrateur.
Essayer de supprimer ou de changer le mot de passe dun autre compte. Que se passe-t-il? Fixer une stratgie de comptes
La stratgie de comptes dtermine les caractristiques des comptes valables pour tous les utilisateurs: les caractristiques du mot de passe telles que le nombre de caractres minimum, la dure de vie maximale et minimale du mot de passe; la raction du systme face plusieurs checs successifs douverture de session pour un mme compte (verrouillage).
Rajoutez un raccourci sur le bureau vers le dossier Dmarrer /Paramtres /Panneau de configuration / Outils dadministration pour accder rapidement aux autres outils dadministration systme.
Dans ce dossier, cliquez sur licne Stratgie de scurit locale
Notre stratgiede mot de passe:
Les utilisateurs devront changer leur mot de passe au moins une fois par mois, et ils ne pourront pas le changer plus dune fois par semaine.
On conservera lhistorique des mots de passe (trois derniers mots de passe mmoriss) afin dobliger lutilisateur renouveler rellement son mot de passe
Le mot de passe comportera au moins 8 caractres et devra respecter des exigences de complexit
Il sera stock avec un cryptage rversible
Faire des essais de validit de mot de passe en modifiant la date systme, en ressayant un des mots de passe prcdemment utiliss Tout comme en dveloppement, un bon administrateur doit valider pas pas son travail!
Notre stratgie de verrouillage:
Le compte sera verrouill si le systme compte trois erreurs douverture de session en moins dune minute.
Le verrouillage durera 30 minutes.
3.2 Les groupes dutilisateurs prdfinis, et les droits
W2000 permet daffecter individuellement des droits aux utilisateurs sur le systme (rebooter, mettre lheure, installer des applications) et des autorisations sur des ressources (lire ou crire dans un fichier ou un rpertoire).
Mais dans la pratique, il vaut mieux rpartir dabord les utilisateurs en groupes, selon leur fonction dans lentreprise, et raisonner le plus possible de faon ensembliste, en affectant des droits et des permissions aux groupes dutilisateurs.
Pour affecter des droits aux utilisateurs, W2000 fournit des groupes prdfinis qui correspondent aux fonctions les plus courantes, en exploitationet en utilisation :
ingnieur systme (groupe Administrateurs)
membre de lquipe systme qui lance des oprations de sauvegarde ou de restauration des disques, ou application de sauvegarde automatise (groupe Oprateurs de sauvegarde)
utilisateurs avertis, qui peuvent mettre leurs ressources en commun (groupe Utilisateurs avec pouvoir)
utilisateurs de base appartenant lentreprise (Utilisateurs)
invit de passage dans lentreprise (Invits)
Lire la description des droits de chaque groupe prdfini, dans laide W2000 (onglet index, mots cl groupeAdministrateur / Autorisations )
Faut-il associer les comptes une fonction (dveloppeur VB, ingnieur systme) ou aux individus? Par exemple, si un ingnieur systme travaille une partie de son temps comme dveloppeur, doit-il se loguer sous un compte du groupe Administrateurs, ou sous un compte banalis du groupe Utilisateurs?
Comment tre sr que les utilisateurs finaux ne pourront pas amener de virus dans votre site?
Comment rsoudre provisoirement les problmes de compatibilit avec les applications dveloppes pour les anciennes versions de Windows? Groupes prdfinis et droits dinstallation
Crez un nouveau compte Install, mot de passe install qui vous permettra daccder au CDROM partag sur serveur-cr, et la distribution de Windows 2000 dans le rpertoire partag Install:
placez le compte dans le groupe Utilisateurs.
loguez-vous sous le nouveau compte.
A titre dexemple dinstallation, essayez dajouter un nouveau composant Windows: Panneau de configuration / Ajout Suppression de Programmes/ Ajouter/Supprimer des composants Windows
Le systme refuse linstallation, en vous indiquant que vous ne disposez pas de droits suffisants:
Reloguez-vous en administrateur, et placez le compte Install dans le groupe Administrateurs:
Dans la fentre Gestion de lordinateur, double-cliquez sur le compte Install, pour lister ses proprits:
Dans longlet Membre de, cliquez sur le bouton Ajouter, et ajoutez le groupe Administrateurs. Supprimez ensuite le groupe Utilisateurs
Reloguez-vous sous le compte Install, et installez un composant Windows de votre choix
3.3 Les groupes dutilisateurs non prdfinis, et les autorisations
Pour attribuer efficacement des autorisations sur les ressources (rpertoires, fichiers et imprimantes), locales ou partages sur le rseau, il faut dabord regrouper les utilisateurs en groupes correspondant leurs fonctions dans lentreprise, et aux ressources quils utilisent habituellement.
Dans lorganisation en groupes de travail dordinateurs que nous avons choisie, rien nest centralise:
tous les groupes sont locaux la machine sur laquelle ils sont dfinis
ils ne peuvent contenir que des utilisateurs de cette machine
ils ne peuvent tre utiliss que pour donner accs des ressources de cette machine
Moralit: comme les comptes dutilisateurs, les groupes locaux devront tre redfinis sur chacune des machines o lon veut les utiliser
Cration des groupes locaux
Imaginons une PME constitue de deux services: administration, production. Chacun des services aura accs certaines ressources informatiques particulires. Les deux groupes ne doivent pas se gner mutuellement.
La premire tape consiste crer les groupes, et y ranger leurs utilisateurs respectifs: directeur et secrtaire dans le groupe administration; dveloppeur1 et dveloppeur2 dans le groupe production.
Tous les utilisateurs resteront membres du groupe prdfini Utilisateurs avec pouvoir qui leur confre des droits sur la machine ( bien distinguer des permissions sur les ressources, dont on soccupe maintenant)
Pour tre guid dans la cration des groupes, utilisez laide de la fentre Gestion de lordinateur:
3.4 La scurit locale
Dans un volume format en NTFS, le systme mmorise pour chaque rpertoire ou fichier, le propritaire du rpertoire, et les utilisateurs et groupes dutilisateurs qui pourront accder au rpertoire ou au fichier, avec leurs autorisations respectives. Le formatage en NTFS fournit donc une scurit locale: mme si un utilisateur mal intentionn parvient accder physiquement votre ordinateur et se loguer avec un compte, il naura accs quaux rpertoires et fichiers qui sont autoriss pour ce compte. Une partition NTFS ne peut tre lue que par le systme W2000: mme si lon reboote votre machine avec une disquette de boot DOS ou W95/98, vos donnes ne seront pas accessibles. Les autres systmes de gestion de fichiers, FAT et FAT32 ne grent pas les autorisations, en accs local. Ne choisissez FAT ou FAT32 que si votre disque doit tre accessible dun autre systme, comme W95/98 ou Millenium.
NTFS gre les autorisations daccs au niveau des fichiers et des rpertoires, avec des rgles de combinaison que lon prcisera. Autorisations de fichier
W2000 propose une liste dautorisations qui correspondent aux cas les plus courants dutilisation:
Contrle total, Modifier, Lecture et excution, Lecture, Ecriture.
Chacune de ces autorisations est constitue d'un ensemble d'autorisations spciales, que lon peut attribuer sparment, si les rgles de scurit lexigent:
PRIVATEAutorisations spciales Contrle totalModifierLecture et excutionLectureEcriture
Excuter le fichierXxx
Lecture de donnesXxxX
Ecriture de donnesXxx
Ajout de donnesXxx
Attributs de lectureXxxX
Lire les attributs tendusXxxX
Attributs d'critureXxx
criture d'attributs tendusXxx
Suppression de sous-dossiers et de fichiersX
SupprimerXx
Autorisations de lectureXxxXx
Modifier les autorisationsX
AppropriationX
SynchroniserXxxXx
Dfinitions des autorisations spciales propres aux fichiers(en italique)
Excuter le fichier: permet ou interdit l'excution de fichiers programmes.
Lecture de donnes: permet ou interdit l'affichage des donnes des fichiers.
Ecriture de donnes: permet ou interdit de modifier le fichier et d'en remplacer le contenu actuel.
Ajout de donnes: permet ou interdit de modifier la fin du fichier mais non pas de modifier, de supprimer ou de remplacer les donnes existantes.
Autorisations sur les rpertoires
Liste des autorisationscourantes : Contrle total, Modifier, Lecture et excution, Afficher le contenu du dossier, Lecture, criture.
Chacune de ces autorisations se dcompose en autorisations spciales:
PRIVATEAutorisations spciales Contrle totalLecture et excutionModifierAfficher le contenu du dossierLectureEcriture
Parcourir le dossierxxxx
Liste du dossierxxxxX
Cration de fichiersxxx
Cration de dossiersxxx
Attributs de lecturexxxxx
Lire les attributs tendusxxxxx
Attributs d'criturexxx
criture d'attributs tendusxxx
Suppression de sous-dossiers et de fichiersx
Supprimerxx
Autorisations de lecturexxxxxx
Modifier les autorisationsx
Appropriationx
Synchroniserxxxxxx
Dfinitions des autorisations spciales propres aux rpertoires(en italique)
Parcourir le dossier: permet l'utilisateur de se dplacer dans les dossiers pour atteindre d'autres dossiers ou fichiers, mme s'il n'est pas muni des autorisations correspondant aux dossiers ainsi parcourus.
Liste du dossier: permet ou interdit l'affichage des noms des fichiers et des sous-dossiers contenus dans le dossier.
Cration de fichiers: permet ou interdit de crer des fichiers au sein du dossier.
Cration de dossiers: permet ou interdit de crer des dossiers au sein du dossier.
Autorisations spciales, communes aux fichiers et rpertoires
Attributs de lecture: permet ou interdit l'affichage des attributs d'un fichier ou d'un dossier, tels que les attributs Lecture seule ou Masqu. Les attributs sont dfinis par le systme de fichiers NTFS.
Lire les attributs tendus: permet ou interdit l'affichage des attributs tendus d'un fichier ou d'un dossier. Les attributs tendus sont dfinis par des programmes et peuvent varier selon le programme utilis.
Attributs dcriture: permet ou interdit de modifier les attributs d'un fichier ou d'un dossier tels que les attributs Lecture seule ou Masqu. Les attributs sont dfinis par le systme de fichiers NTFS.
Ecrire les attributs tendus: permet ou interdit la modification des attributs tendus d'un fichier ou d'un dossier. Les attributs tendus sont dfinis par des programmes et peuvent varier selon le programme utilis.
Suppression de sous-dossiers et de fichiers: permet ou interdit de supprimer des sous-dossiers et des fichiers mme si l'autorisation Supprimer n'a pas t octroye pour le sous-dossier ou le fichier concern.
Supprimer: permet ou interdit de supprimer le fichier ou le dossier. Vous pouvez supprimer un fichier ou un dossier sur lequel vous ne possdez pas l'autorisation Supprimer si vous disposez de l'autorisation Suppression de sous-dossiers et de fichiers relative au dossier parent.
Autorisations de lecture: permet ou interdit les autorisations de lecture du fichier ou du dossier, telles que Contrle total, Lecture et criture.
Modifier les autorisations: permet ou interdit de modifier les autorisations du fichier ou du dossier, telles que Contrle total, Lecture et criture.
Appropriation: permet ou interdit de prendre possession du fichier ou du dossier. Le propritaire d'un fichier ou d'un dossier peut en modifier les autorisations tout moment, indpendamment des autorisations existantes.
Synchroniser: autorise ou interdit que plusieurs threads attendent le fichier ou le dossier sur le handle et se synchronisent une autre thread qui les a signales. Cette autorisation s'applique uniquement aux programmes multi-thread, multitraitement.
Permissions explicites et permissions hrites
En vous loguant sous le compte administrateur, crez un rpertoire Essai la racine du disque D:
Par dfaut, un nouveau rpertoire rcupre toujours les autorisations de son rpertoire parent: ici la racine du disque. Interdisez lhritage en dcochant Permettre aux autorisations pouvant tre hrites du parent dtre propages cet objet
Choisissez de supprimer les autorisations hrites
Accordez explicitement lautorisation Modifier pour le groupe Tout le Monde, et Contrle total pour le groupe Administrateurs
Crez un sous-rpertoire Production sous le rpertoire Essai. Visualisez les autorisations du nouveau rpertoire: il est cr avec les mmes permissions que son parent (il hrite des permissions du parent, qui sont reprsentes en gris) Ce lien est dynamique: si lon modifie les permissions du rpertoire principal, les modifications seront automatiquement rpercutes sur tous les sous-rpertoires et fichiers qui ont autoris lhritage. Retirez lautorisation Modifier sur le rpertoire Essai pour le groupe Tout le Monde, et vrifiez quelle est automatiquement retire au sous-rpertoire Production.Donnons maintenant des autorisations explicites et vrifions les:
Le mcanisme dhritage est pratique pour grer des arborescences o tous les fichiers appartiennent la mme quipe et doivent recevoir les mmes autorisations. Mais il ne faut pas propager automatiquement toutes les autorisations du rpertoire racine vers tous les sous-rpertoires, sans quoi on naura aucune politique de scurit! Nous allons crer un deuxime sous-rpertoire Administration sous Essai, et interdire lhritage dans les deux sous-rpertoires. Les deux sous-rpertoires recevront des accs explicites: Administration Contrle Total au groupe Administrateurs Modifier pour le groupe administration Lectureet excution pour le groupe production Afficher le contenu du dossier pour le groupe Tout le MondeProduction Contrle Total au groupe Administrateurs Modifier pour le groupe production Lecture pour le groupe Tout le Monde Loguez-vous sous les diffrents comptes et tentez daccder aux deux sous-rpertoires pour vrifier le bon fonctionnement des autorisations: dveloppeur1 doit pouvoir crer des fichiers et des rpertoires, lire et crire dans des fichiers existants, excuter des programmes, dans le dossier production
mais il ne peut que lire les donnes et excuter les applications du dossier administration. lutilisateur toto qui nappartient ni production ni administration peut seulement lister le contenu du rpertoire administration, sans avoir accs au contenu de ses fichiers (autorisation Afficher le contenu du dossier pour Tout le Monde). Mais il peut lister le contenu du rpertoire production, et visualiser le contenu de ses fichiers (autorisation Lecture pour Tout le Monde) directeur ne peut que lire dans le dossier production, sans pouvoir crer ou modifier quoi que ce soit, ou mme excuter une application En vous loguant sous le compte directeur, recopiez un fichier du rpertoire production vers le rpertoire administration (glisser/coller en maintenant la touche CTRL enfonce) puis essayez de dplacer un fichier du rpertoire production vers administration (glisser/coller sans la touche CTRL): que se passe-t-il et comment linterprter?Pour affiner : cumul ou retrait dautorisations individuelles sur les rpertoires et les fichiers
On procde le plus possible en logique positive, en employant des groupes dutilisateurs pour viter de multiplier les manipulations: une bonne stratgie de scurit doit rester simple, et comprendre relativement peu de rgles. On peut ensuite affiner en donnant explicitement ou en retirant explicitement des droits individuels. A noter que linterdiction (colonne de droite Refuser) lemporte toujours sur les autorisations explicites ou hrites: dans lexemple ci-dessous, toto naura pas dautorisation en lecture sur le rpertoire production, bien quil reoive normalement ce droit du groupe Tout le Monde. Les autorisations explicites sur les fichiers lemportent sur les autorisations donnes leurs rpertoires: Sous le rpertoire administration, crez un rpertoire confidentiel qui prendra par dfaut les autorisations hrites de son dossier parent
Interdisez explicitement tout accs lutilisateur dveloppeur1 (rput bidouilleur fou) sur le rpertoire confidentiel. Vrifiez que cette interdiction lemporte sur lautorisation que dveloppeur1 reoit du groupe Tout le Monde.
Dveloppeur2 doit pouvoir modifier le fichier paye.txt, dans le rpertoire administration, sans avoir dautorisation dcriture sur les autres fichiers de ce rpertoire. Vrifiez que les autorisations explicites sur les fichiers lemportent sur les autorisations donnes au rpertoire qui les contient.
Faire extrmement attention la priorit de linterdiction sur lautorisation.
Interdisez tout accs Tout le Monde sur le rpertoire administration.
Loguez-vous sous le compte directeur et tentez daccder au rpertoire comme prcdemment.
Que se passe-t-il?
Que se passerait-il si lon faisait la mme chose sur la racine du disque systme?
(ne pas essayez moins que vous nayez beaucoup de temps libre)
Des autorisations dangereuses pour lutilisateur de base
Prcisons la diffrence entre lautorisationModifier et lautorisation Contrle Total.
Modifier permet un utilisateur non systme de tout faire sur des rpertoires et des fichiers, sauf
changer la liste des autorisations qui leur sont affectes (autorisation spciale Modifier les autorisations)
changer le propritaire des fichiers (autorisation spciale Appropriation)
supprimer des sous-rpertoires et des fichiers, mme si la suppression nest pas autorise explicitement.
Loguons-nous en administrateur et donnons lautorisation Contrle total toto sur le rpertoire production.
Actuellement, toto nest pas propritaire de ce rpertoire, mais lautorisation Contrle total le rend de fait gal au propritaire, et mme au compte administrateur pour ce rpertoire.
toto peut changer comme il le veut les autorisations du rpertoire, en passant en mode avanc:
En double-cliquant par exemple sur la ligne Autoriser Administrateurs, toto peut retirer certaines des autorisations spciales qui sont donnes par lautorisation standard Contrle total:
Loguez-vous en compte administrateur, et vrifiez que ladministrateur ne peut plus crer de fichiers dans le rpertoire production (suppression de lautorisation spciale Cration de fichiers/Ecriture de donnes )
toto peut mme sapproprier le rpertoire, en rcuprant toutes les autorisations de son propritaire
2-3-Partages de ressources
W2000 Professionnel possde des fonctionnalits serveur de base: il vous permet de partager des ressources, cest--dire de les mettre disposition des autres machines, par lintermdiaire du rseau.
pour dfinir un nouveau rpertoire partag, slectionnez le rpertoire sous lexplorateur, et choisissez Partage au bouton droit de la souris
On dfinit un partage de ressource avec des autorisations daccs, pour des utilisateurs et des groupes dutilisateurs.
Liste des autorisations de partage, avec les actions quelles autorisent
PRIVATEAction Contrle totalModificationLecture
Affichage des noms des fichiers et des sous-dossiersxxx
Accs aux sous-dossiersxxx
Affichage des donnes des fichiers et excution des programmesxxx
Ajout de fichiers et de sous-dossiers au dossier partagxx
Modification de donnes dans les fichiersxx
Suppression de sous-dossiers et de fichiersxx
Modification des autorisations (NTFS seulement)x
Appropriation (NTFS seulement)x
La mthode semble la mme que pour la scurit locale, mais il faut bien comprendre comment les autorisations sur les rpertoires se combinent avec les autorisations sur les partages.
Pour une unit formate en NTFS, autorisations relles sur un rpertoire partag = intersection des autorisations locales et des autorisations accordes au partage.
Moralit: Un utilisateur accdant un rpertoire partag distance, via le rseau, naura jamais une autorisation suprieure son autorisation locale NTFS sur le rpertoire. Cest logique, car il est plus difficile de scuriser un rseau et des accs distance, que laccs local lordinateur dans un bureau: par dfaut, on suppose toujours que lutilisateur local est plus digne de confiance que lutilisateur distant.
Pour une unit en FAT ou FAT32, autorisations relles sur un rpertoire partag = autorisations accordes au partage
Les accs sur des units non NTFS peuvent tre scuriss distance, via un partage, mais pas en local: il faut faire confiance aux serrures de la salle serveur!
Partager les rpertoires administration et production
Revenons notre PME de 6 personnes, et 3 PC. Nous allons amliorer la solution prcdente, en conservant un seul rpertoire D:\Essai\production sur lun des PC rserv la production, et un seul rpertoire D:\Essai\administration, sur lun des PC rserv aux services administratifs de lentreprise.
Le rpertoire D:\Essai\administration\confidentiel ne sera accessible quau directeur de lentreprise.
Le troisime PC naura pas de fonction serveur, mais il permettra daccder aux deux rpertoires partags.
Il faut toujours commencer par dfinir la scurit locale, car elle permet de brider la fois laccs local et laccs distant:
administration: Contrle Total pour le groupe Administrateurs, Modifier pour le groupe administration, Lecture et Excution pour le groupe production, aucun accs pour le compte dveloppeur1
confidentiel: Contrle Total pour le groupe Administrateurs, Modifier pour le compte directeur(avec des autorisations explicites: le rpertoire confidentiel ne doit pas hriter les autorisations de son rpertoire parent)
production: Contrle Total pour le groupe Administrateurs, Modifier pour le groupe production, Lecture et Excution pour le groupe administration
Il faut ensuite dfinir la scurit sur les partages, en pensant au systme dentonnoir: on doit pouvoir accder localement pour accder distance, via un partage. Si lon accorde Contrle Total pour Tout le Monde sur un partage, cela veut simplement dire que tous les utilisateurs auront autant de droits distance quen local. W2000 permet dattribuer les noms de partage, que lon verra travers le rseau, indpendamment des noms des rpertoires et de leur place dans larborescence Le rpertoire administrationsera partag sous le nom admin: tous les utilisateurs auront les mmes autorisations distance que leurs autorisations locales.
Le rpertoire confidentielsera partag sous le nom secret: distance, il ne sera accessible quen Lecture par le compte directeur.
Le rpertoire productionsera partag sous le nom production: distance, il ne sera accessible quau groupe production avec lautorisation de partage Modifier. Supprimez tous les comptes utilisateurs et les groupes locaux inutiles sur chaque machine:
pour trouver les comptes qui restent utiles sur chaque machine, pensez ce qui doit transiter dans le rseau, lors de lutilisation dune ressource partage: le nom de lutilisateur et son mot de passe, et jamais les groupes locaux (qui nont pas de signification en dehors de leur machine).
Accs aux ressources partages
Les ressources partages sont visible directement, travers le rseau: cliquez sur le raccourci vers Rseau Microsoft, et double-cliquez sur un serveur auquel vous avez accs, pour visualiser ses ressources partages (dans lexemple, serveur-cr)
Pour visualiser les partages des ordinateurs de votre groupe de travail, utilisez Ordinateurs proches du mien
Testez soigneusement laccs local tous les rpertoires, et laccs distant tous les partages, via le rseau.
Connexion une ressource partage
Il est plus pratique daccder directement aux ressources partages frquemment utilises. Lopration de connexion associe une unit rseau la ressource partage (F:, G: etc). Cette possibilit existe dans tous les systmes dexploitation de rseau (commande Map sous Novell/NetWare).
Comment crer une nouvelle connexion?
sous lexplorateur, menu Outils/Connecter un lecteur rseau
si vous connaissez le nom du serveur o se trouve votre ressource partage, et le nom du partage, tapez les directement dans Dossier, avec la syntaxe: \\nom_du_serveur\nom_partage sans espaces (exemple \\serveur-cr\F pour accder au CDROM partag F sur le serveur serveur-cr)
Sinon cliquez sur Parcourir pour rechercher les ressources accessibles sur le rseau
slectionnez une ressource accessible dans un des serveurs, et validez par OK
cliquez sur Terminer. Lunit G: pointe sur la ressource partage
Comment utiliser une unit de lecteur rseau vers une ressource partage
Lunit rseau sutilise avec la mme syntaxe quune unit de disquette, de disque ou une partition dun disque. A noter que cette mthode est la seule qui permette dutiliser la ressource partage dans une fentre Invite de commande avec des commandes compatibles DOS:
associez lunit rseau W: au rpertoire production ouvrez une fentre Invite de commande et placez-vous dans le rpertoire partag en tapant:
W: (syntaxe DOS pour changer dunit de disque, de disquette, ou de partition)
crez quelques sous-rpertoires, visualisez et dplacez-vous dans les rpertoires sur lunit W: en utilisant des commandes en mode texte (au besoin, consultez laide W2000 sur les commandescompatibles DOS : md, rm, cd, dir, del )
ces commandes restent utiles pour le dveloppeur, car elles peuvent facilement tre intgres une application, contrairement aux outils graphiques (par la fonction system en langage C, shell en Visual Basi
Lunit rseau est galement accessible dans lexplorateur, Poste de travail au mme niveau que les units physiques et logiques (A: C: D: etc). Pour ne pas confondre les lecteurs rseau avec les vrais lecteurs, W2000 rappelle en clair le nom du partage et le nom du serveur, qui sont associs au lecteur rseau
Connexion une ressource par une commande en mode texte
NET USE X: \\nom_serveur\nom_partage
Connecte lunit de lecteur rseau X: la ressource de nom nom_partage sur le serveur nom_serveur
NET USEListe toutes les units de lecteur rseau actuellement connectes
NET USE X: /DELDconnecte lunit X: de sa ressource partage et libre la lettre pour une autre utilisation
3-5-La gestion des disques et des partitions
W2000 propose lancienne structure de disque compatible avec WNT4 et W9x (disque de base) et les disques dynamiques dont la taille peut tre tendue sans reformater le disque (spcifiques W2000).
Structure d'un disque de base sous W2000
Une partition est une partie d'un disque physique qui fonctionne comme sil sagissait dun disque physiquement distinct.
Un volume est une partition ou une collection de partitions qui ont t formates pour un systme de fichiers donn. Il est possible d'affecter une lettre de lecteur un volume et de l'utiliser pour organiser des rpertoires et des fichiers.
Vous pouvez crer les lments suivants dans l'espace libre d'un disque dur: plusieurs partitions principales; une seule partition tendue.
Les partitions principales :
au maximum quatre, trois s'il existe une partition tendue
on ne peut pas diviser une partition principale en lecteurs logiques: avec des partitions principales, on ne peut donc pas subdiviser son disque en plus de 4 volumes.
La partition tendue :
Une partition tendue peut tre divise en de nombreux lecteurs logiques: utilisez une partition tendue si vous souhaitez disposer de plus de 4 volumes sur votre disque de base. On est seulement limit par la taille de la partition.
Une seule des quatre partitions autorises par disque physique peut tre une partition tendue.
Il n'est pas ncessaire de crer au pralable une partition principale.
Lancez loutil de gestion de disques
Dans cet exemple, un disque physique unique est subdivis en une partition principale de 180 Mo en FAT (C: en bleu fonc) et une partition tendue formate en NTFS (en vert fonc) divise en deux lecteurs D: et E:
Crez des lecteurs logiques dans une partition tendue
Cliquez sur l'espace libre dans votre partition tendue (zone vert clair)
Avec le bouton droit, choisissez Crer un lecteur logique
Suivez lassistant de cration de partition:
crez un lecteur de 600 Mo (laissez de la place pour linstallation de W2000 Server)
assignez une lettre la nouvelle partition
pour une fois, demandez un formatage en FAT: pour nous permettre de le convertir en NTFS dans
ce qui va suivre.
Comment changer de systme de fichiers
Pour passer de FAT ou de FAT32 en NTFS, utilisez la commande: convert E: /fs : NTFS
Un disque format en NTFS ne peut tre converti ni en FAT ni en FAT32.
Pour revenir de NTFS en FAT, il faut sauvegarder les donnes, formater la partition en FAT, puis restaurer les fichiers.
Vous ne pourrez pas formater la partition systme : il faudra relancer l'installation.
Les partitions particulires
La partition systme C: contient des fichiers propres au matriel qui sont indispensables au dmarrage de Windows2000 (par exemple Ntldr, Boot.ini, Ntdetect.com).
Cette partition doit tre une partition principale, dclare comme partition active = la partition qui contient les fichiers de dmarrage du/ou des systmes dexploitation (dans notre cas, la partition C: contient la fois les fichiers de dmarrage de DOS et de W2000)
La partition Dmarrer contient le systme d'exploitation Windows2000.
La partition Dmarrer peut tre la mme que la partition systme, mais pas ncessairement. Elle en diffre dans le cas dun multiboot: sur notre machine, la partition systme C: contient le systme DOS et les fichiers ncessaires au boot de W2000 ; la partition damorage D: contient tous les autres fichiers de W2000.
Utilisation des quotas disques
Les quotas disques permettent de dlimiter lespace disque rserv chaque utilisateur, pour viter quun utilisateur remplisse par inadvertance tout un volume
Ils seront surtout indispensables pour la gestion des serveurs, o tous les utilisateurs disposent dun espace partag sur le mme disque
Gestion de quotas identiques pour tous
Slectionnez la nouvelle partition E:, menu Proprits au bouton droit de la souris, onglet Quota
Dans cet exemple, tout nouvel utilisateur du disque verra son espace limit 10 Mo. Il recevra un avertissement partir de 5 Mo occup.
Testez le bon fonctionnement des quotas en recopiant des fichiers dans la partition E:, sous lun de vos comptes dutilisateur local.
Comment grer les ingalits entre utilisateurs!
Il est aussi possible de fixer des quotas distincts des utilisateurs privilgis.
Cliquez sur Entres de quota
3.5 Les Profils utilisateur
Dans une entreprise, toutes les personnes ne font pas le mme mtier. Elles ont donc des besoins diffrents: sur un mme ordinateur, le bureau, les applications, les rpertoires de travail devront tre personnaliss pour chaque utilisateur.
Pour cela, W2000 gre des environnements qui sont appels profilsutilisateur : un profil contient des prfrences et des options de configuration.
Exemple:
Le profil de lutilisateur regis est stock dans le rpertoire Documents and Settings\regis. Il se subdivise en sous-rpertoires, qui contiennent chacun un type de paramtres particulier:
Sous-rpertoireParamtres
Bureautout ce qui apparat directement sur votre bureau: veillez ny
ranger que des raccourcis et jamais les fichiers eux-mmes!
Menu DmarrerTous les programmes accessibles par le menu Dmarrer de
la barre des tches, regroups par sous-menus
Donnes dapplicationsparamtres spcifiques aux applications: remplacent les fichiers
.ini de Windows 3.x
Recentraccourcis vers les derniers fichiers, rpertoires ou sites Web
auxquels vous avez accd (accessibles par le menu
Dmarrer/Document)
Cookiesfichiers cookies tlchargs par les serveurs Web
pour mmoriser le contexte de lapplication Web
etc
Le fichier systme NTUSER.DAT contient la description complte de lutilisateur: il est charg en mmoire, dans la base de registre, chaque nouvelle connexion de lutilisateur.
Lors de linstallation de W2000, il y a cration dun profil DEFAULT USER, et dun profil ALL USERS. Ces deux profils systmes sont trs utiles pour configurer une machine. Lorsquun utilisateur se connecte pour la premire fois sur une machine, son profil est cr par recopie du profil DEFAULT USER: il suffira donc de configurer correctement ce profil pour grer les futurs utilisateurs. Beaucoup dapplications doivent tre accessibles de tous les utilisateurs, y compris de ceux qui existent dj au moment de linstallation: il suffit pour cela dajouter les raccourcis dans le profil ALL USERS qui sappliquent tous les utilisateurs.Configuration des profils systmes
Crez un raccourci vers la calculette (calc.exe) dans le bureau de ALL USERS
Crez un raccourci vers le bloc-notes (notepad.exe) dans le bureau de DEFAULT USER
Vrifiez que le premier raccourci est accessible par tous les utilisateurs, les nouveaux et les anciens
Vrifiez que le deuxime raccourci nest accessible que pour les utilisateurs crs aprs la configuration de DEFAULT USER. Vrifiez quil a t recopi dans le bureau des nouveaux utilisateurs
Configurer le menu Dmarrer
Cette configuration se ralise normalement par le menu:
Dmarrer /Barre des tches et menu Dmarrer
Pour bien comprendre la structure des profils, nous allons travailler directement avec lexplorateur: ne laisser que le bloc-notes, linvite de commande et Paint dans le menu Accessoires.
Vrifiez dans votre menu Dmarrer que les modifications ont t effectues.
Sil reste plus de menus que prvu, pensez maintenant supprimer les options non demandes dans le sous-rpertoire Menu Dmarrer/ Programmes/ Accessoires de ALL USERS. Tirez les conclusions!
3.6 Limpression sous W2000
Dfinitions
Imprimante locale:
imprimante matrielle qui est directement connecte un port de votre ordinateur.
Imprimante rseau:accs via un rseau une imprimante relie un serveur ou connecte directement au rseau (par un carte Ethernet)
Imprimante logique:
lensemble de linterface logicielle entre l'application et le priphrique d'impression matriel (pilote dimprimante, processeur dimpression, spouleur)
Pilote dimprimante:
programme systme permettant aux applications d'utiliser simplement une imprimante dtermine, sans se proccuper de son langage interne ou de ses caractristiques matrielles. En utilisant des pilotes d'imprimante qui grent les subtilits de chaque imprimante, les programmes peuvent communiquer correctement avec un large ventail d'imprimantes.
Processeur dimpression:
logiciel de mise en forme dun document gnrique pour une imprimante donne. Travaille en association avec le pilote dimprimante.
Spouleur dimpression: logiciel qui accepte un document envoy une imprimante par un utilisateur et le stocke sur disque ou dans la mmoire jusqu' ce que l'imprimante soit prte le reproduire (traduction de l'anglais spooler: simultaneous print operations on line) File dattente dimpression:
ensemble des documents en attente d'impression vers une imprimante, qui est gr par le Spouleur. Les nouveaux documents sont ajouts en fin de file dattente. Le Spouleur envoie le document le plus ancien vers limprimante physique (gestion FIFO). Ladministrateur peut grer cette file dattente en annulant des demandes dimpression, en changeant lordre des travaux dimpression en attente
Moniteur dimpression: il prend en charge la communication physique entre lordinateur et limprimante, en assurant la gestion du port dentre-sortie (LPT1: , COM1: etc)
Architecture de limpression
Le schma ci-dessous correspond une impression sur une imprimante rseau, situe sur un serveur W2000
1. La premire fois qu'un travail d'impression est envoy l'imprimante, le pilote d'imprimante est charg dans la mmoire du client. Si vous utilisez une imprimante rseau, le pilote est copi vers l'ordinateur client lorsque ce dernier imprime pour la premire fois: ceci vite toutes les incompatibilits entre poste client et serveur, que lon rencontrait dans les anciennes versions de Windows.
2. L'application gnre un fichier de sortie qui inclut le contenu et le formatage du document, dans un format gnrique. Ce fichier est gnr par l'interface GDI. Il est dsign par le terme de fichier journal DDI (Device Driver Interface).
3. Le spouleur reoit le document et le passe au processeur d'impression appropri.
4. Le processeur d'impression dtermine le type des donnes, traite le fichier de manire approprie, puis renvoie le document au spouleur.
5. Le spouleur de l'ordinateur client passe le document au spouleur du serveur d'impression par l'intermdiaire des couches rseaux de W2000.
6. Sur le serveur d'impression, le spouleur passe le document au moniteur d'impression. Ce dernier crit les donnes vers la destination d'impression approprie LPT1, COM1 ou l'adresse de la carte rseau du priphrique d'impression.
7. Limprimante reoit ces informations et produit une sortie imprime. Un message est ensuite envoy l'utilisateur, indiquant l'utilisateur que le document est imprim.
Scurit sur les partages dimprimante
Lorsqu'une imprimante est installe sur un rseau, elle reoit des autorisations par dfaut : les utilisateurs de base peuvent seulement lancer une impression; les administrateurs et les utilisateurs avec pouvoir peuvent imprimer, et grer compltement les documents reus par limprimante et les options dimpression.
W2000 propose trois niveaux dautorisation pour grer limpression : Imprimer, Gestion des documents et Gestion d'imprimantes, qui peuvent tre accords ou refuss des utilisateurs individuels ou des groupes dutilisateurs.
ImprimerL'utilisateur peut se connecter une imprimante et lui envoyer des documents. Par dfaut, l'autorisation Imprimer est affecte tous les membres du groupe Tout le monde.
Gestion des documentsL'utilisateur peut interrompre, reprendre, relancer et annuler les documents soumis par tous les autres utilisateurs. En revanche, l'utilisateur ne peut contrler l'tat de l'imprimante, ni modifier ses autorisations... Par dfaut, l'autorisation Gestion des documents est affecte aux membres du groupe Propritaire crateur dun document, pour lui permettre de contrler son impression.
Gestion dimprimantesL'utilisateur peut se connecter et imprimer, et contrler compltement limprimante: interrompre et redmarrer l'imprimante, modifier les paramtres du spouleur, partager limprimante, modifier ses autorisations et changer ses proprits. Par dfaut, l'autorisation Gestion d'imprimantes est affecte aux membres des groupes Administrateurs et Utilisateurs avec pouvoir.
Les rgles de combinaison des autorisations sur les partages dimprimante sont les mmes que pour les autorisations sur les rpertoires: linterdiction lemporte sur les permissions accordes.
Ajoutez et partagez une imprimante
Connectez limprimante qui vous a t fournie, au port parallle LPT1: Lancez lassistant dajout dimprimantes (Dmarrer /Paramtres / Imprimantes / Ajout dimprimante) et choisir Imprimante locale
Dans la fentre suivante, choisir le port LPT1
Dans la fentre suivante, slectionnez le fabricant et le modle de limprimante qui vous a t fournie. Pour ceux qui connaissaient cette opration sous W95/98 ou WNT4, vous noterez une diffrence apprciable: on peut installer une nouvelle imprimante sans fournir le CDROM dinstallation de W2000. En fait, tous les pilotes dimprimante disponibles sont recopis sur votre disque ds linstallation de W2000.
Donnez un nom votre imprimante locale: Epson1 Demandez le partage de limprimante et donnez un nom la ressource partagequi rappelle le nom de limprimante locale et le nom de votre machine: PC1_Epson1 Dans la fentre suivante Emplacement et commentaire, entrez des informations pour faciliter lutilisation de limprimante par des utilisateurs distants, via le rseau:
Emplacement: 3me tage
Commentaire: imprimante listing.
Toujours demander limpression dune page de test, pour vrifier le bon fonctionnement de limprimante
Lire attentivement le rcapitulatif:
Affinez les permissions associes une imprimante
Dans lquipe, lutilisateur toto assiste ladministrateur pour tout ce qui concerne limpression: donnez lui lautorisation Gestion dimprimantes sur votre imprimante partage
Interdire explicitement toute opration sur limprimante lutilisateur dveloppeur1 Loguez-vous en toto, dveloppeur1, et en compte administrateur sur le PC qui joue le rle de serveur dimpression: vrifiez dans chacun des cas vos permissions sur limprimante.
Sur un des autres PC du groupe de travail: slectionnez limprimante par Favoris Rseau, et cliquez sur Se connecter par le bouton droit de la souris. Vrifiez les autorisations respectives sur le partage dimprimante de toto, de dveloppeur1 et dun compte administrateur.
4. TP de synthse sur ladministration de W2000 ProfessionnelMise en uvre des notions de compte utilisateur, de groupes dutilisateurs, de stratgie de compte, de scurit locale, et de partage sur des W2000 Professionnel organiss en groupes de travail.
1) Cahier des charges: gestion dune quipe de dveloppeurs
Dans un service de dveloppement, vous tes responsable dune quipe de 6 personnes, rparties sur 3 PC.
Les membres de votre quipe doivent disposer de rpertoires personnels et de rpertoires communs pour pouvoir schanger facilement les programmes et les documents dans le cadredu dveloppement, sans que les deux autres quipes puissent avoir connaissance de leur travail ou leur nuire.
Dans le cadre de ce TP, les indlicatesses sont exceptionnellement autorises, une fois que lun des trois groupes se dit prt dans sa stratgie de scurit (merci de ne pas tout casser avant que chacun ait eu le temps de rflchir aux scurits ncessaires!)
2) Suggestions dorganisation
Les 6 membres de lquipe de dveloppement Satellite sont:
BillG (chef de projet)
BigMemo (responsable de larchivage des modules)
BigTeeth (commercial)
Toto, Titi, Tutu (dveloppeurs)
Stratgie de mots de passe: les utilisateurs doivent changer leurs mots de passe chaque jour; verrouillage permanent avec dverrouillage par ladministrateur, aprs 3 tentatives infructueuses de logging.
Dans le groupe, un PC est affect en priorit au chef de projet pour lintgration et larchivage des logiciels. Un autre PC est affect en priorit au commercial, un troisime est affect en priorit aux tests unitaires. Tous les PC peuvent servir au dveloppement lorsquils ne sont pas utiliss par le chef de projet ou le commercial. Le commercial ne peut se logger que sur son propre PC (par mesure de prudence).
BillG et les trois dveloppeurs seront membres du groupe dutilisateurs Dveloppement.
BillG et BigMemo sont membres du groupeMaintenance
Le groupe Administrateurs a le contrle total sur tous les rpertoires, sur tous les PC. Par scurit, BillG est administrateur secondaire (il sera membre du groupe Administrateurs sur chaque station). BigMemo a le droit darrter le systme, et de modifier lheure systme, sur toutes les machines.
Organisation des disques: il faut viter de placer des donnes dans la partition systme: les rpertoires utilisateur seront placs dans des partitions utilisateur E: et F:Arborescence du PC 1 Chef de projet
Nom
Scurit Locale
Partage
E:\Satellite
commun au groupe de projet: par scurit, ne doit pas tre vu dans sa totalit des autres postes
Grpe Satellite : Lire et excution
pas de partage ce niveau
( Intgration
modules en attente dintgration: accessible tous les dveloppeurs et au bibliothcaire en local. Par scurit, lintgration ne peut pas se faire distance, sauf exceptionnellement par le bibliothcaire BigMmo. Laccs est interdit explicitement au commercial.
BigTeeth
: Aucun accs
Grpe Satellite: Modifier
partage INTEGRA
BigMemo:Contrle total
Grpe Dveloppement: lecture
( Archivage
modules accepts par le chef de projet, et intgrs au logiciel final
Grpe Maintenance: Modifier
partage ARCHIVE
Grpe Tout le Monde: contrle total (permission daccs distance identique la permission locale)
Grpe Dveloppement: Lire et excution(Users
rpertoires utilisateurs partags
Grpe Satellite: Lire et excution
partage USERSTout le Monde: contrle totalChaque utilisateur possde un sous-rpertoire son nom, sur lequel il a le contrle total
( toto toto: Contrle total
non partag
( titi titi: Contrle total
non partag
( BillG Billg: Contrle total
non partag
..etc
Sur PC2 et PC3, avec loutil de gestion des disques, dans Gestion de lordinateur, crezune nouvelle partition F: en FAT dans lespace restant. Cette partition, sans scurit locale, servira despace de travail provisoire.
Arborescence du PC 2 Commercial
Nom
Scurit Locale
Partage
F:\ Provisoires
rpertoire tampon en FAT pour travailler en local, avant de sauvegarder dans son rpertoire partag.E:\ Commercial
rpertoire priv du commercial BigTeeth:Contrle total
partage Best
Tout le Monde: contrle total
Arborescence du PC 3 Test
Nom
Scurit Locale
Partage
F:\Provisoires
mme chose que sur PC 2
E:\Test
rpertoire accessible lquipe de dveloppement : tous les tests dangereux sont effectus sur PC3
Grpe Dveloppement: Modifier
partage TEST
Tout le Monde: contrle total
Conseils
ne crez sur chaque station que les comptes utilisateur et les groupes locaux rellement ncessaires
affectez chacun des utilisateurs le mme mot de passe sur toutes les stations: un utilisateur est reconnu travers le rseau par le couple (nom dutilisateur, mot de passe)
3) Test de votre configuration systme
Comme en informatique de dveloppement, il faut tester ce que lon vient de mettre en place: nattendez pas que les autres groupes le fassent pour vous ! Testez systmatiquement les accs locaux sur chaque rpertoire, pour chaque utilisateur ou groupe, et les accs distance sur chaque partage.
Signalez-moi les incohrences ventuelles entre ce que vous observez et les rgles de fonctionnement qui ont t dfinies.
4) Rcupration de fichiers inaccessibles, en sappropriant un rpertoire
BigTeethqui a le contrle total sur son rpertoire a retir laccs ladministrateur, et il est en vacances alors que des donnes commerciales indispensables au suivi de projet doivent tre consultes par BillG
BillG va sapproprier ce rpertoire, pour rouvrir laccs au rpertoire. Reloggez vous ensuite en Bigteeth et appropriez- vous nouveau le rpertoire, pour le rendre son propritaire dorigine.5) Synthse
Comme introduction au chapitre suivant sur les domaines et Active Directory, rflchir au manque de souplesse de cette solution, et aux manipulations inutiles quelle implique:
cration des comptes utilisateurs et des groupes dutilisateurs sur chaque PC
danger de se tromper dans les mots de passe et de crer des incohrences
dfinition de la stratgie de scurit locale sur chaque machine
Cette solution nest pas applicable une grande entreprise.
5-Prsentation de la notion de domaine et dannuaire
En entreprise, un administrateur rseau ne gre pas 3 PC, mais une dizaine de serveurs et au moins une centaine de stations de travail, dans des locaux loigns: il doit donc disposer dun moyen dadministration centralise, qui lui permette deffectuer les taches courantes de son bureau.
W2000 Server permet de regrouper les machines en domaine et de rfrencer toutes les ressources de lentreprise dans un annuaire (Directory)
4.1 Le domaine
Un domaine est un regroupement logique de serveurs et de stations partageant des informations communes, qui peuvent tre administrs de faon centralise.
Une machine ne peut appartenir qu un seul domaine.
Pour constituer un domaine, il faut au moins un W2000 Server qui jouera le rle de Contrleur de domaine: le contrleur mmorise pour tout le domaine, les comptes dutilisateurs, les groupes et les stratgies de scurit dans une base de donnes commune, appele Annuaire (Active Directory).
Lorsquun utilisateur se connecte (1) sur une machine du domaine (une station de travail ou un serveur qui nest pas contrleur de domaine), cette machine ne consulte pas ses comptes locaux: elle envoie le nom de lutilisateur et son mot de passe au contrleur de domaine (2), pour quil les valide en les comparant aux donnes de lannuaire (3). Si le couple (nom utilisateur, mot de passe) est correct, le contrleur autorise la connexion, sinon il la refuse (4).
Dans une grosse entreprise, il est conseill dinstaller plusieurs contrleurs de domaine, pour des raisons de fiabilit et de rapidit de connexion. Tous les contrleurs sont matres et possdent une copie active de lannuaire: lorsquun compte est cr, supprim ou modifi sur lun des contrleurs, cette modification est diffuse automatiquement sur les autres (mcanisme de rplication). Les demandes de connexion sont envoyes la vole tous les contrleurs(broadcast sur le rseau): cest le contrleur le plus rapide qui valide la demande. Si un contrleur tombe en panne, la validation des connexions sera effectue par un autre, sans interruption de service pour les utilisateurs.
En Windows 2000, la communication rseau entre les machines dun domaine doit se faire par le protocole TCP/IP (protocole du rseau mondial Internet). Il nest pas interdit dajouter dautres protocoles (tels que le protocole historique de Microsoft NetBeui, ou le protocole IPX/SPX de Novell pour la compatibilit avec le rseau NetWare), mais un domaine Windows 2000 ne peut fonctionner sans le protocole TCP/IP.
Chaque domaine doit possder un nom unique. En Windows 2000, ce nom sappuie sur la dsignation des domaines Internet. Par exemple, www.afpa.fr Le nom de domaine doit se lire de la droite vers la gauche, pour aller du gnral au particulier: fr pour france, afpa pour le nom de lorganisme, www pour dsigner un serveur web dans lafpa.
Avant dinstaller le service dannuaire et de dfinir un domaine sur un serveur Windows2000, il faudra donc installer un serveur DNS (Domain Name Server) et dfinir soigneusement le domaine Internet, en prenant des conventions cohrentes. Le rle du serveur DNS est de traduire les noms Internet (URL) en adresse IP.
4.2 Active directory
Les domaines existaient dj en Windows NT 3.51 et Windows NT4, mais il nexistait aucun moyen simple pour dcrire de grandes entreprises, car un domaine ne pouvait contenir de sous-domaines (structuration un seul niveau)
Pour faire simple, on pouvait assimiler lentreprise tout entire un seul domaine, mais on perdait alors toutes les structures intermdiaires (projets, services). Si lon associait par exemple un domaine chaque service, il fallait grer la main les relations entre les domaines, pour leur permettre de collaborer dans lentreprise (relations dapprobation).
Lannuaire Microsoft (ADS: Active Directory Service) qui sinspire de lannuaire Novell (NDS: Novell Directory Service) rpond ce problme de structuration: il est maintenant possible de dcrire de grosses entreprises constitues de plusieurs sites gographiques, de services
La hirarchie de lActive Directory: forts, arbres, domaines, UO
Prenons lexemple (fictif) du systme dinformation de lentreprise Afpa, que lon imaginera ralis en Windows 2000:
Chaque centre Afpa correspondrait un domaine: PontdeClaix
Ces domaines (dit enfants) dpendent dun domaine rgion (dit parent): RhneAlpes
Les rgions sont leur tour enfant dun domaine unique: afpa.fr Le domaine parent et tous les domaines enfant constituent un arbre dans Active Directory.
Le nom complet dans lannuaire dun domaine enfant sera constitu, en suivant les conventions DNS, par son nom de domaine, suivi du nom de tous les domaines parents, jusqu la racine de larbre:
RhneAlpes-> RhneAlpes.afpa.frPontDeClaix -> PontDeClaix.RhonesAlpes.afpa.fr
Chaque centre doit aussi tre dcoup selon ses grandes fonctionnalits: Formation et Administration.
On pourrait encore utiliser des domaines enfants: mais il est prfrable de ne faire quun domaine par centre, et de le dcouper en UO (unit organisationnelle): une UO est un container qui permet de regrouper des comptes utilisateurs, des groupes, des ordinateurs, des imprimantes, des rpertoires partags, par secteurs dactivit.
Toutes les UO dun domaine seront vues et pourront tre gres dans le mme annuaire: on pourra facilement dplacer un compte utilisateur de lUO Formation vers lUO Administration, ou inversement
Au contraire, les objets qui appartiennent des domaines distincts sont rangs dans des catalogues diffrents: en dehors du domaine auquel il appartient, on ne dispose que dun rsum des proprits de lobjet, dans le catalogue global
A noter aussi, que les UO de domaines diffrents pourront avoir le mme nom, sans quil y ait conflit (comme les variables locales dans des procdures et fonctions!)
On utilisera un dcoupage en domaines, dans un mme arbre, pour des organisations qui communiquent entre elles, mais sont relativement peu couples. On utilisera des UO dans un mme domaine, pour dcrire des objets fortement coupls qui partagent des ressources : par exemple, les activits Formation et Administration pourraient utiliser des ordinateurs et des imprimantes communes, lintrieur dun mme centre
Les domaines dun mme arbre partagent les mmes conventions de dnomination: tous les noms dobjet auront pour suffixe le nom du domaine parent.
Si des organisations interagissent, sans partager le mme systme de nom (par exemple, une multinationale avec des filiales qui ont des noms commerciaux distincts), il faut les regrouper dans une fort:la fort comprend plusieurs arbres, avec des noms DNS diffrents.
Dans notre exemple, il faudrait faire dautres arbres pour les organismes non grs par lAfpa, qui sont habilits mener des formations Afpa et dlivrent des diplmes Ministre du Travail(Cotorep): lensemble des organismes travaillant sur des progressions Afpa formerait une Fort.
Dun point de vue comptable et administratif, il ny aurait pas de lien entre les diffrents domaines racine de la fort.
Le contenu de lActive Directory
Une autre diffrence importante avec les domaines Windows NT tient au contenu de lannuaire: comme dans un rpertoire de messagerie, on rfrence toutes les proprits de lobjet, et pas seulement celles qui servent directement au traitement informatique.
Par exemple, un utilisateur sera dcrit par son Nom, Prnom, Bureau, Tlphone et bien sr par son Compte utilisateur, utilis pour la connexion au domaine
A partir de ces proprits, Active Directory gnre automatiquement un nom pour chaque objet, unique dans tout lannuaire (la cl primaire de lobjet). Pour les utilisateurs, ne pas confondre ce nom avec le nom douverture de session:
Au nom Rgis Lcu dans lannuaire, correspond le nom douverture de session regis
Lannuaire ne sert pas seulement faire fonctionner le site, mais structurer fortement toutes les ressources, et les droits des utilisateurs: dans chaque centre Afpa, on pourra par exemple nommer un administrateur secondaire qui naura des droits dadministration que sur la ressource Formation
TP 2: installation de Windows 2000 Server et dActive Directory On peut installer directement Active Directory linstallation de Windows 2000 Server, et dclarer ce serveur comme contrleur de domaine.
Mais il vaut mieux procder en plusieurs tapes, pour bien comprendre le rle de chaque composant logicielet rseau:
1) Installation dun Windows 2000 Server en groupe de travail
2) Sur lun des serveurs, installation dun serveur DNS, et configuration dun domaine DNS
3) Intgration des serveurs et des stations dans ce domaine DNS
4) Installation dActive Directory sur certains serveurs, qui deviendront des contrleurs de domaine
5) Intgration des autres serveurs et des stations dans le domaine Active Directory
4.3 Installation de Windows 2000 Server en groupe de travail
Linstallation est semblable celle de Windows 2000 Professionnel (voir chap. 2).
Sous Windows 2000 Professionnel, connectez-vous au rpertoire partag \\serveur-cr\Install qui contient une copie de la distribution Windows 2000 Server, avec la lettre W:
Dans le rpertoire W:\i386Serv, lancez linstallation par la commandeWINNT32 (version 32 bits de la commande WINNT, qui tourne sur Windows NT4 ou Windows 2000 Professionnel)
Ne conservez que les partitions C: et D:
Installez Windows2000 Server dans une partition E: de 1,4 Go, formate en NTFS.
Nous disposerons ainsi dun multiboot W2000 Professionnel / W2000 Server sur les trois machines de votre groupe de TP.
Conservez le mme nom de groupe de travail que pour linstallation de W2000 Professionnel
Adresse rseau: 172.16.153.(x + 100) avec x = deux derniers chiffres de ltiquette Afpa (Ex: 172.16.153.120). Pour les tests ultrieurs, il est important de donner des adresses diffrentes aux stations et aux serveurs. Fixer aussi ladresse du DNS (172.16.153.254) et de la passerelle (172.16.15.1)
Choix du mode de licence (spcifique linstallation de Windows 2000 Server)
Pour utiliser Windows 2000 Server en domaine, vous devez possder une licence Serveur, et des licences Clients pour chaque Windows 2000 Professionnel
Il existe deux types de comptabilisation pour les licences clients :
Par serveur : nombre maximal d'accs simultans, pour un serveur donn. Le serveur accepte les connexions de nimporte quel poste client, concurrence du nombre entr linstallation;
Par poste client : chaque poste client a sa propre licence, et peut accder n'importe quel serveur (connexion indpendante de la licence serveur).
On choisira de comptabiliser les licences par serveur: 10 connexions maximum.
Installation du pack 2 de Windows 2000
Linstallation du pack se droule de la mme manire que pour Windows 2000 Professionnel
Lancez linstallation partir du rpertoire \Install\Sp2 sur le serveur serveur-cr: Excutez le fichier auto-extractable: W2KSP2.exe Configuration du multi-boot W2000 Professionnel / W2000 Server
Au reboot, nous ne disposons que de 2 choix: W2000 Server ou DOS. Notre station nest pas crase, mais le choix nest plus propos automatiquement
Il faut le rajouter manuellement dans le fichier c:\boot.ini, comme ci-dessous:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Server" /fastdetect
multi(0)disk(0)rdisk(0)partition(3)\WINNT="Microsoft Windows Station" /fastdetect
C:\="MS-DOS"
Quelle est la structure de notre entreprise?
Nous disposons maintenant de trois serveurs identiques, en multiboot avec trois stations de travail. Avant de poursuivre linstallation, il faut prciser lorganisation de lentreprise que nous voulons simuler:
Cest une SSII avec des services administratifs et commerciaux, et un service Dveloppement qui ralise des projets au forfait. Les salaris du service Dveloppement sont grs par les services administratifs, mais on veut que le service Dveloppement soit relativement indpendant: les postes et les serveurs de dveloppement ne doivent pas interfrer avec les serveurs en exploitation, des services administratifs et commerciaux.
Il faut bien sr que lentreprise soit protge contre toute malversation venant dune entreprise concurrente (il y en a deux dans la salle, animes des pires intentions!)
Le plus simple est de faire un arbre, en prenant comme domaine parent, la partie administrative et commerciale de lentreprise, et comme domaine enfant le dveloppement informatique.
4-4-Installation du serveur DNS et configuration des zones DNS
Notion de DNS
Les serveurs DNS jouent un rle fondamental dans le monde Internet. Lorsque vous recherchez un site par son URL (ex: www.afpa.fr), votre navigateur interroge le serveur DNS de votre fournisseur daccsInternet (ex: claranet): celui-ci recherche lURL dans une table de correspondance entre les URL et les adresses IP.
Si lURL est trouv, il lenvoie votre navigateur, qui peut donc envoyer des trames rseaux au site, en le rfrenant par son adresse IP.
Sinon, le DNS sadresse une autorit suprieure: en gnral, le DNS du fournisseur Telecom (ex: Oleane). Si celui-ci ne trouve pas ladresse, il sadresse son tour une autorit suprieure: lun des 7 serveurs DNS principaux du rseau Internet (situs aux USA, dans des endroits tenus secrets). Si ces DNS ne trouvent pas ladresse, le navigateur reoit un message derreur.
Les DNS forment donc une arborescence, o chaque serveur gre une, ou plusieurs zones correspondant des plages dadressage IP.
La table de correspondance entre les adresses IP et les URL peut tre mise jour:
manuellement(DNS statique): ladministrateur doit dcrire chaque serveur, avec son nom et son adresse IP
automatiquement (DNS dynamique): lorsquune nouvelle machine se connecte au rseau, elle envoie son nom et son adresse au DNS.
Le DNS fourni par Windows 2000 Server est dynamique, mais loption nest pas valide par dfaut: pensez la valider pour viter de rentrer la main vos stations et vos serveurs. Une machine qui nest pas rpertorie dans le DNS ne pourra pas tre gre par Active Directory.
Profitez de la configuration qui suit pour bien comprendre les mcanismes de base du DNS, qui ne seront pas revus dans le cours sur TCP/IP
Installation du serveur DNS Dans Outils dadministration, lancez Configurer votre serveur: choisissez Mise en rseau / DNS
Configuration du serveur DNSNe configurer quun seul DNS par groupe de TP, de 3 PC
Lancez la configuration par Dmarrer /Outils dadministration / DNS Loutil vous propose de configurer une nouvelle zone DNS:
Cliquez sur Zones de recherche directes, bouton droit Nouvelle zone...
Choisir Zone principale standard (Active Directory ne peut recevoir les informations du DNS, car il nest pas encore install!)
Donnez un nom la zone DNS: attention, ce sera aussi le nom du domaine associ votre entreprise (ex: sebo.fr, yaka.com, faitTout.org)
Acceptez le nom de fichier propos, pour contenir les informations du serveur DNS
Lire les informations rcapitulatives, et Terminez
Pensez valider loption Autoriser les mises jour dynamiques
Procdez de mme pour la Zone de recherche inverse: cette zone permettra au DNS de faire la correspondance inverse, en trouvant le nom complet dun serveur partir de son adresse IP
Dfinissez la plage dadresse IP qui sera gre par votre serveur: 172.16.153.0 (la mme pour les trois groupes de TP)
Dans la fentre Proprits de la zone de recherche inverse, validez loption Autoriser les mises jour dynamiques
4-4-Intgration des serveurs et des stations dans le domaine DNS
Intgration du domaine DNS
cliquez sur Poste de Travail, bouton droit, Proprits
puis sur le bouton Proprits
puis sur le bouton Autres (Attention: ne pas confondre le champ Domaine dActive Directory, avec le domaine DNS que nous devons modifier. Active Directory nest pas encore install)
Rfrencez le serveur DNS
Il faut maintenant configurer les machines (y compris celle qui fait serveur DNS), en leur donnant ladresse IP du DNS:
Les machines vont dabord sidentifier auprs du serveur DNS, en envoyant leur nom dhte et leur adresse IP Puis elles linterrogeront pour rsoudre les noms des autres machines Test de la configuration DNS
Ouvrez lutilitaire de configuration DNS sur le serveur. Vous devez voir les machines qui se sont identifies dans les zones de recherche directes et inverses:
A partir dune machine quelconque de votre groupe, vous pouvez tester le fonctionnement du DNS par la commande: nslookup. Au prompt > de nslookup, entrez un nom dhte complet: si le nom est connu et que le serveur DNS est bien install, il envoie ladresse IP correspondante
entrez une adresse IP: si elle est connue et que le serveur DNS est bien install, il envoie lURL correspondante
Terminez en demandant la traduction dune URL dans la zone Internet: www.afp.fr. Que se passe-t-il?
D:\>nslookup
Serveur par dfaut: serveur-cr.developpeur.grenoble.afpa
Address: 172.16.153.254
> pc1
Serveur: serveur-cr.developpeur.grenoble.afpa
Address: 172.16.153.254
Nom: pc1.developpeur.grenoble.afpa
Address: 172.16.153.10
>
Utilisez un Redirecteur vers un DNS dautorit suprieure
Pour rsoudre ce problme, on redirige notre serveur DNS vers un serveur DNS sous Linux (172.16.15.1) qui lui-mme est redirig vers le DNS du fournisseur daccs Internet
Crez un sous-domaine DNS pour dcrire le service de dveloppement dans lentreprise
Dans lexemple ci-dessous, les ordinateurs du service de dveloppement sont regroups dans le domaineinformatique, domaine enfant du domaine dom2000.afpa.fr: le nom complet du domaine est donc informatique.dom2000.afpa.fr.
Le nom complet de la machine enfant est: enfant.informatique.dom2000.afpa.fr
4.4 Installation dActive Directory
Sur les trois serveurs que vous venez dinstaller, deux seront convertis en contrleur de domaine: un pour le domaine principal (votre entreprise), un pour le domaine enfant reprsentant le service de dveloppement informatique. Le troisime intgrera le domaine en tant que serveur de bases de donnes, de fichiers et dimprimantes partages: ne pas le transformez en contrleur de domaine. Toutes les manips qui suivent doivent tre effectues dans lordre: le binme qui configure le contrleur du domaine enfant doit attendre que le contrleur du domaine principal soit correctement configur; le binme qui gre le serveur de bases de donnes devra aussi attendre que le domaine principal existe Les manips ne sont pas difficiles, mais il faudra sarmer de patience! Configuration du contrleur du domaine principal
Pour promouvoir votre serveur en contrleur principal de domaine, utilisez la commande : DCPROMO
Votre contrleur est la premire machine dun nouveau domaine
Ce nouveau domaine est le domaine parent dune nouvelle arborescence de domaines,
elle-mme dans une nouvelle fort darborescences de domaines
Saisissez le nom du domaine Active Directory (identique au nom de domaine DNS: sebo.fr )
Acceptez le nom NETBIOS d
